Tag Archives: 安全

年度回顾:这么多的数据泄漏事件

到了年底了,要预防安全事故,数据泄漏更要预防。CSO 杂志列举了 2007 年的 10 大数据泄漏事件。这里有一份比较全的数据泄漏列表。我觉得这个 美农业部数据库漏洞泄漏十五万人资料 其实也很有实力入选年度 10 大,但不知为何没入 CSO 杂志作者法眼。

原以为这些事件都和什么黑客入侵有关的,真实情况倒是大相径庭:有好几个是着了 “社会工程学” 的道儿:光是硬盘、笔记本被盗就有好几个。金庸老先生说了,”重剑无锋,大巧不工”;小平说了,能拿到数据的黑客就是好黑客。光盯着软件的漏洞下手,还不如奔着人下手容易(比如电影《防火墙》里描述的那样)。比如企业内部网络安全固若金汤,那可以盯着他的备份磁盘磁带下手嘛,要不盯着他出差的总裁、CTO 啥的,在机场、火车站偷丫的。所以,如果要黑某个公司的网络,还不如扮作捡垃圾的,每天检查一下这个公司的废纸。扯远了…

DBA 们,一起来评选一下咱国内的 10 大数据泄漏事件吧? 不过,我好像一个都没听说过,虽说,好事不出门,坏事传千里,可谁让咱报喜不报忧呢。

EOF

关注近期几起网站运维事故

最近看到几则新闻,都是和网站运营维护有关的,一个比一个离谱。

第一个是云网主站点不可访问。看新闻是从上午折腾到下午还没有修复。有趣的是出了故障之后云网居然把 IP 指向了 127.0.0.1。这是 8 月 9 号的事情。好像找不到云网任何官方对这次故障的说明,至少我没有找到。

第二个是关于工行的。8 月 15 号到 16 号,工行个人银行服务出现故障。据说是”由于15日是存款利息税下调、系统升级改造、新基金发行和拆分、养老金和工资的发放等业务集中所致”,更具体一点是什么原因,恐怕永远不得而知。要说起银行的 IT 系统建设,那可是天文数字啊。可以不夸张的说,硬件只挑贵的买。业务流程,什么标准化的东西,也都是早早建立起来的,但是,但是,但是,但是,还是不管用。

第三个,”当当当”, 当当网的数据库账户泄漏事件。程序出错页面居然把数据库连接串和密码什么的都打印出来了。不得不佩服一下。

点击查看出错页面的精彩图片

当当用的是 SQL Server.

网站的运维是个高精度而高复杂度的事情,远非弄一堆所谓的花哨流程、买一堆昂贵的机器所能解决一切问题的。

当然类似的事情也不止国内有,Facebook 不也出了个源代码泄漏的事故么。总算和国际接轨了。

最让人晕死的事情是今天 Dreamhost DNS 服务出现问题,导致我这个 Blog 10 来个小时不能访问。

EOF

‘请把您的信用卡号告诉我’ , 招行客服说

今天偶然发现上个月的信用卡还款有问题,在专业版里怎么设置都不成,于是拨了招行的 800 客服电话。
招行的信用卡服务热线做的很是”独到” –需要在听一堆提示之后输入身份证号码和查询密码,这一堆的数字,要一遍按正确了,似乎也不那么容易。
客服: 请告诉我您的身份证号码?
我心里狐疑(电话里不是都输入一遍了么?),再说一遍吧。
客服:不好意思,系统忙,查不到您的信息,请告诉我您的信用卡号码
我:信用卡号码告诉你? 通过身份证查找不出来? 通过我名字查找呢?
客服:通过名字可能有很多重复的,请您把信用卡号码告诉我。
我:你不是搞笑吧 ? 要我通过电话把信用卡号码给你念一遍? 我周围可都是人…
客服:先生(语重心长地),您的所有信息我们都是可以看到的。
我:能看到你就查找么,我不会把我的信用卡号码告诉你的!
客服:那我们就没办法了。
我:你客服号多少?
客服: 沉默…先生,现在查到了,刚才可能是我把身份证号码输错了。
招行的柜台服务一向是不错的,可是这个 800 电话的客服人员似乎也太不注意安全问题了吧(信用卡号要通过电话念给他们,据说有人还真的照这么做过)? 是他们没有这个安全意识? 还是我遇到了电话”钓鱼”(Phishing) ?
这个经过告诉我(这个故事告诉我们):
1) 国内银行对于信用卡安全远远没有重视起来;
2) 国内信用卡消费风险很高; 很多用户没有关于信用卡的安全意识;
3) 那些哭着喊着找你办理信用卡的银行,你要看看他们的信用;
4) 如果没有透支的必要,不要使用信用卡; 借记卡不是也挺好的么?
这几天就和各个公司的客服较劲了.
EOF

cURL Tips

记录一下使用 cURL 时的一个小技巧.
比如上次举的这个备份 del.icio.us 书签的例子中,因为该页面需要验证, –user YourUserName:YourPassword ,需要提供用户名字和密码,我上次说:

如果想定期备份,又怕密码出现在命令行上,可以考虑把这个命令写到一个脚本里,能提高一点点安全。

其实通过 -K 参数就可以很好的避免这个问题,创建一个文本文件 .pass ,内容如下

--user YourUserName:YourPassword

(把具体的用户名字替换一下) 然后通过:

curl  https://api.del.icio.us/v1/posts/all  -K  .pass

cURL 的功能足够丰富,官方站点的文档也足够全,如何在实际工作中方便、灵活的用到这些功能,需要慢慢磨练。
cURL 也是我 Windows 上安装的命令行小工具之一.
EOF