信息安全-1.0

昨天提到要开始写关于信息安全的系列,今天这篇是第一篇。

信息安全,狭义上是指计算机领域的信息安全,维基百科上介绍主要归纳为三个要点:机密性、完整性、可用性。广义上,所有信息均需要考虑信息安全,只是往往要衡量为信息安全付出的成本和信息一旦不安全造成的损失,然后得出一个平衡点。

先来说狭义上的信息安全,计算机领域的信息,简单划分就是Internet上的信息以及本地的信息。

Internet上的信息

所有联网的设备,会在网络上传输信息,那么最简单的使用http传输数据就很容易被劫持然后因为没有加密所以直接就被解读出来,这也就是为什么前段时间一些技术大V提倡全站使用https传输数据。举个例子,很多大一点的公司,都会找专门的网络设备商部署企业网络环境,然后还会在出口网关处旁挂一台「上网行为管理器」,这个东西功能现在做的真的是与时俱进,完全符合人类偷窥的欲望,HR等管理人员可以直接登录管理器查看员工的QQ聊天记录,上过的网址停留时长等等很隐私的信息。所以,要先跟公司了解清楚,然后涉及到比较隐私的信息还是用手机运营商的4G网络发送消息吧。这个时候记得把公司电脑上的QQ的自动同步其他设备聊天记录这个功能关掉。

另外以前晚上撸串的时候,听网络设备商的技术人员提到过,即使用https加密,他们也有办法破解特定的数据包,这个我暂未验证过。

有些公司甚至会做的比较极端,在员工电脑上安装监控软件,可以实时查看员工的电脑屏幕,而这一切员工都不知道。所以,在公司内,要先了解清楚公司的规定以及实际技术上的限制,这样才能比较好的保护好自己在公司上班合理地偷懒。

前段时间游戏界知名人物敖厂长的B站账号被盗,详细内容可以参见敖厂长的微博。根据事后多方的声明,这次被盗的账号,密码跟敖厂长在优酷的会员账号密码是一样的。这里面就涉及到多个安全漏洞:

1.拖库:优酷的会员账号密码数据库被人通过漏洞爬过一遍,然后还发在了网上,此次的盗号者就是通过别的途径了解到敖厂长的手机号,然后在这个库里检索到对应的密码。说到拖库,每年都层出不穷,大多数都是默默在黑产界交换数据变现,只有少部分会被爆出来,近些年比较知名(不完全统计)的有前几年的开房记录、网易邮箱账号密码、京东用户账号密码、裸贷女生证件资料等。这种都是服务商安全措施不到位,造成的被拖库,昨天推送里提到的MongoDB不设置密码,就是这样的情况。

2.密码太简单:敖厂长在优酷的密码和B站的密码很类似,所以被盗号者试出来了。这个相信很多人都是这样,多个地方用同样的密码或者是同样格式的密码。比较科学的办法是用专门的密码生成器给不同的账号生成密码,然后在单独通过第三方的工具保存。

3.默认记住账号密码:这跟敖厂长的事情无关,但也是日常生活中很常见的情况。有很多人使用自己陌生的电脑时,会不自觉地点击允许浏览器记住刚才输入的密码。浏览器记住的密码是可以查询到具体的内容。如果不记住密码,浏览器的cookie也是会记住刚才输入的账号,而知道了账号,利用上面提到的被拖库的数据库,是可以查到其它网站的密码,然后进行撞库,又因为很多人的密码很简单,会有相当一部分的账号因此泄露。这种情况,我建议在陌生电脑登录时,使用浏览器的「隐身模式」或者叫「无痕模式」。

4.手机号绑定:现在绝大多数地方的账号都要求跟手机号绑定,而换手机号是很多人的习惯。旧的手机号停用之前,一定要在「所有的」账号那里解绑旧手机号并绑定新手机号。当然所有的账号,实际操作很麻烦,因为有些网站用过一次就忘了。为此,我的解决办法是同时养着三个手机号,来源如三大运营商,其中的两个是用于绑定一般不常用的网站,另一个号码作为主力号码是绝对不更换的,对应的就是绑定很重要的一些账号。

还有种方式就是虚假网站攻击,有些盗号者是通过制作和真实网站显示效果基本一模一样的假网站来诱惑用户输入真实的账号密码。这种其实通过查看网站的域名就可以分辨清楚,但大众不知道怎么分辨域名。微信浏览器内打开的页面,凡是有输入框的,微信都会提示不要输入QQ账号和密码。

以前PC时代还有在电脑中植入木马,记录键盘的输入记录,从而发掘一些重要的信息。现在手机端,很多App在输入敏感信息时会禁用第三方的键盘,只允许使用系统键盘或者是自己提供的随机排序键盘。iOS目前关于键盘泄露的信息比较少,安卓系统最好是不要安装不明来源的apk文件包,可能会被植入后门。

新的输入工具往往会成为最脆弱的突破口,比如说前段时间腾讯玄武实验室的宣传视频,通过给扫码器输入指令从而实现入侵。

今天就先写到这里,明天再补充一些本地的信息安全问题。

PS:晚上去看了《血战钢锯岭》,这部片子真的好看,也是为了看电影,今天的文章只能先写这一些了,要去睡觉了~

PPS:找不到好的题图,就自己用PS打开设计了一个,是不是很像90年代末的电脑书的风格。

发表评论

电子邮件地址不会被公开。 必填项已用*标注