One Web Day
Sunday, September 24, 2006, 16:36 - 資訊電腦, 網際網路
延續昨天的話題,網際網路已經不可能消失,而且它會以我們無法想像的方式滲透到我們的每一個生活細節裡,不論你喜歡與否。最近國際上有人提出一個叫做One Web Day的線上活動。這個活動的想法是希望號召「實體地球」上的每個人從2006年開始,每一年的9月22號來慶祝Web。選擇9月22號的原因是因為OneWebDay是受到世界地球日的啟示,同時為了表示對世界地球日─每年的4月22日的尊敬,所以選擇這天為OneWebDay。
想參與OneWebDay的人,可以到OneWebDay所設立的ProjectWiki網站上,把你想慶祝的想法寫下來,OneWebDay將透過這個網站媒合與你想法類似的人,一起來舉辦活動。OneWebDay的網站提出了一些可能的慶祝方式,包括
音樂的網路混合服務(mashup) [註]
用投影片或在flickr網站上用照片做出OneWebDay的手勢
口述Web如何改變我的生活
我怎樣在網路上發現我的工作
我怎樣在網路上交到朋友
Web對我的意義
我怎樣在線上工作
教你的祖母寫部落格
教市長寫部落格
把你的數位照片放上網
為你的俱樂部、教堂或學校製作一個網站
把你的街坊登記在Wikipedia上
收集你鄰居的電子郵件地址,並做成鄰居互動的mailing list
企業可以為在家工作的員工舉行線上虛擬會議(virtual meeting)
員工可以教你的老闆用及時通訊
父母可以請你的子女教你使用及時通訊
醫生可以設立一個讓病人自己掛號的網站
圖書館和學校可以開網站建置的研討會
[註]
Mashup is a web page or site made by automatically combining content from other sources, usually by using material available via RSS feeds and/or REST interfaces.
[ 發表回應 ] | permalink
網際網路不安全,是因為人類讓它不安全的
Saturday, September 23, 2006, 16:56 - 資訊電腦, 網際網路
在這個部落格裡的文章,只要一講到資訊安全好像都會讓人感覺到網際網路充滿著負面的現象。但是很好玩的是,雖然我從事的是資訊安全的工作,我反而常常會跟一些對網際網路存疑的朋友發生爭論。就以網路交友這個議題為例,網路交友大概是僅次於網路賭博、色情等最能夠賺錢的網際網路服務之一,也因此網路交友也是最容易有爭議的議題之一。對網際網路存疑的朋友認為(當然這樣的人已經越來越少了),網際網路充斥著壞人,因此網際網路裡的人其實是另一個世界的人,因此我們不能信任任何從網路認識的人。
針對這樣的論點,我同意的部分是網際網路充斥著壞人,但這些壞人哪裡來的?這些壞人同樣充斥在你我每天生活所在的現實社會中。網際網路裡的人就是現實社會的人組成的。當然有人會進一步爭論,如果不是因為網路,那我就不會碰到這些壞人了。只是這樣的論點是無法驗證的,所以我並不想在這項議題上去深究。
我想提出的是,我一直認為網際網路是歷史的必然,它就跟火車、公路與飛機一樣,把人類互相連結的象限增加了另一種可能性,不論你喜歡它與否,it's there, and it won't leave。在火車、公路與飛機這些工業革命的產物剛被發展之際,相信很多我們的祖父輩或曾祖父輩會認為,這些產物會帶來大量的外地人或外國人,所以這些東西是邪惡的,是會破壞我們安全生活環境的。這樣的心態,大體上就跟我剛提到有些人認為網際網路充斥壞人,因此我們不能信任任何在網際網路上認識的人一樣的心態。
