显示标签为“VPN信息加密”的博文。显示所有博文
显示标签为“VPN信息加密”的博文。显示所有博文

2016年8月11日星期四

去现场观看里约奥运会,要当心公共WIFI的安全性

到里约观看奥运游客要注意了,除了人身安全问题之外,也要当心公共WIFI的安全性免费WiFi几乎成了现代人社交必备的工具,今年8月5至21日里约奥运期间,全球将有超过1万名运动选手参赛,预计有逾50万粉丝和观众抵达现场为他们加油。在奥运场馆周边一共设置有超过4,500个WiFi热点,供民众使用。



目前针对奥运场馆周边网路安全性进行评估,发现其中18%是没有加密保护的,很容易被骇客入侵。另外7%使用WPA个人加密(WPA-Personal encryption),但这是过时的加密方式,通常也很容易被骇客破解。

旅游在外时,国际漫游网路通常很贵,临时需要上网查资料或是想将旅游照片上传社交软体时,如果能找到免费WiFi就可以大大降低网路费用,同时WiFi热点多就更加方便。但是必须注意的是,使用WiFi时会不会遭到骇客窃取个资。

免费的网路很方便,但是享受方便的同时,也可能容易遭到骇客攻击,现今的骇客已经拥有先进技术,例如他们使用嗅探器(Sniffers)进行监控,在网路传输时,拦截和解码数据,无线嗅探器就是专门为了在无线传输时,进行拦截资料而设计的。奥运场馆里的所有人同时使用免费WiFi,对于想要窃取个资的骇客而言,根本就像发现一座大金矿一样。

骇客常用的一种手法,就是把自己设成热点,让WiFi使用者透过他来传输资料,包括信用卡资讯、email信件和其他可能传输的隐私个资,这是一件骇客很容易就可以做到的事情,因为设置热点并不需要身分验证。

因此,对参观游客而言,最简易有效保护个资的方式,就是使用VPN,一旦使用VPN,就可以在网路和使用装置之间,产生一道信息加密手续,隐藏使用者的IP位址,达到安全作用。全球越来越多人开始使用VPN加强网路安全,而VPN普及率很快就会像上网人口一样多。

相关阅读:

2016里约奥运会篮球比赛直播观看方法

2016里约奥运会中国夺金点全解析,可用过CCTV5在线观看

在国外用CCTV看2016巴西奥运会网络直播

免费VPN和付费VPN对比

2017年最好用的VPN软件推荐



2016年7月31日星期日

阿联酋:用VPN翻墙最高被罚款54.5万美元

近日,阿联酋总统签署了一系列与IT犯罪相关的新法律,其中就包括限制使用VPN加密Web流量,说白了就是“翻墙”访问被屏蔽的网站和应用服务,例如WhatsApp、QQ和微信、Skype等。



这项新法律规定,任何人出于欺骗性目的使用VPN或代理服务器将面临13.6万到54.5万美元罚款。所谓的“欺骗性目的”就是使用VPN绕过封锁访问被屏蔽的网站和服务。这些被屏蔽的应用都支持 Voice over IP技术,可以免费发送语音信息,而这种免费服务会影响当地移动运营商和商业VoIP服务的收入。
世界很多国家都对互联网有不同侧重点的管控机制,目的在于结合本国国情优化对当地民众的服务。从阿联酋的情况来看,该国默认发送语音消息应该是收费的,而且这可能是运营商的主要收入来源之一,所以类似于微信和美国WhatsApp之类的应用当然就不能被允许使用,因此能够绕过封锁的VPN技术也同样被列入禁用名单,建议游客注意相关规范,谨慎使用,不过到很多有IP限制的国家和地区,还是可以借助VPN翻墙后代理正常的与这个世界保持联系的.


