信息安全“核弹”能否唤醒全民安全意识?
作者:星期五, 四月 18, 20140

ff_nsaskull_large1

 

自斯诺登“棱镜门”事件后,信息安全战略被新一届领导班子提到了空前的高度,国家、机构对信息安全重视程度也在进一步加强,但是作为广大百姓,你关注过信息安全吗?

2014年刚刚过去100多天,但发生的几件重大安全事件却波及全球数以亿计的网民,杀伤力远超核弹。装一个免费杀毒软件就可以高枕无忧的日子早已一去不复返,在顶尖技术厂商自身难保的网络安全乱世,没有人能保护你,除了你自己。

当我们桌面的每一台电脑、硬盘里的每一个软件、裤兜里的每一部手机、空气中的每一道电波中都暗藏鬼魅,危机四伏;当我们最宝贵的隐私、财产甚至健康都面临着无处不在的网络犯罪威胁,当我们为人父母却无法在数字空间中保护我们的孩子;我们才突然发现,我们今天正身处信息安全第三世界,中国是全球恶意软件的重灾区,网络犯罪分子的乐园,这很大程度上与我们的经济与科技高速发展而信息安全意识相对落后有关。

我们手里华丽丽的iPhone手机只是一个假象,我们的信息安全意识依然停留在企业应付差事、政府走个形式,群众看个热闹的阶段,当网络安全的核弹引爆,我们更多的是“人人自危”,而不是“人人有责”;因为缺乏必要的安全意识,我们在不知不觉中让我们的亲人、朋友、所供事的企业也置身险地,而网络罪犯和无德厂商从我们身上榨走的每一条数据,每一分钱,都将被用于加害更多无辜的人。

也许您认为以上都是危言耸听,那么,我们择要回顾一下过去100天发生的几件与我们每个人都息息相关的重大信息安全事故:

携程客户信息泄露事件

3月22日国内第三方漏洞报告平台乌云网站公布了一个安全漏洞,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV号、6位卡bin)。这是什么意思?这里来介绍一下一般信用卡网上支付的大致流程。

对于一个用户而言,如果使用信用卡进行网上交易,如在网上购买机票等,通常情况下,在选定商品后,交易过程为首先提供身份证号码或信用卡卡号,下一步提交卡片CVV号(卡背面三位数字)以及6位交易密码。以上信息验证通过,支付完成,钱就被转走了。当然,部分支付还需要提供银行绑定的手机号码,并输入银行发给这个手机的6位动态口令。但是对于一些支付而言,以上这些信息足够了,就可以完成支付了,也就是说,携程中泄露的这些银行卡信息完全满足支付需求,任何人拿到这些信息,都可以进行网上交易,都可以划走你账户里的人民币。

那么,你在携程上买过机票吗?你的信用卡还在使用吗?现在你有点怕了吗?别着急,还有。

OpenSSL 心脏出血事件

4月8日,OpenSSL存在一处内存泄漏漏洞,该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等。

以上是官方漏洞说明,看不懂,那我们再来解读一下。首先说适用范围,OpenSSL是被广泛使用的一种加密方式,平时我们用到的网上银行、支付宝、京东、电子邮件等等,凡是有https标志的,全部都是进行了加密的,而且有60%的可能使用的就是OpenSSL,据统计全国有3万多的网站使用了OpenSSL。再来说漏洞本身,对于一个攻击者而言无需任何特权信息或身份验证,只需要访问网站的443端口,就与普通用户上QQ聊天没有任何区别,就可获得网站的包括用户名、密码等在内的客户敏感信息。对于被攻击者,因为与普通用户正常访问行为无异,所以无法监控、无法定位攻击人员。那么,作为个人用户,你的银行卡信息,你的个人信息,你的邮件、你的个人隐私等等全部都会不知不觉的暴露给黑客。

这个很厉害吧,说到这里,你是不是有点儿怕了?再来说最后一个。

Windows XP停止服务

微软宣布4月8日XP正式停止服务,4月8日后XP系统不会再有微软对其进行系统更新,同时对于XP系统出现的漏洞也不会进行修补。

你的个人电脑还在使用XP操作系统吗?那么,微软停止XP服务到底意味着什么?出现漏洞也不会修补会怎样?回答这些问题,还要从一个最根本的问题说起,到底什么是漏洞,电脑有了漏洞会怎样。我们总是听说电脑中毒了,其实电脑中毒就是利用电脑中的漏洞写的一段恶意程序。有了漏洞,黑客们利用这个漏洞,编写一段程序,来获取电脑中的他们感兴趣的信息、或者使得电脑无法正常运行,这就是病毒。有一个形象的比喻,漏洞就好比我们身体没有了乙肝抗体,得乙肝(电脑中毒)的几率大幅增加。当然,没有抗体不是一定会得乙肝,也是一样的,电脑有了漏洞不是一定会中毒,只是几率问题,但是这个几率要大得多。最后一个问题,黑客感兴趣的是什么?两方面,一个是个人的精神满足感,破坏电脑,证明自己的实力;第二个,也是比较多的一个,获取个人隐私,比如从你的摄像头看看你的样子,在你使用淘宝的时候顺便把你的钱转到他的账户下等等。黑客们利用你电脑上的漏洞做的就是这些事情。

说了上面这么多,作为广大百姓,你开始有点害怕了吗?笔者始终觉得信息安全是一个每个人都该去关注、都该去遵守的事情,而不是国家、企业才需要关心,只有在提高公众信息安全意识的前提下逐步提高安全防护水平,才是事半功倍的做法。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章