2014年1月11日 星期六

遠通駭客事件之我感

看到遠通最近被駭的事件,姑且不論是真有其事或是誤會一場,但讓我想到開發一個系統或是將系統外包,驗收時業主應該都是針對功能去驗收,不曉得是否會針對系統安全性去做驗收呢?承包商開發時是否也會自發地在程式或系統中多注意系統的漏洞、程式的漏洞?

之前修一門系統安全的課程,老師提及了很多關於系統安全、病毒、惡意程式等等的介紹,並且也講了一些案例讓我們了解這重要性,甚至當場示範連到某政府官網,在頁面上輸入一些特別的字串 (使用 SQL injection 的做法),結果網頁可以查到民眾的部份個資,當下那一刻真是讓我們大開眼界,而且也讓我意識到,寫程式不只是把功能做好就好了,一些疏忽的漏洞反而帶來更大的危害。

但是一般的程式撰寫的書,或是老師上課,都是教我們如何寫程式、如何把需要的功能寫出來,但是卻很少在教我們寫較安全的程式。

說到系統安全,我想起曾經念某所大學 (打馬賽克,請勿人肉),而校方有開給每位學生 Unix 帳號,可能一般大家也不大會去使用,頂多進去看看信,不過有次我就連進那台 Unix 主機,在一些路徑切換著,意外地在某路徑發現很神奇的 meta file ,我 vi 一看檔案內容,疑似存著改過密碼的 user 列表及密碼,然後我就偷偷地存起來。

當時那年代還在用電話撥接才能連上 Internet,而且是透過學校提供的帳號密碼才行,我無聊試試這些存下來的帳密,結果還真可以使用,我畢業後,學生帳號被刪除了,但是我還有這多組可以讓我繼續撥接。

說這次的經驗不是要說我多厲害,而且我也只是到一些路徑逛逛而已,並不高招,但是這樣容易洩漏重要資訊的做法,是否你我之間都會犯錯呢?

沒有留言: