趁着现在稍微有点访问量再写一篇,好久没写博客了。

文章目录

大结论

先说结论,不一定有人有耐心看到最后。

  • 你的所有隐私都会被人看到。
  • 你的所有网上银行的钱都会被人转走。

对于安全,我抬头只看到一片雾霾,技术的飞速发展带来的安全问题已经无法控制。现实生活中我们也会遇到很多安全问题,作为现实生活的投影数字世界里也一样,而且比现实生活更严重。

可能你认为在互联网上你才是裸奔的,然而实际上任何情况下你都是裸奔的。以前你也是裸奔的,可能就一个村子知道,但是现在,分分钟全世界都知道了。

当然,我说了这么多,不是让大家自暴自弃,找借口啥都不干了,该防护的还是要防护,但是你要知道,你应该是确定一定以及肯定是在裸奔了。

我的工作让我更多地关注安全和隐私,包括个人和自己负责的系统或者服务器,但是有一天我被人黑了,我也只能骂一下,Fxxk,然后继续生活下去,因为漏洞点实在太多了。我们某些数据,经常被人拿来拿去。啥XX系统啊,外包公司拿着U盘把数据拷贝来拷贝去,更换了外包公司,是否有去销毁那些数据呢?没人知道。对于外包公司我们只能跟他们签订保密协议,然而外包公司的人有些小公司经常换来换去,在他们眼里,你们的数据算啥,政府的XX系统也是我做的呢。但是在我们力所能及的范围呢,我还是得尽力维护这些数据的安全。还有职能部门来找我们拿消费数据,门禁记录等等。作为管理手段,通过大数据分析做决策,是肯定需要的。全量给吧,担心对方安全意识不够,数据被人一锅端,不给吧,好像又说不过去,你又没有能力啥都做掉,发展和安全的关系如何平衡,你总得信任部分人,这个不展开了。

5天前,移动公司发布了他们的大数据解读,揭秘:移动终端大数据的背后 http://ningyu.baijia.baidu.com/article/524023 ,里面已经披露了非常多很让人震惊的细节,对于数据的使用,提到基于相关法律的要求,出于保护客户隐私方面的考虑,无论是公开披露数据还是大数据合作,运营商都会按照要求进行数据脱敏处理等操作。但是在企业内部,对客户的个性化数据分析和应用是合法的,而且也是未来的发展趋势。脱敏,我底下会说到,这是个伪命题。企业内部,移动内部得多少人多少部门啊,能保证隐私么?

在权力的游戏第六季,小指头打开任意门在维斯特洛瞎逛,瓦里斯上一集还在多恩,接下来就瞬移到龙女身后。这几年的穿越小说大火,这些我们在物理上现在还无法理解的概念,在互联网上,这都不是事。电子的传播速度太快,任意门那是任意开着的。存储价格的下降,中间传输过程的不可控,大数据导致所有数据被Log,穿越回去那是毫秒毫秒秒的事。

我开始列举一些我所知道的攻击吧,下面很多都是会议和网络上看到的,来源等我考证到再更新吧。有些问题已经在解决了。

DNS和证书的长老制度

整个计算机体系架构就是脆弱的,冯诺依曼结构的指令归根结底也是数据,所以一切都是数据。有多少安全漏洞就是由于不可执行的数据变成可执行指令后造成的。构思出机器人三大定律的人就是在YY,规则从来就是用来打破的。

整个互联网安全就是建立在沙滩上。我们最重要的DNS,先不说从你在浏览器端敲入一段网址,到你真正看到一个页面,中间的所有环节,都可能被篡改(很多人喜欢把这个作为技术面试题),就单DNS本身,就是不安全的。DNS的运行有点类似长老制度,ICANN负责管理域名和IP地址分配,由互联网协会成员组成,是一个非盈利社团,因为历史问题,原先是属于美国政府的,目前已经在考虑脱离政府运行了。这个架构类似美国的九个大法官,或者魔兽世界肯瑞托的六个大法师,或者黑客帝国Zion在每次系统重建时保留下来的七个男女,是建立在人的基础上的。

证书也很像DNS,证明你是你,你妈是你妈,确实是非常难的。证书的颁发,我们首先有一些信任的第三方,由这些少数的第三方,再信任某些人,最后我们找这些人申请证书证明我就是我。这其中,人的因素非常重要,一个内鬼或者误操作,都会引起很大的问题,而审计制度无法完全涵盖。就如同Linux源代码,完全公开给你,海量的数据,你能否审核出问题?

