近日,美国佛罗里达国际大学对外通报了一项严重违纪事件:该校两名在校学生及一名已毕业校友通过黑客攻击的方式成功登录教授邮箱,窃取考试试题,并以150美圆的价格对外出售试题答案。
信息安全专家警告说,近年来,类似的事件在美国高校层出不穷。高校往往将主要精力用于增强防火墙功能,以抵御来自学校外部的黑客攻击。如今,来自校园网内部的黑客攻击事件呈增多趋势,需要得到重视。
通常来说,安全漏洞可以通过一些简单常见的方法来避免,例如设置一个较为复杂的密码。然而,Trustwav(面向企业和公共部门提供信息安全性与遵规性管理解决方案的全球性供应商)最近对电子邮箱、谷歌(Google)、脸书(Facebook)等网站用户密码的一项调查发现,超过3/4的用户密码安全等级在中等及以下,更匪夷所思的是,大约16000个账户的密码为“1234”“123456”等极其简单的密码组合。
然而,设置复杂密码并不能完全抵御黑客的攻击。即便设置包含各种大写字母和数字的复杂密码,黑客也可以通过键盘记录器来记录你的按键动作,以获得你在各类网站的用户名、密码和信用卡信息。
据悉,键盘记录器分为基于硬件和基于软件两种形式,基于软件的键盘记录器在攻击用户邮箱时容易被校园网安全设备发现,而基于硬件的物理键盘记录器则能轻而易举地逃过校园网安全设备的法眼。美国普度大学首席信息安全官大卫·肖说,老式物理键盘记录器是简单连接电脑和键盘之间的塑料设备,然而今年,普度大学工程专业的一名学生将一种新式的键盘记录器安装在教授的电脑键盘上,并通过键盘记录器获得信息,篡改了超过20%的学生的成绩。
大卫·肖认为此类事件难以拥有完美的解决方案,因为学校并不能阻止学生出入教师办公室及其他地方。类似的事件让美国不少高校负责人头疼不已,去年在伊利诺伊大学厄巴纳-尚佩恩分校发生学生兜售考试答案事件,调查组发现不少实验室的键盘上都被安装了击键记录程序。
为此,美国一些高校的信息安全官提出了一系列解决方案。例如,普度大学正在考虑启动对全校键盘逐一进行检测的方案,因为键盘记录器在记录数据时会有发热现象,在红外线的照射下,装置了键盘记录器的键盘会无所遁形,同时,在Windows注册表中可以找到使用过键盘记录器的痕迹。除此以外,增加验证步骤也成为抵御内网黑客攻击的重要措施,即在登录时除了输入密码以外,用户还需输入一个随时间变化的随机密码。
然而,布兰迪斯大学首席信息安全官冦恩认为,世上没有什么灵丹妙药可以完全抵御内网黑客攻击,因为学生黑客的智慧是无止境的,且黑客攻击毕竟只是例外而非常态,学校不可能为了黑客攻击事件而大幅度调整常态的工作方式。