互联网安全,普通网民无可奈何之痛

security

自从有了互联网之后,互联网的安全问题就相伴而生。只要有程序员,就会有代码,只要有代码,就会有漏洞,然后就会有各种白帽子和黑客不断爆出各种漏洞,然后就是扫描、刷库、脱库、升级、修复,一系列组合拳打完收工,接下来等待的是下一次漏洞的降临。

细心的朋友可能已经发现了,那套组合拳是有讲究的,前三招永远在后两招之前,所以大家就不用担心自己的资料被泄露了,因为很可能已经泄露过多次了……一切都是最好的安排。

我个人虽然在软件行业很多年,但毕竟不是安全领域的,对这部分的技术可谓一知半解,或者四分之一解。比如我们为自己的软件产品加了功能权限、数据权限、代理权限、历史权限、密码策略、防 SQL 注入、防跨域攻击、SSL 数据加密等等,但这些措施在专业的黑客或白帽子眼中,基本上是形同虚设的。因为攻击往往来自应用系统的下层,比如操作系统漏洞,中间件漏洞、技术框架漏洞或协议漏洞等等。

所以,为了在江湖上立足,我特意结识了一些少年黑客(或白帽子),比如安全宝的道哥,知道创宇的余弦,还有不远万里没事就跑到中国进行义务教育的加拿大黑客厉哥等。当然,少年是和我相比,他们都是安全领域的行家里手,或老手,各个身怀绝技。并且,这些人估计昨晚都没睡觉,因为昨天互联网爆出了一个高危漏洞:OpenSSL Heartbleed 内存泄漏漏洞。他们几个估计都在挖的挖,堵的堵,补的补,忙的不亦乐乎,至于普通网民,咱们还是踏实睡觉,反正数据就在那里,不多不少。

我在文章开始提到过 SSL,这是互联网最常用的安全协议,作为互联网的用户,如果你访问的网址中有 https 的字样,那么说明这个网站采用了 SSL 协议,你和网站之间传输的数据都是加密的,即使其他人通过技术手段拦截了这些请求和响应,看到的也是密文。SSL 是互联网安全的基石之一,各大网银、支付、交易类网站大都采用了 SSL 协议。

OpenSSL 是一个开放源代码的、实现了 SSL 协议及相关加密技术的软件包,很多厂商都采用了这一技术实现安全数据传输。可以说,基于 OpenSSL 的 SSL 协议是互联网上安全通讯的工业标准,现在 OpenSSL 这个安全软件包本身爆出了内存漏洞,所以导致整个互联网的安全出现了问题。

安全靠锁,现在锁出事了,不是钥匙丢了,而是几乎所有人都可以打开这把锁(理论上)。

这个漏洞名为Heartbleed,译为心在滴血。想来也是,安全套件本身出了问题,无疑等于往心脏上插刀,不滴血才怪。该漏洞会随机泄漏采用了 OpenSSL 服务器的 64K 内存,内存中可能会含有程序代码、安全证书、HTTP原始请求、用户Cookie、邮件等隐私信息,黑客可以反复扫描获取数据进行比对,如果你有的是耐心和细心,那么扫描了足够多的数据之后,就有可能分析出某些倒霉用户的用户名和密码等安全信息。

关于这个漏洞的技术分析,请参考:http://drops.wooyun.org/papers/1381

更为麻烦的是,根据 OpenSSL 的版本记录,这个漏洞在2012年已经存在了,天知道那些黑客已经非法获取了多少用户信息。所以,很多搞安全的朋友告诉我,安全,有时候就是个笑话。

面对如此欣欣向荣的安全产业,做为一个普通网民,除了无可奈何之外,我们还能做些什么呢?其实我们还是可以做一些事情的,针对这个刚刚爆出来的漏洞,我们可以做的是:

1、在这两天不要登录信息敏感的网站,比如网银、支付宝、电商等网站。已经访问了的,如果你足够小心,那么就修改密码吧。虽然通过扫描随机获取到你的账户信息的可能性非常小,一旦命中你,对你来说就是100%。
2、等待各大厂商升级软件版本,修补漏洞。因为本身漏洞出在服务器端,我们帮不上什么忙。
3、如果软件厂商提醒你升级证书,修改密码,照做即可,注意不要被钓鱼,趁火打劫也是国人特色。

长远来看,我们还可以做的一些事情是:

1、不要使用来历不明的软件,尽可能不使用盗版软件。
2、浏览器不要安装乱七八糟的插件,如果安装了,你最好知道它是干嘛的。
3、密码不要过于简单,比如123456或你的生日等,大小写字符+数字,算是合格的密码。
4、不要一个密码走遍天下,你应该为不同类型的网站准备多套密码方案,分级使用。
5、如果可能,采用密码管理工具,比如1Password,Keychain 等。
6、首次使用路由器改掉初始的管理密码。
7、增强交易类网站的账户保护,比如绑定手机、网银证书、两步验证等。即使别人拿到了你的用户名和密码,也没法造成进一步的伤害。
……

