該自己建個部落格了

MIT的駭客紀念911

Wednesday, September 13, 2006, 23:14 - 資訊電腦, 資訊安全

之前在談到社交工程的幽默案例時曾談到的麻省理工學院學生的駭客事績。Hack這個字眼在現在網際網路的時代已經被代表負面的入侵意義，不過在麻省理工學院的傳統，Hack這個字代表的是聰明的、良性的與道德的惡作劇或有實用價值的玩笑。而且這些惡作劇或玩笑對於這些MIT的學生都有一定的挑戰性，同時對MIT甚至是全世界都有娛樂的效果。在MIT，Hack這個字眼與利用電腦或電話入侵沒有任何關係(利用電腦或電話入侵在英文的正確字眼應該是cracking)

MIT的學生維護了一個MIT Hack Gallery的網站，在這個網站上把MIT學生做過的Hacking英勇事蹟都記錄下來。最近一起的Hacking事績是MIT的學生為了要紀念911五週年，他們在9/11的早上在MIT的Great Dome的圓頂上放了一台7公尺長的救火車。雖然MIT沒有救火部門，但這台救火車的旁邊還是寫個MIT FIRE DEPT.。許多抬頭看到放在圓頂上的人認為這是為了要向全美國的消防人員致敬。

MIT學生在Great Dome上放了一台7公尺長的救火車

很難想像這些學生怎麼把這台車運上去的

[ 發表回應 ] | permalink

'06 F1義大利Monza站

Monday, September 11, 2006, 20:42 - 方程式賽車

義大利GP當地氣溫30度，賽道路面溫度33度，在Monza賽道上空則晴朗無雲，氣候環境相當適合今天的賽事。由於義大利賽會決賽前判罰Alonso因昨天排位賽最後階段疑有阻擋Massa的行為取消前三快單圈成績，現役世界冠軍因此必須退後至第十位起跑，車手世界冠軍之爭因而出現戲劇性的變化。

起跑燈號熄滅後，Ferrari雙雄稍有遲滯，Schumacher及Massa分別被後方的BMW車隊的Kubica及Heidfeld雙雙超越，但 Schumacher很快在進入第一個彎後挽回頹勢，順利反超越Kubica。Alonso則起跑保持一貫優勢水準，第一個彎後已然擠身至第6，他的隊友 Fisichella則名次沒有變動。

第一集團很快由Raikkonen領先Schumacher緊隨組成，Kubica逐漸落後但仍穩定壓制住後方急欲超越的Massa，Alonso也被Button擋在後方無法越雷池一步。前方集團的名次直到第14圈Raikkonen第一休停後產生變化，Schumacher取代領先位置後多跑了兩圈才進站，回歸賽道後以單圈優勢超越了Raikkonen。Alonso第18圈休停前一度超越了Button及Kubica，但加油換胎後名次維持在第10。

Alonso一路過關斬將，賽事中盤第30圈已然晉升至第5，並且逐漸追上前方的Massa，而Massa苦於沒有機會超越前方的Kubica而在第38圈二度休停，但Alonso在第40圈超越 Kubica，Massa又掉了兩個位置。正當Alonso搶佔頒獎台最後一個席次沒有多久，卻在賽事僅剩10圈時座駕冒出大量濃煙，被迫衝入第一彎道緩衝區，這一站對他來說已經結束，場邊tifosi發出歡呼雷動，但Massa在Alonso後方失控大腳煞車致使右前輪受創，回到維修區換胎回到場上已經落到第9名。

賽事終盤，前三名次以Michael Schumacher、Kimi Raikkonen、Robert Kubica依序衝過終點線，Massa最終雖然咬近Heidfeld但仍無法搶分建功，最終以第9完賽。Ferrari本站可謂大有斬獲，不僅車隊積分超前Renault，Schumacher更一口氣縮短與Alonso 10分的差距，在未來僅剩三場的比賽中，兩人將以2分的差距進行最後的對決。而這場比賽也將是車神職業生涯中最後一次在Monza的比賽。

[Source: AutoRacing疾速網]

F1義大利Monza站精采片段

[ 發表回應 ] | permalink

F1車神舒馬克宣布退休了

Monday, September 11, 2006, 00:52 - 方程式賽車

今天(9/10)的F1義大利Monza站有很特別的意義。首先對法拉利車隊來說，這場比賽是法拉利的主場，也是2006年的賽季法拉利的車隊積分首度翻轉領先雷諾。而對Shumi來說，這是Shumi在今年賽季一路追趕的情況下，到這場比賽結束後，終於只落後Alonso 2分，讓Shumi跟Alonso爭冠機會大增。同時這場比賽是Shumi在F1職業生涯的第90勝。

最震撼的是，Shumi在賽後的記者會上宣佈了他退休的消息，這意味著能夠在F1賽道上看到Shumi的賽車奔馳，只剩下今年賽季的最後三場比賽了。而他能不能在今年賽季的結束拿下個人生涯的第七次世界冠軍，為他的F1生涯畫下最後的完美句點，相信不只是所有Tifosi，也是所有F1迷今年剩下兩個月的賽季裡所最關注的一件事吧。