相关阅读:

在安卓设备上设置新加坡、马来西亚、日本、香港免费VPN

安卓手机翻墙到中国大陆最好的VPN工具

任何时刻,用VPN与这个世界安全保持联系

度假也需要注意信息安全,VPN来保障




2016年5月16日星期一

McAfee:WhatsApp的端对端加密已经被我破解

WhatsApp最近正式全平台启用了端对端加密功能,理论上这意味着即黑客使黑入了用户所处的网络,但面对加密后的信息也是无计可施。当然,世上没有不透风的墙,终有一天会有人找到破解办法。不过万万没想到的是,这一天来得是如此的快。



  根据Cybersecurity Ventures报道,John McAfee以及他带领的团队表示已经成功破解WhatsApp的加密系统,这意味着他们能顺利阅读用户间传输的内容。不过值得注意的是,当前受影响的仅仅至少Android版WhatsApp应用。
  McAfee表示,问题不在于WhatsApp本身而是谷歌的Android系统。他声称他和团队一起发现了Android版WhatsApp有一个“严重的设计漏洞”,该漏洞允许访问Android设备上的任何文件,包括加密后WhatsApp消息。
  由于McAfee是出了名的怪癖,因此目前尚且无法判断这番言论的真实性。值得一提的是,McAfee还指出他将公开向谷歌和WhatsApp对话以解决这一问题,并且称他不会收取任何费用。

相关阅读:
为什么网络数据会被泄露,财产不翼而飞?
如何确保Android设备的安全性?
2016年最佳隐私保护工具:安全、突破封锁和提速VPN


2016年5月12日星期四

Hacking Team黑客公司也会被黑?世界没有绝对的安全

Hacking Team是一家专注于开发网络监听软件的公司,他们开发的软件可以监听几乎所有的桌面计算机和智能手机,包括Windows、Linux、Mac OS、iOS、Android、Blackberry、Symbian等等,Hacking Team不仅提供监听程序,还提供能够协助偷偷安装监听程序的未公开漏洞,真是全套服务。不过最近却传出这家传奇的黑客公司信息遭盗窃的消息,黑客也会被黑,果真世界没有绝对的安全,网络世界也是相当的混乱的。Hacking Team的客户不乏各国的执法机构,甚至包括了联合国武器禁运清单上的国家,不愧为新时代的IT军火供应商。搞笑的事情发生了,在我们的印象中,军火商都应该是荷枪实弹、戒备森严的,可是Hacking Team的老板一觉醒来,却发现自己的军火仓库和帐房被偷了个底朝天。





  Hacking Team被盗了什么?

       简单来说,就是军火库、帐房和衣橱都被洗劫了:
  1.各种平台的木马程序(含源代码)
  2.协助各种木马植入的未公开漏洞(0day)
  3.大量电子邮件,包括各种商业合同
  4.Hacking Team内部部分员工的个人资料和密码
  5.其他资料,包括项目资料和一些监听的录音


  Hacking Team为什么会被黑?

  其实Hacking Team并非第一家被黑的"网络军火"公司,去年英国的另外一家监控软件公司Gama也是同样被黑。而一年之前,另一家科技监控公司Finfisher遭遇了同样方式的黑客入侵,泄露400GB的内部文件。"网络军火"业务一方面游走在法律的边缘,虽然能满足一部分执法部门的需求,但也非常容易被滥用,从而容易引发其他国家和一些组织的敌视。有消息显示,目前HT被部分政府部门用于监听记者信息系统。此外,作为一家以网络监听为主营业务的公司,在自身的信息安全防护上如此大意,也是本次事件的重要起因。
  

