你的私人信息被泄露了吗?
比如身份证、手机号码、开房信息、简历被泄露、家庭摄像头被监控。
以及它们带来的糟糕局面:经常收到垃圾短信,陌生的诈骗电话……
它们怎么发生的?有什么办法防控?
星主徐焱,北京交通大学的安全研究员,从事网络信息安全技术行业 15 年的「老司机」。
△ 星主徐焱
小到个人、企业网络平台,大到国家网站,徐焱解决过很多信息泄露的应急事件。关于网络信息安全防护,他有不少故事和心得分享。我们的信息是怎么泄露的?
星主徐焱:生活中,我们经常在各种网络平台交友、购物、买票、开房。而信息之所以被泄露,通常是因为黑客攻破目标平台的安全防护墙,潜入、盗取数据库导致的。2018 年,华住酒店集团客户开房记录被泄露并在黑市售卖,就是典型的案例。比如,我们把酒店的网络平台,看成一栋房子,系统、数据库以及各种中间件等是房子的门和窗户;用户的身份证、私人照片、银行账号密码等私人信息,是房子里的保险箱——最私密值钱的部分;黑客就会利用技术手段,打开大门、撬开窗户进入房子,把保险箱偷走。不过有人问:已经关好大门、窗户,也没弄丢钥匙,为什么信息还被偷?因为用户在某个网络平台的账号信息泄露后,也可能导致另一个平台的信息被泄露。你在不同的房子放置不同的保险箱,也牢牢锁住了大门和窗户。但如果你为了方便管理,所有房子的大门钥匙,都是一样的。当黑客在某座房子找到大门钥匙,就会利用技术手段,找到其它房子并用这把钥匙打开大门,偷走保险箱。还有一种常见的情况:黑客利用技术手段,建立钓鱼 WiFi 破坏公共 WiFi 网络安全防护。我们在不知情的情况下链接无线网络后,我们在网上的所有行为也会被黑客监控、盗取。防止信息盗取的 3 种手段
星主徐焱:我们要保护个人网络信息安全,除了在平台注册信息时,尽量设置不同的密码,降低风险;更重要的是,社交、电商、企业等网络平台运营方,也要加强网络安全技术的防控。设想一下,如果你所在公司的网络安全防护被黑客攻破,公司的办公系统、业务系统遭到破坏;电子邮件、员工信息泄露,公司和个人的财产安全都将受到威胁。如果国家的机密部门、武器控制台等重要机构被外国黑客攻击,那么国家的核心利益也将面临被盗取的风险。但在 20 年前,它并没有像今天这样,被人们这么重视。而我从网络安全技术小白到老炮,有幸见证了它的成长。在中美黑客大战里
看到人生努力的方向
星主徐焱: 1998 年,在电脑还没普及的年代,有人懂计算机技术,是一件特别酷炫的事情。每次,我在堂哥家敲几下键盘,看几页「高深」的计算机杂志,回到家后,经常兴奋地整晚睡不着。毕竟对那个年代的人来说,网络世界就像未探索过的外太空,只需了解一点,就能给人无限想象。我清楚地记得,当时人们上网需要拨号,上网也不叫上网,叫「网络冲浪」;网络不叫网络,叫「信息高速公路」。不少人用过的 QQ 也不叫 QQ ,叫 OICQ ;网吧不叫网吧,叫「电脑房」。在那里,我第一次知道了《红色警戒》、《仙剑奇侠传》等网络游戏;知道新潮的恋爱方式——网恋;知道了能聊天的聊天室、灌水的「斑竹」等这些新兴事物。那时候,网络世界就像色彩缤纷的万花筒,让人一头钻进去就不想出来了。但让我没想到,网络带来了方便和快乐,也存在着攻击与危险。在中国鹰派、红色联盟、天天安全网等网站论坛的号召下,我参与了这场持续 7 天 7 夜的「网络战争」。虽然当时的自己只懂得一些简单的黑客技术,没有帮上什么大忙。但经此一役,我明白了网络安全对于国家、政府、企业的重要作用。它在我心里竖起了一座灯塔,朦胧中让我看到了人生努力的方向。高三逃课上网
沉迷网络创业
我经常逃课去网吧,在那里看见很多人在充 Q 币打游戏、玩 MUD 、网聊或逛各色各样的网站。当时上网费又很贵,时间与金钱经常在不知所措中就流失了。有人发现了这个商机,做了一个面向所有人开放的网址导航网站,通过接广告赚到人生的第一捅金。Hao123 导航网站之父——李兴平就是其中之一。18 岁的我,深受它们鼓舞,也梦想通过做个人网站赚钱。所以,在同学们为高考奋战的时候,我却偷偷努力学习各种技术知识。最终做出了自己的个人网站,还通过搭建各种论坛,帮别人做网站,赚到了一些钱。但因为经验不足,技术能力不够强,我的网站没能像 Hao123 导航网站那样成功。虽然如此,这次小小的创业尝试,却让我知道,网络技术还有很多未知领域等着我探索。大学创建安全实验室
成为网络安全守门人
星主徐焱:因为高三沉迷网络创业,我第一次高考没考好,复读了 1 年。复读很辛苦,起早贪黑,每天要记住十几个公式,还有写不完的试卷。但因为创业失败,对我来说,那些知识不再是压力,而是向上的动力。
很幸运的是,当时父母对我也给予了很大的鼓励和支持。
2003 年,我终于考上了南京财经大学计算机专业。
大学期间,我玩过乐队,待过球队,但大部分时间是在研究网络技术。
我课余经常泡在学校的电脑房里,登录论坛看技术大咖们的交流贴。
在那里,我学到不少关于网络安全技术的知识,并为之着迷;
也知道了当时国内网络安全技术发展落后,专业人员匮乏的情况。
那时候,我第一次生出成为网络安全「守门人」的想法,并做出了行动。
