我从事 *** 安全多年的角度来看,总结一些常见的 *** 安全对应策略分析,当然如果有一些概念错误或其他误导。欢迎大家指正。
先说一些错误的概念:
1. 对企业而言,信息安全是技术人员的工作。
如果普通员工不注意安全,很容易突破。内网安全往往是由非技术人员的疏忽造成的。
- 一家巨头互联网公司的内网曾经是由一台员工不安全的电脑造成的ARP欺骗,导致内网dns分析感染后,正常用户访问内网正常电脑的公司网站被转移到木马网站。.
- 某信息安全上市公司因销售人员安全意识淡泊个人电脑而被忽视危害,导致内网渗透,长期发现信息泄露。培养全体员工的信息安全意识非常重要。
2. 良好的上网习惯,不乱下文件,不点奇怪的文件,不上奇怪的网站,个人电脑不会中病毒。
裸奔的理性论调特别流行。15年前,自尼姆达病毒以来,病毒和木马一直采取主动危害性,他们根本不需要你点击和打开,会主动在网段内扫描和感染主机有缺陷。
3. 如果安装了杀毒软件和补丁,就不会被接受感染被黑掉。
0day危害杀毒软件和新补丁系统可以轻松穿透。
解释一下 0day:
我们知道,微软、苹果或其他系统制造商每隔一段时间就会发布安全漏洞和安全补丁,然后用户会及时发布补丁以防止伤害,所以我们会考虑一个简单的问题,
- 这个漏洞是系统制造商公布的吗?
- 在漏洞被系统制造商发现之前,谁能防止基于漏洞的漏洞?危害? .
不幸的是,事实是,没有,所以,在安全漏洞没有被系统制造商发现,或发现但安全补丁没有发布之前,基于这个安全漏洞危害,就统称为0day,所以0day事实上,它不是一种技术形式,而是一种时间的概念。未公开的漏洞是广泛而长期存在的。
有一种说法叫做长老漏洞。什么是长老漏洞?例如,微软的操作系统存在漏洞。当微软发现这个漏洞时,它已经存在了10多年。那么,这十年没有被发现吗?不幸的是,它只是没有被微软发现。在一些技术专家中,这是一个杀戮感染想想可怕的工具。
那谁手里有0day一、各国军方、美国、中国、俄罗斯、以色列、韩国、日本。二、各大安全公司。
有些人会说,安全公司不应该谈论道德,发现漏洞不应该宣布吗? 有些会宣布,有些不会,为什么不呢? ,因为有时需要,例如,两家安全公司抢劫一个军事订单,军方说,你检测我的系统,给我一份报告,如果你手里没有0day,你可能不会竞争,但你手里有0day的同行。
你的对手得到了别人服务器的权限。如果你没有得到它,你不会失去订单吗?你说你实际上比你的对手有更好的漏洞挖掘,但你已经宣布了(如果你宣布系统制造商有补丁,其他人的军事操作和维护不是闲置的。你已经补上了。你明白这个逻辑吗?),你看微软,google给你一堆感谢信。想想军方领导人的想法。尼玛的另一个家庭可以在任何时候危害我,你不能,你让我和你合作,我傻。
第三,不幸的是,也有一些个人高手和黑产品。0day地下黑市交易,简单说一下数字概念,比如微软给的TK教主发现的漏洞和奖金是10万美元,大家都觉得很棒。这是真的TK教主更有道德,如果把这个漏洞放在黑产地下黑市,100万美元就能卖掉你信不信由你。
一个高风险的漏洞,在黑生产手中,它的价值是极其巨大的,很多人让我写黑生产,但我不敢,说实话,我不能激怒他们。我不敢写黑生产。写黑生产我的互联网业务不碰。
那么问题来了,为什么系统制造商不给高奖金来奖励安全专家呢?让漏洞流向黑色生产?这真的不是钱的问题,但有一个悖论,如果系统制造商,漏洞奖励太高,会有管理风险,如果奖金激励太大,那么系统制造商的开发工程师可能会故意留下一些看起来非常粗心的问题,然后泄露给第三方安全专家,分享奖金。因此,大多数时候,权衡利弊,不能只看一面。
