手機軟體還是要小心使用為妙

今天看到Cnet的一則報導，標題為：US-CERT warns about free BlackBerry spyware app，

大意是美國電腦危機回應小組提出警告，有些免費的黑莓機軟體可能會是間諜軟體，允許別人遠端竊聽你的手機對話。

眼見現在iPhone、Smart Phone、Antroid手機到處沸沸揚揚，我想以後這應該是駭客活動的主要戰場吧，安全軟體廠商可以趕快搶攻這塊處女地囉!

又有教會網站被駭！

這次受害的是「中華基督教木柵便以利教會」，受害的網址連結在此。

比較值得注意的是，這次受害的是Linux主機，這點倒是挺耐人尋味的，一般說來，Linux上的主機弱點比較少，所以從Linux系統上取得特殊權限是有難度的。

由於沒有該主機的Log，所以這邊只能瞎猜駭客得逞的手法。

加上今天看到以下兩個報導：Researchers See Gumblar Attacks Surge Again，意思是Gumblar這個專門搞別人網站的攻擊手法似乎又捲土重來。

http://blogs.iss.net/archive/GumblarReloaded.html

http://www.pcworld.com/businesscenter/article/173954/researchers_see_gumblar_attacks_surge_again.html

所以我的第一個猜想，就是負責管理該網站的人員，他的電腦開啟了夾帶惡意連結或程式的Adobe檔案（PDF、Flash），然後被植入木馬，被竊走FTP的帳號密碼。於是，駭客便可以利用這個帳號密碼，透過SSH、FTP，將不當的資料放到網站當中。

第二個猜想，就是原來教會的網站有輸入資料的欄位，處理輸入欄位資料的網頁程式可能有SQL Injection的問題，於是被入侵破壞。

總之，教會網站是連結弟兄妹的一個重要位置，希望教會的弟兄姊妹都能重視資訊安全的問題，避免類似的事再度發生，特別是負責網站的同工。

難得來寫個跟資安無關的東西，今天介紹的是一套做資料庫設計的工具: Mysql Workbrench

這個工具可以幫助你設計資料庫，製作ER圖。甚至可以連到MySQL的資料庫，幫你把已經存在的資料庫（資料表）做反向工程，讓你得知已存在資料庫內的各個欄位屬性。

最重要的是這套軟體：免費！

雖然介面是英文的，一開始以為輸入中文字有bug顯示不出來，結果是字型的設定問題，請先選擇【Tools】->【Preferences...】

然後在【Appearance】頁籤中將Font字型改成：MINGLIU，這樣你輸入中文字才能比較正確的顯示出來。（這代表還是有地方中文字只會出現方框）

暴風影音的軟體不要用！

看到這篇報導，內容大致是說，發生在今年5月19號中國大陸的大斷網事件，罪魁禍首是暴風影音的軟體，藏有不當的程式，會透過已安裝的用戶電腦，幫暴風影音公司去自動點擊廣告來欺騙廣告商的費用，所以，當解析暴風影音的廣告伺服器DNS出了問題時，由於使用者數量實在龐大，便形成另類的DDOS攻擊，在當時造成網路大癱瘓。形成一個網路上的大「暴風」。

如果該篇報導的內容屬實，更可惡的事情還在後頭，就是該公司後來宣稱新版的軟體內已修復造成問題的程式，但經過反組譯後，卻發現根本是在說謊！

這種沒有誠信的公司所作出來的山寨軟體，奉勸各位避免使用為妙，網路上還有K-lite系列的Codec可以用！