这次去北京参加XCon,中国信息安全焦点会议,路上在汉城转机。汉城的商务舱休息室里面,有4台计算机给大家提供上网服务。我看到许多人在上面查看自己的电子邮件,如Gmail。其中还有一位老兄通过OWA(Outlook Web Access)查看公司的电子邮件。
出于好奇,当一台机器空闲的时候,我想去查看一下它的安全设置状况,例如是否打开了防火墙,是否设置了自动更新。
不过,还没有来得及查看这些配置,我第一个注意的是当前运行的用户帐号。我原先估计,因为是提供给公众使用的,那么,公众使用的自然肯定是一个普通用户帐号,不应该能做什么敏感操作。
结果,我发现每个人使用的帐号,直接是本地的系统管理员帐号(local administrator)。 也就是说,我可以想干任何事情。系统的CD,USB接口都是完全有效的,想要安装一个记录键盘的软件(key logger),来窃取其它用户的邮件登录密码,是举手之劳。如果有人像那位老兄直接通过OWA访问公司邮件的话,那获得的信息就足以侵入一个公司的内部网络了。
如果你需要在任何的公共场合的计算机访问个人或敏感的信息,例如,你的个人邮件,都需要注意以下两点:
如果任何一个条件不能满足,那么你就不应该继续下去。例如,对于街上一台网吧的机器,对我来说,第一个条件不满足,打打游戏可以,其它就最好别做了。对于汉城机场休息室的机器,虽然满足第一个条件,但是它的安全设定导致任何一个使用者都可以随意修改,安装系统软件,那么,我又能如何信赖我的个人信息不被窃取呢?