最后一条,使用 Mac,会减少你很多不必要的麻烦。

江山如此多娇,令无数黑客竞折腰。到了互联网无处不在的今天,如果你对互联网安全领域的知识还处于一知半解的状态,那么最好赶紧去学习一下,无论是普通的安全常识还是专业技能,能多懂一点是一点,目前互联网安全领域的书籍和资料已经很多了。

另外,可能的话去认识一些安全圈里的朋友,像我一样,虽然同样是羊入虎口,但是由于你认识这只虎,那么效果可能会好一些……

甲方乙方

jfyf

题外话:
最近Mac技巧频道收到的反馈一直居高不下。

有发诗句过来的,比如“舍南舍北皆春水,但见群鸥日日来”
有发英文过来的,比如“Things I value slip out of my hands the way a comb loses teeth.”
还有发音频过来的,好吧这个就不比如了。

每天翻阅几十屏消息,花点时间也是蛮开心的,能回复的都回复了。如果您觉得这个频道还有点价值,动动手动动口,推荐给身边的亲人朋友,如果每人推荐一个,那我的读者就翻倍啦,写起来更有动力。

大部分人在成年之后,都做过甲方和乙方,有的人做甲方多一些,有的做乙方多一些。我的个人建议是,出来混总要还的,做甲方时,尽可能体谅乙方的难处,做乙方时,尽可能考虑甲方的需求。但是着落到我们这些做软件的人身上,无论是做个人软件、互联网服务、企业软件,大部分时间都是实际意义上的乙方,我们为用户提供产品、解决方案和服务,用户提升个人能力、企业能力和生产效率,并为此买单。

这本来是一个双赢的买卖,好的生产者和消费者会让双方都很happy,但在实际过程中,我们总会碰到一些难缠的用户,或者是一些我们认为难缠的用户,搞得大家心里憔悴,有时候双方都要疯掉,并相互兴起杀死对方的念头(哈哈,这个有点夸张)。对于这样的客户我们该如何处理呢?

这里面其实有个误区,就是有些用户并不是真的难缠,而是由于程序员的自我保护心理,压根就见不得别人说自家的软件不行。我见过太多的程序员一听到别人说你的软件烂,马上不分青红皂白抄起键盘要跟人家拼命,这是技术人员一定要避免的,即使一万个不愿意,也得紧咬后槽牙,假装心平气和的问问,您觉得我们的软件烂,到底烂在哪了?如果人家能说出个子午寅卯,那就说明这是好客户啊,不仅懂行而且愿意为你提需求,这种用户是值得我们尊敬的。

当年盖茨邀请后来的Windows之父阿尔钦加盟微软时,阿告诉盖茨,你们微软的软件是世界上最烂的,盖茨说,就因为烂才让你来啊。看看人家盖茨,比你聪明,比你程序写的好,比你有钱,还这么有胸怀!

注意,以上意见仅针对确实想购买或使用你的软件和服务的用户,对于那些真正难缠的,没有任何建设性意见的,玩政治的,玩人的Hater,我们还是要坚决将其从人民群众中甄别出来,然后毫不客气的让丫滚粗。用心写的软件,只给那些真正使用的客户!

今日Mac技巧:

1、保护你的数据文件
这个话题很多人问过,今天在这一期统一说一下。总体来说,我觉得在Mac下相对某些文件或数据进行加密操作有两种方式:
第一种:系统偏好设置-安全性和隐私-FileVault,打开FileVault即可。FileVault是全盘加密技术,可以对磁盘上的所有文件进行加密,后果是系统速度会稍微变慢一点点,如果你不是在军方服役,一般不建议采用。

第二种:创建磁盘映像文件,对磁盘映像进行加密处理,然后把需要保护的数据和文件放到这个磁盘映像中即可。具体方式如下:
打开应用程序-实用工具-磁盘工具,点击新建映像,在加密选项处选择256位AES加密,这种加密算法是极其安全的。创建映像时输入两次密码,即可创建加密的磁盘映像文件。在创建时最好不要选择“在我的钥匙串中记住密码”,这样可以每次打开这个磁盘映像文件时都需要输入密码,可以达到最佳保护数据的作用。

2、推荐微信频道:公共账号搜索——searchmp
这个频道是由霍矩先生维护的,关注后可以搜索已经注册的公众账号的文章和账户信息,比如搜索Finder,可以检索到Mac技巧里包含Finder的文章,你们感受下…