扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在安全技术峰会上,一些知名人士也出现了安全方面的漏洞。现在,就让我们来看一下,从他们的错误中,可以吸取到什么样的教训。
--------------------------------------------------------------------------------------------
从以前的一些文章中,你可以已经得知某些安全专家的个人网站受到了黑客攻击。如同连线网站上的文章所说的:
由于拥有很高知名度的缘故,安全研究员丹·卡明斯基和前黑客凯文·米特尼克成为关注的焦点,根据留在卡明斯基网站上的一个文件中的内容显示,入侵者认为这两位更象是炒作自己的装腔作势者,对于安全领域没有什么实际贡献。
凯文·米特尼克成名的原因是在1995年被作为美国历史的头号计算机罪犯逮捕。在离开了监狱拘留所后,他成为一名计算机安全顾问和作家,希望消除自己背负的恶名。
丹·卡明斯基是一名安全研究员,目前担任IOActive公司渗透测试项目的主管。他受到关注的主要原因是对DNS缓存攻击的深入研究,并且在去年的黑帽简报会议进行了主题演讲。他还曾经展示出有力的证据,证明索尼臭名昭著的rootkit工具已经感染了超过56.8万台计算机。
实际上,两大知名人士在安全方面出现问题仅仅是冰山的一角。黑客留下的一个文本文件就象一张电话卡,犯罪者分享了妥协方面的更多信息,实际上安全数据被从多台服务器上获取,安全方面的漏洞被揭示出来,并受到了嘲笑。在sucuri.net上,有该文件的副本,采用的是电子邮件格式的标题Zero For 0wned 5,非法“发布”专题的第五个文件——简称ZF05。
在介绍部分的后面,ZF05分享了一些出现问题网站的信息,主要涉及到安全行业的,作为大众选择的“Pwnie奖”,在ZF05作者眼里也受到了痛斥,类似“Anti-sec”肇事者之类的语言也出现过。
在所有这些有趣的新闻中(对于某些人来说都是坏新闻),最吸引我注意力的是PerlMonks为用户密码提供的保护措施,主要原因是在ZF05邮件列表中,它是唯一被列为存在缺陷的,尽管我已经有一段时间没有登陆过了,但我恰恰又拥有一个帐户。原来,在PerlMonks中,用户密码被保存在纯文本格式的数据库中,还没有进行过哈希处理。ZF05中的原话是:
PerlMonks拥有者这么做的原因很简单:他们无法支持超过五万行的密码加密操作。
你没看错,没有进行哈希处理。只是把它保存到数据库中。这样也方便了进行备份。
不管你是否相信,其实perlmonks曾经就这个问题是否可行进行过讨论。按照现在的说法,就是说,如果儿童在精神上有缺陷的话,反而会是更聪明的。因此,由于太忙了和懒惰,我们将这个问题的选择权交给你。我相信你会搞明白的。
其实,对于密码设置来说,这不算一个坏选择。程序员经常遇到有趣的事情。采用Perl家伙还好,只是有些沉默寡言。它们中的很多部分可以重复利用。你可以自己来进行研究,我真的不想特别指出任何人。
这段内容说明的关键,当然是你永远都不应该在不同的站点上重复使用一个密码。应该对密码进行有效的管理;你只需要记住少数的关键密码,并将其余的密码保存在密码管理器中。
当然,从ZF05邮件中也还可以获得其它方面的教训,并且,其中的相当大一部分内容读起来非常有趣。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者