第25章

    第25章 (第1/3页)



    更进一步要求确保雇员不会因为”懒得去记“而抄下口令，并 将其搁置在计算机上或藏在键盘下面或抽屉里--这些都是有经 验的小偷最先光顾的地方。同时，好的口令保护策略要求在不同计 算机上不要设置相同或相似的口令。

    小结让我们都清醒一些吧！更换默认设置和使用安全的口令可以 使你的公司免受破坏。

    但这不仅仅是因为用户的愚蠢。软件幵发商往往把眼光关注在 操作性和功能性上，而不是安全。的确，他们在用户指南和安装说 明书上给出了详细的操作指示。有一句古老的工程方面的俗话说， 当什么都不对的时候，去看说明书。显然，你没有必要遵守那个不 好的规定去获得一个工程学位。

    现在是开发商幵始好好考虑领悟这个已经持续很久的问题的 时候了。硬件制造商和软件幵发商是怎样开始认识到大多数购买 者不会看说明书的呢？当用户安装产品时，怎样提供有关启动安全第4章警方与入侵黑客的较量装置或更改预设设置的警告信息呢？甚至怎样通过预设设置就能 达到这一目的呢？最近微软做到了--但到2004年才成功，通过对 ”服务补丁 2“的修订，把安全系统升级到WINDOWS XP PROFESSIONAL和HOME版本，其里面的内在防火墙通过预设 己经打开了。但为什么花了这么长的时间呢？

    微软和其他操作系统幵发商在多年以前就应该考虑到这一 点。像这样一个小小的改变，就能让我们所有人的计算机空间更为 安全。

    黑客中的绿林好汉入侵对我来说，不是一项技术的挑战，而更多的是一种信仰。

    别人可能认为网络攻击是一门技术，每个人都可通过自学获 得。而在我个人看来，网络攻击是一门创造性的艺术--非常巧妙 地算出规避安全措施的途径，就像幵锁狂热者一样，为了乐趣而想 方设法幵锁。人们可以当黑客，同时不要违反法律。

    问题在于计算机用户是否准许黑客潜入他的计算机系统。尽 管需要”受侵害者“的允许，仍然有许多途径可以进行破坏。有 些人蓄意违反法律，但从未被抓住，还有些甘冒风险被囚禁一段 时间。但事实上，他们都用别名（网名）隐藏了真实身份。

    但是，像Adrian Lamo这样的人很少。他入侵时从不隐藏自己 的真实身份，并且当他们在一些组织安全体系中发现漏洞后，通知 人家，这就是绿林好汉式的黑客。他们应该被颂扬而不是被关进监 狱。他们能在有恶意的黑客对公司造成严重的破坏之前，帮助这些 公司及时警觉。

    联邦政府声称，Adrian Lamo所成功闯入的公司名单令人惊诧。 这些公司包括微软、雅虎、MCI WorldCom、Excite@Home、电话 公司SBC、Ameritech、Cingular和《纽约

    （本章未完，请点击下一页继续阅读）