Security

今年的駭客年會看來也是預定在年中(7/21、7/22)，目前在徵求論文階段，有興趣投稿的請參考：
2007年駭客年會徵求論文HIT 2007 Call For Paper

在[WP] 2.1.2 !!!看到 WordPress 2.1.2 的消息，原始來源是WordPress 2.1.1 dangerous, Upgrade to 2.1.2，大意是約三、四天前，有一個 cracker 修改了供大家下載的 2.1.1 版，在其中放了後門，為了避免有人受害，他們做了處置預防此類行為再度發生，同時宣告 2.1.1 版是危險的，請所有人都升級到重新確認過的 2.1.2 版，並請大家告訴大家～趕快升級囉！

接續上篇「無名再度使用學術網路」，無名在被人指稱使用學術網路上的 proxy 以後，回了一篇令人不敢置信的文章(請參考「免費的 open proxy ?」)說明只是在網路上找 open proxy 來用，並沒有使用學術網路營利，且不說會不會太巧了點，找的 open proxy 剛好是其中一位創辦人管過的機器？也不要提一家網路公司用學術網路上的機器讓使用者當 proxy 到底哪裡沒有營利？無名居然敢在網路上找 open proxy 主動讓瀏覽無名的使用者用才是令人最害怕的地方！
作網路服務的沒有資安意識也要有個底限啊，身為一個擁有兩百多萬會員資料的網路公司，卻主動把使用者的帳號、密碼等資訊奉送給網路上不知道哪裡找來的 open proxy(隨便設來路不明的 proxy 有多危險請參考「我用無名, 我用 Open Proxy, 請來盜我帳號…..」)
再更巧的是，自由時報的新聞「自由時報：無名小站再爆佔用交大網路」中，交大主秘這樣說
交大主秘郭仁財則指出，根據調查，發現該實驗室的這台伺服器，因為老舊、不易管理，遭到國外駭客植入程式，成為攻擊別人站台的跳板，實驗室發現後緊急處理掉了；至於宿舍的機器也是一樣的狀況。校方會要求實驗室加強伺服器的管理。
無名要不要查查到底奉送了多少會員資料給駭客然後好好想想到底要怎麼補救呢？還是要承認創辦人之一管過的機器巧到不能再巧被入侵當成 open proxy，無名竟然看了 IP 沒感覺還照用其實是混淆視聽害怕承認再次使用學術網路的說法呢？

10/26 晚間 pixnet 遭到疑似 dos 攻擊，攻擊來源來自交大，並且是無名站務具有權限的機器，引發諸多聯想(請參考誰用學術資源攻擊商業BSP!?)，wkwu 於 10/27 晚上在無名 bbs 0sysop 板貼出公告，也在某 bbs 匿名板貼文，說明他只是在測試 pixnet 推出的會員外連頻寬限制功能，pixnet 對此再度回覆，[公告] 關於10/26 攻擊事件之回報，按照這幾篇文章看來，我們可以推論：
1. 無名原來真的連怎麼限制外連頻寬都不會？
2. 無名在未告知的情況下對 pixnet 進行疑似 dos 測試，並且實際造成部份使用者影響(雖然難以舉證？)這種事是否有違法之虞？不知道有沒有先例就是了。
其實我最想說的是：
無名明明已經維修一個月，並且至少還要再維修一個月，這種時候 wkwu 居然還可以在據說是道歉文中說得出
以下是和無名會員的分享:
無名的流量猜測可能是友站的 30 倍左右
為了穩定的撐住 30 倍的巨量, 無名用了很多很多的機器
來抵擋每天從各地而來抓圖的程式 (簡直就是分散式攻擊)
我們會持續保護用戶的資料與流量的平順, 請大家放心囉

