臉書 (Facebook) 現象與個人隱私的自我公開

以臉書 (簡稱 FB) 為代表的社群網站，從根本上改變了網路世代的人際關係。 以社會層面的探討和研究文章其實有很多。 但以個人隱私的角度來看，這問題顯得格外矛盾又有趣。在於 FB 上透露／洩漏的個人隱私有以下幾種情況：

1. 有意和朋友 (有些人喜歡和全世界) 分享的個人隱私：這類資料雖然是自發性的分享，但可能提供駭客 (或怪朋友）一些入門情資。
2. 無意分享但“意外”透露的個人隱私：由於對 FB 的隱私設置不熟悉或缺乏注意，一些用戶自覺隱藏的個資，意外的藉由朋友或朋友的朋友傳出。
3. FB 應用軟體 (包含那些“趣味”問卷) 對用戶本身和他們的朋友的個資的“分享”：這些 FB 的第三方 （Third party）應用軟體，通常對用戶的背景和喜好有高度興趣。若用戶未細察設置, 個資可就源源不絕的流出了。
4. 針對 FB 漏洞所設計的惡意軟體或駭客攻擊所造成的個人隱私外洩：這類的攻擊有漸多的趨勢。喜歡玩東玩西的 FB 的用戶較常碰上，並且不容易防範。

要了解任何放上 FB 的個資 （住址，電話，照片，生日，喜好，朋友，文字，等等），其實不容易成為真正的隱私。它們以不同形式被“分享”的機率不低。再來就是 FB 的隱私設置至關重要。有一些工具可幫忙檢查，例如：http://www.reclaimprivacy.org/facebook

終極的解決方法無他。 最重要的一個觀念，就是永遠別把真正的隱私 po 上 FB (或者是任何網站)。


圖取自此處

-- kryptoman

駭客任務啟示錄 - KHOBE

電影 The Matrix (1999) (好像翻譯成 "駭客任務" 或 "黑客帝國") 是一部經典作... 至少對一些電腦志士來說吧. 其中最精彩的部分, 就是它將電腦世界中的規則和角色, 比擬成一個類真實的虛擬世界. 例如，要進入這個世界, 必須先成為一個使用者. Agent Smith 和他的黨羽就是系統管理員. 他們有很大的權限, 可直接變成任何一般使用者. 也可以剔除任何被逮到的搗蛋鬼. 主人翁Neo最後終於明暸自身的終極能力, 輕易的打敗 Agent Smith. 你可知道 Neo 在電腦世界所類比的是什麼角色？ 居然連系統管理員都敢K?

答案是核心程式 (Kernel). 基本上, 它代表一般程式去和硬體打交道的仲介. 因為硬體的語言太難懂, 只有運用核心程式, 才能讓一般程式簡單明暸. 換句話說, 就連系統管理員要和硬體溝通, 都得透過核心程式. 這就不難理解為什麼 Neo 可以海K Agent Smith 了.

為什麼會說到這呢? 最近有個 Windows 的系統漏洞被研究出來，讓許多電腦防毒軟體公司冷汗直流。它叫做 KHOBE。這並不是牛排, 日本地名, 或NBA明星. 它是 Kernel HOok Bypassing Engine 的縮寫. 到底KHOBE 有什麼大不了的?

說白了 KHOBE 就是個披著羊皮的核心程式。當防毒軟體掃過，它只是個無害的程式。一旦過關了，馬上變身回武藝高超的 Neo. 尤其在多核的CPU電腦更是無往不利。雖然還在實驗室階段，但隱含“打敗天下防毒軟體”的巨大衝擊，著實讓這些公司寢食不安。

Wikipedia - 核心 Kernel
UPDATE - New attack bypasses EVERY Windows security product By Adrian Kingsley-Hughes
圖取自此處

－－ kryptoman

是真安全, 還是自我感覺良好

常有人問: 為什麼我的網站在發布前, 需要做侵入測試(penetration test)? 我們不是已經有防火牆和SSL加密了嗎?

不錯, 以現今的技術, 很少人會在防火牆打洞或破解SSL加密上面動腦筋. 所以我們安全了嗎?

OWASP 是個非營利的電腦應用軟體安全組織. 它每年發布的十大 (Top 10) 安全漏洞是產業界的重要指標. 看看2010年的排行, 勉強只有No.9 是SSL可以擋一擋. 傳統的 Network level 防火牆更是一個都沒撈到. 為什麼?

道理其實很簡單. 沒有一個黑客喜歡捨易求難, 或專找硬釘子碰. 大家都喜歡找環節中最弱的一點 (the weakest link). 應用軟體的漏洞可讓黑客堂而皇之的走大門, 又何必辛苦翻牆呢. 這就是為什麼安全是需要測試的, 不是自我感覺良好就行的.

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
圖取自此處

-- kryptoman

# 的特殊意義

在一個黑客群集的研討會後, 主辦單位發了一個小紀念品 - 一只別針上面只有一個符號: #. 大伙會意的笑了. 知道為什麼嗎?

# 對大多數人也許只是個符號. 但對於黑客來說, 它是個目標, 也是個自豪的表徵. 玩過 UNIX 或 LINUX 的人就知道當你看到 # 是你的 "指令提示符號" (command prompt) 時, 表示你是個系統的超級用戶 (root), 對此系統有著無上的權利. 所以當黑客看到他的目標跳出 # 時, 他已經完全擁有了這個系統.

 網絡安全的世界, 有許多這類的"內行"術語和意涵. 有機會再分享.

圖取自此處

-- kryptoman

黑與白 - 什麼是白帽黑客?

"白帽黑客" (whitehat hacker) 有時也稱為 "有品黑客" (ethical hacker) 或是 "侵入測試員" (penetration tester). 基本上, 這些人是公司或單位授權/僱用來測試他們的資訊或網絡產品的安全性. 請注意 "授權" 二字. 這就是白帽黑客和一般黑客的區別.

http://en.wikipedia.org/wiki/White_hat
圖取自此處

-- kryptoman

引言

首先, 這不是個黑客網站. 希望分享的是對網絡和資訊安全的一些心得.

krypto 這個字取的是希臘語的 "隱藏" 之意涵, 也就是中文字 "謎" 的意思. 現代人用 crypto- 或 cryptography 來稱呼密碼學就是這麼來的.

接觸資訊安全十多年來, 這領域的錯綜複雜隨著網絡發展, 已經到了難以理解的程度. 多數電腦使用者和主流媒體對資訊安全的理解還停留在防火牆和防毒軟體. 希望借由分享領域的發展研究, 可對此有小小幫助.

圖取自此處

-- kryptoman