<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基網 首頁 安全 安全學院 查看內容

              大家心里的熟悉的網絡安全策略,其實一點都不安全

              2019-2-27 14:38| 投稿: xiaotiger |來自: 互聯網


              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

              摘要: 我從事網絡安全多年的角度來看,總結一些常見的網絡安全對應策略分析,當然如果有一些概念錯誤或其他誤導。歡迎大家指正。 先說一些錯誤的概念:1、對于企業而言,信息安全是技術人員的工作。 普通員工如果不注重安 ...



              我從事網絡安全多年的角度來看,總結一些常見的網絡安全對應策略分析,當然如果有一些概念錯誤或其他誤導。歡迎大家指正。

              先說一些錯誤的概念:

              1、對于企業而言,信息安全是技術人員的工作。

              普通員工如果不注重安全很容易被突破。內網安全往往是由非技術人員的疏忽造成的。

              1: 某巨頭互聯網公司內網曾因某員工不安全的電腦導致ARP欺騙,導致內網dns解析遭受感染,在內網正常電腦的正常用戶的訪問本公司網址居然被轉移到木馬網址。.

              2:某信息安全上市公司因銷售人員安全意識淡泊個人電腦被入侵,導致內網穿透,信息泄露很久后被發現。 全員信息安全意識培訓非常重要。

              2、良好的上網習慣,不亂下文件,不點開奇怪的文件,不上奇怪的網站,個人電腦就不會中病毒

              裸奔有理的論調特別流行,15年前,從尼姆達病毒起,病毒和木馬就已經具有了主動攻擊性,他們根本不需要你點擊和打開,會主動在網段內掃描和入侵有缺陷的主機。

              3、裝好殺毒軟件,打好補丁,就不會被入侵被黑掉。

              0day攻擊可以輕松穿透殺毒軟件和打好最新補丁的系統。

              解釋一下 0day

              我們知道每隔一段時間,微軟,蘋果或其他系統廠商都會公布安全漏洞,發布安全補丁,然后用戶就會及時打補丁防止被入侵,那么我們想一個簡單的問題,

              1、這個漏洞是系統廠商公布的時候才出現的么?

              2、在漏洞被系統廠商發現之前請問誰能防止基于這個漏洞的攻擊? .

              很遺憾,事實,就是,沒有,所以,在安全漏洞沒有被系統廠商發現,或者被發現但安全補丁沒有發布之前,這段時間,基于這個安全漏洞的攻擊,就統稱為0day,所以0day實際上不是一種技術形式,而是一種時間的概念,未公開的漏洞是廣泛的,長期存在的。

              有一種說法叫做長老漏洞,什么是長老漏洞呢?比如說有款微軟的操作系統漏洞,當微軟發現這個漏洞的時候,其存在時間已經超過了10年。那么,這十年是否一直沒有被人發現呢?很遺憾,只是沒有被微軟發現而已,在某些技術高手手里,這是一個通殺的入侵工具,想想可怕不。

              那么,誰手里有0day呢,第一,各國軍方,美國有,中國也有,俄羅斯有,以色列有,韓國有,日本也會有。第二,各大安全公司。

              有人會說,安全公司不是要講操守,發現漏洞不是應該公告么? 有些會公告,有些不會,為什么不會呢? 因為有時候需要,比如說,兩個安全公司去搶一個軍方的訂單,軍方說了,你來檢測一下我的系統,給我一個報告吧,如果你手里沒有0day,你可能就競爭不過手里有0day的同行。

              你對手拿到了人家服務器的權限你沒拿到,你不就丟單了么,你說其實你漏洞挖掘比對手強,不過你都公告了(你公告了系統廠商就有補丁了,有補丁了人家軍方的運維也不是吃閑飯的,早就補了,明白這個邏輯不。),你看微軟,google給你一沓感謝信呢,你想想軍方領導人怎么想,尼瑪另一家隨時可以入侵我,而你不能,你讓我跟你合作,我傻啊。

              第三,很不幸,一些個人高手和黑產手里也有,存在0day交易的地下黑市,簡單說個數字概念,比如微軟給TK教主發現的漏洞和利用方法發獎金,10萬美元,大家覺得了不起,這是TK教主比較有操守,如果這個漏洞放到黑產的地下黑市里,100萬美金都可以賣掉你信不信。