大三,我和同学在学校创建了一个协会:雄鹰安全实验室。
名字取自当时网络上的一个技术大咖的 ID「傲气雄鹰」。
目的是为了提醒我们:要向大咖看齐,努力学习网络安全技术,希望团队如雄鹰一样展翅高飞。
我们一起研究网络安全技术,在校园内免费普及网络安全技术知识。
我们还帮助老师做各种校园网络管理和小程序的开发。每天充实而忙碌。
那是我人生最美好的时光之一。
很遗憾的是,当时校内对网络安全技术感兴趣的人并不多。
随着我们毕业,实验室就消失了。但成为网络安全「守门人」的想法,从未停止。
星主徐焱:2006 年,我大学毕业,没有回老家江苏发展,孤身一人前往北京——一个当时聚集全国优秀 IT 人才的城市,开始了 15 年的北漂生活。为了能接触到当时先进的网络安全技术,我进入计算机、通信、消费电子等发达行业,从事网站的运作、技术的销售和管理等工作。
我发现,任何企业网络平台的安全风险似乎永远排查不完。无论平台安全防护检查做得多么细致,平台安全演练测试做了多少次,还是存在被黑客攻击的可能。而要解决这些问题,归根结底还是要提高网络安全技术。2012 年,命运垂青,一次偶然的机会让我成功入职北京交通大学。
一年又一年,我和团队伙伴完成了不少国家交付的网络安全技术项目。
在至今为止的 10 年里,我们研究过不下 100 种黑客攻击网络的技术手段,及其对应的防护技术。
我们也帮过不少企业解决过网络安全的应急事件。
星主徐焱:接触网络安全事件越多,我越发现:
随着互联网的迅速发展,人们对信息安全越来越重视,社会对网络安全人才的需求,也在不断增长。而对网络安全人来说,需要不断接触、学习、思考与时俱进的网络安全技术,才能要学好这门技术。但生活里,不少后辈和我抱怨很难入行,为什么?
因为找不到一本能看懂、有用又不过时的教材,还有一位能解答的老师。
为此,从 2016 年开始,我利用下班时间,在网上给后辈们解答问题。
我还根据 15 年的从业经验,编写了 3 本网络安全丛书。
很意外,2017 年第一本书《 Web 安全攻防:渗透实战指南》刚出版,首印就卖出了 5 万册。
书籍还被全国 50 多所大学选为教材,引导十几万人进入网络安全行业。
他们对网络安全行业的热情,对我的支持,让我不禁想到了大学时创建雄鹰实验室的自己。2019 年,我创建了知识星球内网安全「MS08067」。我希望通过社群的方式,能引领更多人了解网络安全,一起守护 14 亿人的信息安全。星球内网安全「MS08067」创建至今,已经有 1100 人加入。星球里有我沉淀 20 多年的行业经验,还有我编写的 2 本网络安全丛书的讲解视频。星球内也有不少高校老师和学生,和从业多年的「老司机」。 如果你想了解与网络安全有关的一切,可以加入星球学习,也可以向星球内的大咖请教。或许你会问:我完全不懂网络安全技术,加入星球后能看懂、能学会吗?星主徐焱:星球内,有我编撰的网络安全系列丛书的配套视频和讲解,全部在星球内免费分享,有 80 多课。这些教程视频,都是我逐一拆分书籍的知识点,并结合多年的实战经验,凝练而成。星主徐焱:星球内沉淀有我和北京交通大学的团队伙伴,从业多年的干货心得和经验总结,它们能让你少走弯路。星主徐焱:星球还提供有我们实验室内部核心团队使用的内部知识库(WIKI),包括漏洞,教程,文章,在线工具等。此外,星球提供技术实操演练需要的实验环境、工具资源。实验室靶场题库分为历年 CTF 大赛真题、团队原创试题、图书配套试题共三大类。其中真题包括 Misc、Reverse、Android、Stega、PPC、Web、Crypto 共七个类别。拥有相同资源的平台,报价 7000 多,但星球只需几百元 ,其性价比之高,可见一斑。星主徐焱:学任何一门技术不是看书就能学会,实际情况远比理论复杂。所以,拥有一位经验丰富的老师,是精进能力不可缺少的条件。 我已入行 20 年,有丰富的实战经验。此外,星球内还聚集了一群优秀的行业老司机。无论你对哪一个技术点有困惑,可以随时在星球提问,一定会得到我们的解答,绝不敷衍。星主徐焱:为了提高星友的积极性和技术,我会定期拿出一些定制奖品作为奖励。比如,在 CTF 比赛或漏洞挖掘的优秀者,将被邀请加入核心成员群。进群后免费享受我们实验室的所有资源,以及免费加入密圈、签名书籍、内部靶场、推荐出书、各类项目等资源。 星主徐焱:网络安全是小众行业,不像其他行业,很容易就能在学校课程和网上公开的资料里面学习到。如果没有老师的指导,没有与圈内人的深入交流,进入网络安全圈子这条路必定是曲折和孤单的。但你加入星球内网安全[Ms08067],这都不是问题,这里有: 如果你想学习、提高网络安全技术,或者想转行网络安全行业,或想了解和网络安全相关的一切。
欢迎你加入我的星球内网安全[ Ms08067 ],一起学习,也可以向星球内的大咖请教,它一定不负你的期待。 每天只花 1 块钱左右为自己投资,就能学会一门技术,成本并不高。 如果你对网络安全兴趣,可以先加入星球体验, 若不满意,3 天内还可全额退款。