Shumi的F1紀錄包括七次世界冠軍、參加247場比賽(其中178場是在法拉利車隊)、獲得90場分站冠軍(71場在法拉利車隊)、奪得68次桿位(58次在法拉利車隊)、創下75個單圈最快紀錄(52個是在法拉利車隊)與拿下1,354分的積分(其中1,051分是駕著Ferrari Maranello car)。

Shumi在Monza賽後記者會宣布退休

[ 發表回應 ] | permalink

一個有資訊安全引申涵義的社會學實驗

Sunday, September 10, 2006, 15:16 - 資訊電腦, 資訊安全

幾個月前，我在部落格裡提到一個加拿大男子麥克唐納透過Craigslist以一個紅色迴紋針換到免費租屋一年。最近有個叫Simon Owens的人則是在Craigslist上作了一個社會學的實驗。Simon看到Craigslist裡的Casual Encounters這個區裡有無數的男女登廣告徵求性關係時想到：這真的有那麼容易嗎？為了要找出答案，他捏造了幾個不同身份、性別與性取向的廣告，然後把這些廣告登到Craigslist的紐約、芝加哥與休士頓等區域然後記錄應徵的結果。底下就是他所統計出來的結果。

紐約：
Straight female looking to have sex with a male: 165 responses
Straight male looking to have sex with a female: 0 responses
Bi-curious male looking to have sex with a male: 9 responses
Bisexual female looking to have sex with a female: 2 responses

芝加哥：
Straight female looking to have sex with a male: 200 responses
Straight male looking to have sex with a female: 0 responses
Bi-curious male looking to have sex with a male: 6 responses
Bisexual female looking to have sex with a female: 2 responses

休士頓：
Straight female looking to have sex with a male: 54 responses
Straight male looking to have sex with a female: 1 response
Bi-curious male looking to have sex with a male: 10 responses
Bisexual female looking to have sex with a female: 1 response

從上面的統計數據可以看出，女性尋求男性的廣告得到的反應比較起其他男性、同性或雙性的廣告來說，幾乎有百倍之多。而更另人意外的是，這些回應的男性中很多都用了他們的真名與其他許多足以認出他們的個人資訊，包括工作的電子郵件帳號與家中的電話號碼。有許多人承認他們是已婚的身份，也有許多還傳了裸露的照片。

Simon的第一個結論跟資訊安全是有關的，他認為如果有心人真的要透過Craigslist收集個人資訊，然後利用這些資訊來毀掉一個人，那是輕而易舉的。其他從社會學角度的結論包括男性要透過這種方式找到異性發生性關係幾乎是不可能的，女性、女同/女雙性戀、男同/男雙可以透過這種方式找到性關係等等。有興趣的人可以自己去Simon的部落格看看。

[ 發表回應 ] | permalink

Citibank Phish Spoofs 2-Factor Authentication

Saturday, September 9, 2006, 16:55 - 資訊電腦, 資訊安全

網路釣魚 (phishing)是因為網際網路興起後被發明新英文單字，是取phreak(偷接電話線的人)的前兩個字母ph取代fishing(釣魚)的f。網路釣魚的方式是以社交工程學（也就是騙術）結合電腦科技的新犯罪手法。通常網路釣魚目的是騙取受害人的網站上的帳號密碼（網路銀行或線上遊戲）、信用卡資料以及個人資料，進行例如線上轉帳、偷取遊戲虛擬寶物、窺伺別人的email以及盜刷等違法行為。根據國際反詐騙組織（Anti-Phishing Working Group, APWG 網址：http://www.antiphishing.org/）統計，約有5%的人會對網路釣魚電子郵件中的內容有反應。

未了遏止類似這類網路釣魚線上詐騙的盛行，這幾年資訊安全專家紛紛向金融機構的網站推銷所謂的「雙重驗證（two-factor Authentication）」機制，也就是讓消費者在進入網路銀行時，除了消費者記得的帳號與密碼之外，還必須向網站證明他擁有銀行核發的一個硬體憑證才能夠登入網站進行交易。這樣的措施在美國是由美國聯邦財政機構檢測委員會—包括聯邦儲備（Federal Reserve）和聯邦存款保險公司（Federal Deposit Insurance Corp.，FDIC）等管理者在內，要求銀行2006年底皆必須加強網上身份驗證措施，給每個顧客一份加密的憑證，這些憑證會向銀行證明用戶的真實身份。

這樣的機制對於想要利用網路釣魚來詐騙帳號與密碼的歹徒來說，是會構成詐騙上困難度。因為對於比較精明或了解網路的消費者來說，除了查看瀏覽器上顯示的網址外，也可以從網站驗證的結果來判斷這是否是一個網路釣魚的網站。不過最近國外一家從事安全技術研究的公司Secure Science Corp在網路上發現了一個針對Citibank設計的精密釣魚網站。由於Citibank已經配發給消費者一個動態密碼的token，因此這個釣魚網站為了不被消費者發現，在要求使用者輸入帳號、密碼以及由動態密碼token產生的通行碼之後，會把這些資料傳給Citibank的網站，然後把Citibank網站傳回的訊息一五一十的傳回到使用者的瀏覽器上，讓即便是通曉網際網路技術的使用者都可能被騙過。

[ 發表回應 ] | permalink

前一頁下一頁