              一個高危漏洞,在黑產手里的話,其價值是極為巨大的,很多人讓我寫寫黑產,但我不敢,實話說,我惹不起他們。我不敢寫黑產。寫黑產我互聯網的業務不要碰了。

              那么問題來了,為什么系統廠商不給很高的獎金去獎勵安全專家呢?而讓漏洞流向黑產?這里還真不是錢的問題,而是存在一個悖論,如果系統廠商,對漏洞的獎勵過高,會存在一個管理風險,如果獎金激勵太大,那么系統廠商的開發工程師真有可能會故意留一些看上去很不小心的問題點,然后將這個問題點泄露給第三方的安全專家,分享獎金。所以,很多時候,利弊權衡,并不能只看一面。

              解釋一下,漏洞挖掘什么叫漏洞挖掘,就是針對某個系統,某個應用,去分析其弱點并挖掘其可被利用的漏洞,其結果又分為高危漏洞和低危漏洞,高危一般是可以取得系統控制權,或者利用系統執行一些危險的操作。低危往往是可能導致系統不穩定,或者存在一些非機密信息泄露的可能。

              發現漏洞和找到漏洞利用方法是兩個步驟。

              有的時候安全專家發現一個可能嚴重的漏洞,比如一個權限很高系統服務在一個偏僻的系統調用處存在一個溢出點。但這時只能說這可能是一個高危漏洞,有時候系統廠商會認為這個漏洞無法利用,當作低危漏洞來處理,這種情況以前很常見,但一旦找到漏洞利用方法,

              這才是實現一個完美的漏洞挖掘。所以微軟很多對安全專家的重獎不是因為發現了一個漏洞,而是提供了一個非常巧妙的漏洞利用方法。所以公眾可能理解黑客是黑掉一個網站,或者黑掉一個賬戶,而漏洞挖掘不是這樣的概念,一旦發現一個高危漏洞,比如說,發現微軟操作系統的高危漏洞,可能所有這個版本的用戶的電腦都可以被入侵,比如說發現mysql數據庫的一個高危漏洞,可能所有使用mysql數據庫服務并且存在外網訪問接口的都可能被入侵。

              . 所以漏洞挖掘的高手,他們并不是針對特定網站,特別目標去分析,他們的目標是主流的系統和應用。然后一旦有所成就,幾乎就等于手里掌握了可以橫掃互聯網的核武器。 在這種情況下,你去說黑掉幾個網站了不起,人家就只能呵呵了。

              攻擊應對策略:暫無 。不過也不用過于緊張,如果你不是特別特別有價值的目標,一般人不會用0day對付你。互聯網上有一次經典的0day攻擊事件,被一個商業安全公司捅出來的,目標直指伊朗核設施,實施者是誰你猜猜看?

              4、我輸入可信的網站地址,訪問的網站一定是安全的

              錯,DNS劫持可能讓你即便輸入了正確的網址,也會進入錯誤的網站。

              DNS劫持是一種常見網絡安全風險,但其實這里并不只有一種攻擊途徑,有很多途徑可以劫持

              從你的主機開始,病毒木馬可能會改寫你的電腦的host文件,或者改寫瀏覽器的鉤子,導致你訪問的目標網址被導向其控制者的手里。

              如果你的主機是安全的,不能保證你鄰居會不會用arp欺騙來干擾你。

              這里說句公道話,arp欺騙曾經猖獗一時,對網民上網帶來的傷害特別大,改寫host和瀏覽器掛鉤子也曾是中國互聯網常見的毒瘤,360崛起后這些東西從某種角度基本上沒有了(其實還有,一會說),我知道很多人討厭360,但這個事實還是必須承認的,

              當然,3721是瀏覽器鉤子的鼻祖。你的鄰居也安全,你訪問的就安全了?你上網是不是默認配置dns的,電信接入商耍流氓在中國太普遍了。 那么你強設了可信任的dns,你訪問網址就安全了? GFW的能力相信大部分人并不真正了解,為了本站的合法運營,此處忽略多個案例。

              剛才說道,某種程度上,瀏覽器鉤子和劫持不常見了,但不是真的沒有了,只是特別惡意的基本被遏制了,但是依然有一種常見的,而且極具中國特色的,大家見怪不怪早就習慣的劫持行為,你們如果使用ie瀏覽器,輸入錯誤網址或文字的時候,按照正常邏輯,應該是跳轉到bing的搜索頁,早前應該是msn的搜索頁,但是很遺憾,在中國你幾乎不可能看到這一幕,各種安全工具設置的瀏覽器鉤子早將這個訪問劫持了,僥幸沒有劫持,也會被電信運營商劫持。

