CISSP 基礎班 Day 2 & Day 3

講法律規範太虛無飄渺,而又因為是基礎班,網路安全變成在複習計算機網路概論...*汗*

星期二及星期三繼續上著 CISSP 的課程,Day 2 講的是「Law, Investigation & Ethics」,果然就如同它的課題一樣,讓人覺得只是一些原則的宣示,上起來感覺太過教條式而覺得有點無趣,所以也沒什麼心得。

最後一天的課程,講的是「Telecommunications, Network & Internet Security」,但因為這門課是基礎班,所以半天的課全部在複習網路概論,包括OSI Model、各種 routing policy 等等,只有下午才講到一些真的與網路安全相關的課題。網路安全的部份,講師不斷地宣導目前網路環境以及大家的使用習慣其實是十分地不安全,比方說看到 SSL 憑證不符的對話盒,看都不看就點下去,很容易被有心的駭客以 Man-in-middle-attack 法攻擊,讓你以為你已經建立了安全通道,其實是放心地把資料給了駭客;還有很多網站都會被植入惡意的 JavaScript 或 iframe ,使你的機器被種木馬程式;無線網路 AP 的 WEP 加密其實很不安全,講師也播了一段影片,只需要 10 分鐘就可以破解 WEB 64-bit 的密碼。講了很多使用者網路使用習慣缺陷,讓人覺得這門課真是應該開給全公司會用到電腦工作的同仁才是。後來也講了一些網站開發者該注意的 SQL injection 及 XSS 的問題,不過時間關係,也只有輕描淡寫地帶過。

另外還有一些趣談,比方說很多人使用的 Windows XP 雖然漏洞不少,但大多數的問題其實只要常常 Windows Update 就可以解決,但還是很多人不願意上 Windows Update,原因很簡單,因為他們都使用非正版的 Windows 作業系統,所以都不敢上網更新,怕過不了 WGA 這一關。還有 USB disk 也可能隱藏殺機!有的人會在 USB disk 裡放入 autorun.inf 這個檔案,這個檔案一般是用來放在光碟裡,當使用者是使用 Windows 作業系統並放入有這檔案的光碟時,就會自動執行光碟中某個程式。同理,如果放在 USB disk 裡面,一樣可能會被有心人士利用,所以講師建議大家,以後開啟來路不明的 USB disk 時,千萬不要在檔案總管裡雙擊 USB disk 裝置,儘量用右鍵 » 開啟的方式,避開可能的自動執行,再不然就是先用命令列的 dir 指令來檢查一下 USB disk 裡是否有 autorun.inf 的檔案,才可以確保這顆 USB disk 可能是安全的。

駭客手法日新又新,常用電腦的人還是得多多充實資訊網路安全的知識呀!