我必須要強調的是,我不是說網際網路是安全的,它跟火車、公路與飛機一樣存在著風險。而且如同我一開始所說的,在我部落格裡只要是有關資訊安全的文章,大概都反應出網際網路一部分的黑暗面。但我們沒有任何人有辦法去抗拒網際網路變成是我們生活裡除了火車、公路與飛機以外的另一種「交通工具」。在網際網路上交友其實跟你現實生活中認識人一樣都存在著風險,因此談交友,不論是不是透過網路,讓我們回歸到判斷人性基本面上來爭論,而不要爭論網際網路是否安全。
簡言之,網際網路不安全,是人類讓它不安全的,但網際網路已經不可能消失,而且它會以我們無法想像的方式滲透到我們的每一個生活細節裡,不論你喜歡與否。實體的交通安全經過幾百年的規範,對所有人來說已經是很自然的事,網際網路的發展只有短短的2,30年,但我相信再過數十年,我們的下一代看待網際網路將與我們看待火車、公路與飛機一樣的自然。
[ 發表回應 ] | permalink
零時差緊急應變團隊(ZERT)
Saturday, September 23, 2006, 00:17 - 資訊電腦, 資訊安全
2003年2月26日一位美國商人,因為高燒、乾咳、肌肉痛及輕微喉嚨痛被送進越南河內一家醫院。在四天後病程進展至呼吸困難、嚴重血小板缺乏,並出現成人呼吸窘迫症,而需要使用呼吸器。送香港治療後卻不治死亡。之後在香港、越南陸續出現非典型肺炎合併有呼吸道感染症狀的案例,並懷疑是一種尚未經証實之病毒感染引起。世界衛生組織(WHO)於三月十五日因其特點為發生瀰漫性肺炎及呼吸衰竭,較過去所知病毒、細菌引起的非典型肺炎嚴重,因此取名為嚴重急性呼吸道症候群-Severe Acute Respiratory Syndrome(SARS)。[SARS的教訓]
在資訊安全領域,越來越多像SARS一般的各種零時差(Zero-day)惡意程式,在人們還措手不及的情況下就被有心人士釋放出來,用以發動網路世界的"SARS"零時差攻擊(Zero-day Attack)。而且絕大多數這些惡意程式的設計都把握了兩個原則:1.針對擁有最龐大使用族群的微軟應用程式弱點來設計,以便能獲得最大的攻擊影響範圍。2.在每個月著名的的「微軟修補週二」的隔天,發起「零時差攻擊週三」,以便能夠獲得最長的攻擊影響時間。
第一個現象是市場經濟的問題,短時間恐怕無法改變,但針對第二個現象,目前已經有一群散佈在全球,精通軟體、韌體或硬體逆向工程(Reverse Engineering)的電腦專家,組成了一個名為Zeroday Emergency Response Team (ZERT)的緊急應變團隊。ZERT成立的目的是希望在有零時差攻擊出現,而受影響的軟體製造商尚未發布修補程式前的這段空窗期,就能夠搶先提供修補程式。ZERT是在去年(2005年)的11月,在當時的 WMF (Windows Metafile)攻擊之後成立的。過去這段時間ZERT都相當的低調,一直到最近一個最新,且截至目前為止都還沒有修補程式的IE瀏覽器向量標記語言(Vector Markup Language,VML)漏洞出現後,由於ZERT決定在9/22發布這個弱點的修補程式後,因此除了在資訊安全界引起討論外,國外的電子媒體也出現了ZERT的相關報導。
我想ZERT的成立背後所帶出來的嚴肅議題,除了代表對於軟體製造商,目前在修補產品弱點仍不夠積極的一種無形批判外,也代表病毒、蠕蟲與木馬程式的演化規則已經徹底改變了:這些惡意程式不會乖乖等到解藥都出來後才發動攻擊。這些網路世界的SARS病毒是被有犯罪意圖的惡棍在精確計算後,拿來作為組織化間諜活動(corporate espionage)的一個重要手段。未來我們只會看到這樣的事件快速成長,並且這樣的狀況不會像SARS一樣,在肆虐過後突然就消聲匿跡,而是只要網際網路存在就永遠不會消失。而這,正是我們開始應該嚴肅以對的問題。
[ 2 回應 ] ( 43預覽 ) | permalink
從Google Analytics淺談科技的誤用
Thursday, September 21, 2006, 16:26 - 資訊電腦, 網際網路, 資訊安全
