2019年5月5日星期日
2014年2月22日星期六
云计算时代的个人网络安全保护
云计算时代的个人网络安全保护
2014年2月22日
22:48
中国人似乎总是对钱看得最重,支付宝安全不安全,在网上能吵翻天。但是在云计算时代,毁掉一个人的数字生活也足够损失惨重的。以前盗个QQ号最多去好友那里骗钱,现在可以删光你微云网盘里的文件,或者利用里面的私密文档对其它人进行攻击;从你QQ通讯录和微信里找到好友的联系方式,对他们进行下一步社工攻击。
仅此而已吗?其实还可以做更多
最近看了两个例子
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
https://medium.com/cyber-security/24eb09e026dd
我简要叙述一下被黑的哥们的遭遇:
第一个哥们的后果:损失了AppleID Google twitter amazon等几乎全部网络帐户。iphone和Mac被攻击者远程使用Find my phone抹去了所有资料。这算得上非常惨了――幸而黑客并不是为钱来打劫的,不然黑客可以做更多。第二个哥们同样丢了一串帐户。
我再简单说下黑客的路径:
在第一个故事中,黑客首先打电话给amazon,提供了姓名 email地址和帐单址之后,声称要添加一张新的信用卡。amazon不校验密码就通过了。然后,黑客再打电话给amazon声称email丢了,于是amazon要求提供信用卡号码以证明身份,就这样重置了amazon帐户的email地址。再用新的email地址重置密码,登录之后看到了原信用卡号后四位。再打电话给Apple,Apple不校验安全问题,仅仅通过信用卡号后四位和帐单地址,就允许黑客重置密码。然后黑客登进Apple帐户,抹了失主的所有资料。接着,因为失主的GMail绑定的安全邮箱是苹果的me.com,GMail也沦陷了,然后是其它帐户。所有这一切,仅仅通过打电话就搞定了。
第二个故事中,黑客给Paypal打电话,虽然没骗到paypal帐户,但是paypal接线员直接告诉了黑客信用卡号后四位。接着GoDaddy允许黑客仅通过信用卡号后六位就重置帐户密码。拿到GoDaddy帐户之后,修改了失主的域名的DNS和whois信息。而失主几乎所有的网站帐户都用自己的域名邮箱绑定,自然一并沦陷。
现在,Win8使用微软帐户登录,Android使用Google帐户登录,iphone/Mac使用AppleID登录。你的个人文件放在各种网盘里,手机上的各种流氓软件读取了你的通讯录。如果你遭到了攻击,最坏的可能性是什么?损失你所有的网站帐户,互联网上再没有你这个人;用你的敏感文件和照片对你要胁;甚至黑客直接获取你系统的最高权限,植入木马攻破网银支付宝轻而易举。用你这里获得的其它人的信息去给别人打电话,或者骗取别人的网络帐号。这非常可怕。
在上面两个故事中,被害人都没有丢失自己的密码。黑客并没有进攻防护严密的地方,而是从整个安全链条中最薄弱的一环切入。从他们的故事中,我们能得到什么教训呢?我试图按重要性的先后来谈谈
第一,注意保护好自己的个人信息,不仅仅是那些常用在密保问题里的信息(以上两个故事中,密保问题根本就没有发挥作用!),还包括你的姓名、email、住址、信用卡号(哪怕是部分)、手机号、身份证号等。
如果可能的话,在不同的网站使用不同的信用卡号、手机号、email,可以减少被攻击得手的可能性。
需要身份证号的网站,能不注册就不要注册。(比如说,一些需要身份证号预约领票的博物馆)
付款时,除常用的可信任服务外,能用支付宝/Paypal就不要用信用卡直接付,能用网银就别走VISA/MasterCard通道。
第二,不能给人攻破一个帐户就拿下全部帐户的机会。用A帐户做B帐户的密保,B帐户做C帐户的密保是极不可取的。更不可取的是用一个帐户做所有帐户的密保邮箱。(同样,也绝不能令所有服务仅凭手机就可以进入)
第三,最重要的服务(比如说你的微软帐户和AppleID)之间尽可能减少交叉。除了不能用它们互相做密保之外,最好密保邮箱都各不相同。
第四,最重要的服务,及它们的密保服务,一定要开启两步验证安全措施,不能允许仅凭手机或密保邮箱就重置帐户。(举例,这两个失主如果开启了Google的两步验证,就不会丢Google帐户了)
第五,安全性高的服务可以做安全性低的服务的密保,反之不允许。(举例,不能用域名邮箱做密保邮箱。因为GoDaddy帐户安全性低于GMail,用域名邮箱保GMail是本末倒置)
