信息安全和我们的生活

发表于:2014-10-31 15:00 [只看楼主] [划词开启]
信息安全和我们的生活:

1、传统的信息安全范畴:
1)个人信息的安全:

对用户Cookie信息的跟踪在广告中的大量使用;

无数的自动爬虫会抓取你在Facebook、Linkedin、微博等社区关系信息;

微信朋友圈也在时刻泄漏你的个人隐私;

互联网的美妙之处在于你与每个人都能互相连接,互联网的可怕之处在于每个人都能与你互相连接;


2)病毒:电脑的信息安全,反病毒等;

360推出免费的杀毒,结束了混乱的灰色安全产业时代,但是它病毒引擎是第三方的:BitDefender


邮件的蠕虫病毒,还有U盘的病毒感染等问题;
3)金融安全:信用卡、银行卡、网上支付等等,钓鱼、木马、后门程序时时刻刻威胁你的金融安全;

以上都不是我们今天谈论的重点。随着互联网金融、智能设备、穿戴设备的加入让我们突然发现,所面临的信息安全的挑战比之前更大了。就在本月有幸参加了《XCon 2014&GeekPwn首届安全大会》,收获颇丰,今天和大家分享一下。

第一个问题:大会为什么会选择在10月24日开始呢? 1024字节


第二个问题:GeekPwn是什么:Hacker+美女+各种炫酷的设备 ?

GeekPwn是全球首个关注智能生活安全的极客嘉年华,是全球智能设备领域和中国安全领域最具权威性和影响力的活动。其中Geek意为“极客“,Pwn为“攻破设备或者系统”。GeekPwn字面意义为极客攻破新设备和系统。



1、智能手表:

360儿童安全手表:

活动当天现场成功演示了针对360儿童卫士的两个功能的攻破:第一个是敏感信息窃取,可以随时随地获得孩子的位置信息;第二个是自动把儿童卫士的手机客户端踢掉线,使家长失去和小孩的联系。

然而在选手挑战360儿童卫士2项目时,却出现比赛至今没发生过的状况,360儿童卫士的云端服务器“停服“了。原先选手要展示的功能漏洞不是被修复而是“消失”。






2、Tesla被远程控制:(汽车)


3、智能门锁、TP-link路由器、360安全路由器被相继攻破:


360安全路由器的攻破挑战,选手是来自上海的帅哥vmk,他同时将挑战对TP-Link随身Wi-Fi的破解

第三个问题:这个PWN掉TP_link的小伙子获得了大会的多少奖金?                 25万


4、Https不安全:
清华大学的段海新教授团队现身!为大家带来一个HTTPS协议设计的未公开漏洞展示!真的想请某些迷信“SSL加密就安全”的人来看看什么是不用木马、不用钓鱼实现让你的网银付款打到我的账户里;



来自清华大学的段海新教授发现了HTTPS(超文本传输安全协议)设计上的漏洞。段海新教授演示了三种利用这一漏洞的方法:第一种,在Gmail中伪装Gtalk好友。攻击者可以伪装成用户的Gtalk好友给用户发送借款信息。第二种,在中国银联中窃取用户绑定的银行卡。当用户在自己的银联账号里绑定银行卡时,攻击者可以让用户要绑定的银行卡绑定到攻击者的银联账号里,而用户完成银行卡绑定操作后,用户的银联账号里并没有绑定的银行卡。第三种,在支付宝中窃取用户网购时的付款。当用户在网上购物后付款时,攻击者可以让用户的付款转移到攻击者的支付宝账号中,而用户完成付款操作后,网上购物的付款并没有成功。

  这三种方法的实现条件是用户在公开网络下使用非加密的方式访问过普通网站。也就是说,用户只要有一次与攻击者共处在同一网络中,并且通过非加密的方式访问过普通网站,之后即使攻击者和用户不在同一网络中,攻击者也能完成攻击。


5、无线网络:wifi非常不安全,手机 3G、4G还可以,GSM的2G以下都不安全,SIM可以很容易被复制监听的:


6、关机窃听:

斯诺登爆料曾经爆料iPhone关机之后还可以被监听,在Android系统同样成立。细节:http://tech.sina.com.cn/t/2014-06-11/15289430959.shtml ;





互联网改变了世界,但是互联网带给我们的东西都是美好的吗?

事物总有两面性,互联网促进了信息流动,从而大大推进了事物的发展进程,提升了整个世界的效率;但是从安全角度,从前的可能并不突出的安全危害,不太广泛传播的安全问题也被成倍地加速、放大了。面对突如其来的信息安全威胁,我们做好准备了吗?

