整件事的起源應該是澳洲 ZDNet 的一篇報導:Mac OS X hacked under 30 minutes,中文版可見:30分鐘 即可破解Mac OS X。
基本上還蠻搞笑的,這篇報導把 Mac OS X 的安全性形容的不堪一擊,卻沒有提到那台 Mac mini 的主人提供了每個想試試的人 SSH 的登入帳號…
有 登入帳號的差異何在?基本上,除非只是單純的阻斷式攻擊,其他的 crack 方式都需要系統上的帳號 - 畢竟你要登入這個系統才能執行工作。因此防護系統的第一步就是不要讓別人猜到你有那些帳號在系統內;其次,假如帳號名稱已經被猜到了,密碼也不要取太簡單的,因為對方一旦進入系統,內賊難防,系統很容易就會被攻陷。至於像這位仁兄主動提供帳號密碼給公眾,就像是牛仔決鬥時請對方不要轉身而且先把槍拔出來瞄準一樣 - 除非對方是瞎子才會輸。
不過鬧劇總是會惹來訕笑,美國威斯康辛大學的人決定用正常一點的方式接受挑戰,一樣使用 Mac mini,除了升級到最新的系統並開啟 SSH 及 HTTP 之外,其餘跟預設值沒有兩樣。結果除了短暫的 DOS 之外,系統安然無恙。
不過分析一下攻擊方式,還是最基本的掃描 port、字典攻擊法等等,看來現在連夠格的 cracker 都不多了啊…
最後要挖苦一下澳洲 ZDNet 的記者,怎麼跟台灣記者的水準越來越接近了?OSX.Inqtana.A 跟 OSX.Leap.A 都擺明了是蠕蟲,怎麼會說它們是 viruses 呢?至於 hacker、cracker 不分,我倒是沒有什麼期待…
至於中文翻譯的謬誤,我只能說沒有期望就不會有失望。