              這就是我們最常見而又最麻木的dns劫持,這個原因是因為利益鏈,因為對用戶體驗來說不是危害,所以沒人覺得不對,不展開了。

              移動互聯網還存在假基站的問題,假基站在國內目前也很猖獗,能不能劫持DNS我不是很明確,但是偽造來電號碼是穩穩的,今天我還看到朋友圈有人說親戚收到移動官方發來短信,點過去鏈接操作結果被詐騙了幾千元,投訴移動沒有效果云云,我一看就是中了假基站的騙子短信。所以誤以為信息是官方發送的。移動上網其實也是存在風險的。

              此外,蹭免費wifi也存在dns劫持風險。

              5、百度,新浪這種公司是安全的,所以我在這里的帳號也是安全的。

              錯誤:彩虹庫和撞庫攻擊屢屢突破巨頭防線。

              解釋一下彩虹庫,社工庫

              還記得csdn爆庫事件么,很多很多很多論壇社區的用戶庫都被黑客入侵并拿到過,有些是明文密碼的被黑客100%拿到帳號密碼,有些僅僅做了md5的被80%拿到,有些做了md5+md5的也差不多被80%拿到,除了做隨機salt的幾乎都被破的七七八八。(密碼加密時的加鹽(salt)是什么)

              黑客們將彼此拿到的數據庫里的用戶名和密碼,合并在一起,就是社工庫,也叫彩虹庫。 這個庫的規模特別大,而且一直還在激增,實際上,社工庫的歷史特別的悠久,當你從媒體上看到的時候,已經流行了很多年了

              解釋一下,撞庫攻擊

              由于很多用戶習慣在多個網站用同樣的帳號和密碼,所以一旦A網站的用戶密碼透露,有經驗的黑客會去嘗試用同樣的帳號密碼去b網站嘗試,這就是所謂撞庫攻擊,新浪也好,百度也好,很多巨頭都飽受撞庫攻擊的侵擾,而且很多帳號密碼因此被泄露。

              我在大約七八年前的時候一個安全圈的朋友曾把我百度的帳號密碼發給我,讓我趕緊去改密碼,我大吃一驚,以為百度的帳號系統被入侵,后來詢問才知道是因為對方通過社工庫拿了我的帳號密碼,隨便一試就發現其實我在很多網站用的同樣的密碼,包括百度。

              應對策略:不同網站密碼保持不同;或者對高安全需求的網站強化密碼。

              我的密碼很復雜,別人一定不會破解,

              錯誤,獲取你的權限,其實未必需要你的密碼,通過找回密碼來暴力破解的以前非常常見。

              1:以前很多郵局都是有通過生日和回答問題來重設密碼,通過程序暴力破解生日(最多5分鐘)+猜測問題,是攻破很多小姑娘郵箱的絕招。

              2:騰訊出過一個案例,以手機短信驗證碼來重設密碼,但短信密碼只有4位數字,暴力破解只需要9999次,程序員輕松搞定。

              應對策略:驗證碼,而且是變態的驗證碼是防止程序暴力測試的重要方案。

              SQL注入和跨站腳本是獲取用戶權限非常常見的攻擊方式,流行超過15年,至今仍然廣泛可用。)

              其原理是程序員在編寫程序中對用戶輸入或瀏覽器傳遞參數校驗不夠嚴謹,黑客可以將可執行代碼植入到正常的輸入或參數中,導致程序員的代碼被改寫,其中SQL注入是改寫數據庫查詢腳本,跨站腳本是改寫瀏覽器的可執行腳本,但均可未授權獲得用戶身份并執行危險操作。很多巨頭在此跌過跟頭,至今不絕。

              某知名安全論壇管理員曾因為論壇程序不夠嚴謹,被人用跨站腳本發帖拿走權限。

              2000年左右的時候,SQL注入幾乎可以入侵一切用戶登錄系統。現在情況好多了,但并未絕跡。

              其他概念:嗅探偵聽,

              互聯網數據傳輸會經過很多設備,通過特定軟件截獲傳輸的數據,可能會包括很多的敏感信息,包括不限于網站登錄的帳號密碼,郵件帳號密碼等等。

              應對策略:http是明文傳輸,https是加密傳輸, telnet是明文傳輸,ssh是加密傳輸,很多明文傳輸的協議還有對應加密傳輸的協議,敏感的瀏覽和登錄行為盡可能使用加密傳輸方式。

              當然,加密傳輸也存在證書風險,中間人攻擊,這是另外一個話題,所以還是要裝好的瀏覽器和安全工具,如果提示證書可能有問題,還是要小心一點。(提示證書有問題不代表一定有問題,評估一下自己操作的敏感程度)

