本文总结一下我对信息泄露的理解
0x01 信息泄露与个人的关系
本文会将主要内容分为三个层次去写,适用于个人、企业、像我这样的安全从业者等。
最近看了很多“通过信息泄露”打开漏洞旅程的渗透测试案例。关于个人的安全在网络上并没有普及太多,大多数网民还不知道“网络安全与个人”之间的直接、间接关系。这一节就给大家剖析一下我个人对个人安全的定义。
首先回到生活中,我们要消费、工作、社交,这一系列行为都有信息的交互,但是谈到信息泄露,必然是和个人隐私、机密信息有着密切的联系。
假设我们的常用密码、常用ID、常用手机号、身份证号被泄露了,有能力的人能够使用这些有效信息进行网络身份画像,知道你现实生活中的好朋友、家人、公司、喜好、住所、习惯…等等。
有一部电影《我是谁:没有绝对安全的系统》
《我是谁:没有绝对安全的系统》是由Baran bo Odar执导的推理片,埃利亚斯·穆巴里克、沃坦·维尔克·默林、汤姆·希林领衔主演。
该影片讲述了主人公本杰明和马克思,史蒂芬,保罗组建了黑客组织CLAY,并引起德国警察、俄罗斯黑帮的注意的故事。 —— 百度百科
该电影我看了不下五次,很喜欢里面的节奏,一种极客天性、爱自由、狂热、奔放,如果我有两条命,我一定会加入CLAY….
电影中,CLAY在电影情绪高涨的时候完美的发挥了社会工程学的力量,他们在垃圾场里去捡快递单、包裹包装袋、邮件,寻找攻击突破口。
最终马克斯在垃圾堆中找到了一个邮箱+名字,他们开始在互联网上搜索这个人,看她的社交平台内容,知道了她喜好小动物。
于是,伪造了一个钓鱼邮件,让她打开,控制她的计算机
这个过程中,搜集信息的工作在国内称之为“人肉”……
德国电影《我是谁:没有绝对安全的系统》大篇幅地描写一群黑客如何在网络世界中攻城略地、兴风作浪的故事。这部独立制片的成本不高,把黑客世界描绘成另一个武侠江湖,同样用到现实与虚拟来区分黑客在现实和网络的二次元世界,黑客用攻陷防范级别越来越高的网络系统来区分江湖地位,但原来最具挑战的系统是人心,没有比人心更难的安防系统。
电影链接:https://pan.baidu.com/s/1vHPArmh-agA2o2Zslv9NIw 密码:a1vd
那么说了这么多,我们有哪些信息是已经被暴露在互联网上的呢?
- 常用网名(ID)
- 常用邮箱
- 社交账号(QQ、微信号)
- 手机号
关于常用ID,这里涉及到心理学,就是网络有一种匿名属性,你可以一吐为快,不用在乎你是不是你,亦或者保留着一种神秘感。但是人为了表现自己的独一无二,ID往往不喜欢和其他人一样,起码在网上账号必须是唯一的。
既然唯一的可能比较大,那我可以很快的搜索到你。
在某些情况下,会利用网络这种能力的人,都很聪明。有的人还在偷偷关注前任 :) 当然,我不是其中的一位,哈哈~
其次 ,就是邮箱,邮箱为什么放到个人这层来写呢? 因为现在网络上大部分比较自由的系统都使用邮箱作为账号,其次就是用户质量较高的平台会使用手机号来作为邮箱。
知道邮箱以后,我可以用你的生日+常用数字当做密码,逐个登录用户量大的、且与生活密集交互的平台。
在一线城市的人,信息泄露最为严重,因为生活严重依赖互联网、也必须依赖互联网。
说到社交账号(QQ、微信)这类已经和我们生活离不开的社交平台中间存在很多关于我们生活、地理位置、近况的信息,甚至还包括你的记忆,如果允许被“路人”查看,无非就是像脱了衣服的舞郎在跳舞。
尽可能的公布对你影响最小的信息
手机号,大家经常接到电销,前几年还好,运营商的号码都是新的,电销的人没办法抓住精准用户,那时候电销都是随机的,频率并不高。
作为一个网民,你要有一个意识:“当你的手机号被电销,那无疑是你的信息被泄露了。”