解释一下,漏洞挖掘什么叫漏洞挖掘,就是针对某个系统,某个应用,去分析其弱点并挖掘其可被利用的漏洞,其结果又分为高危漏洞和低危漏洞,高危一般是可以取得系统控制权,或者利用系统执行一些危险的操作。低危往往是可能导致系统不稳定,或者存在一些非机密信息泄露的可能。
发现漏洞和使用漏洞有两个步骤。
有时安全专家会发现一个可能严重的漏洞,比如一个高权限的系统服务在一个偏远的系统呼叫中有一个溢出点。但只能说这可能是一个高风险的漏洞,有时系统制造商会认为这个漏洞不能作为一个低风险的漏洞来处理,这在过去很常见,但一旦找到了使用漏洞的 *** ,
这就是实现一个无缺陷漏洞挖掘。因此,微软对安全专家的许多奖励并不是因为它发现了一个漏洞,而是提供了一种非常巧妙的漏洞利用 *** 。因此,公众可能会理解黑客是黑网站或账户,而漏洞挖掘并不是这样一个概念。一旦发现高风险漏洞,如微软操作系统的高风险漏洞,本版本中所有用户的计算机都可以感染,比如说发现mysql数据库中的一个高风险漏洞可能全部使用mysql数据库服务和外部 *** 访问接口都有可能感染。
. 所以漏洞挖掘的高手,他们并不是针对特定网站,特别目标去分析,他们的目标是主流的系统和应用。然后一旦有所成就,几乎就等于手里掌握了可以横扫互联网的核武器。 在这种情况下,你去说黑掉几个网站了不起,人家就只能呵呵了。
危害应对策略:暂时没有 。但是不要太紧张。如果你不是一个特别有价值的目标,普通人不会使用它。0day对付你。互联网上有一次经典0day危害事件被商业安全公司刺伤,目标直接指向伊朗核设施。你猜谁是实施者?
4. 我输入可信的网站地址,访问的网站必须安全
错,DNS劫持可能会让你进入错误的网站,即使你输入了正确的网站。
DNS劫持是一种常见的 *** 安全风险,但这里不仅有危害劫持的途径有很多。
病毒木马可能会从你的主机重写你的电脑host文件,或重写浏览器的钩子,导致您访问的目标网站在其控制器手中。
如果你的主机是安全的,你不能保证你的邻居会使用它吗?arp欺骗干扰你。
说公道话,arp欺骗一度猖獗,对网民上网造成极大伤害。host与浏览器挂钩曾经是中国互联网上常见的癌症。360崛起后,这些东西基本上从某种角度消失了(事实上,有一段时间)。我知道很多人讨厌360,但必须承认,
当然,3721是浏览器钩子的鼻祖。你的邻居也很安全,你访问的安全吗?您是否默认配置上网?dns是的,电信接入商耍流氓在中国太普遍了。 然后你强加了可信的dns,你访问网站是安全的 GFW我相信大多数人并不真正理解这个网站的合法运作,这里忽略了很多案例。
刚才说浏览器钩子和劫持在某种程度上并不常见,但并不是真的消失了,而是特别恶意的基本被遏制了,但还是有一种常见的,而且具有具有中国特色的劫持行为并不奇怪。如果你用它ie按照正常逻辑,浏览器在输入错误的网站或文本时应跳转到bing搜索页搜索页应该是msn搜索页面,但不幸的是,在中国,你几乎看不到这一幕。各种安全工具设置的浏览器钩已经劫持了访问。幸运的是,如果没有劫持,它也将被电信运营商劫持。
这是我们最常见、最麻木的dns劫持,这个原因是因为利益链,因为对用户体验没有伤害,所以没有人觉得不对,没有开始。