CDN的引入又使得私钥保密变得更难了,在每个CDN,你都必须跟CDN厂商去共享你的私钥。

来自清华段海新,我们最常用的12306网站,如果你想要买票,你的浏览器可能会提醒证书不受信任。每次都弹出如果你觉得很烦,你可能不小心点击了信任,而且12306建议你为了更好的购票体验(shxt),希望你直接安装他们的证书。实际上等你信任了他以后,12306可以为任何机构签发任何网站的证书证明,你在浏览器看到一个安全的盾牌提示你访问的是google,不一定呢。

前几年暴露的工商银行网银事件,安装控件后,信任了他的证书,调低了你IE浏览器的安全等级,把他们网站全部加入信任站点。工行几千个二级域名,不同开发商,能全部信任么?

硬件

  • 你在寝室的电脑,你放在宾馆的笔记本,可能里面数据都已经被人拿走了但是你不知道。插上一个U盘启动就可以分分钟按扇区克隆你的硬盘,删除的文件都可以被恢复。你可能认为直接偷走你的电脑更容易,除了物理价值再加上数据价值,但是真正偷走你电脑的小偷你应该很放心,其实他只关注电脑的硬件价值(然而现在电脑已经比手机都便宜了),而偷你数据的才是更可怕的。因为这个够隐蔽。跟病毒传播的方式一样,病毒一般是先潜伏,再集体发作,因为发作的时候就是他死亡的时候。
  • 你使用的蓝牙4G无线键盘,可能你的按键信息已经被人嗅探走了。
  • 你的鼠标确实是你的鼠标么?鼠标里面的一块配重,可能是一个窃听你数据的设备。
  • 你办公室的电脑,使用的公共电脑,可能有人在USB接口上多加了一个小设备,记录按键信息。更隐蔽一些,可能有人在电脑里插了个PCIE设备获取你的信息。
  • 你用的带闪付功能的银行卡,靠近你就可以读取你最近的10条刷卡记录。
  • 你开着WIFI到处走,你的轨迹已经被收集。钓鱼无线AP可能已经默默收集了你的手机的所有通讯,如果这些通讯是没有SSL加密的。
  • 你的手机丢了,你借给别人打电话几分钟内卡被复制,被安装木马,卡被补办,犯罪分子可以转账,甚至帮你开网银,通过快捷支付购买虚拟物品。
  • 目前的工业控制都是非常原始简单的,一般只接收0或者1通断电源或者指令。你可能听过买个设备就可以开停车场的抬杠,复制车钥匙。再举个更简单的例子,你拿着红外遥控器可以控制任何公共场所的电视。如果一台电视内置盒子,可以播放互联网视频,你实际上可以让这个电视播放你想要的视频。红外遥控器也要验证?厂家想过没有?
  • 我们的很多用来身份识别的硬件设备,都是很容易被复制的,比如磁条银行卡、购物卡、2G3G手机卡、M1卡。由于技术的进步,原先很安全的设备突然都变得不安全了,但是整个社会更换更安全的设备成本又非常高,基于整个社会所计算的ROI考虑,我们还在用这些不安全的身份识别设备,然而,对于一个特定的人,他的卡被复制后果是很惨的。
  • 苹果前段时间在跟FBI撕B,最后FBI通过其他公司对苹果手机进行了解密。苹果手机有输入密码错误几次锁定的机制,提高你破解的时间成本,据说最后是通过不停的快速重复读档。让他永远以为自己是第一次。

密码

  • 你可能所有站点都用同一个密码,导致密码可能被撞库。

  • 你可能所有站点都用不同的密码,但是这个密码通过站点的URL规则来生成。这个虽然可以抵挡机器的批量撞库,但是在人面前一览无余。
  • 你可能不同站点使用不同的密码,但是你又记不住,登录一个站点要尝试多次你的密码,导致可能你在某个站点输入了错误的密码,而这个错误的密码是其他站点的密码,被恶意记录。
  • 你使用密码管理软件,你的MasterKey不够强壮,被人暴力破解。你的密码管理软件被破解突然提交你的所有记录到云服务。你的密码管理软件自动更新机制因为DNS被篡改导致更新了篡改后的软件。开源的KeePass不允许自动更新,他只会提示你需要更新,具体更新步骤需要你自行下载二进制,并比对MD5等指纹,并自行更新。
  • Chrome等浏览器的密码保存功能,密码是明文保存在电脑内的,只要有你电脑的控制权,分分钟点击打开就可以查看。
  • 系统的密码需要防止暴力破解,很多老旧的系统都没有做,然而我最近发现了一个漏洞可能可以绕过,由于自己还没整改好,就不说了。
  • 就算你的信息加密了,在时间面前,所有加密都是小儿科。你需要知道你的加密信息总有一天会被解密。清华的王小云已经可以破解MD5,SHA1了。现在在考古上挖掘到的一块深埋在地下的石头,上面的甲骨文信息可能有多少原始人为了保护这个密码做出了牺牲,你的机密就像这块石头的机密一样,在未来被所有人瞻仰。

