2014年2月22日星期六

云计算时代的个人网络安全保护

 

云计算时代的个人网络安全保护

2014222

22:48

中国人似乎总是对钱看得最重,支付宝安全不安全,在网上能吵翻天。但是在云计算时代,毁掉一个人的数字生活也足够损失惨重的。以前盗个QQ号最多去好友那里骗钱,现在可以删光你微云网盘里的文件,或者利用里面的私密文档对其它人进行攻击;从你QQ通讯录和微信里找到好友的联系方式,对他们进行下一步社工攻击。

仅此而已吗?其实还可以做更多

 

最近看了两个例子

http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

https://medium.com/cyber-security/24eb09e026dd

我简要叙述一下被黑的哥们的遭遇:

第一个哥们的后果:损失了AppleID Google twitter amazon等几乎全部网络帐户。iphoneMac被攻击者远程使用Find my phone抹去了所有资料。这算得上非常惨了――幸而黑客并不是为钱来打劫的,不然黑客可以做更多。第二个哥们同样丢了一串帐户。

我再简单说下黑客的路径:

在第一个故事中,黑客首先打电话给amazon,提供了姓名 email地址和帐单址之后,声称要添加一张新的信用卡。amazon不校验密码就通过了。然后,黑客再打电话给amazon声称email丢了,于是amazon要求提供信用卡号码以证明身份,就这样重置了amazon帐户的email地址。再用新的email地址重置密码,登录之后看到了原信用卡号后四位。再打电话给AppleApple不校验安全问题,仅仅通过信用卡号后四位和帐单地址,就允许黑客重置密码。然后黑客登进Apple帐户,抹了失主的所有资料。接着,因为失主的GMail绑定的安全邮箱是苹果的me.comGMail也沦陷了,然后是其它帐户。所有这一切,仅仅通过打电话就搞定了。

第二个故事中,黑客给Paypal打电话,虽然没骗到paypal帐户,但是paypal接线员直接告诉了黑客信用卡号后四位。接着GoDaddy允许黑客仅通过信用卡号后六位就重置帐户密码。拿到GoDaddy帐户之后,修改了失主的域名的DNSwhois信息。而失主几乎所有的网站帐户都用自己的域名邮箱绑定,自然一并沦陷。

 

现在,Win8使用微软帐户登录,Android使用Google帐户登录,iphone/Mac使用AppleID登录。你的个人文件放在各种网盘里,手机上的各种流氓软件读取了你的通讯录。如果你遭到了攻击,最坏的可能性是什么?损失你所有的网站帐户,互联网上再没有你这个人;用你的敏感文件和照片对你要胁;甚至黑客直接获取你系统的最高权限,植入木马攻破网银支付宝轻而易举。用你这里获得的其它人的信息去给别人打电话,或者骗取别人的网络帐号。这非常可怕。

 

在上面两个故事中,被害人都没有丢失自己的密码。黑客并没有进攻防护严密的地方,而是从整个安全链条中最薄弱的一环切入。从他们的故事中,我们能得到什么教训呢?我试图按重要性的先后来谈谈

第一,注意保护好自己的个人信息,不仅仅是那些常用在密保问题里的信息(以上两个故事中,密保问题根本就没有发挥作用!),还包括你的姓名、email、住址、信用卡号(哪怕是部分)、手机号、身份证号等。

如果可能的话,在不同的网站使用不同的信用卡号、手机号、email,可以减少被攻击得手的可能性。

需要身份证号的网站,能不注册就不要注册。(比如说,一些需要身份证号预约领票的博物馆)

付款时,除常用的可信任服务外,能用支付宝/Paypal就不要用信用卡直接付,能用网银就别走VISA/MasterCard通道。

第二,不能给人攻破一个帐户就拿下全部帐户的机会。用A帐户做B帐户的密保,B帐户做C帐户的密保是极不可取的。更不可取的是用一个帐户做所有帐户的密保邮箱。(同样,也绝不能令所有服务仅凭手机就可以进入)

第三,最重要的服务(比如说你的微软帐户和AppleID)之间尽可能减少交叉。除了不能用它们互相做密保之外,最好密保邮箱都各不相同。

第四,最重要的服务,及它们的密保服务,一定要开启两步验证安全措施,不能允许仅凭手机或密保邮箱就重置帐户。(举例,这两个失主如果开启了Google的两步验证,就不会丢Google帐户了)

第五,安全性高的服务可以做安全性低的服务的密保,反之不允许。(举例,不能用域名邮箱做密保邮箱。因为GoDaddy帐户安全性低于GMail,用域名邮箱保GMail是本末倒置)

第六,访问重要服务时必须使用https等加密连接,证书验证出现问题时最好不要继续。

 

哪些是"最重要的服务"呢?我想,至少有以下几类:

可获取你设备控制权的服务:Google Microsoft Apple Amazon Motorola HTC等服务

存储大量个人资料的帐户:网盘(如果放有个人文档)、有通讯录读取权限的软件、可获取你位置的软件

涉及金钱的服务:支付宝、京东、amazonPaypal

涉及业务的服务:域名注册商、公司/单位邮箱、服务器托管商

特别是,如果一个帐户具有以上前三方面的所有特征(比如Google Microsoft Apple Amazon)(国内的话,一些企业也在试图用一个帐户做所有事情),要给予能想到的最好的安全措施。

(不知道苹果的安全措施改善没有,如果仍然像故事中这样不堪一击,我建议大家都不要用苹果的东西。苹果不是互联网企业,iCloud显然也不具有企业级安全性。)

 

云计算时代是巨头挤压个人自由、隐私和安全的时代。这其中最用心不良的公司之一就是Google。浪潮已经来了,很难像RMS一样独善其身,完全不用这些服务。愿大家都能注意自己的安全――虽然我们在NAS面前都是裸的,但是总归增加一点虚妄的安全感吧。

发帖者 时间:

1 条评论:

  1. 二狗2014年8月4日 01:34

    在这个所有数据都用网络保存的年代,大家要注意安全了!

    回复删除

订阅: 博文评论 (Atom)