*本文由TECH2IPO/創見 陳剛編譯
若想在黑客面前保證安全,你可以採取各種安全措施,然而並沒有什麼卵用。
一個月前,我得到了一份關於網絡安全的新工作。然後,我的個人網址被黑了,因為有些軟件我在兩年的時間裏都忘記升級了。這是一個非常明顯的漏洞,很容易封堵。這時候我就想:若想 100% 保證安全,我應該怎麼做?哪些應該做,哪些不應該做?或者,100% 安全完全不可能?
隨着黑客開始盯上了零售業和政府部門,探討這個問題非常有意義。黑客可以獲取個人隱私信息,如信用卡賬號和社交網站密保問題,甚至可以竊取一些機密的軍事信息。
走進在拉斯維加斯舉辦的一年一度的黑客大會 Defcon 是解答這個問題最好的方式。這是一個絕佳的測試場地,黑客們就是運動員。
不可能的任務:在 Defcon 保證安全
Defcon 活動的組織者早已警告到訪的記者現場的無線網「極有可能不安全」,所以我關閉了電腦和手機所有的網絡連接,甚至,我都不用自己的電腦。
這是在大會「侵入小白用户電腦的工具」環節我能保全自己最好的方式。不用説,我們絕大多數人是小白用户,包括我在內。
不可能的任務:在日常生活中保證安全
通過 WiFi 進行破解是大會的議題之一,但這不是被黑的唯一途徑。點開一個偽裝的郵件鏈接或者打來亂七八糟的廣告都有可能中毒,黑客可以通過這些方式向你的電腦注入惡意代碼,從而竊取文件,控制筆記本的攝像頭。
所以,如果我要保證足夠的安全,我應該徹底斷開無線網。安全專家稱絕大多數的無線網根本不安全,尤其是公共無線網。當你打開手機的無線網時,你的設備便不斷地連接最近的信號,就像一個好奇的幼鳥四處尋找,然後詢問每一個找到的信號:「你是我媽媽嗎?」而黑客就潛伏在四周,隨時準備捕捉這些信號。
但是在工作中不用無線網是幾乎不可能的事,在日常生活中也會帶來諸多的不便。但是我只有在家的時候才會打開手機的無線網。
同時,我也極力避免郵件攻擊。黑客們會發送一些看似合法的郵件,實則隱藏惡意鏈接指向虛假的網站。所以慎重打來不明人員發來的郵件。
但是做到這些就 OK 了嗎?遠遠不夠。最近Android系統曝光了一個名為 Stagefright 的安全漏洞,就算你不打開任何文件,也會中毒,只要你使用手機的文字信息就有安全風險。
那麼密碼呢?安全專家稱我應該為不同的網站分別設置不同的密碼。這太麻煩了,於是我折中選擇了兩步驗證的方式。在登錄的時候,我除了要輸入用户名和密碼以外,我還要用手機接受驗證碼,然後輸入正確的驗證碼才能成功登錄。所以,如果黑客要以我的名義登錄,就必須獲取我的用户名和密碼,還要黑進我的手機獲取驗證碼。
看來我已經做的足夠好了!
同時,我還升級了手機裏所有的應用和電腦軟件,每個軟件都打上了安全補丁。可如果遇上了「零日漏洞攻擊」又該怎麼辦?有些黑客可以利用安全公司不知道,甚至還沒有修補的漏洞。
而且,參加 Defcon 大會的黑客們早已經厭倦了這類基本的日常攻擊。在接下來的幾天內,我將了解到他們是如何黑進衞星、軍事導彈、醫療設備、汽車甚至沒有聯網的電腦。以色列安全研究人員已經成功地攻擊了一台從未連過網的電腦。
看來,要想保證絕對地網絡安全,我只能躲進法拉第籠了。所以網絡上的安全僅僅是相對意義上的安全,絕對意義上的安全完全不可能!
文章來源:CENT
資料來源:TECH2IPO
請按此登錄後留言。未成為會員? 立即註冊