原文发表在《程序员》201408,本文为摘抄版。
1.常见误区
黑客、网络安全只存在于虚拟世界: 随着物联网,可穿戴设备,智能家居的发展,汽车开窗户,刹车,远程sex等,使得安全问题彻底渗透到生活的各个方面。
程序布置在内网,会阻挡攻击:著名网络安全研究员superhei做了名为走向内网的邪恶之路的主题演讲,直接在外网盲打入侵内网获取权限,其基本原理是使用JRE或者WebRTC获取私网IP地址段,
然后通过CSRF(跨站请求伪造)让内网用户在访问网站时遍历内网IP段,发起post请求,直接入侵反弹出shell给入侵者。
系统打上补丁,就不会被入侵:家用无线路由器存在诸如弱密码,CSRF漏洞之类,攻击者可以通过这些漏洞修改路由器DNS设置,让上网终端在解析域名时访问恶意网站。黑客工具EvilGrade,专门用于
欺骗客户端软件,让人以为自己有新版本或补丁可以升级的框架,支持自定义插件,以及数百种客户端程序,如VM等。当黑客劫持DNS,系统提示有软件需要升级,用户选择升级后实际上开始安装木马。
密码用MD5加密:MD5是最常见的单向Hash算法,由于MD5算法不可逆,有人认为加密后数据绝对安全。实际几年前攻击者就是用彩虹表方式,以空间换取时间,增加对MD5,SHA算法的破解能力。结合GPU运算,
对MD5之类Hash算法的破解时间已经缩短到非常短了。大约1000万条MD5加密后的密码,在24小时之内可以破解90%左右,甚至达到96%以上。为了解决这些问题,一般使用SALT的方式加强安全性。可惜的是,增强之后算法
依旧风险多多,有攻击者直接使用云计算提供的GPU计算能力,构建集群来破解。
另外,撞库情况原来越多,撞库攻击非常难以防范,加密算法根本无能为力。
交易使用了短信验证码,绝对可靠:1.智能机系统的木马植入。2,短信验证码长度不足,暴力破解。对于类似系统,一定要有专业的风控手段配合,单一的手机验证码纬度不足以保证系统安全。
2.主流攻击方式:
入侵服务器,篡改网站-> 偷取数据,抓取信息,敲诈勒索。
攻击目标也从服务器转向手机等移动设备或者个人电脑甚至家用路由器。
攻击方式:简单的系统弱口令和WEB攻击占了绝大多数。其中系统弱口令是指linux服务器的SSH弱口令,windows的终端服务弱口令,还包括一些第三方软件例如mysql 数据库,sql server数据库等。web攻击则以sql注入和远程文件
包含,任意文件上传漏洞为主。除此以外,也是用类似CSRF,攻击家用无i按路由器,篡改DNS。攻击者自己实现完整的入侵框架,对互联网做大范围的扫描实现全自动入侵,为后续的劫持流量展示广告,赚取交易佣金做准备。
大范围入侵的另一方面是所谓的APT,即高级持续性威胁攻击。其注重目标的专一性以及隐蔽性。攻击者接到任务后,盯住一个目标,尽可能全面收集数据,每爆发一个与目标应用相关的新漏洞时,攻击者立刻尝试是否可用。社会工程学,邮件钓鱼,
直接上门攻击无线网络,无所不用其极。
在入侵的同时,还有人专注于非入侵式攻击,直接抓取数据就可以卖钱。主要是自动化的爬虫抓取,也可以利用应用的水平权限漏洞获取更多机密资料。随着攻防双方对抗,爬虫也从最简单的socket,httpclient库爬虫,逐步进化到webkit内核爬虫,
v8引擎爬虫之类的高端形态,以绕过防御使用的javascript等策略。
敲诈勒索方面的攻击主要是DDos。攻击者挑选游戏私服,页游,手游等挣钱行业,以DDos拒绝服务为手段发起要挟。这些攻击有的是依靠大范围入侵获取的傀儡机,有的是NTP反射放大之类的灵巧手段。
636
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
