2012-11-15

POPO原創DarkFrameMaster白帽駭客事件

這幾天POPO上突然很多人的留言板被封鎖,瀏覽時還會跳出一個「確認密碼」的對話框,那個是釣魚用的,POPO原創被黑了。(而且有用Inspector去看的話,會發現他會request帳號settings頁,明明就是釣魚居然還很假掰的驗證你的密碼)

POPO原創被搞到停站了
這事件其實我還蠻高興的,因為這會讓全台灣成千上萬的網站當中,至少有一個,安全性提昇了,而且沒什麼人有重大損失(除了站方損失了幾天的營收,但這是應當的,後面會提到)。

但留言板上很多end users在戰駭客,很多心態都讓我冷汗直流,我看到兩個「故事」,大意是這樣的:

有個國家一直都夜不閉戶,但有一天起,開始許多住戶遭竊,搞得人心惶惶,只好上鎖,這到底是誰的問題呢?

另一個故事在這裡,大意是說:

有人破解了門鎖,還在在你家撂話記得要換鎖,不然下次把你家偷光

你認同嗎?如果你認同,最好繼續看下去,因為這想法是錯的,而且間接傷害了台灣軟體業

這兩個比喻都不太正中這次事件,首先第一個故事,最有問題的是,舉例來說,台灣好了,你晚上睡覺也是會鎖門,為什麼現實中你會鎖門,網路上就不覺得需要這麼做呢?

第二個比喻更扯,因為這次事件的手法,說是「破解」不太恰當,而是「門鎖」根本就不存在!

end user用「你已經違反法律了」來嚇阻駭客,是很奇怪的,網站就像一棟大樓,users是住戶,如果這棟大樓保全系統很爛、管理員沒在管,導致有住戶的東西(創作心血)被竊取或破壞,難道大樓保全不會被責怪嗎?在台灣應該是,住戶會把管理員告到脫褲子吧,為什麼在網路上就不一樣呢?

是的,入侵民房是錯的,是犯法的,但不表示大樓管理員就可以不用管、門鎖不用裝。同樣的道理在網站資安也一樣。


然後ptt上也有人發表看法

很多時候沒有做好資安防護並不是工程師沒能力,而是上面的管理者罵你「做什麼系統安全啦!畫面趕快做漂亮一點啦!趕快交貨啦!」

這點在這次事件的駭客宣言投影片裡也有提到。

工程師悲歌啊!


於是漏洞就變成公司很大的成本,不擋html tag,這就是沒鎖門,被入侵,停站了,這不正是自作孽嗎?



而且這種入侵真是超客氣的,用現實的比喻大概就是:

你老是不鎖門,房子裡又有很值錢的東西,很多人都知道,但有個好心人進來貼一張紙條在收音機上提醒你,結果你只把收音機藏起來而已,門還是不鎖,於是他只好改貼在電視上,然後也沒偷東西就離開了。你頂多看電視不方便一下(看完宣言投影片就可以繼續使用正常功能)

下次搞不好就有很狠的駭客進來,這種白帽駭客的行為正是最棒的疫苗啊!(疫苗:提煉自病毒的特殊製劑,讓你可以產生抵抗該病毒的抗體)



所以,使用者們,別再罵白帽駭客了,還有,不要把密碼寫在post-it貼在螢幕上,密碼也不要用123456之類的太簡單密碼。講是這樣講,但大部分人還是不會改變吧,台灣電腦病毒率站上世界第一,不是站假的。


補言:熊熊想到,就我所知,POPO原創應該是用ruby on rails,這個framework明明預設就有擋html tag,該不會是刻意打開的吧?那就更扯了,就像故意把家裡的鎖拆掉一樣。

2013-02-20 補言:

因為上新聞了,這件事情又開始有些討論,所以我順便補個想法。

看到這種明顯的漏洞,應該:
  1. 什麼都不做 → 導致該站遲早遭受毀滅性的打擊
  2. 與站方私下溝通 → 已經寫4次信、超過萬字,還是什麼都沒發生,顯然此路不通
  3. 寫文揭發,但不打擊 → 導致加速該站受到毀滅性打擊
  4. 親自提醒性的打擊 → 駭客被處罰,該站修正漏洞
  5. 親自毀滅性的打擊 → 駭客被抓去關,該站修正漏洞

看到有人不斷進行找死的行為,你知道這個行為的危險性、你具有制止他的能力,你卻什麼都不做,看著他進入毀滅的結局,這真的比較正確嗎?

並不表示駭客的行為是正確的,但是我再問一次:眼爭爭看人找死,真的就比較正確嗎?我的答案是「否」。

在沒有更好且有效的選項之下,這個行為可稱作減害。(eg. 吸毒共用針頭導致愛滋病問題嚴重,因此政府免費發放乾淨針頭,這個方式不完美,但的確減少愛滋病傳染,你說這行為對不對?)

但沒有人拿槍逼你去進行這件事,所以又有個人選擇的問題(就是有人願意用負擔法律責任,來換取對方立刻網站修正漏洞),總之這件事情很複雜,兩方都各自有問題,但我認為不見棺材不封html的站真的問題太大了,所以該站被檢察官打臉也就不意外了。(打臉來源


順帶一提,之前看到一篇關於資料庫的密碼加密的討論,請務必觀賞:奇文共賞

朋友表示:難怪我們工程師的薪水這麼低

6 comments:

  1. 就我了解。Rails 3.0 才預設 html escape。
    而 popo 我印象沒錯的話,應該是 2.3.2....

    你知道的,歲月啊....

    ReplyDelete
  2. 在台灣,最好的辦法就是"什麼都不做 → 導致該站遲早遭受毀滅性的打擊",避免換自己被告到脫褲,幫助改善了又如何?有人會感謝你嗎?沒有!!

    ReplyDelete
    Replies
    1. 無奈~ 但有人就是願意被告一告來換取對方立刻網站修正漏洞,也管不了他啊XD

      道德衝突的問題(eg. 兩個壞的必須擇一)不是國中數學,沒有標準答案。說不定現在做的一些犯法行為,在未來會變成常識。

      Delete
    2. 希望那些人可以堅持自己的理念,也順便來我的網站逛逛XD ((被巴
      我只希望在軟體產業已死的台灣不要也出現像 Aaron Swartz 這種悲劇了 ((嘆

      Delete