作为一个成长中的极客,我一直很欣赏和尊敬这样的杂志字节和《科学美国人》。虽然作为一个12岁的孩子,我可能并不理解每一篇文章,但我仍然欣赏它们内容的技术意义。事实上,我还保留着1977年9月出版的《科学美国人》第237卷第3期的原版。这显然是我最珍贵的文件之一,其中包括Robert Noyce的《微电子学》和Alan Kay的《微电子与个人计算机》。
然而,互联网已经导致许多曾经受人尊敬的期刊和出版物的内容被稀释,比如我的网络世界博客。有个足球雷竞技app事实上,这是一篇题为《我是如何窃取别人的身份的,目前正在《科学美国人》上网站这突出了这个事实。它淡化的材料和过度简化的演示导致它失去了尖端的可信性。
这篇文章概述了赫伯·汤普森(Herb Thompson)关于“闯入”(逻辑+运气+最终用户愚蠢<闯入)某人银行账户的“实验”(每天发生的事情没有实验性),对稍有智慧的读者来说没有什么价值。我发现最让人恼火的是文章URL中的文字,将这个故事称为“对社会攻击的剖析”。数据挖掘、电子邮件帐户发现和自动密码重置既不是“社交”也不是“攻击”。所描述的过程缺少任何社交互动,不过,如果与网站脚本的互动实际上是一个社交过程,那么我将开始编写一些新的酷朋友。此外,我非常确定大多数安全头脑不会将这种形式的在线调查研究归类为“攻击”,否则我已经攻击自己多年了。
我想快速浏览一下汤普森先生的演示中使用的一些技巧,突出一些不现实的巧合和不同寻常的“幸运”情况。
首先,他知道目标的名字,大概年龄,出生状态和工作地点。这是有帮助的。然后,目标被问及她使用的是哪家银行以及她的用户名。这应该是“游戏结束”点。如果任何人,包括朋友和家人,随机问你这些信息,你提供给他们,你不应该被允许管理你的金融资产。尽管如此,这个信息还是交给了他。
不出所料,在谷歌上搜索一下就会发现常见的电子邮件地址、简历和其他有用的信息。这对任何人来说都不新鲜,尽管那些不知情的人应该了解如何收集情报谷歌黑客.
现在是荒谬的部分。显然,目标维持着一个博客,看起来更像是一份泄密小报。它很方便地透露了有关祖父母、宠物、家乡、生日、出生地点、宠物的名字,甚至奇怪的是她父亲的中间名。如果您目前正在写一个提供这类信息的博客,那么您最好只是发布您的社会安全号码、信用卡号码和所有登录凭证,或者只是发布一个链接到您的博客Craigslist,标题为“免费身份盗窃”。严肃地说,如果你的博客里有这类信息,停止写博客,只写个人日记。
最后,他进行了一系列电子邮件地址密码重置,最终提供了对目标公司网上银行账户的访问。一次初始重置尝试直接发送到她的银行账户,导致银行向目标发送了一封关于最近密码重置请求的电子邮件,其中包含指向必要网页的链接。再一次,这是一个危险的信号,但幸运的是,在这种情况下没有任何担心。
总的来说,我支持任何形式的终端用户安全教育。然而,这个例子有一些太多的统计异常,以显示在线个人信息的不安全性。我不确定这是否揭示了更多关于《科学美国人》读者或内容质量的信息。不管怎样,用常识,不要相信任何人,或者干脆把钱塞到你的(没有网络的)床垫下。
请将您对我的个人信息的要求发送到:greyhat@computer.org