Wednesday, August 8, 2012

11. 苹果和亚马逊的安全漏洞

前天,《连线》杂志资深作者麦特·荷南的一篇文字(How Apple and Amazon Security Flaws Led to My Epic Hacking)在网上广为分享。读完之后,我立即做了两件事:(1)删除了我在亚马逊帐号里存的所有信用卡帐号;(2)启用 Google 帐号里的两步登录功能。

说起来,我这个做 IT 混饭吃的对网络安全的考虑有时候还是让位于使用方便。在一些直截了当的问题上我可能比一般非本行人士会多注意一些,比如,基本上不在不同帐号之间使用相同的密码,密码保持相当的复杂性,等等。但是,对于网上一些服务的安全性从来没有太往心里去。第一,那些系统的安全性我无法控制;二来,如果真的出什么事,这些大公司虽说不见得能够吃不了、兜着走,它总是要兜一点吧,而且他们也应该比小公司兜得住一些;再者,资料存在自己的机器里不见得就更安全,虽说我尽量少用微软视窗,但还是免不了不时要用。没有往深里想的是,低级的错误在苹果、亚马逊这种世人仰慕的大公司里也会发生。

说起来,亚马逊的错误比较可怕些(所幸的是,这篇文字登出之后,亚马逊第二天就悄没声地做了亡羊补牢):黑了这位作者的帐号的恶人做了几件虽不是轻而易举但并不需要太高深技能的事,就达到了目的:

  1. 首先,通过其他途径掌握事主的地址和邮箱地址;这并不算特别难,美国这个资讯透明度高的社会,许多的个人资料也是公开的,比如,房产记录。当然,要把多项数据联系到一起需要一些机缘巧合。
  2. 在网上假造一个信用卡号;这也容易。这个卡号并不能用来购物,但是只要能够通过信用卡号码验证程序就行了。
  3. 打电话到亚马逊客服,要求在帐号里加一个新的信用卡号码;亚马逊只要客人提供信用卡结帐地址(自然一般就是个人家庭住址)和信箱地址就行了。这是亚马逊帐号安全漏洞的关键。
  4. 之后,再打电话到亚马逊,要求更换帐号的邮箱地址;这时候因为恶人手里 已经有了前面加的一个完整信用卡号,亚马逊欣然从命。到此为止,这位作者的亚马逊帐号就沦陷了。
得到作者的亚马逊帐号里的信用卡资料之后,恶人攻入作者的苹果帐号就容易了 -- 作者特别提醒,其实攻入苹果帐号,你家附近送外卖披萨饼的也能做到 -- 如果你打电话买披萨用的是你苹果帐号里同一张信用卡的话。这是苹果帐号的安全漏洞:他们的客服只要你报出帐号主人的地址和信用卡号码,就可以帮你改密码。

应该说:计算机系统,尤其是联网系统,没有绝对安全,只有攻破系统的相对复杂程度。以上所说的 Google 帐号的两步登录功能就是大大提升复杂程度一个办法:启用之后登录 Google 的服务,除了要输入密码之外,还必须输入一个六位数的验证码。这个验证码是 Google 即时发送的,可以通过手机短信,也可以通过电话。这个验证码的有效期较短,而且一次性使用之后即作废。

Google 的 Gmail 还有一个小技巧,在出问题的时候对查清源头也能小有帮助:如果你的 Gmail 地址是 wxyz@gmail.com,那么,发给 wxyz+amazon@gmail.com 的邮件也会进到你的邮箱里。这样,在其他网站要用到电子邮件地址的时候,你都可以登记一个特别的邮箱地址。这样如果有电子邮件里出现异常,你就大概知道是哪里出现问题了。

Monday, July 2, 2012

10. 再说动态域名管理

前面写过一篇“动态域名服务”,说到所用的无线路由器 Netgear 的 WNDR3700,内置的软件只能用 DynDNS.org 的服务,而这家公司现在已经不提供新的免费用户注册。一个简单些的办法是在路由器里安装 DD-WRT 或者 OpenWRT 这样的开源软件,前几天需要这门服务,上网搜索到这一篇《DDNS – Free Dynamic DNS Providers》,正好用上了。

那篇文字里面第一个提到的是一个名为 DNSdynamic.org 的网站。我一贯偏爱开源、非营利项目,所以就用它来一试,果然不错。他们的服务没什么花样,但是就动态域名一项,做得简单实用,简单到几乎没什么可介绍的。它所有的文档就在网站的首页上:

