為什麼智慧合約好像很容易被駭 ?

See More

如果你和阿舍一樣，有在寫程式的話，看到智慧合約(Smart Contract)的程式碼後，可能也會和阿舍開始接觸智慧合約時的想法差不多，就覺得這程式碼看起來沒那麼難，而且，網路上有一堆的範例和各大知名智慧合約的程式碼可供參考(很多大的 Web3 服務都有開放原始程式碼)，因此，對於稍有些程式開發經驗的人來說，要學會和寫支智慧合約並不難，不過，這種真的真的略懂略懂的狀況，就是陷阱的所在了 ...😱

OpenVAS 掃瞄多部電腦

阿舍上次有介紹如何在 Ubuntu 安裝 OpenVAS 這個安全漏洞掃瞄軟體 ，不過，那個時候只有說明如何掃瞄有安裝 OpenVAS 的那台電腦，並沒有提到如何對其它電腦進行掃瞄，但是，在實務上，當然是只安裝一台 OpenVAS 來掃瞄所有需要保護的電腦囉 !  所以，這次阿舍就要來說明如何用  OpenVAS 掃瞄多台電腦哩 !

新增 Target

Ubuntu 清除歷史記錄和最近的檔案

不管是 Widnows 還是 Ubuntu，阿舍幾乎都沒有用「最近的檔案」這個功能，也許有人覺得很好用，不過，阿舍倒是覺得很麻煩，因為，阿舍一點都不想讓人家知道最近都在開些什麼檔案 (因為，阿舍都在幹些見不得人的事，喔 ! 不是啦 ! 只是總覺得這樣不安全哩 !)，不論是借給別人的電腦或借別人的電腦，只要一點，就一目了然，尤其是 Unity，在 Dash 還有預覽圖哩 ! OMG ！

Unity 的 Dash 會自動顯示最近檔案

Ubuntu 12.04 安裝 OpenVAS

不知道是不是想太多，阿舍總是會擔心電腦被人駭了而不自知，所以，阿舍是一定會把 ufw 這個防火牆啟用，並且，只要有更新就會安裝的，不過，阿舍會裝一些有的沒的軟體來用和來試，因此，如果裝到有漏洞的軟體，就很容易出問題的哩 ! 所以囉 ! 阿舍就想到，應該要安裝個安全漏洞掃瞄的軟體來用用哩 !

這個就是 OpenVAS 跑出的報表，再往下拉可以看到掃瞄結果的說明，同時，也可以下載檔案來看

你有多久沒有清除瀏覽器的 Cookie ?

現在的網站不使用Cookie來儲存客戶端的資料是很難的事，尤其是大家都已經習慣使用「記住我的帳號」的設定，所以，你帳號資訊都儲存在 Cookie，一旦有個網站沒有做好加密的動作，那麼只要有人裝有像 FireSheep這種東西，那麼就可以輕易取得你瀏覽器的裡的Cookie,進而能夠竊取到一些帳號資訊，所以，阿舍還是建議可以不要用就不用要「記住我的帳號」，不然，定期清除瀏覽器的Cookie，也是個好方法。

除了帳號的問題之外，再來就是不小心到了莫名的網立，然後就是被放入惡意的Cookie不自知，這一類的Cookie可能沒什麼立即的危害，只不過，你可能不小心幫別人賺了錢，或是成為瀏覽器使用習慣的追蹤對象，這些你都很難發現的。

所以，將瀏覽器設定成關閉就清除Cookie，或是定期清除Cookie，才能降低被利用的機會哩 !

美國國家弱點資料庫 ( National Vulnerability Database ) : 系統管理人員安全管理工具

美國國家弱點資料庫 (National Vulnerability Database) 是美國政府專門用來收集各種資訊系統安全漏洞和弱點資料的資料庫網站，同時，也是 SCAP ( Security Content Automation Protocol ) 的資料儲存庫，SCAP 是一種自動化系統安全和弱點管理、量測與政策相依性檢測的標準，經由 SCAP 驗證工具和 SCAP 資料儲存庫的合作，可以將公司系統的弱點管理達到一定程度的自動化，也就是說，只要有使用 SCAP 工具，就可以使用最新的 National Vulnerability Database 安全資料來做檢查哩 !

不過，阿舍不是要介紹 SCAP 的，而是要說國家弱點資料庫 ( National Vulnerability Database ) 怎麼用哩 !，如果，你不想花錢去買上面說的 SCAP 驗證工具，可以直接到國家弱點資料庫的 CPE 搜尋功能來查詢，這樣就能知道最近有沒有發生什麼安全漏洞，比如說，阿舍想看看 Lotus Domino 有沒有出什麼大問題，於是就輸入「Domino」來搜尋，結果...就這麼準，9/10 有發佈一個高達 9.3 的安全漏洞哩! 要趕快來去找看看 IBM 有沒有出 Hotfix 囉 !

要查詢國家弱點資料庫的資料庫請到這裡。

Ubuntu 如何指定使用者為 sudoer ?

透過 sudo 指令可以讓使用者暫時變成具有 root 的管理權限，Ubuntu 預設會把第一個使用者設定為具有可以執行 sudo 指令的帳號，但是，其它的使用者就得自己手動來調整了，調整的方式可透過 visudo 指令來修改，先執行下列指令進入  visudo：

sudo visudo

等 visudo 開啟後，找到一個  root    ALL=(ALL) ALL 那一行，然後在那一行的下面打入和那一行一模一樣的的東西，只是把 root 換成是要變成 sudoer 的使用者名稱就可以了，以阿舍想要把 arthuryu 這個帳號變成 sudoer 來說，在 root 下面那一行打入下面字串後存檔就 OK 了。

arthuryu    ALL=(ALL) ALL

另外，如果在 visudo 裡的最下面有看到 %admin ALL=(ALL) ALL 這一行的話，就表示只要要下面的指令把使用者加入到 admin 群組就會變成 sudoer 了，就不用這麼辛苦的開 visudo 來改的哩 !

sudo usermod -g admin arthuryu

零時攻擊 ( Zero Day Attack ) 是什麼 ?

有人說 Zero-Day，有人說 Zero-Time，還有人說 Zero-Hour 哩 ! 但是，講的都是同一件事，所謂的 Zero-Day 指的是在事前還沒發生之前就先被發現了，怎麼可能哩 ? 一般來說，這大都是在講軟體的問題，因為，軟體可能在還沒發行前就被駭客給劫走了，然後，找出它的弱點，只要軟體一發行上市，使用者一安裝使用，駭客馬上就可以開始攻擊，這幾乎是達到零時差的情況，所以，這就叫做「零時攻擊 ( Zero Day Attack )」。

不過，到了後來，零時攻擊 ( Zero Day Attack ) 也開始用在駭客利用軟體廠商尚未發現的安全漏洞所做的攻擊。