第六,访问重要服务时必须使用https等加密连接,证书验证出现问题时最好不要继续。
哪些是"最重要的服务"呢?我想,至少有以下几类:
可获取你设备控制权的服务:Google Microsoft Apple Amazon Motorola HTC等服务
存储大量个人资料的帐户:网盘(如果放有个人文档)、有通讯录读取权限的软件、可获取你位置的软件
涉及金钱的服务:支付宝、京东、amazon、Paypal
涉及业务的服务:域名注册商、公司/单位邮箱、服务器托管商
特别是,如果一个帐户具有以上前三方面的所有特征(比如Google Microsoft Apple Amazon)(国内的话,一些企业也在试图用一个帐户做所有事情),要给予能想到的最好的安全措施。
(不知道苹果的安全措施改善没有,如果仍然像故事中这样不堪一击,我建议大家都不要用苹果的东西。苹果不是互联网企业,iCloud显然也不具有企业级安全性。)
云计算时代是巨头挤压个人自由、隐私和安全的时代。这其中最用心不良的公司之一就是Google。浪潮已经来了,很难像RMS一样独善其身,完全不用这些服务。愿大家都能注意自己的安全――虽然我们在NAS面前都是裸的,但是总归增加一点虚妄的安全感吧。
2013年3月16日星期六
Win下的Unix子环境――SUA,从安装到设置入门
Win下的Unix子环境――SUA,从安装到设置入门
Windows往往被很多Linux爱好者鄙视。然而WinNT内核是一个强大的内核。完全可以用Unix的工作方式来玩Windows。早年的Win2k支持三个子系统:Windows、OS/2、UNIX。现今OS/2已经没人用了,但UNIX子系统仍然保留在Win7和Windows Server 2012当中,这就是SUA:Subsystem for UNIX based Applications。
由于SUA的存在,Windows已是一个POSIX兼容系统。这给我们带来很多好处:讨厌cmd的糟糕语法,想用Bash来控制windows?没有问题!在Windows和Unix-like系统之间互相SSH登录?没有问题!习惯了grep、sed、awk、vi、wc等Unix实用程序?更没有问题!
归根到底,UNIX模式是一种操作方式,一种较为高效的工作方式,一种在许多领域根深蒂固的使用习惯。只要符合POSIX标准,下面的内核到底是 Linux、GNU hurd、BSD还是WinNT,又有什么所谓呢?(注:这句话的说法其实不严谨,POSIX标准包含很多方面。Windows至少实现了在源代码和Shell等工具软件层面的POSIX兼容,对于一般用户已经足够。)
SUA适合以下这些用户:喜欢或被迫使用Unix-like工作环境,同时又有在Win平台下无法割舍的软件,觉得Wine和虚拟机都不尽如人意。或者仅仅是被Linux对自己笔记本糟糕的驱动支持搞毛了,不想风扇嗡嗡机身发烫。其实,SUA之外还是有些工具可选的,但可能你并不喜欢它们:玩过cygwin但讨厌它的效率低下和时不时出bug。MingW、Xmanager、putty都只是某个领域的专门工具而不能提供完整的Unix操作体验。
下面本文将简单介绍SUA的一些入门知识。由于我使用SUA的时间也不长,本文仅仅能起到一个简单介绍的作用,更多地是给自己的一份参考笔记,如果能引起读者的兴趣和让读者在尝试时少走些弯路,那就很好了。
SUA的优缺点:
相对于cygwin这样的第三方工具,SUA是官方原生子系统,高效稳定,与系统结合紧密。可以直接调用Windows下的程序,Win下的cmd也可以直接启动SUA下的程序(无需exe扩展名,只看是否有x权限)。然而SUA不能显示非ASCII字符是一个讨厌的问题(也许有办法,但我没找到)。由于挂载文件系统不归子系统层面,要支持EXT文件系统当然还得另想办法。也不直接支持Win的反斜杠路径格式,需要转换一下。
SUA的安装
打开系统功能
打开或关闭Windows功能
基于UNIX的应用程序子系统
重启
下载最新的SUA基本安装包
直接从开始菜单中给出的地址下载即可
不一定需要下64位的, 不过即使下64位的, 大部分程序也是32位的
必须以Administrator安装(否则无法使用su功能)
先在lusrmgr.msc里启用Administrator
再更改Administrator和自己用户的主文件夹(所有用户全改了更好)
属性-配置文件-主文件夹
不要改配置文件路径!
