Shell's Home

Jan 13, 2012 - 1 minute read - Comments

昨天那个事情的后续——也谈网络安全

安全无小事阿,昨天批评到一半,发现遇到李鬼了。尴尬,赶紧修正文章,不知道影响多大。

我们事后推理,问题可能是这样的。有人故意在赶集网上用别人电话发布信息,然后等你的电话被打爆。赶集网本身只允许举报手机滥用,而不支持座机举报。所以你会找客服电话,但是他们客服电话又找不到。他们做一下SEO搜索,或者直接买关键词。你通过搜索,找到的就是他们。你要取消,他们就要你汇保证金。保证金进去了,然后你就被骗了。

当然,文章本身的批评也算是成立,常规发布电话信息应当是先确认再使用的,投诉的系统也应该支持座机等方式。由李鬼客服的存在,你可以想见到底有多少人试图投诉电话被错误使用,在系统中又无法删除。

但是我要说的是,这个诈骗差点成功的关键原因在于——赶集网没有公布自己的客服电话。由于没有官方公布,因此使用搜索引擎搜到的根本是李鬼。当然,如果打官司,赶集网肯定是无责任的。但是,被骚扰过的公司都知道,真的到了这个地步,你会很烦,非常烦。我相信对百度恨之入骨的不少公司应该都知道我的意思——明明不是我的事情,脏水泼头上,客户在骂娘。

我更进一步看了一下赶集网这个网站,安全么?也不安全。别的不说,登录系统还是使用http,而非https。两者差异非常大。使用http的,只要通过一个恶意的网关,就可以捕获到用户密码。作为玩玩而已的网站,我觉得使用http也就算了。作为一个商业公司,登录系统不使用https,实在是有点不专业。至于投诉电话也是一个例子。如果你打算联系新浪,打开网页,拉到最下方,直接就有400电话,根本不用担心这个问题。

各个网络教材反复告诉我们,安全不是一个技术问题。实际上,安全是一个从最高层到最下面的意识问题。作为安全的头一步,首先你要告诉你的用户——你应当信任什么。

如果你的公司是一家实体公司,以电话业务为主。那么你的宣传要点可能就是电话,而网站的具体网址可能就是通过短信方式进行分发(至少要有这个功能)。这方面的例子有携程。而如果是一家网络公司,以网络业务为主。那么你的宣传要点就是你的网址。为了安全,我建议稍微做大一点的时候,就干脆点,把常见的拼写错误全买下来,省的李鬼入侵。你的地址,联系电话,都通过网络分发,而且要让别人找的到。

上面一段简单点来说,就是,一个主要的宣传方式,上面发布所有的可信联系方式。为什么?如果你不发布,就可能有李鬼进来。到时候再处理,就非常困难。

盗梦空间里面说过,要确认你在真实的世界,而不是梦境中,并不容易。现实中,要确认和你说话的人的真实身份,也不容易。通常来说,如果你问我借钱,我要给你钱,你都能在对话里面发现我会问你一些有点奇怪的问题。frank应该心领神会,他问我借卡的时候,我可是在敲定事情后直接抄起手机给他打了个电话。通常来说,IM可以被偷,但是电话没有道理一起被偷。即使被偷了,还能伪装声音,那我也认栽了。我现在还欠着钱没还的小一,某位报社编辑,还有我帮忙充过卡的老燕子。如果你们看到这篇文章,应该也能回想起我给你们相关信息时问过一些奇怪的问题吧。

这些问题,叫做背景知识验证,我在前面的一篇文章中提到过。背景知识验证的基础是你们拥有相同的知识。而对于一个网站,你没办法使用这个办法的。所以,为了防止李鬼,你要反过来,使用无知假定。所谓无知假定,就是,在你面前的人充分证明自己之前,没人知道他是谁。也就是俗称的《互联网上没人知道你是一条狗》。所以作为客户来说,不要轻易相信搜到的联系方式,最好用114。当然,114上如果没有,那也没有什么太好的办法。

另外昨天和42区的同学谈了谈,他说会警告赶集的朋友。毕竟李鬼的存在对正品网站是一种伤害。但是从现在来看,只能采取防御策略。具体什么策略,就看赶集网的计划了。不过比较有意思的是,昨天我们谈到李鬼的时候,说到“互联网人士也无法分辨”,他给了我一个例子。在淘宝被诈骗5.46万始末。我看完吓了一跳。千鸟是小米的信息架构,算是IT圈子里面的人,不能算外行。在购物的时候,也是小心又谨慎。即使如此,还是被骗了!这只能说一点,即使是内行,也不要仗着自己专业就放松警惕。

我仔细看了一下流程,主要能找到的问题有以下几个。不过需要提前说明的是,这些都是马后炮。很多事情我们知道不应该,但是真的都有避免么?如同我某篇文章说的那样,就是彻底的神经质了。

1.在不可信环境中消费。这是一切问题的根源。本质上说,应当把环境分为“可信”和“不可信”,并且在几个信任等级间架防火墙。可信机器可以通过虚拟机产生一个不可信环境(沙盒),但是反之不可以。同密级机器可以弱密码或无密码互联。高密级机器可以无密钥连接低密级,反之不行。

2.没有在发生问题的第一瞬间进行止损。对于大额支付(对我而言,1000以上统统叫大额),网银一旦提示成功,而支付宝里面没看到钱。第一瞬间反应绝对不是再来一次,而是直接敲电话给网银,然后是支付宝。绝对不要试图在支付失败问题没搞明白的时候再试验一次,就算试,最多也只能试一毛钱。

但是归根结底,这件事情轮到谁头上基本都是中招的,因为要管理的问题太多了。

反思了一下自己,我打算在自己的环境中推进几个事情。

1.重新设定防火墙,关闭不需要的服务和开放设定。

2.重整U盾,假定他可复制,因此需要使用特殊的保密环境进行支付。

3.对环境中的几台不可信机器进行行为监控。

4.定期读日志,尤其是异常报告。

5.关掉“仅使用手机动态密码支付”的选项。

PS.这篇文章不代表我支持网络实名制,但是我觉得应当让自己想实名制的人实名制。