今天看到一則科技被用在惡意行為上的新聞。Google在去年買下專門提供網路廣告分析軟體的Urchin Software,並將其軟體Urchin on Demand更名為Google Analytics,在去年底提供服務。
簡單說Google Analytics是一個提供網站流量分析的服務,它能夠追蹤拜訪你網站的每一個使用者及使用者所在的地理位置。而且還能提供吸引網友前來網站拜訪的關鍵字、吸引網友注意的網頁設計,以及有效率的電子郵件行銷策略的分析。最重要的是這樣的服務,不管你的網站是不是電子商務的網站,是完全免費的。
這樣功能強大又免費的服務在壞人的眼裡當然不能夠浪費。根據McAfee最近的研究發現,Botnet[註]的operator可以利用Google Analytics有組織的檢查他成功入侵的電腦,包括這些電腦在全球分佈的狀況。壞人根本不需要自己去開發管理Botnet的軟體。
由這個例子可以很明顯的看出,任何的科技被發展出來,不論發展者的理念是否有惡意的意圖在內,在應用時總不免會被有誤用、濫用甚至是被用在犯罪的用途之上。網際網路本身就是一個很好的例子。網際網路一開始只是美國國防部在五○ 年代末成立的ARPA (Advanced Research Project Agency)的一項為了將政府研發單位與主要大學尖端電腦設備連結起來的網路。時至今日,網際網路除了成為資訊化社會的骨幹,撐起了全球電子電子商務的平台,也成為了網路犯罪的溫床。
假設科技本身一定會被誤用的假設成立,那麼我們就不能期望用另一個科技的手段,可以完全來防止科技的被誤用。因為新科技本身又可能造成新的問題。因此單純的去談科技本身是否邪惡常會失之偏頗,而是應該去探討新的科技在被應用時,政府、研究單位與立法機關是否有同時去思考它的管理、法令與法規議題,我想這樣才是一個科技管理與應用應該有的態度。
[註] 何謂Botnet
Bot 為 Robot 機器人之簡稱,意指「一個可像機器人一樣遠端控制的程式」。Bot 更是駭客利用已知的漏洞控制機器的方法之一,攻擊者只需向 Bot 遙控程式發送特定指令,受控制的每一台PC皆會根據指令做出對應的行為。
Bot 主要是藉由 IRC 管道遠端控制受感染的系統,攻擊者可下攻擊指令,發動所有殭屍電腦攻擊指定網址,或尋找有漏洞電腦,然後不斷地進行複製,讓有漏洞電腦也成為機器人網路/殭屍網路的一員。
駭客可輕易偷取殭屍電腦應用程式的密碼、終止系統運作、download /upload上 file、掃瞄開啟的port,或是接手其他駭客種下的後門程式加以改造入侵系統。
這群被植入 Bot 程式的電腦形成一個殭屍網路(Zombie Network)或機器人網路(Botnet) 的成千上百的節點,它們亦成為阻斷服務攻擊 (DDoS)或漏洞攻擊亂槍掃射的發射台。
[ 發表回應 ] | permalink
Hacker與Cracker
Wednesday, September 20, 2006, 14:47 - 資訊電腦, 資訊安全
很多英文名詞一翻譯成中文之後,意思就常常被弄擰了,或是把不同的事情混為一台,駭客(Hacker)這個詞就是一個例子。根據The Jargon File對「hacker」(駭客)一詞下的定義,駭客指的是能很快適應新技術、善於解決問題、勇於克服困難的高手。
但現在還有另一種人也被稱為或自稱為「駭客」,但其實不是。這些人擅於入侵別人的電腦與電話系統。真正的駭客稱這些人為Cracker。國內似乎一直沒有對Cracker這個詞有個比較好的翻譯,於是Hacker與Cracker都被稱為駭客了。倒是大陸對於Cracker的翻譯蠻值得參考的,大陸上將Cracker翻譯成為「黑客」。所以黑客和駭客根本的區別是:黑客們建設,而駭客們破壞。
根據New Hacker's Dictionary的作者Eric S. Raymond在1996所發表的What is a hacker?一文中的定義,駭客必須完全體會並反覆實踐五件事情:
1. 世界充滿有待解決的新奇問題
