网络安全培训(安全意识)
网
工
圈
关注
所有的人某种程度上 其实都在裸奔
在速8中,新增了由查理兹·塞隆扮演的高智商美女反派塞弗,作为全片黑科技担当的塞弗,上演了一场速度与激情的“厮杀”。自动驾驶汽车
这也是速8中最具有技术特色的桥段,塞弗通过黑客手段,入侵到该街区的整个车联网,从而实现控制所有汽车的计划。
塞弗在按下关键的按钮之后,镜头一转是一辆克莱斯勒的仪表盘界面,上面的英文显示“激活自动驾驶”,激活之后,方向盘就由塞弗的电脑来控制。
很快,塞弗就能通过对车联网的入侵,迅速锁定某个区域内所有搭载自动驾驶系统的车辆,控制他们的行驶路线,让其成为影片中所说的“僵尸车”,迅速涌入到机动车道和非自动驾驶车辆碰撞到一起,然后烧完电影制作的一大半经费。说到自动驾驶技术,现在主流的汽车制造商都在研发相关的技术。关于自动驾驶的定义,它主要是依靠人工智能、计算机视觉技术、雷达监测以及全球定位系统的协同合作,最终让电脑直接控制车辆的行驶等操作。电影中出现的自动驾驶车辆已经可以实现完全自动驾驶,在不需要驾驶员的情况下,汽车完全可以由计算机终端进行控制。
问题来了,为什么塞弗可以通过网络控制如此大规模的车辆呢?
自动驾驶很关键的一点就在于遍布车体周身的各种传感器设备,这些设备通过采集车内外的海量信息,然后通过互联网汇总到系统终端,让人工智能进行数据分析处理。而整个过程也就构成了我们的车联网。
塞弗只要通过黑客手段突破车联网的防火墙,自然就可以实现对这些车辆的控制。
当然电影源自生活也高于生活,现阶段既没有这么多自动驾驶车辆,自动驾驶级别也没有达到这个级别,更何况也没有如此规模的车辆网控制系统。
当一个系统可以随时调用包括公共交通、城市电力、电子监控、银行系统、警察系统等各方面的信息,同时将包括个人的医疗记录、犯罪记录、甚至上网阅览内容和输入习惯等所有联网信息进行分析和整合后,就可以用这些数据来对人的行踪进行准确预判。
2015年,美国有两位白帽黑客(善意指出软件漏洞帮助改进的黑客)发现,菲亚特克莱斯勒旗下Jeep汽车可能被远程攻击控制。
测试车辆以每小时70英里(112.6公里)在公路上行驶,测试开始后,这辆吉普切诺基的空调开始以最大风力吹出冷风,
电台自己转到了当地的流行音乐频道,音量调节按钮,电台开关通通失灵。雨刷器开始运动了,喷出的清洗剂模糊了玻璃。
车载显示屏上出现了两个抱着笔记本电脑坐在沙发上的人。他们突然给车“踩”了脚刹车,造成一次不算严重的追尾。
最危险的测试来了,车突然在高速上打转,刹车失灵,冲进了路旁的沟里。
公检法机关:对监狱周边、机场、港口、银行等重要地点进行的机动布控;会场、展馆等:
集会场所等对重点监控人员的布控;
交通、运输等部门:在机场、火车站、汽车站等对各类违法人员的布控;
商场、大型超市:对惯偷等不受欢迎人员的布控;
(欢迎关注微信公众号:网络工程师阿龙)
方程式组织(EquationGroup)是一个由卡巴斯基实验室发现的尖端网络犯罪组织,后者将其称为世界上最尖端的网络攻击组织之一,同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。[1-2]
震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。
世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。
“火焰”,是一种全新的电脑蠕虫病毒,能接受来自世界各地多个服务器的指令,在完成任务后,能自行该毁灭,不留踪迹。该病毒由俄罗斯网络安全公司于2012年5月率先发现,目前正在中东地区大范围传播。
2016年8月15日:公布了思科ASA系列防火墙,思科PIX防火墙的漏洞。
2017年4月08日: 公布了针对Solaris远程0day漏洞。
2017年4月14日:公布了针对Windows系统漏洞及利用工具。
早在2016年8月,影子经纪人就在网上以100万比特币(现价约超过5亿美元)的价格,公开竞拍据称来源于NSA(美国国家安全局)的顶级黑客工具。为了增加可信度,他们还在网上贴出部分文件。但最后的结果不尽如人意,可能是要价过高或是其他原因,黑客工具一直无人问津,拍卖最终只获得了价值25美元的比特币。
时隔一周,耐不住寂寞的ShadowBrokers又有了大动作,4月14日,他们在网上免费公开超大批次的“方程式组织”黑客工具,其中包括强大的0day,之后很快有网友解密并长传到github,网络大地震由此开始...