信息安全不是魔法,不是只有极少数人可以掌握的特异功能,我们只要稍稍花点时间学习就能掌握一些必要的知识,我简单总结了一些普通人也应该掌握的注意事项,希望可以帮到大家:


1、不要在网上保留自己真实的重要个人信息,尤其是一些管理运营比较差的网站;

2、不要每个网站都用一样的用户名或密码;

3、不要使用弱密码,最好使用符合安全规范的复杂密码;例如:123456789、111111、123456、a123456、test、生日等等;

4、重要的文件一定要加密,密码和文件最后分开提供;

5、定期修改自己操作系统和重要邮箱的密码;

6、离开电脑,锁定电脑,设定密码;

7、一定不要使用没有密码保护的WIFI;

8、公共电脑中不要选择保存口令;

9、如果你在停车场用遥控钥匙开车门时,突然发现附近有个手持笔记本电脑和天线的小子在附近,还是先去找保安比较好;

10、用3G、4G手机比GSM要更安全可靠;(真不是帮电信公司做广告啊

最后一条,魔高一尺,道高一丈,世界上没有绝对的安全,平时多了解些安全知识,总能用得着。


附录:

Hacker是一群怎么样的人?

如果把程序员比作练武之人,那么Hacker自然是其中的绝世高手。当前很多年轻人膜拜Hacker,模仿他们的行为和文化,我们应该如何看待他们这个群体呢?

我记得天龙八部中扫地老僧曾有相当精彩的这么一段话:


那老僧续道:“本寺七十二绝技,每一项功夫都能伤人要害、取人性命,凌厉狠辣,大干天和,是以每一项绝技,均须有相应的慈悲佛法为之化解。这道理本寺僧人倒也并非人人皆知,只是一人练到四五项绝技之后,在禅理上的领悟,自然而然的会受到障碍。在我少林派,那便叫做‘武学障’,与别宗别派的‘知见障’道理相同。须知佛法在求渡世,武功在于杀生,两者背道而驰,相互制。只有佛法越高,慈悲之念越盛,武功绝技才能练得越我,但修为上到了如此境界的高僧,却又不屑去多学各种厉害的杀人法门了。”

我相信每个人追求互联网安全的发展也必同理,否则依靠单纯靠一破坏和攻击的“奇技淫巧”,忽略是非善恶,道德修养和社会影响,很容易堕入魔障,成为地下黑产的祭品。因此个人非常佩服下列“德艺双馨”白帽子大师们:


最后一个问题来了:左边数第四位是谁? 



“……必须要承认的一点是,任何系统和设备都不可能不存在安全问题,关键是什么时候被什么人发现:越早发现和消灭,越好,被安全研究员发现和报告,比被人私底下利用来伤害产品的用户要好……”


疯狂的Jack:


2013年7月25日,世界著名白帽黑客Barnaby Jack在旧金山的家中意外身亡,年仅35岁。Barnaby Jack因让ATM吐钱的“Jackpotting”技术蜚声国际,他还发现了一系列厂商胰岛素泵的安全问题,对于汽车安全,他也有深入的研究。


2013年7月25日,世界著名白帽黑客Barnaby Jack在旧金山的家中意外身亡,年仅35岁。死因目前正在调查中,已排除谋杀的可能性。

所谓的白帽黑客(white hat hacker)是指掌握高超黑客技术的人,他们被一些安全公司聘请用来测试新系统是否存在安全隐患并给出改善建议。Jack目前就是安全公司IOActive嵌入式设备部门的董事。

2010年的黑客大会上,Jack演示了如何让ATM机吐钱,从而成为世界最著名的黑客之一,这项ATM“吐钞”的技术也被人们戏称为Jackpotting。

2012年,Jack发现了胰岛素泵的一些设计缺陷,黑客们可以利用这个缺陷在300英尺外控制这些设备,甚至将胰岛素提高到一个致命的水平。他用一个透明的人体模型、红色的液体和一个手持天线演示了这个过程。

在2012年4月Jack在接受BBC的采访时表示:“我并不想伤害任何人,因为这项技术很难重现。但是希望能够促使这些公司采取一些设备安全的措施。”

Jack的专业知识和生动的演示赢得了众多安全界专家的尊敬。在杰克的演示之后,ATM取款机厂家和银行曾试图解决ATM的漏洞,胰岛素泵厂商Medtronic也修改了产品设计。

2013年的黑帽安全技术大会(Black Hat)即将在拉斯维加斯举行,原计划Barnaby Jack将在8月1日进行一场关于医疗设备的演示:扫描30英尺内的心脏起搏器和心脏除颤器,覆盖其上运行的软件,并向他们发送高电压,致使其短路。

2006年,自美国食品和药物管理局批准了基于WIFI植入设备的大规模使用后目前有超过300万心脏起搏器和170万的除颤器使用者。 他本来准备告诉我们,这些无线植入设备是如何运行及通信的,以及目前这些协议的缺陷,同时他也将会提出一些改善建议。

Black Hat总经理Trey Ford说:“Barnaby Jack带有传奇色彩的人生和他所做的工作都是不可替代的。他把很多复杂的技术和研究变为了现实,每个人都可以从中学习和成长。黑帽安全大会上Barnaby Jack的演讲不会被替换,没有人能够取代他,我们将会留下这一个小时的时间,来纪念他的生活和工作。”




最后编辑于:2014-10-31 23:31
全部回复 (2)

  • 4

    点赞

  • 收藏

  • 扫一扫分享朋友圈

    二维码

  • 分享

课程推荐

需要先加入社团哦

编辑标签

最多可添加10个标签,不同标签用英文逗号分开

保存

编辑官方标签

最多可添加10个官方标签,不同标签用英文逗号分开

保存
知道了

复制到我的社团