黑客講述真實經(jīng)歷：我如何侵入醫(yī)院的計算機(jī)

最近我侵入了一臺醫(yī)院的計算機(jī)的系統(tǒng)中。雖然不能更改系統(tǒng)設(shè)置、不能修改門診記錄，當(dāng)然我也不能侵入五角大樓或者發(fā)射核導(dǎo)彈，但是我確實能夠從未授權(quán)的終端發(fā)送和接收電子郵件、上網(wǎng)并且隨意瀏覽醫(yī)院官方的文件。我的經(jīng)歷可以讓你注意防范一些簡單、低技術(shù)含量以及常識性的攻擊。
    當(dāng)時是在某天晚上，我的朋友剛在中西部教育醫(yī)院做了一次外科手術(shù)。院方稱我需要在等候區(qū)等2到3個小時。等候區(qū)里的雜志太舊了，我就在空曠昏暗的走廊里到處溜達(dá)、打發(fā)時間。醫(yī)院向病人提供免費網(wǎng)絡(luò)，因此我就向護(hù)士打聽有公用機(jī)器上網(wǎng)的地方。她給我大致指了個方向。
    我發(fā)現(xiàn)一個桌子上有些小的紅綠燈，那邊有一間沒人的、有臺工作站的小房間。我走進(jìn)去看了看。沒有人阻止我進(jìn)入。可能院方認(rèn)為這間房子白天人來人往的沒有人會隨便進(jìn)去，但是現(xiàn)在所有東西都暴露在那里隨意供我取用。
    提示：下班時也應(yīng)注意物理安全。將所有的門都應(yīng)該鎖好。
    我動了動鍵盤。哇！看到操作系統(tǒng)了。根本沒有什么有密碼保護(hù)的屏保程序或者使用提示以及需要認(rèn)證的警示屏幕。
    桌面有個打開的文本文檔。它只是個每周日程表，但是在其他狀態(tài)它也有可能是保密報告。由于用戶仍然是登陸狀態(tài)的，任何路過的人可以復(fù)制、修改或者保存該文件。
    提示：設(shè)置自動的會話超時操作。
    開始按鈕的功能只是部分禁止的——一些程序無法啟動。但是一些本地程序仍然可以使用。IE圖標(biāo)被改了名字，但是我很容易就識別出來了。
    于是我點擊并啟動了瀏覽器。網(wǎng)絡(luò)就任我隨意使用。
    好吧，其實網(wǎng)絡(luò)差不多是供我隨意使用了。醫(yī)院的系統(tǒng)組攔截了一些站點。我嘗試幾次后，就明白了它攔截的規(guī)律。他們攔截了所有.com .org域名的站點，但是沒有屏蔽.edu域的站點。我不能訪問1-800-flowers.com但是我能訪問幾乎所有的學(xué)?；虼髮W(xué)的網(wǎng)站。（這里我就有個有趣的問題了：醫(yī)院如何能屏蔽合法用戶訪問.org域呢？難道他們不想讓員工訪問像美國醫(yī)學(xué)聯(lián)盟和醫(yī)學(xué)鑒定處這樣的醫(yī)療組織嗎？）
    我有很多學(xué)校的郵箱帳戶。我查看了一個學(xué)校郵箱的郵件并用另一個郵箱發(fā)送了電子郵件。我可以查看學(xué)生名單，在線申請大學(xué)的職位或者預(yù)約圖書館的書籍。有些站點通過下載并安裝的JAVA小控件來提供安全殼功能。如果我訪問了這些站點，我肯定能夠遠(yuǎn)程連接到我的服務(wù)器，并利用它繞過屏蔽障礙。
    提示：在下班后禁止下載和安裝功能。
    該工作站連有一臺打印機(jī)，這就給人搞惡作劇和浪費資源提供了機(jī)會。簡單的巡邏警衛(wèi)就可以發(fā)現(xiàn)敲鍵盤或者打印機(jī)的異常響動。但實際上只有一個清掃的人經(jīng)過，而他根本沒有注意到我。毫無疑問，他以為我就是那里的員工，正在加班。
    提示：跟耳目有關(guān)的安全問題。
    醫(yī)院IT系統(tǒng)組采取了鎖定他們計算機(jī)的措施，但是有太多漏洞讓我可以輕易通過。我從當(dāng)前的系統(tǒng)退出，這樣其他人不會對醫(yī)院造成損失，然后我安靜地離開。前臺的職員在我出去的時候根本沒有問我要訪客通行證。
    你的站點也會發(fā)生這樣的事情嗎？也許。但是如果辦公室的門鎖好了，沒有人能訪問工作站。如果系統(tǒng)有密碼保護(hù)的屏保程序，那么別人就看不到桌面和文件。如果用戶自動退出登錄了，那么別人就無法啟動本地程序。等等諸如此類的。
    提醒：簡單、低技術(shù)、常識性的預(yù)防措施就能防止安全泄露問題。