(欢迎关注微信公众号:网络工程师阿龙)
最令人恼火的是:服务器迫使我们在密码中使用至少一个大写字母字符、至少一个小写字母字符、至少一个符号和至少一个数字。整个密码不能少于8个字符。并且,我不能使用任何我在过去3个月使用过的密码。
所以 双因子 或者 秘钥体系 才是能保证安全的
定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
不要回复可疑邮件、垃圾邮件、不明来源邮件。
收发公司业务数据时,必须使用公司内部邮箱,公务处理和私人邮箱分开。
员工应对自己的邮箱账号和口令的安全负责,不要借给别人。
直接索取(Direct Approach) — 直接向目标人员索取所需信息
个人冒充
重要人物冒充— 假装是部门的高级主管,要求工作人员提供所需信息
求助职员冒充—假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息
技术支持冒充— 假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题
反向社会工程(Reverse Social Engineering)
定义:迫使目标人员反过来向攻击者求助的手段
步骤:破坏(Sabotage)— 对目标系统获得简单权限后,留下错误信息,使用户注意到信息,并尝试获得帮助
推销(Marketing)— 利用推销确保用户能够向攻击者求助,比如冒充是系统维护公司,或者在错误信息里留下求助电话号码
支持(Support)— 攻击者帮助用户解决系统问题,在用户不察觉的情况下,并进一步获得所需信息
邮件利用
木马植入:在欺骗性信件内加入木马或病毒
群发诱导:欺骗接收者将邮件群发给所有朋友和同事
相机太高清了
钓鱼技术(Phishing) — 模仿合法站点的非法站点 目的:截获受害者输入的个人信息(比如密码)技术:利用欺骗性的电子邮件或者跨站攻击诱导用户前往伪装站点
域欺骗技术(Pharming) 定义:域欺骗是钓鱼技术加DNS缓冲区毒害技术(DNS caching poisoning)
步骤:1. 攻击DNS服务器,将合法URL解析成攻击者伪造的IP地址 2. 在伪造IP地址上利用伪造站点获得用户输入信息
非交互式技术 目的:不通过和目标人员交互即可获得所需信息 技术:1. 利用合法手段获得目标人员信息:垃圾搜寻(dumpster diving)、搜索引擎 Chicago Tribune利用google获得2600个CIA雇员个人信息,包括地址、电话号码等2. 利用非法手段在薄弱站点获得安全站点的人员信息 eg. 论坛用户挖掘、合作公司渗透
多学科交叉技术:
心理学技术:分析网管的心理以利用于获得信息
常见配置疏漏:明文密码本地存储、便于管理简化登陆
安全心理盲区:容易忽视本地和内网安全、对安全技术(比如防火墙、入侵检测系统、杀毒软件等)盲目信任、信任过度传递
组织行为学技术:分析目标组织的常见行为模式,为社会工程提供解决方案
eg. 个人行为观察(比如网管)、组织架构分析、组织行为策略分析等 —— 《暗花》(1998, 游达志)
(声明:来源于网络,版权原作者所有,转载仅为了传播、学习交流使用,如需删除请私信联系,严禁其他用途。)