     Hacking Team被黑的前因后果

 首先,Hacking Team的系统管理员疏忽大意导致个人电脑被入侵。
正常情况下,系统管理员用来进行维护的电脑应该和办公电脑隔离,并且不要轻易接入互联网,但是Hacking Team的系统管理员显然是在同一台机器上既进行公司的IT系统管理,还访问互联网,甚至用来管理个人的视频和照片,这就给了攻击者渗透入侵的机会。
  其次,系统缺少严格的身份认证授权使得攻击者顺藤摸瓜进入内网。安全防护级别较高的网络,并不会简单地对某个设备进行信任,而是采用“双因素认证”来双重检查访问者的身份,而Hacking Team显然并没有这么做,这使得攻击者在控制了管理员的个人电脑后,无需经过再次认证(比如动态令牌),就可以访问Hacking Team的所有资源。
为了防止数据泄密,有较高安全级别的组织一般都会采用数据加密技术,对敏感程度较高的数据进行防护,这些数据一旦脱离了公司内网,就无法打开,但是本次泄露的数据均为明文,说明Hacking Team几乎没有采用数据加密手段去保护合同、客户信、设计文档、攻击工具等。
上述的所有疏忽导致了今天的结局,中国有句俗话:终日打雁,反被雁啄了眼。这句话用来形容Hacking Team再适当不过了。


  Hacking Team失窃会产生哪些影响?

本次Hacking Team泄漏事件的后果十分严重,过去无论是漏洞还是病毒木马,在互联网上的传播都是小范围的,白帽子黑客固然会严守职业道德,在厂商提供补丁前尽可能不公布漏洞细节,黑帽子也只是在地下圈子内进行漏洞交易,有点像:人人都曾经听说过黑火药的配方,但要制作出军用炸药还遥遥无期。而此次事件一下就把已经工程化的漏洞和后门代码全部公开了,等于数万吨TNT炸药让恐怖分子随意领取。
1.首当其冲的是普通用户,本次泄露包括了Flash player、Windows字体、IE、Chrome、Word、PPT、Excel、Android的未公开漏洞,覆盖了大部分的桌面电脑和超过一半的智能手机。
这些漏洞很可能会被黑色产业链的人利用来进行病毒蠕虫传播或者挂马盗号。上述的漏洞可以用于恶意网站,用户一旦使用IE或者Chrome访问恶意网站,很有可能被植入木马。而Office Word、PPT、Excel则会被用于邮件钓鱼,用户一旦打开邮件的附件,就有可能被植入木马。建议大家安全类软件对自己的设备进行检测并进行数据加密,比如手机VPN以及电脑VPN软件等。
2.本次泄露的各平台的木马后门程序,会把整个灰色产业链的平均技术水平提高一个档次。
例如全平台的监控能力,以及对微信、whatsapp、skype的监控功能等等。在此次事件之前,灰色产业链的软件工程能力并不高,木马以隐藏为主,但是界面友好程度和易用性都还有很大的差距,但是本次事件后,任意一个木马编写者都可以轻易地掌握这些技术能力。
3.掀起一波清查恶意软件后门的行动,相关的信息安全公司和国家政府职能部门会对PC、智能手机进行清查,同时对Hacking Team的服务器进行扫描定位,也会进一步排查各种应用程序市场,智能手机的安全会引起大家的进一步重视。


  普通用户如何做好防范?

1.跟踪此次事件的发展,各厂商发布补丁后及时升级。在没有安装相应补丁前,暂停使用相关的应用和插件。(例如,暂时删除或者禁用Flash Playe)
2.无论是手机还是电脑,暂时不要访问不可信的网站(因为本次泄露的0day中有针对浏览器的攻击方法),暂时不要用公开的Wi-Fi,也最好不要暴露在公网上,将手机连接到电脑要慎重(Hacking Team提供了利用企业证书植入智能手机的木马程序),对第三方发送的邮件附件,要谨慎打开(本次泄露涉及到Office Word、excel、ppt的漏洞利用),建议使用信息加密安全的VPN代理工具。

您可能感兴趣:
XCode手机病毒威力大,iOS和Android先后中招!
苹果iOS9会泄露你的生活隐私数据吗
度假也需要注意信息安全,VPN来保障



2016年4月25日星期一

解析网购订单信息泄露的秘密,不只是商家贩卖

相信很多人都曾面临过自己的订单信息泄露引起的诈骗或者骚扰电话、典型的机票改签骗局、订单退款骗局等等。每次大家都很愤怒的认为电商平台在出卖自己的信息,然而事实上是怎样,在看下面的文章之前你可能只是觉得个人信息被贩卖或者物流泄露,其实要了解订单究竟从哪里泄露的,要看整个产业的流转情况。我们下单买一个东西,大体上要经过商家、电商平台、物流、最后到达用户手中,所以这四个环节都有可能产生订单信息泄露的问题,今天就从多个角度来看看我们的网络信息到底是什么时候被泄露的呢?


