小心隔牆有耳

在公用電腦或公司內部網路上網時,千萬小心資料外洩。

今天某同事請我有空時幫她清滑鼠滾輪(一次幫她弄過,技術受到好評),然後就順便閒聊啊,她就問我一個問題說,像我們這種在公司上網,打的資料是否可能被偷看。

答案當然是肯定的。

網路的封包走廣播式(broadcast),傳輸資料方把封包一扔,接收方把要的封包拿走,同網段的其他機器則是把不屬於它的封包略過。這樣做當然是取射後不理的效率優勢,可是如果有一台機器不懷好意或別有用心(不一定是壞目的,也有可能是頡取封包看有沒有worm在流竄),把會經過的封包一律抓去看,別人在做什麼就被看光了。理論上同一網段的機器都可以聽得到別人在做什麼,很多年前在大學宿網也有些人以偷看隔壁寢的人和異性網友聊天為樂。

現在比以前好多了,switch價格下降,網路配置上可以盡量使用可以傳遞封包到指定port的switch,而非陽春型維持廣播亂打的hub,被偷聽的可能性就大大降低。在沒設限前只要同一個C class就可以亂聽,多配幾組switches的話只有在發話端(或接收端)到switch中間這一段有被竊聽的危險。如果嫌錢太多大手筆一點,每台機器的網路線都獨立插一個port的話,上網聊天就不用怕被隔壁同事看光對話內容。但除非是新鋪線路,不然以只打算由原有佈線慢慢轉移到無線網路的單位來講,可能以同一塊六七台電腦一個hub串起來再去連switch,使用者還是可能被隔壁鄰居偷聽,但這只要叫他們平常要做好公關不要跟鄰居結仇就好了XD

當然,對使用者來講,最應該有的觀念就是「不要在公用電腦或公共網路之類的地方輸入機密資訊」。資訊的機密重要程度取決於使用者的主觀認定,但我想像信用卡資料這種東西絕對不會有人認為被偷走也無妨吧。就我的看法,教導使用者太多關於保護自己資料不被偷聽的概念,不如告訴他們「你在公司或公共場合輸入的資料都可能被竊聽,有些被竊聽會很嚴重的資訊你不要在外頭輸入」,所以像網路刷卡繳費啊、網路銀行之類的,如果行的話盡量在自個家電腦操作。

這不也是一種讓員工可以盡量不花時間在上網做私人事情的方法?XD

那在家裡用就一定安全嗎?當然不可能,也有人在家裡裝無線網路卻沒在AP設限,結果被人家在隔壁樓屋頂連線入侵內部網路偷資料的。但基本上,就如同要偷某特定人士的家一定要先知道住址一樣,要入侵特定人士的機器也一定要知道他連線的IP。以現今大部份人使用浮動IP的現實情況下,只要你這個帳號是只在家裡電腦登入,除了跟你同用一條線路的室友外,其他有心人怎麼可能偷聽得到你的帳號密碼?這種家裡機器最可能遭受的攻擊是被掃網段發動的攻擊,程式從該網段第一台電腦一路掃下來,發現有漏洞就入侵偷資料植木馬。可是攻擊目標是亂槍打鳥,並非特定對象,就算被攻擊成功給人家偷走你的hotmail帳號密碼又怎樣?攻擊者又不知道你是何方神聖,拿到你的密碼能幹啥壞事?

除非被偷的是你的信用卡資訊以外。

使用者帳號密碼會被幹,通常還是自己不小心,在公共場合打了這些資料被有心人盜走。只要使用者留意不在公共場合登入重要帳號或輸入機密資訊,在自家上網再怎麼說被偷聽的可能性極微(且對想偷聽的人成本高很多),可以在不需教育使用者加密或擋木馬這些進階概念的前提下將風險降到最低。

雖然跟同事講實話會搞的人心惶惶,但現在網路發達,基本保護自己手段還是要知道啊。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。