隨著行動設備的大量普以及隨時隨地上網的人數越來越多,地理位置資訊的應用也越來越熱門。雖然這類資訊可能讓個人的行蹤被其他人一覽無遺,但是因為這些資訊的開放大多是屬於使用者自行所決定,所以反對份子所能夠持有的立場往往顯得較為薄弱,對於一般人而言也還不致於造成過多的擔憂。但是,如果這類資訊的開放並不是使用者自願的,甚至是在使用者不知情的情況下所發生,結果或許就會有很大的轉變。
Samy Kamkar 在他自己的網站上發表了一個概念驗證的手法,他利用路由器的漏洞取得用戶端電腦的網卡卡號,然後再使用 Firefox Location-Aware Browsing 的功能,就可以在不知不覺的情況下取得使用者所在的位置。不過他的範例只針對特定的路由器才有作用,所以對於一般人倒是還沒有立即的危害。只是取得網卡卡號並不是只有一種方法,所以其所可能衍生的問題依舊不可小覷。
ReDoS? 可不是再次的阻斷服務攻擊 (Re-DoS),而是正規表示式阻斷服務攻擊 (Regular Expression DoS),是阻斷服務攻擊的一種手法。對於一般的程式開發,雖然不見得常使用到正規表示式的應用,但是正規表示式卻常見於各式各樣的過濾器上。所以像是網站應用程式的輸入檢查、快取伺服器或其他類型閘道器的存取過濾功能,通常都有正規表示式的存在。
正規表示式最基本的應用就是用來尋找資料中是否含有特定樣式的內容,例如我們可以透過正規表示式來判斷一個文字檔內是否含有手機號碼,而判斷條件就是以0為開頭的連續10個數字 (這個條件可能不適合用來找出所有可能的手機號碼,但是無損於說明性)。也因此正規表示式的應用至少含有兩個部分,一個就是用來當做搜尋的樣式 (Pattern,通常這部份也稱為正規表示式),以前述的例子而言就是”以0為開頭的連續10個數字”。另外一部分則是用來被搜尋的輸入目標,以前述的例子而言就是文字檔的內容。而正規表示式阻斷服務攻擊發生在利用某些樣式進行搜尋時將有可能會產生大量消耗運算資源的情況,因而使得系統無法處理其他的請求。這也是它為什麼被稱為阻斷服務攻擊的原因了。
資訊安全專家 Bruce Schneier 日前在他個人的部落格發表了一篇文章,提到了一個可以用來分析電話來源的小工具 - PinDr0p。根據部落格的內容指出,這個工具雖然沒有辦法分辨出電話來源的所在區域或 IP 位址,但是它可以用來判斷不同的電話之間是否來自同一個所在地。也就是說如果該程式知道你日常往來銀行客服電話的特徵,那麼它就可以判斷出日後宣稱來自該銀行的電話是否符合之前的特徵,也就是說它可以避免使用者接到由其他地方發出的詐騙電話而不自知。雖然 Bruce Schneier 宣稱每一個電話來源只要經過 5 次的取樣就可以達到日後 100% 的準確率,但是如何轉換成為可行的系統,而且在實際的環境下又能有多好的成效,就讓我們拭目以待吧。