一、商家环节


商家和电商平台在有些时候是一个,但在中国是有很多第三方卖家的。例如你在某宝买充气女朋友,某宝是平台,而卖家可能是福建一个批发街上的小铺子。也就是自营和第三方商家的区别,一般来说我们认为自营的安全性比较高,而第三方商家则参差不齐,存在较大的风险。
在实际工作中,我们也统计过案例,实际上看到的数据,商家确实是订单泄露最主要的原因。但这只是基于我们自己的数据来看。商家信息泄露表现比较突出的有五种原因:

1、内部倒卖。内部员工倒卖订单数据分为两种情况,一种是内部员工行为,另一种则是黑产打入的行为。先说内部员工行为,一个小型商家对员工的录用,大家可想而之是个什么情况。不在乎学历,不在乎背景,只要有点经验即可,而且待遇也比较低,员工流动也大,因此面对一些诱惑,很容易去倒卖数据,卖了几批数据后就跑路换个其他公司接着做。还有一种是黑产打入,黑产直接派一些人去应聘,然后拿数据,也是干一阵就跑。
对付这种倒卖行为,要求商家去加强员工入职管理和权限管理,但对于这么小的商家,可能只有三五个人的商家,很难谈得上什么管理,更谈不上所谓的权限控制。一个大的平台,可能会有几百上千万大大小小的商家,这个管理难度不亚于治理一个国家了。一个稍微可行的办法是,要求所有商家的员工入职前统一上传身份证照片,然后建一个库,对发现这种行为的打上标记,禁止进入,只不过,这仍然取决与商家的管理水平,你可以想象得到,商家会随便应付一下。但至少比没有要好一些,能形成一些震慑力。

2、木马病毒。商家的员工有时候会接待一些声称有大订单的人物,订单包括多种需求,所以会需要员工接收订单文件,又或者发给员工一个链接,而木马病毒就在这里了。木马和病毒会潜伏下来监控员工电脑操作,获取订单软件系统信息的帐号密码。之前我们也反复教育过商户,不要使用QQ、邮箱之类的接收来历不明的文件,但是面对这个群体,你能想到这种教育的效果。我们也曾经考虑过,给商户的电脑统一安装我们自己开发的杀毒软件,但这是一个很大的工程,木马病毒又会不断变形产生对抗,等于要成立个防毒软件公司了,。

3、三方工具后门。在线销售会需要一些系统的支撑,比如仓库管理、订单管理、面单打印等,市面上也有各种公司提供这一类软件,这种软件水平也参差不齐。有的直接就是黑产这种人开发的,目的就是窃取订单信息。还有的属于安全能力薄弱,有一些漏洞可以被利用,但是单一的某个软件漏洞还不够可怕,现在很多公司为商家提供一揽子服务,订单系统的服务器都在云上,一旦突破就是一个大群体订单泄露。所以针对这个情况,我们做了两件事,一是要求所有的软件系统都必须经过我们的安全测试,否则不给接口,在这一关做一层控制,但这也还不够,因为有些比如快递打印系统,是不需要直接调用我们的接口的,另外即使做了代码的检查,也仅仅是软件级的,出现事件后无法追溯到底哪个环节出了问题。所以我们又建了个云服务器区,建议商家和软件提供商迁移到这里来,这样一旦出了状况,我们能通过日志分析查找根源。