移动互联网仍然存在假基站的问题,假基站在中国也非常猖獗,可以劫持吗?DNS我不是很清楚,但伪造 *** 号码是稳定的。今天,我还看到朋友圈里有人说,亲戚们收到了官方的移动短信,点击过去的链接操作结果被欺骗了数千元,抱怨移动没有效果,我看到是假基站的骗子短信。所以我错误地认为这些信息是官方发送的。移动互联网也有风险。
另外,摩擦是免费的wifi也存在dns劫持风险。
5. 百度,新浪这样的公司是安全的,所以我在这里的账号也是安全的。
错误:彩虹库和撞库危害反复突破巨人防线。
(1) 解释彩虹库,社工库
还记得csdn爆库事件,很多论坛社区的用户库都是黑客感染并且拿到了,有的被黑客100%拿到了明文密码的账号密码,有的只做了md580%的人拿到了,有些人做到了md5 md5的也差不多被80%拿到,除了做随机salt几乎所有的都被打破了。(加盐加密密码时加盐(salt)是什么)
黑客将彼此获得的数据库中的用户名和密码合并在一起,即社会工作库,也称为彩虹库。 这个数据库非常大,而且仍在激增。事实上,当你从媒体上看到它时,社会工作库的历史特别悠久它已经流行多年了
(2) 解释一下,撞库危害
由于许多用户习惯于在多个网站上使用相同的帐户和密码,一旦A根据网站的用户密码,有经验的黑客会尝试使用相同的帐户密码b网站尝试,这叫撞库危害,无论是新浪还是百度,许多巨头都遭受了与库的碰撞危害而且很多账号密码都被泄露了。
大约七八年前,一个安全圈的朋友给我发了我百度的账号密码,让我尽快更改密码。我很惊讶,以为百度的账号系统是感染,后来,了一下,才知道是因为对方通过社工库拿到了我的账号密码,随便试了试,发现其实我在很多网站上都用了同样的密码,包括百度。
应对策略:不同的网站密码保持不同;或对网站强化密码的高安全要求。
6. 我的密码很复杂,别人不会破解
事实上,获得你的权限并不一定需要你的密码的密码,通过找到密码暴力破解是很常见的。
- 过去,许多邮局通过生日和回答问题重置密码,通过程序暴力破解生日(最多5分钟) 猜测问题,这是打破许多小女孩邮箱的独特技巧。
- 腾讯出了一个案例,用手机短信验证码重置密码,但短信密码只有4位数字,暴力破解只需9999次,程序员很容易处理。
应对策略:验证码是防止程序暴力测试的重要方案。
SQL注入和跨站脚本获取用户权限是很常见的危害流行了15年以上的 *** ,至今仍广泛使用。
原理是程序员对用户输入或浏览器传输参数的验证不够严格,黑客可以将可执行代码植入正常输入或参数,导致程序员代码重写,包括SQL注入是重写数据库查询脚本,跨站脚本是重写浏览器的可执行脚本,但未经授权获得用户身份并执行危险操作。许多巨头在这里跌倒,至今仍在继续。
一位著名的安全论坛管理员曾因论坛程序不够严谨而被用跨站脚本发帖拿走权限。
2000年左右,SQL几乎可以注入感染所有用户登录系统。现在情况好多了,但还没有消失。
7. 其他概念:
(1) 嗅探侦听
互联网数据传输将通过许多设备通过特定软件截获传输的数据,可能包括大量敏感信息,包括账户密码、电子邮件账户密码等。
应对策略:http是明文传输,https是加密传输, telnet是明文传输,ssh它是加密传输,许多明文传输协议和相应的加密传输协议,尽可能使用敏感的浏览和登录行为。
当然,加密传输也有证书风险,中间人危害,这是另一个话题,所以你仍然需要安装浏览器和安全工具。如果提示证书可能有问题,你应该小心(提示证书有问题并不意味着一定有问题。评估您操作的敏感性)
