天空之城

原文：推荐一篇反对可信计算的著名文章：TCPA FAQ

两年前曾经看过这篇文章，当时只是觉得台湾小伙儿的译文比原文更精彩。今天再看一遍，又有了一些新的想法。可信计算尽管看上去很美，但是存在两大问题：“信任”和“控制”。

信任必须有主体和客体，而且有相应的内容和范围。就像在PKI领域，用户的数字证书上有根证书的签名，以此证明这个用户的数字身份是“可信”的。而这个“可信”断言的内容和范围，是由PKI系统建立时制定的CP/CPS文件定义的。数字签名只是其在技术上的实现。所以“可信”是相对的（有条件的，有局限的），是双方就某件事情达成的协议。这个协议并不能规范双方在协议范围外的行为。 “可信”并不意味着“安全”。一个最近的例子：微软的Windows OneCare安全服务中的防火墙组件有漏洞。在缺省配置下，防火墙软件能够使利用了JVM或有数字签名的应用软件连接到互联网上。微软的开发人员认为有数字签名的软件不会有安全威胁，因为恶意软件不大可能有数字签名。如果软件有数字签名，其开发者就可以很容易地被发现。然而有安全专家表示，广告件和间谍件开发商通常会“签署”它们的软件，数字签名能够使它们的软件看起来更可信赖。其实我们也看到过，一些流氓软件的浏览器插件也是有数字签名的。

另一个问题是“控制”。 在可信计算的环境里，谁拥有（硬件、软件和数据的）最终控制权？是所有者、开发商还是使用者？对于可信计算，人们最大的疑虑是人失去了对机器的控制。就像文中所述的，在保护知识产权的名义下，人们最终失去对自己拥有的信息和机器的控制。于是个人隐私被侵犯，机密信息被窃取。即使在可信计算的环境下，人们也应该有权利选择是否需要或者替换某种“可信”功能。前些时候和微软的一个安全专家讨论Vista的安全性，据说在中国政府的要求下，并且在几位资深的微软安全专家的极力争取下，微软在Windows Vista中加入了一个新的安全功能：“可以被替换的底层加密算法”。用户可以很方便地加入自己的加密算法，以替换系统自带的加密模块。把控制权交到用户手里，这应该是一大进步了。

原文：信息泄漏防范的市场数据

前两篇关于网络钓鱼的帖子，主要讨论了钓鱼的手段和防范措施。那么，到底是谁在钓鱼呢？这个问题好像是不言自明的，当然是想借此牟利的坏人啦。且慢，今天看到国外的 一篇文章，竟然说银行也有钓鱼的嫌疑了，哈哈，假作真时真亦假，无为有处有还无。

作者说有一天他在外面想上网登录网上银行，但是忘了密码。于是他就给银行打了电话。银行问了他如下信息后就把密码告诉他了：1）姓名 2）账号和户名 3）住址 4）身份证号 5）生日。这些信息在某种程度上都是公开的，这样拿到密码也太容易了吧。

接下来发生的事更有意思。他回到家以后，有银行的人打来电话，说有个关于他账户的问题要和他商量，不过要先问他一些个人信息，以便“保护他”以及“确认他的身份”。这个场景是不是有点儿熟悉呀。好像网上钓鱼的人也是这么说的啊。先说你的账号有问题，让你回答一些私人信息，然后再激活账号。怎么银行也用同样的方式啊。因为有这个怀疑，作者又打了银行的客服电话，询问自己的账户是否有问题。银行职员又问了一遍他的个人信息，如姓名、社会安全号、生日、母亲的姓等等可以轻易获得的公开信息。然后告诉他，他的账户没有什么问题。他的疑心更重了，干脆到家附近常去的分行，在那里银行职员看了他带照片的身份证明后，告诉他账户是有个小问题。看来打到家里的电话确实是从银行打来的。

从这件事情看出来，银行在验证用户身份的流程上存在问题，给用户的感觉和网络钓鱼很相似，以至于引起了用户的误会。而且身份验证所要求的信息都是能够公开得到的，这也是一个安全漏洞。看来需要解决安全问题、优化工作流程。这个就不单是技术问题了。

有朋友看了钓鱼新法问我，那怎么样避免被钓鱼啊？于是我又解释了一遍。后来一想，干脆趁此机会把网上钓鱼的相关信息整理一下，作为信息安全意识系列的第一篇。希望能对看过的朋友有所帮助，避免成为下一个受害者。

其实，所有防范措施，归根结底一句话：看好你的钱包。

先看看钱包里有什么东西， 以及相应的网上信息：

1. 银行卡：银行账号、相应的密码、开户银行
2. 信用卡：信用卡号、验证码、发卡行
3. 身份证：身份证号、姓名、性别、生日
4. 家庭照片：个人及家庭信息，如电话号码，家庭住址
5. 钱：网上银行的存款、网上支付帐户的余额、网络游戏的装备、点卡
6. 各种会员卡： 你的社会关系、朋友圈、联系方式等

现在网络钓鱼的手法越来越多，但他们最终的目的，就是要窃取用户钱包里的以上各种信息，以非法获利。作为个人，我们要记住的就是，不管是在网上（网站、电子邮件、即时通信如QQ、MSN、POPO等）还是网下（电话、短信），不要轻易透露以上信息，一定要验证这些信息的接收方是否可信，信息传递的渠道是否安全。

常用的防范措施有：

1. 网上支付最好选用网银USB Key证书，这是目前最安全可靠的身份认证技术。只用网银账号和密码认证身份是不安全的。
2. 在判断真伪以及可信性之前，不要点击邮件或即时通信（QQ、MSN、POPO等）中的链接，以免被带到钓鱼网站，或者被注入病毒。判断的方式最好是拨打银行公开的客户服务电话， 而不是邮件或短信中提供的电话。
3. 安装正版的防病毒、防火墙、防钓鱼软件，并保持更新。
4. 经常检查自己的银行和信用卡帐户，核对交易记录以检查是否有异常交易。

更多的相关信息可以在这里找到：

[1]  中国金融认证中心代表15家银行郑重声明网银USB Key证书安全可靠

[2]  国家计算机病毒应急处理中心“网络钓鱼(Phishing)”专题

[3]  网络钓鱼作案手法

[4]  五种“网络钓鱼”实例解析及防范

[5]  国际上的“Anti-Phishing Working Group"

两年前曾经总结过网上渔夫们的钓鱼技巧（Phishing Attacks），无外乎发个冒名邮件，把用户误导到一个钓鱼网站上，设法窃取个人信息。这两天发现世易时移，渔夫们又有新招了。知道鱼儿们现在都怕了网站了，轻易不漏个人信息。现在网上多危险哪，什么木马间谍、流氓软件，一群一群的。想让我输入密码？没门儿。好，那就给你个客服电话，赶紧打电话激活你的账号，再晚了就不能用了。鱼儿就想了，电话这东西还是牢靠阿，你总不能在电话线上安个木马吧。好吧，电话里要什么给什么，直接和银行打交道还是安全那。且慢，这是银行的电话吗？原来不是，这回用的是目前流行的网络电话（VoIP）。 一台PC，一个电话号码，一个和银行一模一样的电话应答系统，成了，等着收帐号密码吧。这才真是姜太公钓鱼、愿者上钩。

相关新闻