DNSdynamic.org 首页


首先,要用它的服务,先得注册一个帐号:它就需要一个电子邮件地址和你输入的一个密码。为防止被人滥用,使用了 CAPTCHA 图文认证。



注册用的电子邮件地址也就是你的用户名。新注册的帐号需要从收到的注册邮件里确认之后才能生效。之后,你就可以安装一个客户端软件:微软视窗用户可以安装 DNSdynamic.exe或者 WinDNSdynamic.exe(软件的设置参考下载页面的解释),Linux 用户则可以用 ddclient -- 一般系统中都可以直接安装,如 Ubuntu 可以 sudo apt-get install ddclient 即可,设置可以参考这里

使用这一方法,如果你家里有一台 Windows Home Server 一类的机器,就可以通过互联网在世界任何角落回到家里去备份或者恢复文件了。

Tuesday, February 14, 2012

flickr-show: Flickr 图片幻灯展示小工具

Blogger 的动态布局似乎还不支持 Google Gadgets,换成旧格式的布局就好了。

这个工具的源码和资料(还不很详细)在 Google Code 网站上。这里展示的是 2.0 版,直接调用的话,链接如下:
http://flickr-show.googlecode.com/svn/branches/2.0/flickr-show.xml
这个版本增加了几个功能:
  1. 鼠标停在图片上可以暂停幻灯滚动;
  2. 增加按钮用以手动前进、倒退、以及显示图片的标题和简介。

Wednesday, January 18, 2012

来自中国的网络攻击

网络上关于中国在互联网上攻击美国公司、政府部门之类的文字很多,随便搜索一下就能找到不少。

昨天,我们学校医院的防火墙记录了大量来自一个 IP 地址的攻击行为。这个地址是 203.90.176.2,一位同事发现了之后通知了网络组的全体,并且立即在防火墙上阻断了这个 IP 地址。因为同事的邮件里提到这个地址的使用单位在中国,我很好奇,就上网搜了一下,结果发现这个地址被很多人提到(见右图)。


按亚太互联网中心 (APNIC.net) 的记录,这个地址的负责人的邮箱域名是 dqt.com.cn,加上 www 前缀,网站页面显示这是“大庆油田信息港”。


完全出于逗闷子,我给这个局网在亚太互联网中心注册的两位负责人发了一封电子邮件。我猜想他们不会回复我的邮件,不过从我个人角度出发,觉得还是提醒他们,要注意网络安全。如果国内“有关单位”能关注这一情况,当然更理想。因为如果大庆油田信息港的负责人们不知道这类事件,是他们失职;如果他们知道的话,那就是有人在犯罪。


附:我的邮件。


标题:请协助:有人利用贵单位电脑攻击我学校网络
时间:Tue 1/17/2012 5:31 PM
发信人:王伟
收信人:'hyx@mail.dqt.com.cn'; 'wr7788@163.com'



你们好!

今天我学校网络的防火墙记录了大量来自 IP 地址203.90.176.2 的攻击活动。经查,该 IP 地址属于贵单位网络范围。请协助查办此事。

今天的攻击活动发生在美国东部时间 1 17 16:28 前。如需进一步记录数据,请回邮告知,我们将尽力协助。

谢谢!
--
王伟


$ whois 203.90.176.2
% [whois.apnic.net node-5]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:        203.90.128.0 - 203.90.223.255
netname:        DQTNET
country:        CN
descr:          Daqing Zhongji Petroleum Communication
descr:          Construction Co.,Ltd.
descr:          No.45 xiyun street ,saertu daqing heilongjiang province
admin-c:        HY130-AP
tech-c:         ZQ73-AP
mnt-by:         MAINT-CNNIC-AP
remarks:        combined with last allocation object
status:         ALLOCATED PORTABLE
changed:        hm-changed@apnic.net 20040804
source:         APNIC

person:         Hu Yongxiang
nic-hdl:        HY130-AP
e-mail:         hyx@mail.dqt.com.cn
address:        No.25 Xiliu street Ranghulu district Daqing Heilongjiang
phone:          +86-459-5980171
fax-no:         +86-459-5978128
country:        CN
changed:        ipas@cnnic.cn 20061221
mnt-by:         MAINT-CNNIC-AP
source:         APNIC

person:         Zhu Qingjun
nic-hdl:        ZQ73-AP
e-mail:         wr7788@163.com
address:        No.25 Xiliu street Ranghulu district Daqing Heilongjiang
phone:          +86-459-5950470
fax-no:         +86-459-5978128
country:        CN
changed:        ipas@cnnic.cn 20090205
mnt-by:         MAINT-CNNIC-AP
source:         APNIC

