今天是互联网安全日,结果还收到了Google的安全警告。
附上新闻链接:https://www.ithome.com/0/602/139.htm安全
Google给出的五点建议非常中肯,也是如今我们互联网安全中最大的五个安全漏洞。值得一提的是,这五条中大部分安全问题均来自社会工程学,业内简称社工,也有一个通俗的名词形容这种网络攻击——“钓鱼”。和大家想象中的可能不太一样,如今“黑客”群体并不是影视剧中那样,躲在黑屋子里对着黑底满屏绿色字符串的屏幕敲敲打打,就成功渗透进了一个系统;对我们造成最大损失的反而都是社工,这其中最大一部分来自于我们耳熟能详的电信诈骗。也就是说,对于我们群众来说,最大的黑客是那些诈骗者。
业内有一个段子,一家公司受到黑客攻击,每半小时断网一次,一次断网5分钟,导致公司业务不能正常运行。黑客发来邮件勒索财物,公司聘请的网络专家使出浑身解数对这次的攻击无能为力,交钱了事之后,公司在警方帮助下抓到了这个“黑客“,是公司一个对技术一窍不通的员工。在审讯之后,这名”黑客“透露了他精明的渗透手段——买通机房保安每30分钟拔一次网线。这个段子也是幽默地点出了网络安全事件往往不是天灾,而是人祸。比起精明的渗透技术,社工才是网络安全业界最大的威胁。二战中,德军的加密设备——英格玛机理论上不能被破解,但由于电报人员的疏忽,没有遵循在每封信的开头使用随机字符串,让图灵抓到了这个人为的漏洞,从而破解了英格玛机,让轴心国的情报对盟军单向透明。大学期间在图书馆借阅过一本非常厚的网络安全书籍,书分为两部分,第一部分是对网络安全技术蜻蜓点水的介绍,而占据大半本书的第二部分,便是社会工程学。
这里用我浅薄的一点点安全知识随便聊聊这五条网络安全小技巧其中的含义,希望大家多注意用网安全!
-
不要使用重复的密码,即使有足够的密码复杂度要求。
我们常常认为只要密码足够复杂,就很难被破解。通常来讲确实如此,长久以来使用弱密码便是网络威胁的重要漏洞。但网络安全是一个端到端的流程,即便我们使用强密码,但很难保证服务供应商会尊重或者有能力保护我们存储在他们服务器上的账户数据。我们使用单一的账户密码开通不计其数的服务,如果其中有一家的数据库遭到泄露(即拖库),持有数据的黑客便可以使用其中的账号密码数据对各种网站进行尝试登录(即撞库),甚至在一些匿名交易的暗网中售卖这些数据(即洗库),形成更大的泄露资料数据库(即社工库)。这些数据被别有用心的人掌握了,可以针对网络安全意识薄弱的人进行全方面用户画像分析,对我们的互联网安全造成了长久的威胁。因此针对不同的网站应该避免使用相同的密码。现在一些主流的浏览器已经支持随机密码填充,再由浏览器加密存储在本地,一定程度上缓解了这个问题。但浏览器保证密码安全的前提是我们能够保证使用浏览器的安全。这里再给大家介绍一个解决方法,针对不同的网站服务我们可以在密码字符串的一些位置加上提供服务商的别名,例如我的通用密码是12345,那在网易申请的服务就叫12’163’345;腾讯申请的服务就设为12’QQ’345。当然这里的模式不能太单一,如果使用过于单一的模式,例如网易就叫’WY’,腾讯就叫’TX’,可解释性过强的密码也很容易被轻松破解。总结一下,针对账号密码管理,首先一定要防止使用弱密码;在使用强密码的同时,要避免使用重复密码。这里有几种管理密码的方式供大家参考:1.使用浏览器的填充随机密码功能,但是要保证浏览器以及数据存储的安全,防止由于同步失效或者本地数据丢失导致密码不能访问。2.在固定密码中添加一些模式提高复杂度,比如在固定位置添加服务商的复杂别名。3.使用1Password这种工具。
不使用重复密码是这五条技巧中几乎唯一一条没什么人能完全遵守的,但这确实是对我们的安全造成了最大的威胁。在暗网中各大用户资料以明文方式被随意交易,这其中不乏我们的详细信息,购物信息,医疗信息等等。而这些信息不少都来自拖库和撞库,其中原因便是我们采用了相同的密码。也许此时此刻我们的数据正在被喂给一些图谋不轨的大数据算法,并随时准备加工成子弹送给我们。
-
确保系统和应用程序更新至最新版本
2017年,生长在计算机网络系统中的疫情骤然降临。由于黑客工具“永恒之蓝”的泄露,基于“永恒之蓝”的“wannacry”计算机勒索病毒席卷全球。由于一个大部分人都没听说过的Windows服务有一个小漏洞,导致这个病毒可以借此封锁计算机中的全部数据,并对用户实施勒索。这场疫情给一些校园网、企业网,甚至政府机构和医院网络都造成了巨大的破坏,而这个只存在在windows7系统中的漏洞微软早早在病毒泛滥之前就推出了安全补丁。
对已售设备提供持续开发和系统升级是厂商义不容辞的义务。系统升级不仅带来更多的功能、更好的体验,如果看过一些系统更新日志的朋友也会发现,绝大部分的系统更新都包含了“更新安全补丁”,“提高安全性”等字眼。提供更新服务是厂商的责任,但有相当一部分用户对系统升级极其反感,并且不惜花费经历寻找禁止更新系统的途径。2017年这场病毒可以广泛传播便是莫大的讽刺,如果当时win7系统用户不太注意的话,电脑都会有一堆“电脑管家”类的软件,而只需要闲来没事的时候随手点一下电脑管家弹出来的“现在重新启动“就能修补上这个漏洞。当初我在网上随便找了个win7的镜像,想在虚拟环境中复现一下这个病毒,但就随便找的一个系统镜像都不能被这个病毒感染。
当然,厂商对更新体验的莫不上心更是这类网络安全事件频繁发生的温床。之前一个朋友兴致冲冲地发给我一个视频,是抖音上一个“电脑专家”给出的新windows系统的优化方法,其中第一条就是教大家如何关闭windows更新。我本想对此输出一番,但是看了评论区各种对windows10更新的口诛笔伐,我也沉默了。如果各大系统的更新功能都做的跟windows一样,那多低端的攻击手段造成了多大的伤害都不会让我感到意外。好在如今各大厂商对更新功能的用户体验都有了飞跃提升。A/B分区,夜间静默安装都能让用户在无感知的情况下实现对系统的更新升级,降低了网络威胁风险。
为了“便利”放弃、抵制系统升级也是普遍存在的隐患之一。如今很难有计算机病毒感染我们的设备,除非我们做了什么“请”了他们进来。
-
注意防范网络诈骗
网络诈骗是社工的集大成者,也为我们展示了真正的“黑客”手段。
近些年国家对相关诈骗重拳出击,也得益于大数据技术,风险交易可以被快速定位,随着大数据技术飞速发展这两年,相关案件侦破率急剧上升,19年开始案件总量急剧下降,为案件侦破提供了帮助。随手搜了下手机,单单天津被疫情肆虐的这几天,运营商就发来4条短信告诫大家严防最网络诈骗。如今大部分网络诈骗都是以信息差对接触互联网不深的人下手,使用互联网的深度经验就是对网络诈骗的最好的预防。
-
注意防范个人信息泄露
百度创始人李彦宏曾经表达过,中国人愿意用隐私换取便利。在对他口诛笔伐的同时,这个现状确实没办法反驳。一是我们缺乏良好的隐私保护意识,二是我们对收集我们隐私数据的方法不能辨别,隐私信息总是不经意流出。这张配图就很好表达了这个问题。扪心自问,对于一个针对你或你感兴趣信息的调查问卷,配合上“填写信息,马上获取报告!“这种心理暗示,你会不会用一些常用信息换这份报告呢?也许有人隐私意识强,没有用自己的资料换取这份报告。但如果把这份报告换成全朋友圈都在流行的XX听歌性格测试、2021年度总结、各种心理测试,甚至是真金白银的小礼品和美食呢?
有的时候,我们为了一些“便利”,在各种商家提供的网站上交出了自己的基本信息,还对一点小惠沾沾自喜。实际上这就是收集我们隐私的工具,而我们自己却浑然不知。以某音乐平台之前的根据听歌偏好测算性格调查为例,这个人格测试的原型是MBTI人格测试,这个测试如今的数据集都可以在数据平台Kaggle上随意下载做机器学习的训练,而他的数据便是每个人曾经在各大论坛上的发言。接触过这个数据集的人会发现,其中有些内容比较露骨,如果再次询问该用户是否同意发言数据被收集,很可能会得到否定的答案,但是隐私收集便在我们跳过一个个冗长条款点下“同意”按钮后不可逆地默默开始了。
仅仅泄露基本信息无伤大雅,事实上我们使用的大部分服务都在合法的收集着我们隐私,喂给名为大数据的猛兽,最终吐出我们的用户画像、关联信息,成为每天围绕着我们铺天盖地的营销信息和兴趣推荐。但比起这些,关键信息的泄露会造成更大的网络安全威胁,例如金融账户密码等。正如404厂所说,正规网站和服务不会发送相关消息来要求你通过电子邮件提供密码或财务信息。敏感信息的提交要确认好访问的站点是否是伪造的,如今我们浏览器在地址栏的最左边会显示这个网站的安全信息,一般是一个锁头的图标,如果不安全的网址会有明显的红色标志,可以帮助我们加以区分。
-
在不使用时,锁定电子设备
又是一个黑客攻击(物理)的案例。被家里小孩盗刷手机消费的新闻我们已经耳熟能详见怪不怪了,其背后的原理就是设备被物理攻克。不仅仅是锁定电子设备,对于个人电脑,如果硬盘里存放重要数据,硬盘加密、bios安全、引导安全等手段也是必不可少的。不像手机,大部分电脑脆弱的密码保护在别有用心的人面前不堪一击。如果在公共场合存放重要资料,那么个人电脑从bios和引导开始就要做好万全准备。
最后再次强调一下,网络安全问题更多是人祸。比起“黑客”进来拿,更多是我们给出去,这其中的桥梁就是社会工程学,俗称钓鱼。网络安全不在于设置多复杂的密码;采用多先进的加密手段;装多厉害的杀毒软件,网络安全真正的威胁在于手机上一条条未知的链接上;在一条条诱人的短信中;在那个为了七个碟子八个碗点击“提交资料”的我们的手里。提升隐私保护和网络防范意识,谨遵以上五条原则,才是保护自己安全的最佳手段。