例如曾经有段时间比较流行的某订单打印软件,按正常功能,应该是能够同步我们的平台和物流公司。但在出问题的那几周,物流公司反馈无法同步到订单打印信息,而欺诈分子就会利用这个时间进行电话欺诈。根据这个疑点,我们停用订单打印软件后,这家店铺的客户订单欺诈明显消失。

4、弱口令。我们会给商户提供一个在线的订单管理平台,再加上商户自己用的平台,都会存在弱口令问题。所谓弱口令并非是指123456这种,而是由于商户员工的流动性,离职后密码没有修改造成订单信息被窃取。我们也曾考虑过做短信校验,但短信校验码就需要绑定手机,给一个公司的人绑定手机存在着实际的操作困难。后来我们采用了证书机制。但这也只是解决了自有平台的问题,商户自用平台还是存在口令泄漏。在排除法上,一旦出现订单信息泄露反馈,立刻修改密码,由此来判断是否是由于口令问题引起。

5、无线与监听问题。很多公司都用的是小型家用无线路由器,这种路由器一是默认密码不修改,二是自身有漏洞。这样黑客就可以采用DNS中间人、网络监听流量等手段获取网络流量信息。这种情况下,改系统密码、上云服务其实都没有用处,但最重要的问题是难以发现。商户完全不具备这种被攻击的发现能力,除非我们做一款硬件安全路由分发给商户。

商户这端的风险,主要是由于商户IT水平、管理水平较低造成,另外分散在全国甚至海外。所以如果要完全解决商户端的风险,就几乎意味着我们要替商户包办一切,从软件系统到杀毒软件,从无线路由再到人员管理,事实上对于一家电商公司来说,是几乎不可能完成的任务。

二、用户环节


用户自身的问题属于第二个比较突出的问题。能在这里看这篇文章的,对自身的安全都有防范意识,但对于小白用户,这就是一个比较突出的问题。而且订单信息泄露最终的受害者也是用户,如果安抚不好处理不当,就会吃官司。
用户这里比较突出的是问题:账号被盗、木马病毒、钓鱼、无线网络。

1、 账号被盗。这个很容易理解,不解释了,值得一提的是目前主要是撞库。撞库这个事情,稍微有点技术实力的电商都会用各种手段来防御,比如设备指纹、IP判定等防扫号。

2、 木马病毒。主要是手机端的比较突出,去年下半年一段时间,我们发现接近70%的订单信息泄露是手机用户。我们密集调研了受害用户,发现在手机上确实存在安卓远控类软件,但种类十分繁多。所以我们在APP上增加了一些安全的功能,比如手机VPN,现在有专门的VPN软件,比如iPhone VPNAndroid VPN软件。对其中一些数据做了特殊加密,对启动环境进行了判断。

3、 钓鱼,伪基站钓鱼是一种。另外是社工类的钓鱼,冒充客服打电话、兼职招聘收集用户信息等,其目的也主要是为了得到账号。

4、 无线,主要是伪热点收集信息。

用户这的问题都比较容易理解,但对用户端问题的解决则是一个很大的工程。这些问题的解决分为我们可以掌控的和不能掌控的。对于账号被盗、木马病毒,基本上我们还可以提供对应的解决方案。但是,通常用户不会理解这里的问题,总是将责任归于电商平台。会产生投诉,甚者会产生司法纠纷。所以对用户的投诉处理要慎重对待,某些特殊用户可能要先行赔偿,出现危机要有公关处理。

三、物流环节


物流端其实也和商户一样,但是结构上会简单一些。主要风险两个:
1、 内部倒卖。有倒卖系统数据的,但更多的是倒卖物流面单,倒卖物流订单的特点是地域化比较集中,通常是某个门店,所以很容易归类发现。而且主要集中在一些代理加盟的物流点,管理比较松散。