【2012-02-12】前几天发现一月二十日收到了一封回邮,内容是 hyx@mail.dqt.com.cn 这个邮箱已经满了。

Tuesday, January 10, 2012

动态域名服务

域名服务(DNS)是互联网上进行机器名与地址互相转换的一项服务。连在互联网上的每一台电脑都有一个或多个域名服务器(DNS Server),比如:
C:\>ipconfig /all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : twins08
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter
        Physical Address. . . . . . . . . : 08-00-27-4E-C7-E6
        Dhcp Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 10.0.2.15
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 10.0.2.2
        DHCP Server . . . . . . . . . . . : 10.0.2.2
        DNS Servers . . . . . . . . . . . : 192.168.4.1
        Lease Obtained. . . . . . . . . . : Wednesday, January 11, 2012 12:58:25 AM
        Lease Expires . . . . . . . . . . : Thursday, January 12, 2012 12:58:25 AM

C:\>
所谓“动态 DNS”(Dynamic DNS,或者 DDNS)是指主机在检测到地址有变的时候,随时请求域名服务器予以相应更改其记录,保证后来的域名查找能够找到主机当前的地址。这项服务对个人家里有服务器的同学来说至关重要,因为只有使用 DDNS,才能有效保障我离家在外的时候,不论在什么地方,只要在互联网上,我就可以远程联机到家里的电脑上。一般人家里的路由器外接地址是由互联网服务商动态提供的,经常会变,没有 DDNS 就很难了。

这项服务很多的家用路由器都支持,比如下面这幅截屏就是 Netgear WNDR3700 型号路由器的 DDNS 设置页:


图中显示的 DynDNS.org 现已改名为 Dyn.com,是最早提供免费 DDNS 服务的公司之一。可惜这家公司现在已经逐渐对已经注册的免费 DDNS 帐号加以限制,并且似乎已经停止注册新的免费帐号。

不过,Google 一下“Free DDNS”还是能找到一些其他提供免费 DDNS 服务的公司。最近我试用了一下 Free DNS,除了他们提供的主域名比较怪之外,其他应该说还是和不错的,所以特意推荐一把。但是有很多家用路由器,象上面的 Netgear 一样,只支持 DynDNS.org 一家的服务,就比较麻烦一点了。不过,办法还是有的,而且也是免费的:dd-wrt 是一个很容易安装的路由器软件,它里面 DDNS 设置就灵活多了:

Monday, January 2, 2012

OBi110 网络电话盒

很偶然地在网络上发现了这个 OBi110 网络电话产品,因为它支持 Google Voice,我的兴趣一下子被吊起来了。我家与有线电话公司绝缘已久,与朋友联系主要靠手机和网络电话。之前也曾试过 Magic Jack,效果有些勉强,一年期满我们就没有再继续用他们的服务。曾经还想试试 Ooma,但是没觉得特别有必要,于是就作罢了。

用 Google Voice 已经多年了,基本上可以说非常满意。收到 Amazon 买来 OBi110 之后,花了些时间注册了一个新的 Google Voice 帐号,获得了一个新的电话号码,接通家里好久没用的无绳电话,然后到厂家的网站上 (www.OBiTalk.com) 注册了这个设备,没有费太大的力气,电话就通了,整个过程似乎比找 AT&T 还要简单。其实我对网络电话技术的了解也大概只有“皮毛”的深度,不过下面这个 YouTube 视频应该不难懂:

强调一下:Google Voice 象许多 Voice-over-IP 网络电话一样,不支持 911 紧急电话拨号服务。不过,从阅读网上其他人写的文档,似乎有公司提供付费的 e911 服务

这个小盒子的功能其实还远不止于用 Google Voice 打电话一项。它本身可以说是一个小的个人电话交换机,每个盒子出厂时就已经有一个内部 9 位数号码,OBi 用户之间可以用这个号码直接通话,前面加拨 **9(星号、星号、九)就可以了。

同时,OBiTalk 网站还给每个用户一个软件电话号码,他们的软件电话支持 PC,苹果电脑产品(包括 iPhone、iPad,等)以及安卓系列智能手机,十分方便。

应该说明一下,目前我还在试用这个设备,虽然初试的效果感觉比当初试用 Magic Jack 要好,但还不能立即推荐给大家。长期使用的效果如何,希望很快就能见分晓。

参考: