大家耳熟能详的网络安全策略,其实一点都不安全。欢迎指正。先说几个错误的概念:1、对于企业来说,信息安全是技术人员的工作。普通员工不注意安全很容易被攻破。内网安全往往是由于非技术人员的疏忽造成的。某互联网巨头内网曾因某员工电脑不安全导致ARP欺骗,导致内网dns解析被感染。内网正常电脑的正常用户访问公司网站,实际上被转移到了木马网站。.一家信息安全的上市公司,由于销售人员安全意识淡漠,导致内网被渗透,信息泄露很久之后才被发现。对全体员工进行信息安全意识培训非常重要。2、良好的上网习惯,不随意下载文件,不打开陌生文件,不去陌生网站,个人电脑就不会感染病毒。裸奔是有道理的说法尤为流行。自15年前的Nimda病毒以来,病毒和特洛伊木马程序一直在积极发挥作用。它们不需要你点击打开它们,它们会主动扫描并感染网段中的缺陷程序。主持人。3、安装好杀毒软件,打好补丁,不被感染、被黑。0day危害可以轻松渗透防病毒软件和刚打过补丁的系统。解释一下0day:我们知道每隔一段时间,微软、苹果或者其他系统厂商都会公布安全漏洞,发布安全补丁,然后用户会及时打上补丁,防止被攻破,所以我们想到一个简单的问题,这个漏洞是系统厂商公布的时候出现的吗?在漏洞被系统厂商发现之前,谁又能阻止基于该漏洞的危害呢?遗憾的是,事实是没有。所以这个安全漏洞并没有被系统厂商发现,或者是发现了但是在发布安全补丁之前,在此期间,基于这个安全漏洞的危害,统称为0day,所以0day其实并不是一种技术形式,而是一种时间概念。未公开的漏洞广泛且长期存在。有一种说法叫老弱病残。什么是老年人脆弱性?例如,有一个微软操作系统漏洞。当微软发现这个漏洞时,它已经存在了10多年。那么,这十年不是已经被发现了吗?不幸的是,它还没有被微软发现。在一些技术专家的手中,这是一个杀手级的感染工具。想想看,太可怕了。那么,谁手里有0day呢?第一,各国军队,美国有,中国有,俄罗斯有,以色列有,韩国有,日本也有。二是各大安保公司。有人会说,安全公司要有道德,难道他们发现漏洞不应该公布吗?有些会宣布,有些不会,为什么不呢?,军方说,你来测试我的系统,给我报告。如果你手上没有0day,你可能无法与手上有0day的同行竞争。你的对手获得了他们服务器的权限而你没有,所以你将失去订单。你说你的漏洞挖掘比你的对手厉害,但是你公布了(你公布了系统厂商还有补丁,有补丁)军方的运维也没闲着,已经打补丁了早就起来了,这个逻辑你懂吗),你看看微软,谷歌给你发了一堆感谢信,想想军方领导是怎么想的,尼玛是另一个你随时可以害我,但是你不能,你让我配合你,我傻。第三,不幸的是,一些个人高手和黑产也有,存在0-day交易的地下黑市。简单的说一个数字概念,比如微软对于TK领头人发现的漏洞和利用漏洞给予10万美元的奖金,大家觉得很了不起,这是因为TK领头人更有道德感。如果把这个漏洞放在黑货的地下黑市上,可以卖到100万美元。信不信由你。一个高危漏洞,在黑产业手中,价值连城。很多人让我写黑产业,我不敢。说实话,我惹不起他们。不敢写黑产品。我写黑产品的时候不要碰我的互联网业务。那么问题来了,为什么系统厂商不给安全专家高额奖金呢?反而让漏洞去黑产?这真的不是钱的问题,而是悖论。如果系统厂商对漏洞的奖励过高,就会存在管理风险。如果奖金激励过大,那么系统厂商的开发工程师可能会故意留下一些看似粗心的问题,然后将这些问题泄露给第三方安全专家。分享奖金。因此,在很多情况下,应该权衡利弊,不能只看一方面。解释一下,什么是漏洞挖掘?漏洞挖掘是分析某个系统或应用程序的弱点,发现可被利用的漏洞。结果分为高危漏洞和低危漏洞。一般可以获取到高危漏洞。系统控制,或利用系统进行一些危险操作。低风险往往会导致系统不稳定,或者可能会出现一些非机密信息的泄露。发现漏洞和找到利用它的方法是两个步骤。有时,安全专家会发现一个潜在的严重漏洞,例如在远程系统调用中具有溢出点的非常特权的系统服务。但此时只能说这可能是一个高危漏洞。有时系统厂商会认为该漏洞无法被利用,将其视为低危漏洞。一个没有错误的漏洞利用。因此,微软对安全专家的很多奖励并不是因为发现了漏洞,而是提供了非常巧妙的漏洞利用方法。因此,大众可能理解为黑客入侵网站或账户,但漏洞挖掘不是这样的概念。一旦发现高危漏洞,例如发现微软操作系统的高危漏洞,所有使用该版本电脑的用户都可能被感染。例如,如果发现mysql数据库存在高危漏洞,所有使用mysql数据库服务且有外网访问接口的用户都可能被感染。.所以漏洞挖掘的高手们,他们不分析具体的网站或者具体的目标,而是针对主流的系统和应用。那么一旦你有所成就,那几乎就相当于你手里握着一个可以横扫互联网的核武器。既然这样,你要说黑几个网站厉害,人家也只能呵呵了。危害应对策略:无。但不要太紧张。如果你不是特别有价值的目标,一般人不会用0day来对付你。互联网上有一个经典的0day危害事件,是一家商业安全公司揭露的。目标是针对伊朗的核设施。猜猜凶手是谁?4.我输入了一个受信任的网站地址,我访问的网站一定是安全故障,即使您输入了正确的网址,DNS劫持也会将您带到错误的网站。DNS劫持是一种常见的网络安全隐患,但其实危害的方式不止一种,有多种方式可以从你的主机入手进行劫持,病毒木马可能会改写你电脑的host文件,或者改写你的hookbrowser,导致您访问的目标URL被重定向到它的控制器。如果你的主机是安全的,也不能保证你的邻居会使用arp欺骗来干扰你。平心而论,arp欺骗曾经一度十分猖獗,给网民上网带来了极大的危害。重写主机和浏览器钩子曾经是中国互联网的通病。360兴起后,基本就是这些东西了(其实还有,后面再说)。我知道很多人讨厌360,但这个事实必须承认。当然,3721才是浏览器钩子的鼻祖。你的邻居也安全了,所以你去的地方安全吗?上网时默认配置dns吗?电信接入商耍流氓在中国太常见了。那如果你强行使用可信的dns,你访问网站就安全了?相信大多数人并没有真正了解GFW的能力。为了本站的合法运营,此处忽略多个案例。刚才说了,从某种程度上来说,浏览器钩子和劫持已经不常见了,但不是没有了,只是特别恶毒的基本被遏制了,但是还是有一个很常见的有中国特色的,大家对早已习以为常的劫持行为并不意外。如果你使用IE浏览器,输入了错误的URL或文本,按照正常的逻辑,应该会跳转到Bing的搜索页面。早先应该是msn的搜索页面,可惜,在中国几乎不可能看到这一幕。各种安全工具设置的浏览器钩子已经劫持了这种访问。好在不被劫持,也会被电信运营商劫持。这是我们最常见也是最麻木的dns劫持。之所以会这样,是因为利益链,因为对用户体验无害,所以没有人认为是错的,也就不会上线。移动互联网还存在假基站问题。假基站在中国也很猖獗。我不确定DNS是否可以被劫持,但伪造来电号码是安全的。今天看到朋友圈有人说亲戚收到手机官微发的短信,点开链接,被骗了几千元。向中国移动投诉没有用。所以我误以为是官方发的信息。移动互联网其实是有风险的。另外,蹭freewifi也有dns劫持的风险。5、百度、新浪等公司是安全的,我这里的账号也是安全的。失误:彩虹库和凭证库危害屡屡突破巨头防线。(1)解释一下彩虹库,社工库,还记得csdn爆库事件吗,论坛社区很多很多用户数据库被黑客感染获取,有的明文密码是100%被黑客搞到,只做md5的有80%搞到,做md5+md5的也差不多80%搞到,除了搞乱盐的,几乎全破了。(加密密码时加盐是什么?)黑客将从对方获得的数据库中的用户名和密码进行合并,这就是社会工程学库,也叫彩虹库。这个图书馆的规模非常大,而且一直在快速增长。事实上,社会工程图书馆的历史特别悠久。当你从媒体上看到它时,它已经流行了很多年。很多用户习惯在多个网站使用同一个账号和密码,所以一旦A网站的用户密码被泄露,有经验的黑客就会尝试用同一个账号和密码去B网站试试。不管是百度还是百度,不少巨头都曾遭受过撞库的危害,不少账号密码因此被泄露。大概七八年前,一个安全圈的朋友把我的百度账号密码发给我,让我赶紧改密码。我吓了一跳,以为是百度的账号系统被感染了,后来才知道是对方干的。我通过社工库拿到了我的账号密码,胡乱试了一下,发现我在包括百度在内的很多网站上居然用的是同一个密码。对策:为不同的网站保留不同的密码;或者对安全性要求高的网站加强密码。6.我的密码很复杂,别人肯定不会误破解的。事实上,可能不需要您的密码来获得您的授权。以前使用暴力破解密码是很常见的。过去,很多邮局都是通过生日、答题来重设密码的。暴力破解生日(最多5分钟)+通过程序猜题,是突破很多妹子邮箱的独特方式。腾讯有一个案例是通过短信验证码重置密码,但是短信密码只有4位,暴力破解只需要9999次,程序员轻松搞定。对策:验证码,异常验证码是防止程序暴力测试的重要解决方案。SQL注入和跨站脚本是获取用户权限的常见方式。它们已经流行了15年多,并且今天仍然广泛使用。)原理是程序员在编写程序时对用户输入或浏览器传递参数的校验不够严谨。黑客可以将可执行代码植入正常的输入或参数中,从而导致程序员的代码被改写。其中,SQL注入是改写数据库查询脚本,跨站脚本是改写浏览器的可执行脚本,但两者都可以在未经授权的情况下获取用户身份,进行危险操作。许多巨头都曾在这里跌跌撞撞,并一直延续至今。某知名安全论坛的管理员曾因论坛流程不够严谨而被跨站脚本夺权。2000年左右,SQL注入几乎可以感染任何用户登录系统。现在情况好多了,但还没有灭绝。7.其他概念:(1)嗅探互联网数据传输会经过很多设备,传输的数据会被特定的软件拦截,其中可能包含很多敏感信息,包括但不限于网站登录账号密码、邮箱帐号密码等。对策:http是明文传输,https是加密传输,telnet是明文传输,ssh是加密传输,很多明文传输协议也有相应的加密传输协议,敏感的浏览和登录行为尽量使用加密传输方式。当然加密传输也有证书风险,中间人的危险是另外一个话题,所以还是需要安装浏览器和安全工具。如果提示证书可能有问题,就要小心了。(提示证书有问题并不一定代表有问题,自己操作敏感度评估。)世界上重要的嗅探和拦截,都在政府手里。美国有棱镜,中国有敏感词。(2)权限绕过系统对权限授权的判断不严谨,绕过验证获取权限。比如好像是windows98。具体版本不记得了。存在中文输入法权限绕过漏洞。理论上是必须输入帐号和密码才能进入系统,但是在输入帐号的时候可以调用输入法,输入法有帮助选项,打开帮助找到入口,可以点击进入浏览器,进入浏览器后直接输入c:即可,然后会看到一个图,可以通过浏览器点击cmd命令,然后在命令行进行任意操作,系统下就完全可以了你的控制。从整个运行过程来看,几乎没有什么技术含量,只是一个设计漏洞,绕过了系统验证。(3)分布式拒绝服务危害使用超过系统容量的请求,流量导致目标系统无法正常响应,达到危害效果。这里也有很多种类:针对协议弱点的危害,比如synflood。实施成本极低,追溯难度极大。它曾经很受欢迎。对于流量带宽的危害,对于应用计算资源的危害,对于域名解析的危害,六省断网事件就不用解释了。;一时间,网易也被挂了很久,至今没有任何解释。如果你看看苹果市场的梦幻西游畅销榜,梦幻西游已经连续几个月蝉联第一,只有一天是第二名。那天,它被挂了好几个小时。目前,黑产业规模非常大,以危害威胁收取保护费是常见的手段。据说很多p2p金融公司都交了保护费。这个我只能说这么多,原因很简单,我真的买不起。(4)缓冲区溢出漏洞挖掘的重要领域。其原理是程序中数据段长度判断不够严谨,导致数据段超出内存数据范围,从而覆盖代码执行范围。如果在溢出点处写入了一个设计良好的代码,黑客的这部分代码就会在相关服务程序的权限下执行,从而达到黑客的目的。大部分系统级高危漏洞都来自于缓冲区溢出,苹果的一些越狱技术版本似乎也来自于缓冲区溢出技术的实现。但由于这太过技术化,普通用户可能难以理解。黑客感染更多的是一种思维方式。一个普通的程序员写程序时认为用户会正常请求和访问他的系统,异常的处理非常简单。黑客的想法是伪造各种异常请求,欺骗系统,使系统偏离其正常的执行流程,从而获得黑客预期的结果,如获取权限或获取数据等。今天我就来科普一下,针对的是有兴趣的朋友。专业术语就不展开了,有兴趣的可以自行搜索。其他的一些术语比如APT,我自己解释不清楚,建议大家自己搜索。电影里敲键盘试密码的都不是黑客,黑客也没那么圆滑。大多数感染不需要尝试密码。那些需要尝试的人可以使用该程序来处理图书馆。其他安全概念基于社交网络和公共信息,欺诈行为越来越普遍。我个人的建议如下:不要过于频繁地暴露自己的行踪,尤其是有钱人。不要经常暴露个人隐私。对于一些可疑信息,尤其是贷款信息,需要进行多次验证。不是你不信任你的朋友,而是你要小心朋友的账号可能被黑了。很多人对此并不在意,觉得自己安全意识高,不怕上当受骗。你的亲戚朋友呢?你父母呢?例如:如果骗子通过微博或微信朋友圈知道你的行程,登机了,我知道航班晚点了,我也知道你工作的公司和此行的目的,所以我打电话给你父母并告诉他们是你的同事,跟你出差去哪里干什么,现在你出了车祸急需钱去手术室,你爸妈本能的及时反应,给你打电话,飞机上收不到,飞机晚点了父母也不知道,他们什么感觉?他们会不会急于付钱给骗子!不要以为这样的事情不会发生。我以前在朋友圈里有很多商务舱的旅程,但我绝不会在飞机起飞前发布这些照片,而是在着陆后甚至一两天后发布。如果你想炫耀一些行程,我建议,留一些时差。