云计算

  • 存在云里面的数据,是删除不掉的。对于写云计算的程序员来说,对数据做标志位删除,比粉碎这个数据来的简单几千倍,你不要指望云提供商会真正删除你的任何数据。

  • 你下载的文件,安全意识足够的你可能会验证下MD5和SHA1,基于王小云的撞库理论,是否有可能通过替换某些指定的文件,可以得到相同的验证值。类似XcodeGhost事件,往编译器植入代码,污染互联网的秒传平台,查都查不出来。
  • 你在云平台的虚拟机,可以被管理员克隆离线分析。管理员为了给你的系统查毒,无需你的系统的账户密码都是可以看到文件内容的。
  • 你在用的带语音识别功能的设备,实际上每时每刻他都在分析你附近的语音并可能上传到云端识别指令,随时接受主人的差遣,好方便。

可怕的大数据

大数据是可怕的我不用科普了,某省前段时间开会搞大数据交易。刚也提到移动公司了,然后我朋友圈那个评论我的师弟在电信,国家把运营商分开是有一定道理的,让他们都拿不到全量的数据,但是,他们合作了呢。我们看奔跑吧兄弟,里面每个人为了一些线索,累死累活勾心斗角,可以说这是他们的成本,如同大数据交易一样,你可能说没有任何人有钱能买到所有的大数据,但是一旦2个人为了终极目标,“联盟”,互相交换线索,突然数据量级数上升,但是成本就是0了。

有人给我发了XX大学开放数据给学生创新,给出了某段时间内的消费流水、上网日志,匿名化。不靠谱的。随便一个学生,我拿到了这个数据,再去查我的消费流水,通过时间金额一比对,我就可以知道我被匿名成啥了。这是一个人,如果是一个应用开发者,或者食堂工作人员,拿着他能看到的数据,一比对,就可以拿到了所有人被匿名后的信息了,是匿名么?

所以说脱敏是个伪命题,脱敏脱得太厉害,就变得不是数据,没有价值。有点价值,从你多次对不同购买者的脱敏,其他渠道把数据拿来一比对,时间、地点、任何一个字段,都可以拼接出整个完整的轮廓。

你无法控制的基础软件的漏洞

啥OpenSSH啊,Strut2,ImageMagick,这些完全不是你的错,错就错在你用了他。一个漏洞从被人发现,验证,黑产利用,CVE等机构发出来,再到被你知道,已经经过很长时间了,你的防护有时候是跟不上的,我知道Strut2漏洞出来,已经就有人到厦门某银行内网逛了一圈。

你想要干坏事

  • 大数据的利用使得干坏事需要掩盖痕迹越来越难。就说XcodeGhost事件,实际上对于腾讯来说,在他们自主发现了XcodeGhost后,不到1天就在内部查到了始作俑者。因为XcodeGhost会往某个DNS网址提交iPhone信息,虽然在当时这个DNS指向的是国外AWS上的一台服务器,但是他们内部一查,发现在以前这人有把DNS指向腾讯的平台,通过内部的CRM平台立刻就查到了。