成為駭客的過程充滿樂趣,但是這種樂趣是大量努力換來的,而努力需要動機。成功運動明星的動機,在於達成目標後,身體所獲致的生理滿足;這促使他們不斷嘗試超越自己的體能極限。同樣的道理,要成為駭客,你必須懂得享受解決問題之後的成就感,並以此為磨練技巧、訓練心智的基本動機。
如果你天生就不是能感受這種動機的人,那麼,你必須想辦法訓練自己成為這種人,唯有如此才能成為駭客。否則,你會發現你的研究熱誠會被其它誘惑摧毀殆盡,像是性、金錢、與社會地位。
(你也必須培養對自己學習能力的信心。你必須相信,即使不知道解決問題所需的全部知識,但如果能搞定其中一部份並從中學習,你將有足夠的線索解決下一個部份,持續下去,直到完全搞定。)
2. 沒有問題應該被解決兩次
有創意的大腦,是有限的珍貴資源,當你有許多新奇問題等待解決時,不應該將浪費腦力去重新發明輪子。
要成為駭客,你必須相信其他駭客的思考時間也非常可貴,懂得利用別人的成就來解決新問題,而不要反覆地重新解決舊問題。相對地,在你解決問題之後,公開解法,與別人分享心得,是你的道義責任。如果你的成就是建立在別人的基礎上,那麼,你的成就也應該成為別人的基礎。
(你可以不認同你有義務奉獻你全部的創意成就,雖然正牌駭客確實會這樣做,並以此贏得其他駭客的尊敬。所有人都一樣,銷售你的創意產品,使你能養活你自己、房屋、與電腦,並不違背駭客價值。運用你的駭客技術來養家活口,或甚至致富,很好。但是在你收取權利金時,別忘記遵守駭客守則。)
3. 無聊與苦工是罪惡
駭客(以及一般有創意的人們)不應該無聊到做一些愚蠢的重覆性工作。因為發生這種事情時,表示他們不是正在做他們唯一應該做的事 - 解決新問題。對任何人而言,做苦工絕對是浪費精力。因此,無聊與苦工不只是令人不悅,實際上還是一種罪惡。
要成為有格調的駭客,你必須深信,任何無聊事都可以被自動化,這不僅解決你的問題,也幫所有其他人(特別是其他駭客)找到解脫。
(凡事都有例外,包括做苦工。駭客們有時候也會做一些似乎是重覆性的工作,或是旁人認為窮極無聊的舉動,但是他們可能是在琢磨練習,理清思路,體驗不親自動手無法理解的經驗。然而,這是個人的選擇,沒有人應該被迫體驗無聊。)
4. 自由至上
反威權主義(anti-authoritarian)是駭客的天性。如果有任何人能夠以威權手段命令你,迫使你停止解決你認為非常有意義的問題,他們通常會發現這樣做實在很蠢。所以,每當你發現威權心態,就必須使其成為過去,以免讓這種要不得的心態扼殺你 - 以及其他駭客。
(這不同於反抗所有權威(authority),畢竟兒童必須受到引導,而罪犯也必須受到拘束。如果遵守命令所付出的代價,確實可以讓駭客得到更多收穫,那麼駭客或許會願意接受某種形式的權威,但這是極限、理性的妥協。那種要求人性服從的威權主義,所要的不是貢獻。威權主義盛行於風紀與保密人員。他們不相信「自願合作」與「資訊分享」這種事,他們只喜歡他們能夠控制的「合作」。因此,要成為駭客,你必須對幾種人培養戒心,包括考紀人員、保密人員、有暴力傾向的人、以及意圖欺瞞操縱要員的人。而且你必須願意為信仰付諸行動。)
5. 心態是無可替代的才華
要成為駭客,你必須培養某些心態。但是單獨養成一種心態,並不能使你成為駭客,任何比這更多的美德,將使你成為冠軍選手或搖滾巨星。要成為一位駭客,需要用智慧、練習、奉獻與努力工作的代價去換得。
因此,你必須學會懷疑心態,並尊重每一種才華。駭客不會浪費提問人的時間,他們崇拜才華 - 特別是 hacking(解決問題)的才華。普遍來講,任何種類的才華都是好的;只有少數人才有的特殊才華,只能算是好的才華。涉及敏銳心智、技藝、專業、專注的實務技能,是最好的才華。
如果你敬重才華,那麼,在你自己培養才華的過程中,將會享受到無比的樂趣。努力與奉獻會成為一種玩樂,而不是做苦工。心態對於駭客的養成至關重要。
[參考資料:Linux Server Hacks 駭客一百招]
[ 發表回應 ] | permalink
前一頁 下一頁
