近日,美國佛羅里達國際大學對外通報了一項嚴重違紀事件:該校兩名在校學生及一名已畢業校友透過黑客攻擊的方式成功登入教授郵箱,竊取考試試題,並以150美圓的價格對外出售試題答案。
資訊安全專家警告說,近年來,類似的事件在美國高校層出不窮。高校往往將主要精力用於增強防火牆功能,以抵禦來自學校外部的黑客攻擊。如今,來自校園網內部的黑客攻擊事件呈增多趨勢,需要得到重視。
通常來說,安全漏洞可以透過一些簡單常見的方法來避免,例如設定一個較爲複雜的密碼。然而,Trustwav(面向企業和公共部門提供資訊安全性與遵規性管理解決方案的全球性供應商)最近對電子郵箱、谷歌(Google)、臉書(Facebook)等網站用戶密碼的一項調查發現,超過3/4的用戶密碼安全等級在中等及以下,更匪夷所思的是,大約16000個帳戶的密碼爲“1234”“123456”等極其簡單的密碼組合。
然而,設定複雜密碼並不能完全抵禦黑客的攻擊。即便設定包含各種大寫字母和數字的複雜密碼,黑客也可以透過鍵盤記錄器來記錄你的按鍵動作,以獲得你在各類網站的用戶名、密碼和信用卡資訊。
據悉,鍵盤記錄器分爲基於硬件和基於軟件兩種形式,基於軟件的鍵盤記錄器在攻擊用戶郵箱時容易被校園網安全設備發現,而基於硬件的物理鍵盤記錄器則能輕而易舉地逃過校園網安全設備的法眼。美國普度大學首席資訊安全官大衛·肖說,老式物理鍵盤記錄器是簡單連接電腦和鍵盤之間的塑料設備,然而今年,普度大學工程專業的一名學生將一種新式的鍵盤記錄器安裝在教授的電腦鍵盤上,並透過鍵盤記錄器獲得資訊,篡改了超過20%的學生的成績。
大衛·肖認爲此類事件難以擁有完美的解決方案,因爲學校並不能阻止學生出入教師辦公室及其他地方。類似的事件讓美國不少高校負責人頭疼不已,去年在伊利諾伊大學厄巴納-尚佩恩分校發生學生兜售考試答案事件,調查組發現不少實驗室的鍵盤上都被安裝了擊鍵記錄程序。
爲此,美國一些高校的資訊安全官提出了一系列解決方案。例如,普度大學正在考慮啓動對全校鍵盤逐一進行檢測的方案,因爲鍵盤記錄器在記錄數據時會有發熱現象,在紅外線的照射下,裝置了鍵盤記錄器的鍵盤會無所遁形,同時,在Windows註冊表中可以找到使用過鍵盤記錄器的痕跡。除此以外,增加驗證步驟也成爲抵禦內網黑客攻擊的重要措施,即在登入時除了輸入密碼以外,用戶還需輸入一個隨時間變化的隨機密碼。
然而,布蘭迪斯大學首席資訊安全官冦恩認爲,世上沒有什麼靈丹妙藥可以完全抵禦內網黑客攻擊,因爲學生黑客的智慧是無止境的,且黑客攻擊畢竟只是例外而非常態,學校不可能爲了黑客攻擊事件而大幅度調整常態的工作方式。