未来的电销将更加精准。举个例子,假设我注册了一个美食网站,而美食网站没有很好的保护用户数据,隔了几日,我接到了关于美食相关的电销电话…… 这发生的一切并不罕见,我遇到过很多次,所以目前只有一个房地产电销在经常打,没有其他的电销。是因为我这个手机号之前的机主在某市有房子,然后房地产平台、中介平台会把用户信息售卖给其他需要这批数据的新型投资行业。
总结一下
- 个人网民还是要定期的更换密码、要多重多样,降低密码与自己身份信息的粘度即可。
- 在网络上少发地理位置,因为通过这个也能知道你下周的几点可能在哪里。然后就是经常换网名,这个没坏处的。
- 不要随便给别人手机号
- 注册平台的时候能用邮箱就用邮箱,尽量不要使用手机号
- 要有备用邮箱,分别用来注册平台、和办公
- 建议不要使用免密支付、分期之类的杂七杂八的东西,越简单的东西越危险,要学会适度体验。
个人的先写到这里,我要暴露一下我的微信号了,毕竟信息的交换让人更有亲近感。
微信:Guest_Killer_0nlis
0x02 信息泄露与企业的关系
对于一个企业,势必要秉承客户至上的理念,尤其是互联网企业,要不断培养用户习惯、打造自己独特的用户生态。而这个生态中少不了用户数据的奠基,有数据就能有更多的创新。
企业可能会搜集我们的地理位置、喜好(其他数据计算)、习惯、常用密码、手机号等等。
2017年6月1号,国家颁布了《网络安全法》 规定了网络运营者(可以囊括目前互联网企业)的基本安全义务
《网络安全法》明确网络运营者的安全义务。为符合网络安全法规,要求网络运营者:
- 1)保障网络安全、稳定运行、维护网络数据的完整性、保密性、可用性;
- 2)遵守法律、行政法规,履行网络安全保护义务;
- 3)接受政府和社会的监督,承担社会责任;
第一条中的“完整性、保密性、可用性”指的就是网络运营者必须肩负起信息安全的责任。
那么对于用户这块必然要做好安全的,另外一面就是企业自身的安全,要定期的进行安全检测、资产梳理、安全加固等等。为了杜绝黑客入侵、窃取企业本身商业数据和用户数据,要付出不少成本,国家还规定了等级保护认证。
在企业中,对自身的数据安全,要抱着一个积极的态度,而不是为了检查而做“安全”。逢场作戏终究会出现乱子。
积极的态度不能太过亢奋,这会影响管理成本和自身企业内部的文化。这就涉及到一个问题:“体验”与“安全”。把握好尺度是最好的,这里还是想吐槽一下12306的验证码……
说了这么多有的没得,总结一下:
- 网络运营者应当持积极态度做安全
- 把握“体验”与“安全”的尺度
- 严格执行法律法规
0x03 信息泄露与安全从业者
不管是技术管理层、技术实施层的朋友一般都会有很好的职业习惯,这些习惯就是我们自己的荣耀,毕竟自己很少受害。
原本想偏向技术实施这类去写信息泄露的利用方式的,但是既然分好层了,就以一个全面的格局去写。
安全从业者一般会做一些攻防、渗透测试等模拟黑客行为的入侵。前期必然会信息搜集,了解目标。
在这里不谈Web安全这一小类。看的更宏观点,我来分一下类别:
- 用户信息
- 目标系统指纹
- 意外的泄露
首先,用户信息包含了目标所在的环境、规章制度、企业文化、身份标识、常用密码、网站等。
目标系统指纹涉及到技术层面,例如服务的banner、端口、网络协议、系统版本等。
意外的泄露,大多和内部人员管理有很大的关系,例如:代码托管平台上的源代码泄露。
真是一个强行分类,勉强理解吧,这一小节都是给同行业的人看的,表达的不好不至于被喷。
作为一个安全从业者,应当在做到0x01中的个人习惯的前提下,要更好的保护个人隐私。
合理使用“云服务”,私有云和公有云差别还是很大的,我们不怕麻烦,就怕不安全。
这里就不啰嗦了,可能各位大佬有很多怪癖的好习惯~
总结就个性一点:
- 你知道你被黑过吗?
- 你有没有觉得你被黑过,但是你不知道?
- 黑过其他人,自己有什么感受?
- 被黑的时候,心里有什么感受?
我来回答最后一个吧!
答案:是真TM的难受