世界上重要嗅探侦听掌握在 *** 手中,美国有棱镜,中国有敏感词。
(2) 绕过权限
系统对权限的授权判断不严格,被绕过验证获得权限。
举个例子,好像是windows98我不记得具体版本了。中文输入法的权限绕过了漏洞。理论上,您必须输入帐户和密码才能进入系统,但输入帐户时可以调用输入法。输入法有一个帮助选项。打开帮助查找条目后,您可以点击进入浏览器并直接输入浏览器c: ,后面是马平川,你可以通过浏览器点击cmd命令,然后命令执行任何操作,系统完全由您控制。
在整个操作过程中,几乎没有技术含量,是设计漏洞,系统验证被绕过。
(3) 分布式拒绝服务危害
用超过系统承受能力的请求,流量导致目标系统无法正常响应,实现危害效果。
还有很多类型:
- 协议的弱点危害,比如syn flood。实施成本特别低,追溯难度极高,曾经特别流行。
- 对流量带宽危害为应用程序计算资源危害域名分析危害,六省断网事件就不用解释了。; 有段时间网易也被人打挂了半天,至今也没个啥说法出来。你去看梦幻西游苹果市场的畅销榜,从冲榜到头筹一开始,梦幻西游已经连续几个多月了头筹,只有一天是第二名,也就是那天,被打了几个小时。
目前黑产这个领域规模特别大,以危害威胁收取保护费是一种常见的手段,据说有很多p2p金融公司已经支付了保护费。我只能说这么多,原因很简单,我真的负担不起。
(4) 缓冲区溢出
漏洞挖掘几乎是一个重要的领域,原则是由于程序中对数据段长度的判断不够严格,导致数据段超过内存数据范围,从而覆盖代码执行范围,如果数据在溢出点精心设计的代码,黑客代码在相关服务程序中执行,以实现黑客的目的。
系统级别的高风险漏洞大多来自缓冲区溢出,苹果越狱的一些版本似乎也来自缓冲区溢出技术的实现。但由于这太技术化了,普通用户可能很难理解。
黑客感染更多的是一种思维方式,正常的程序员写程序是用户会正常要求和访问他的系统,异常处理非常简单,黑客的想法是伪造各种异常要求,欺骗系统,导致系统离开其正常的执行过程,从而获得黑客期望的结果,如权限,或数据。
今天,我们来谈谈这些以科普为主,面向感兴趣的人。技术名词没有展开。如果你感兴趣,你可以自己搜索。 其他名词,如APT,我自己解释不清楚,建议自己搜索。
电影里敲键盘试密码的人都不是黑客,黑客也没那么多。SB。大部分感染不需要尝试密码。需要尝试的人使用程序来撞击图书馆。其他安全概念 基于社交 *** 和公共信息,欺诈越来越普遍,
个人建议如下:
- 不要经常暴露个人行踪,尤其是富人阶级。
- 不要过于频繁地暴露个人隐私。
- 多次验证一些可疑信息,尤其是借款信息,并不是说你不信任你的朋友,而是要小心你的朋友可能会被盗。 很多人不在乎这个,觉得他们的安全意识很高,不怕欺骗,你的亲戚和朋友呢?你的父母呢?
例如:如果一个骗子,通过微博或微信朋友圈,知道你的旅行,飞机,知道航班晚,知道你的公司和旅行目的,打 *** 给你的父母,说你的同事,和你一起旅行,现在你急需钱进入手术室,你的父母本能时间反应,打 *** 给你,你不能在飞机上收到,你的父母不知道航班晚了,他们有什么感觉?你迫不及待地想付钱给骗子吗!不要认为这样的事情不会发生。 我以前在朋友圈里的商务舱旅行,但我永远不会在飞机出发前发送这些照片,而是在着陆后甚至一两天后。如果你想炫耀一些旅行,我建议留下一些时差。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。