新聞網站中報導的往往是導致大規模複雜事件的各種電腦錯誤和漏洞,比如去年的席捲全球的WannaCry和NotPetya攻擊。但專家們都知道,最成功的駭客攻擊和破解常常源於系統開發人員或安裝人員所犯的最基本的錯誤。
配置不當的系統比比皆是。從駭客初初發現這樣的系統到運用”智慧”攻擊只要短短幾個小時時間。以色列研究員Inbar Raz在2018安全分析師峰會上舉了許多這樣的例子來證明這一事實情況,真是令人悲傷的現實。

免費咖啡
許多咖啡店發出的會員卡採用的是以下工作原理:客戶收到一張卡,像使用銀行卡一樣對卡充值,然後用來在咖啡店消費,通過大量或頻繁購買來賺取積分。客戶可以在咖啡連鎖店的網站上輸入卡號來檢查卡內餘額。
Inbar Raz就持有這樣的卡,他發現在門店網站上允許用戶檢查任意數量的卡。因此,Raz花了半小時編寫了一個小程式,用來詳細檢查了一批不同的卡號,結果發現了許多充有大筆金額的卡號。
接著,Raz用一台非常便宜的USB讀卡器來讀取自己卡上的磁條,他發現卡號會以未加密的形式寫入卡中,唯一的安全措施是一個控制位,而這個是很容易計算出來的。用上一步中找到的其中一個卡號替換卡片磁條上的號碼後,使用他人卡中的錢簡直就是小兒科。
具有道德意識的Raz在實踐中證明了上述做法是可行的:他去買了另一張會員卡,然後把其編號寫入第一張卡中。真的有效。當然,理論上,眼光銳利的咖啡店員工仍然可以通過核對卡上印刷的編號和收據上的編號來發現這種欺騙行為。但實際上不會有人這樣做。所以,駭客基本上可以獲取無限的免費咖啡 – 或許還會配一塊松餅
UBER式追蹤
不久前,UBER公司身陷員工濫用移動應用追蹤有名望乘客的醜聞。
事實證明,其他計程車服務也可以做到這一點,而且不必麻煩成為他們的員工。Inbar Raz發現,線上預訂計程車時,可以使用聯繫電話號碼來追蹤車的狀態 – 這和免費咖啡的情況一樣,沒有任何針對暴力搜索的保護措施。
Raz寫了一個號碼破解小程式,利用手邊的地圖就能顯示該服務最近所有的計程車訂單的位址。

機場(不)安全
標準的免費Wi-Fi無線網路有時會深藏著意外。在一座東歐機場的貴賓室裡,Inbar Raz決定檢查一下本地接入點的配置。
他發現,路由器設置可以通過標準網址打開,不需要管理員密碼。Raz研究了這些設置之後,發現這不僅僅是一個訪客接入點,也是機場主路由器以及重要調度和安全系統的接入點。任何人使用筆記型電腦甚至是智慧手機就能禁用這些服務。

程式師和系統管理員請務必注意。不要以為駭客絕不會注意到你的小咖啡館(或者計程車服務或機場)。標準設定、像”admin”或”12345″這樣的簡單密碼,以及沒有CAPTCHA或其他對抗自動攻擊的措施,這些都是最常見的安全失誤,也是入侵者的攻擊捷徑。就算是水準不高的駭客也能利用這些失誤進行攻擊。而像Inbar Raz這樣的人 – 能以負責任的態度向你披露漏洞而不是為了自身利益而利用漏洞的人 – 可並不多見。
資料來源:https://www.kaspersky.com/blog/small-hacks-sas2018/21606/