看電郵和寫電郵已成了我日常通訊的一部份,每天都佔去不少時間。電郵的方便是一百分,但私隱保護大概不夠十分,所以我寫電郵一般極其謹慎,看完NeilBarrett《TracesofGuilt》講述他如何從一張公司名片成功入侵該公司的整個電腦系統之後,更加深了我這個想法。
他的手法是先從公司名片找到有用的資料,其中一項就是名片主人的電郵地址和公司網站。他馬上上網,再發現了更多的電郵地址,增加他對這個公司系統大概情況的了解。其中一個電郵地址是人事部求職電郵信箱。他於是按地址發了一個電郵給人事部。
據他所述,這個電郵有兩個目標。其中一項是暗中送載一隻「屠城木馬」,即是表面吸引,但暗藏刀槍的一些內容,這隻「木馬」一旦進入了對方的系統,裏面的「人馬」就會傾巢而出,四面打探系統的詳細內容。其二就是從回覆的電郵郵件的起首部份資料,得到發出答覆的電腦的地址、網絡、接駁等詳情,從而猜測到該公司其他電腦的地址。他說,大部份人不重視電腦保安,甚至password都定得十分隨便,不費吹灰之力就可以猜到。他建議用電腦、電郵的人做同樣的實驗,假想自己是黑客,試圖入侵自己的系統,就會發現許多需要堵塞的漏洞。
當然,此人是高手,他做到的不等於其他人也可以做到,但是他打的比喻很貼切,就是將電腦罪犯比作試圖爆竊賊:正如爆竊賊會到處察看甚麼住宅或商店的門窗是否緊鎖、是否防盜嚴密、是否有值得竊取的財物,電腦罪犯也會試測每個有值錢資料的系統的安全。防範勝於治療,若大開門禁,就要確保裏面沒有值得盜竊之物。