除了無言還是無言啦，各位無名會員，你感想如何呢？@_@
延伸閱讀：
XDite：身為一個學生，做出什麼事都是合理的?
自由時報 10/29 報導 [新聞]無名小站測試 駭到PIXNET
wkwu 於自己 blog 發表的感想：無名小站測試 駭到PIXNET
傅瑞德繼續貼：企業倫理——給無名小站的一點建議

前陣子 SimpLite 出了新版 2.2.5，更新完後有個困擾，它自動把匯入 IE 的個人憑證也讀進去了，這還不打緊，最慘的是這些個人憑證都預設使用(Set as default)而且不能取消，只能每次啟動後 unload；而且我原來的 key 有設密碼，雖然也是預設的 key，但它在開啟時可能因為已經有讀到其他 keys 就不 load 我原來的 key 了，超怪的
請教一下，有人有除了把 IE 裡的憑證砍光光以外的解決方法嗎？

昨天看到一則令人傻眼的新聞：
刑事警察局查獲網路封鎖線惡意程式作者案
Freedom駭客程式 作者落網
說實話，我沒用過 Freedom 程式，但是依照以上兩篇內容看來，這似乎只是一個作 port mapping 試圖穿越防火牆的軟體？！ port mapping 的工具很多，鼎鼎大名的 nc 可以，我現在每天幾乎都會用到的 ssh 也可以，能用其他方法做到類似穿透防火牆功能的軟體也還很多，例如之前叫做 Softether 的 PacketiX、Tor、VNN…等，會試圖隱藏自己的軟體也不少，例如遠端遙控軟體著名的 VNC，某些版本(例如：UltraVNC)就有隱藏系統列圖示的功能，你可能被偷偷錄影或遙控也不知道；總之，很多工具都可以為惡，就像弱點掃描軟體可以讓管理者檢查系統漏洞，也可以讓 cracker 找能入侵的弱點，工具能有什麼作為端看拿到工具的人如何使用，從偵九隊提供的案情摘要中，實難認為 Freedom 軟體為作者專供犯罪之電腦程式，作者寫此軟體若專為提供犯罪之用，豈會放在自己的網站上而被輕易查出？若像這類網路工具軟體都被視為專供犯罪之電腦程式，豈不是在嚇阻國人研究和寫作網路軟體？
再者，若依偵九隊在此案件上的標準，那麼以上提到的各種可穿越防火牆的軟體如 nc、ssh、PacketiX、Tor、VNN、UltraVNC…等的作者，是否偵九隊應該一併偵查？而散佈這些軟體的 SourceForge.net(mirror站中可是有國家高速網路與計算中心) 、ToGet、軟體王等網站，難道不全是散佈專供犯罪之電腦程式的幫凶嗎？
延伸閱讀：
艾克索夫實驗室：「Freedom駭客程式 作者落網」 新聞事件回應

IBM 買了 ISS！
ISS 的公告：IBM to Acquire Internet Security Systems

前一篇介紹的 Xuite’s Joke 擴大營業，並取名為 XDite，不瞭解 Xuite 有哪些功能、管理和安全的問題想一次瞭解的，請參閱：
Xuite 小組真偉大 (懶人包)

Xuite 應該算是 Hinet 現在力推的服務/平台，整合 blog/相簿/網路硬碟/E-mail/拍賣等各種服務，但有些地方則令人覺得感受不到 Hinet 對他的重視；最近看到有人認真寫起 Xuite 的各項奇妙之處，值得有用 Xuite 服務的人注意一下：
Xuite’s Joke：國王的網誌搜尋功能 (1)
Xuite 分站：國王的網誌搜尋功能 (1)
讓我想起去年開站的反無名小站。

大家在公司會被要求去考跟工作相關的證照當作績效嗎？還是支援部門才有這回事？
昨晚聚餐才聊到證照，今天就被丟一本 CEP(Certified e-Business Professional) 教材…
ps. CEP的補習班介紹。
update：20060708 CEP 只要考過 1x 科裡的 3 科就可以拿到，拿到的只是其中一科的書…