最好改成自己真正的home目录 C:\user\username, 否则ssh密钥什么的都会因为目录权限不够安全而拒绝创建。
不用此路径,则需要自己设置目录权限
安装的时候除了base包, 其它的原则上都不大需要, 因为都可以升级。全装也没坏处
有三个可选选项:SuToRoot和seuid必须要允许, 是否文件名区分大小写看情况
SuToRoot允许你使用su和sudo命令
文件名区分大小写之后,Windows下也会受影响,不喜欢就不用开
安装之后:
默认只提供Korn Shell和C Shell,没有Bash(会是因为GPL么?)UNIX基本工具软件一般都有,但版本较为古老。如果需要升级或者安装新的软件,请往下看。
提供gcc,但默认的CC则是Visual C++的cl.exe的一个ksh包装。使用CC之前需要安装VC。如果是VC6、7、8(2005)这三个版本,CC会自动从注册表中找到cl.exe的位置。如果用的更新一点的VC,则需要配置SUA下的PATH变量。使用上述老版VC,还可以安装VC上的SUA debug插件。
预编译软件包的安装
安装其它软件(分两种情况讨论)
一、仅仅自己手工安装几个需要用的软件:
安装包管理器
http://www.suacommunity.com/pkg_install.htm
下载bootstrap,在Administrator下安装(也可以su安装)
安装需要的软件
su或者直接进Administrator
pkg_update -L 包名称 #例如openssh
会自动分析依赖关系并下载所有安装包。
没有断点续传, 一断就挂, 断了只能ctrl c重来,网络环境不好的话让人想杀人
如果网络太差,可以考虑自己下载安装包,然后通过pkg_add命令来安装。
二、直接安装大而全的软件包:
http://www.suacommunity.com/bundles.aspx
一般来说PowerUsers bundles就够了,sudo等少数程序可以再自己装。
su或者Administrator安装
Xming可以用它提供的, 亦可以自己下载安装
装完之后再装sudo
pkg_update -L sudo
32还是64位?
64位bundles里面只有纯64位软件, 有部分软件没有提供纯64位版本, 故而没有包含在64位bundles中。这些需要自己手工编译或者安装32位bundles或者pkg_update来安装
杂
任务管理,及对Win程序的兼容性
由于SUA是一个子系统,和cygwin不同。cygwin是运行于Windows子系统上的一个程序,通过dll将cygwin环境中exe文件对Unix API的呼叫转化为对Win API的呼叫。所以很多地方和cygwin有较大差别。比如说,在Windows的任务管理器中,无法看到SUA下的各进程。SUA下的进程可以在SUA下通过 ps -A -X unix 来查看。
SUA兼容Win下的程序,可以直接启动它们。在cmd中也可以直接执行SUA中的二进制可执行文件(脚本文件不行)。
SUA不支持中文,不支持Windows路径(但可以通过 winpath2unix 或者chgpath来转换)
特别需要注意的是:但凡在Windows下没有特别设置过权限的文件,在SUA下权限都是777!这就意味着很容易误执行一个非可执行文件――后果是不可预料的。
openssh的安装配置
如果在前面已经安装过软件bundles,自然已经包含openssh。
如果需要将Windows作为ssh server的话,则需要设置Windows防火墙或其它防火墙。允许 %SystemRoot%\system32\psxss.exe 侦听22端口的TCP连接。
安全问题:
无密码的guest用户被禁止ssh登录――也许需要设置一下就可以?我不清楚具体该怎么操作,但是不管怎么说,这么不安全的事情不要干
X转发
执行X client程序首先需要安装一个X Server,,常用的是Xming(安装软件bundles的时候会问你要不要装Xming,也可以自行下载安装),也可以用其它的。
其次,SUA的ssh似乎有bug,在于――本地的所有hosts设置有时对ssh这个程序不生效!所以如果你默认的display是localhost:0.0的话,由于hosts文件不生效,无法解析localhost这个名称,将导致错误的结果。所以在执行ssh -X之前,请先export DISPLAY=127.0.0.1:0.0。
SUA提供xterm,也可以在xterm里执行ssh。
编码问题
SUA自己既然不能显示中文,SSH上自然也不能
但,如果远程主机使用GB2312编码,则SSH可以显示中文。
当然,用X转发的gnome terminal总是可以显示中文的,这是废话。
其它操作
注册表
lsreg命令可以查看注册表
2012年11月14日星期三
如何解决R不能安装package的问题
一个用于存放所有笔记和信息的位置
2012年9月12日星期三
Python下跨平台操作文件路径
一个用于存放所有笔记和信息的位置