2、 系统漏洞。关于系统漏洞大家见得就多了,我印象中几个大的物流公司都有出过问题,攻击者可以直接从系统上捞取物流信息。
对物流公司的泄露,一是宣传教育,二是专项打击,配合公安几轮打下来,他们就会引以为鉴。这里有一个判断因子,有些情况下,订单还没有到物流侧,用户就接到了诈骗电话,所以在调查的时候要问清楚。

四、电商平台


从电商自己来说,泄露订单完全没有意义—我是指正规电商,不是那种骗了钱就跑的。买卖这些订单其实赚不了什么钱,还会对形象造成重大打击,带来无穷的麻烦和官司,完全得不偿失。所以从根本上就不会想通过这种方法赚钱。
平台端我碰到的问题主要分为两类,内鬼和系统漏洞。但内鬼里面最突出的问题是外包,所以我单拿出来说这种问题。

1、 内部员工作案。一个电商的业务系统,能够接触到用户订单的人实在太多,从客服到技术,到数据平台,前端等都有机会接触。内部员工的管控相对比较容易,一个是匿名化处理,所谓匿名化处理,就是对关键用户信息进行匿名或模糊处理,即使员工接触到也无法联系对方,或必须通过系统联系对方。再一个是操作监控,如果要偷拿订单信息,必然是批量化,而不是个别单一订单,从统计上就可以做一些规则预警。还有一个是加强警示教育,一旦发现,从重处理绝不姑息。内部员工作案的几率比较低,但一旦出事就是大事,所以这部分能够在自己掌控的地方要处理好。

2、 外包员工。外包员工的作案大家在媒体上也屡见不鲜,外包的应用系统开发、基础架构的维护、客服是这里需要重点看的问题。安全部门要介入外包管理,从最开始的立项就要保证外包无法接触到敏感数据。我们对外包除了在立项阶段,还进行现场调研,确定外包公司的环境能够满足我们对安全的要求,并且不定期抽查,抽查一定会让你有惊喜。

3、 自身的系统漏洞。这里我要提的几个点,一是主要漏洞:防扫号、SQL注入、越权/遍历问题、搜索引擎爬取,对这一类漏洞的防范,就看企业的基本功了,生产新上线的系统有没有经过代码审计、渗透和扫描。另一个要说的是,其实主站问题大家都比较重视,但有很多后台支撑系统,各种问题五花八门,当企业做大以后,后台支撑系统出的问题不比主站少,这就要清理回收支撑系统,该放在内网的收到内网,该关的关,该改的改。 

总结
1、 订单信息泄露的渠道多样,有很多渠道不在电商安全人员的掌控之内,原则上是自己能够把控的环境,一定要控制好。
2、 控制不到的地方,要想办法延伸服务,国内三方商家的发展也刚刚开始,不可能做到十分规范化的操作。这时候安全人员要从技术上做一些辅助工具来协助三方商家,而不是一味地指责。在这种延伸过程中,可以壮大安全部门,提高安全人员的能力,做得好,还有可能赚一些服务费。
3、 重视日志、环境数据的收集。在应急的时候,日志是泄露量判断的主要来源,也是攻击手法判断的主要来源,没有这个,丢人都不知道丢多大。再一个环境数据是指用户侧、三方商家侧,用了哪些软件、地域信息、商品类目、与谁合作都需要纳入,因为很多事件不是在短期内能够判断清楚的,把一定量的用户或商家订单泄露归并起来,就能从环境数据上找到共同点,从而重点突破。
4、 排除法。短期内要判断问题,可以从排除法下手,一个软件一个软件的停,然后看效果。
5、 综合解决方案。所有的订单信息泄露引起的诈骗,有一个点至关重要,就是用户的联系方式,没有联系方式诈骗就无法进行。但在商家、物流与客户的交易中,联系方式又至关重要。去年看到某电商对联系方式做了匿名化处理,我个人觉得是一个比较好的切入方式,当然工程量也很庞大,需要打通上下游一堆环节。但如果能够彻底实现,黑市的订单信息价格就会一落千丈。