              世界上最大的嗅探偵聽都在政府手里,美國有棱鏡,中國有敏感詞。

              權限繞過

              系統對權限的授權判斷不嚴謹,被人繞過驗證獲得權限。

              說個例子,好像是windows98吧,具體版本不記得了,出了一個中文輸入法權限繞過漏洞,理論上你必須輸入帳號和密碼才能進入系統,但是輸入帳號的時候可以調用輸入法,輸入法有個幫助選項,打開幫助找詞條可以點擊進入瀏覽器,進入瀏覽器后就可以直接輸入c:\ 了,后面就一馬平川,你可以通過瀏覽器點開cmd命令,然后命令行執行任何操作,系統就完全在你掌控了。

              從整個操作流程而言,幾乎沒什么技術含量,就是一個設計漏洞,系統驗證就被繞過了。

              分布式拒絕服務攻擊

              用超過系統承受能力的請求,流量導致目標系統無法正常響應,實現攻擊效果。

              這里也包括非常多類型:

              針對協議弱點的攻擊,比如syn flood。實施成本特別低,追溯難度極高,曾經特別流行。

              針對流量帶寬的攻擊 針對應用程序的計算資源的攻擊 針對域名解析的攻擊, 六省斷網事件就不用解釋了。 ; 有段時間網易也被人打掛了半天,至今也沒個啥說法出來。你去看夢幻西游蘋果市場的暢銷榜,從沖榜到第一名開始,夢幻西游連續幾個多月一直是第一名,其中只有一天是第二名,就是那天,被人打掛了幾個小時。

              目前黑產這個領域規模特別大,以攻擊威脅收保護費是常見手段,據說很多p2p金融公司都交過保護費了。這個我也只能說這么多,理由很簡單,我真惹不起。

              緩沖區溢出

              漏洞挖掘的一個重要幾乎領域,原理是因為程序中對數據段的長度判斷不夠嚴謹,導致數據段超出內存數據區間,從而覆蓋代碼執行區間,如果數據中在溢出點處編寫了精心設計的代碼,黑客的這部分代碼就會以相關服務程序的權限執行,從而實現黑客目的。

              大部分系統級別的高危漏洞來自于緩沖區溢出,蘋果越獄的某些版本技術似乎也來自于緩沖區溢出技術的實現。但因為這個太技術化,可能普通用戶理解起來會比較困難。

              黑客入侵更多是一種思維方式,正常的程序員寫程序是認為用戶會正常請求和訪問他的系統,對異常的處理都是非常簡單的,而黑客的想法是偽造各種不正常的請求,欺騙系統,導致系統脫離其正常的執行流程,從而獲得黑客所期望的結果,比如獲取權限,或獲取資料。

              今天講這些以科普為主,面向感興趣的人員,技術名詞不展開,有興趣的可以去自行搜索。 其他一些名詞如APT,我自己也不是能解釋得很清楚,也建議自行搜索。

              電影里那些啪啦啪啦敲鍵盤試密碼的,都不是黑客,黑客沒那么SB。大部分入侵不需要去試密碼。需要試的人家用程序去撞庫。其他安全理念 基于社交網絡和公開信息,進行詐騙的行為越來越常見,

              個人建議如下

              1、不要太頻繁暴露個人行蹤,特別是有錢階級。

              2、不要過于頻繁暴露個人隱私。

              3、對一些可疑的信息要做多次驗證,特別是借錢信息,不是說不信任朋友,而是你要小心你朋友可能被盜號了。 很多人不在乎這個,覺得自己安全意識很高,不怕人騙,你的親戚朋友呢?你的父母呢?

              舉個例子:如果一個騙子,通過微博或微信朋友圈,知道你的行程,上飛機了,又知道航班晚點了,又知道你所在的公司和出行的目的,給你父母打電話,說是你同事,和你一起出差去哪里做什么,現在你出了車禍急需用錢進手術室,你父母第一時間反應,給你打電話,你在飛機上收不到,你父母又不知道航班晚點了,他們什么感覺?是不是會迫不及待的去給騙子付款!不要以為這樣的事情不會發生。 我之前沒少在朋友圈得瑟商務艙的旅程,但是我絕對不會在飛機出發前發這些照片,而一定是落地后甚至一兩天后。如果你想炫耀一些行程,我建議,留一些時間差。


              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6662507255428022788/

              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

               最新
              返回頂部
              十一选五奖金对照表