  • 包括XXX线,他们利用的是另外一个方法。他们买到运营商的DNS查询数据和域名注册商的数据,非隐私的。里面有所有人访问的域名对应的IP地址,而且是包括所有时间的。虽然XCodeGhost在当时那个时间指向的是AWS服务器,但是把鼠标滚轮往下滚,时间轴缩小,可以看到这个域名从他出生到现在所有指向过的IP地址,根据每个IP地址,又可以知道所有有指向这些IP地址的DNS记录,去查询每个DNS记录,他又有DNS记录所有历史时期的联系人信息,就算你电话号码写错1秒反应过来修改了,还是会被保存了。所有这些数据一集合,也很快就找到了作者。对于从运营商买数据和你主动定期去请求DNS解析的IP的记录这完全不是一回事,差别大了,能从源头有个trigger定期喂你数据,这是所有做大数据分析的人梦寐以求的。你做个舆情监控,你很苦B的定期抓取微博公众号内容,而搜狗在一旁笑了。而且运营商的DNS记录,连你自己做测试时在本地建立的DNS都是会被记录的。而且这个是已经实现了,你花钱买API就可以查到。
  • 还是XcodeGhost例子,据说很早有人在国外发了这种攻击的设想,然后青岛的作者看到,就很快付诸实施了。所以,未来你在互联网的浏览记录,你在搜索引擎输入的每一个技术问题,你在输入法输入的每一个字符,就像七宗罪利用你图书馆的借阅记录来破案一样,都会泄露你的踪迹。
  • 再来说说如何发现病毒的作者。首先,现在很多杀毒软件的云查杀,会提交可疑文件的MD5类似的信息提交到云平台,而且这个信息会被永久记录,包括这个文件被发现的路径等等据说的非隐私信息。一旦你开发完把这个病毒释放到互联网,根据MD5一下子就可以定位到你。然而为了调试你又不能不安装几十个流行的杀毒软件来做测试。
  • 如果你离网编程,通过对你病毒二进制的分析,编译器特征,里面某个函数的写法,某个牛B傻B的变量名或者算法,就像文本指纹一样,都可能可以暴露你的身份。

其他

  • 前段时间勒索软件刚爆发的第一天赚了一千万,虽然很快就被主流病毒防护工具干掉了,但是这么可观的收入还是导致有越来越多的人投入黑产产业。一万块贵不贵?你的年收入,或者你的一封邮件的一个决定可能就是几百万。所以勒索软件在第一天就非常精准地针对国内很多跨国企业的高管,还好勒索软件是很有职业道德的,或者说是考虑他们的可持续发展的,你给了钱,一定会给你解密的。

  • 安全是一个整体工程,提到安全防护很多人都要提到木桶原理,你技术精湛补了十几个漏洞,黑客只需要从一个地方就可以进去了。

国家安全

如果你只是关注了个人的安全,公司的安全,那你的高度就不够了。以国家的安全来,看某特某脸谱无法打开,看滴滴和快的合并狙击Uber,你会觉得你不应该骂某墙骂的那么狠。

最开始战争只是发生在地界范围,后来发展到空中,现在已经渗入数字空间。冰与火之歌里丹妮骑着一条龙喷火,掌握制空权,瞬间收了好多艘船,如果会点魔法,光之王可千里之外取你首级。所以目前美国正在积极推进各国签订互不破坏网络基础设施协议,基础设施就类似战争中的平民,海底光缆卫星阿等等。美国的想法是,如果退回到原始社会,大家起跑线都一样了,所以,大家请听我说,我们打起来了,不能打脸,不是,不要打基础设施,让我在技术上碾压你。

安全要从娃娃抓起

邓小平说过:“计算机要从娃娃抓起”,现在应该是安全了,用户的个人安全素养教育是一块非常大的缺失,可喜的是上上周发现小天天在用妈妈IPhone输入密码的时候,开始会刻意避开陌生人了,现在还不知道是他到底理解了这个是为什么,还是一个单纯的模仿呢?

前段时间互联网爆出非常多某些人家庭的监控截图,据说是某XX安全旗下厂商的智能硬件摄像头漏洞导致泄露,具体是否谣言我没再跟踪,但是确实如不知道谁说的,以后家里的物联网设备多了以后,你家里的规模就是一个企业网,WAF,IPS,IDS,下一代防火墙,现在我们招投标写标书伤透脑筋的安全硬件设备,未来你家必须全部配备。以后有种商品房是墙体内嵌铅的。你在商品房的文案上看到除了哥特式,巴洛克式,园林式,陈嘉庚中西合璧式,你还可以选择到法拉第笼式。

One more thing

以前招聘很简单,招个会写程序的程序员就好了,现在需要会安全地写程序的程序员了。前几天推出的免费米饭查询系统,在某个特定的条件下,你会被强制,没改之前不说了。

引用

0CON&0CTF2016 http://0con.0ops.net/

姚星昆 观点 | 个人安全意识的养成 http://www.wtoutiao.com/p/154T07J.html