文:杨善勇
转载:当今大马
各大报章前不久显著报道的这一则消息说:网站“允许”骇客拉走140万名用户的注册详情、帐号、电邮地址乃至加密密码。另外,被盗取的资料还有用户的私人资料:姓名、地址、生日日期乃至不少相关银行或公司业务的详情。
Lowyat.net创办人兼行政总监维詹德兰拉玛德斯向《马来西亚局内人》透露,消费网站尚且允许外人开启“远程桌面连接”(remote desktop connection)。内情的不可思议,实在超乎想象。
旋即又遭骇客大举袭击
国内贸易及消费人事务部随后澄清这些被骇的资料,其实仅供(他们内部)测试之用,他们尚未接获资料不见的投报。不管怎样,“前事不忘,后事之师”;贸消部现在是否已有准备周全的应对计划呢?话还没有说完,接自称為“匿名者”(Anonymous)的神秘骇客恫言定在6月16日清晨攻击大马政府网站,大马通讯与多媒体委员会15日揭发,当日已有四、五个政府网站已被侵袭。
51个政府部门网站瘫痪
事至16日,《当今大马》报道:“大马多媒体与通讯委员会在文告中指出,这一波骇客攻击是在星期三晚上11点30分就开始启动,总共涉及51个政府网站,其中41个陷入瘫痪。”
《东方日报》17日的新闻转述大马通讯与多媒体委员会的统计,截至16日下午4时,已侦测出多达91个网站遭到骇客攻击,“当中51个政府部门的网站因此瘫痪”。
沙旅游局网站资料外泄
在这当中,沙巴旅游局网站被骇之餘,《东方》记者说:3456名用户资料被盗外洩,392名用户的电邮地址与密码被公开斩首示眾;“反映该网站保安作业有多差劲”。前前后后,科学、工艺及革新部长麦西慕6月17日披露,4天总计共有大约200个本地网站面对骇击,其中60%属于政府网站;数额之高,网页之多,当是历史空前的成绩。
沿用预设密码毫不防备
不论事故是否因为“道高一尺,魔高一丈”而不可逃离;推溯缘由,问题显然不仅出自部门和企业习惯地把工作外包,留下了机密可能外泄的远因;同时可能也在于,个别系统的既定(default)协定和密码,往往匮乏警惕和戒备之心。
有一些公司,甚至继续延用出厂前的原有设定,仿佛有意仿效旅游大使穿上“欢迎光临”的旗袍,袭击天下骇客奉“Cuti-cuti 1Malaysia”之名,长驱直入一个马来西亚。
是的,这一切完全不需要内鬼的里应外合。谷歌里另外提供广受爱戴的“十大密码”专供大家参考如何“欢迎来搞”:123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123 ……。
出现预设密码展览网站
没错,有的组织的系统管理员(administrator)密码三点尽露,一览无遗的: “password”或者“administrator”本身,就是他们采用的密码;就像左右甲骨文(oracle)信息库的密码,正是oracle。类似的经验,民间里其实还有很多前科。从街头咖啡馆到家用无线上网,一部大部仍是提供毋需验证(no authentication)的开放式连接。如果用户知道无线路由器(router)的品牌,他们往往也可借用厂家原有的密码通往网络的时空。
一旦到访www.default-password.info、www.phenoelit-us.org/dpl/dpl.html或者dopeman.org/default_passwords.html,读者就能马上看到一系列的密码大展览,一一现在眼前。
网络保安不足阻碍投资
一站式消费网站的管理密码,纵然不在其中;何况,这一点雕虫小技,对骇客言,到底算得了什么?工具方便,网络高速;键盘一敲,滑鼠轻轻一按,Satu Malaysia网站的一级保安,霎那之间,都全部化为三级的裸体尽收眼底了。
经济转型?“本国的网络保安不足,才是外国投资者心头共有的satu巨石。”土著权威组织主席依布拉欣阿里老神在在大声地说:“他们不来,绝对不是因为我。”
No comments:
Post a Comment