Shell's Home

Dec 23, 2011 - 1 minute read - Comments

网络安全——你需要知道的东西

首先,我也不是专家,如果里面有什么错漏,欢迎补充。补充和转载请注明我的blog: http://blog.shell909090.org/blog/,我会根据你的发言在上面直接修改,没同步过去可不赖我。

要安全的使用网络/服务,你所需要注意的头两个问题就是你的安全级别和客户端的安全级别。对于零级密码,你随便在什么客户端上输入,都没有关系的。但是网银之类的最高级别密码,你不能在不可信机器上输入。什么叫不可信?别人的机器,你要相信这个人的技术和人品。自己的机器,你要在上面装了杀毒软件,没有执行过各种奇怪的程序/小游戏。这才叫可信的终端。如果你的密码在别人机器上用了,回来马上修改密码(不要在对方那里修改,没意义)。最好的方法,就是找一台旧电脑,专门装一个系统,装杀毒,用来使用网银和各种安全应用。别用深度定制版的操作系统,别人用过就重装。

当然,大多数的人都觉得,这样好麻烦啊。好吧,你可以无视这条规则——只要你对下面的各种病毒隔离和恢复措施做的够到位,对自己的技术够自信——至少我还没有这个自信。或者你可以认为我在危言耸听,彻底无视我的建议。大部分的情况下,你都是对的。这些事情都是徒劳的白做工。不过很低的概率下,你会中招——自己考虑。

其次,不要使用不可信的服务/产品。这条的执行力度自己考虑。一家公司,曾经做过流氓插件,你用不用他的产品?一家公司,曾经被央视曝光,你用不用他的产品?一家企业,敢于劫持客户的数据,将内容替换成自己的广告,你用不用他的服务?很多时候,我们都是别无选择,只能听天由命。不过当你有的选择的时候,尽量使用名声比较好的公司的产品。也许你觉得——这个不重要。好吧,Who care是最大的无力。

接下来,你要注意你的个人信息。被各个地方窃取使用个人信息已经很无奈了,你自己再爆出去就是无语了。你有没有在开心上公布手机号?有没有公布自己生日?有没有写自己的邮箱地址?有没有说过自己的家庭地址?这些信息都会被用于社会工程攻击,例如伪装你朋友的邮箱给你的邮箱写信,说借我二百。。。别笑,从开心上很容易收集这样的数据,伪装和发送也很自动。

后面一点对一些普通人可能比较困难——你要区分什么是可以信任的,什么是不可信的。下面的事情你权当笑话去听,是否照做自己判断。

1.来电号码是不可信的,来电无法验证身份,短信和电子邮件也不行。如果你的一个朋友来电或者发消息说让你干什么事情,认证身份的最低办法是打回去。更加通用和安全的方法是共同知识验证——哎,大学的时候,我们隔壁宿舍摔断胳膊那哥们当时干啥摔断胳膊来着?伪装者怎么知道TM那倒霉孙子胳膊是怎么断的?通常人人上也不会说这个吧——除非丢的正好是人人帐号。

2.传票是邮寄到家的,公安局找你都是上门或者通过街道。如果有人电话给你说是某法院/公安局,你不妨要他的电话和部门名称,然后打114查号,再打过去。通常情况下,不管也行——真有问题他们会上门找你的。

3.网站什么都不能说明,即使那个网站里面有所谓的标识。例如qq.c0m(假如这个注册的出来的话)不代表腾讯,这个上面有人说你中奖一点意义都没有。即使来源真的是qq.com,那也不代表事情是真的。同样,靠谱的方法是要他的号码和部门,114查证后打过去。

4.400电话打过去都不可信,你要是打一个400电话,和打一个民居没什么区别。对方有个声音很好听的小姐接听,还有——请稍等,我为您转接一位同事——也一点意义都没有。号码来自百度也没意义。

5.用114电话比用百度的好处是,百度给钱就可以瞎排,这个都上央视了。114目前我还不知道有什么竞价排名的东西,所以你找一个电话多数都是靠谱的。注意,这个不绝对。

6.手机这东西少借给别人,尤其是不熟悉的人。里面多个窃听器发信器你都不知道是谁干的。现实中没那么玄乎,也就是拿你的卡号申请动态令牌,申请前找你借五分钟手机而已。

7.软件怎么判别是否可信?通常来说,敢开源的都是比较可信的,毕竟里面干了些什么大家都看的到。闭源的软件和服务就看你是否信的过这家公司了。

8.对于别人推荐的玩意,尤其是朋友推荐的玩意,你最好确定一下确实是本人推荐的。即使是,我也保留的打开——技术上说,就是专门找台机器来运行。

9.有的时候,要敏感。你打给一家订票网站,他们需要你的身份证和信用卡号,给不给?实话说,这是个风险,而且不小。很多人的问题不是评判失误,而是根本没意识到这样做的风险。要知道,目前一代身份证还没有完全废弃,万一对方拿你的身份证号伪造了一张身份证,然后申请重置密码之类的事情。虽然能不能成两说,但是这两个号码同时泄露给一家网站总归是个风险。同样的还有携程——去年我曾经向他们的客户经理投诉,他们的电话语音系统居然要我人工报卡号,身份证之类的。我说如果是电话输入系统还好说,人工操作万一你的接线员记下来怎么办?这个你能保证么?今年大家打携程电话去看看?虽然我没有完全信任携程,但是电话系统比人工系统的安全性总是高那么一点点——除非他们故意在设计时捣糨糊,明明是电话录入系统,还是能让操作员看到全部卡号。

其实万千方案归结到后来都是八个字,多听多看,谨小慎微。会来看这篇blog的都是多听多看的,那么只要谨小慎微就好了。哪怕这谨小慎微有的时候显得有点小人和扭曲——不敢用别人的电脑上自己的帐号,不敢打开别人给的软件,不给别人玩自己的手机。到底多谨慎,看你自己觉得自己多重要。要是觉得一人吃饱全家不饿,就算全国密码泄露也与你无关。如果你觉得自己还是有点身家,有些该坚持的问题上还是要坚持一下。

最后说一点无奈的事情。即使你上面的事情全部做到,有很多事情还是无可奈何。例如携程的问题,他们有一个业务是只需要输入卡号后四位就可以订票,很明显,这是记录过全部的卡号才可以做到的事情。如果他们的数据库泄漏,攻击者是否就可以直接从中划帐呢?外推考虑这个问题,你会发现所有输入过信用卡号的公司,无论他们是否可信,你都要假定他们保存了你的卡号信息。所以事情就只能信赖银行的信用卡系统,包括大笔消费警告,未经手消费复核,先行赔付等等。只有消费后能够复核的信用卡公司,才是可以信赖的公司。

PS:

另外做一点广告。全国各家涉密公司,如果你们不希望你们的管理员/操作员随意接触高级管理帐号,希望能够审查谁接触过用户账户信息,你可以用我们的系统。http://www.shterm.com/。我们目前做的是堡垒机密码托管,除了一个最高管理者外,管理员都不知道自己使用账户的密码是多少。同时,访问过用户账户信息会留下无法清除的记录,事后可以审查。

注意:普通用户上这套系统没用!