標籤:

2015 年的中國互聯網安全環境面臨哪些主要威脅?

本題來自知乎圓桌 ? 白帽黑客與安全,歡迎關注討論。

-----------

相關問題:2013 年中國互聯網安全環境面臨的主要威脅有哪些? - 網路安全


特此更新說明下:

被推知乎日報後,很多人表示看不懂,那就看不懂吧。至於被推知乎日報,只能說:真不好意思,沒準備好給看不懂的人去解說到你能看懂的程度。

我把我「2013-08-30」寫的:

2013 年中國互聯網安全環境面臨的主要威脅有哪些? - 餘弦的回答

拆分解讀下吧…

我對下面幾點有擔憂:

1. 用戶隱私,各大互聯網產品/移動終端 App 上的,實在不敢想像,各類隱私庫明裡暗裡都出來了;

-----------

這個已經惡化,不要問我為什麼…

2. 移動終端尤其是安卓上的混亂:許可權混亂、生態混亂;

-----------

這個開始有點點好轉苗頭。

3. 瀏覽器上的混亂(Web 前端):XSS 盲打 + XSS 鉤子滿世界,不一定那次就踏進去了;

-----------

這個…紐約時報都來報道某水坑攻擊了,爛了,瘋了。

4. 提供互聯網服務的團隊基本沒什麼安全意識,這很可怕,互聯網步伐加快,可安全意識沒趕上,被脫褲,被利用是遲早的事;

-----------

開始有點點好轉,至少被大量安全事件衝擊,那些老闆們開始在意了…

5. 雲端數據,各種 Web 服務等都開始逐漸託管到雲上,各家的雲,出問題就是一窩端,業務先行,安全保護、異常監控、彌補措施都還不一定完善;

-----------

Docker 流行了…至少又多了個攻擊維度,尤其是苦笑的 namespace 問題…

6. Web 服務組件持續廣泛,漏洞頻繁,看看我們團隊的應急響應就知道;

-----------

沒啥改善,比如 Drupal、WordPress 等知名組件漏洞不斷,還比如系統級的心臟出血、破殼等史詩級漏洞…

7. 全民安全意識還是很差;

-----------

嘆…

8. 黑產/灰產還是很囂張啊很囂張,雖然工信部今年說要嚴打;

-----------

嘆嘆…

9. 「稜鏡」還是明裡暗裡的;

-----------

嘆嘆嘆…

10. 不過我們還是看到了希望,黑客們在驅動世界,好的影響開始逐漸出來了;

-----------

至少這點欣慰,變革是漫長的…

拆分解讀了以上 2013 年我的回答,繼續補充下幾條:

1. 習大大牽頭的網信辦成立,對國內互聯網安全的影響說是立竿見影也不誇張。舉個小例子:連續兩屆的網信辦安全周,開始全民普及安全意識,國家機器在動,你感受下?這個點帶來些什麼影響就不多說了,至少是利好;

2. 說說物聯網安全吧,確實這兩年曝光越來越多,如路由器安全、攝像頭安全、工控安全等等(先不要提那些智能設備),都是一個個強大分支,它們被拿來做 DDoS、刷比特幣、境外勢力...我們這兩年跟進比較多,明顯的感覺是:物聯網基礎設施比想像的脆弱,尤其是工控,被評為「最脆弱的重要系統」一點也不為過;

3. 黑產中得特彆強調下 DDoS,尤其是反射放大的 DDoS 攻擊,這兩年開始風靡全球,氣焰囂張,流量動輒幾百 G,根本受不了,這是無數互聯網企業的夢魘;

先解讀到這。

嗯,2017 年再來回答?到時候記得再邀請我下 :)

更多請關注我們的微信公眾號「lazy-thought」,說不定就爆點黑科技。


基礎的威脅:

1、病毒傳播威脅。目前的病毒感染已經從惡作劇、玩笑性質轉變為盈利性質,通過各種手段感染,獲取用戶的私密信息,從而盜取用戶資金、虛擬貨幣等等。

2、網路攻擊威脅。現在的等保在逐步推廣,但是很多網站還是存在大量漏洞可能被利用,從而持續的遭到攻擊威脅。這些攻擊很多都是以獲取不當利益為目的。

3、信息泄露的威脅。隨著互聯網、移動互聯網的深入人們的生活,人已經沒有了隱私,所有的信息都可能直接間接的被暴露在互聯網中。

4、來自黑色產業鏈的威脅。包括網路遊戲賬號、社交賬號等的盜取,被不法分子用於詐騙,造成經濟損失。

新型的威脅:

1、雲安全。 用戶很多私密信息都保存在雲端,例如百度網盤、金山快盤、115網盤,這些保存的文檔很可能由於賬號安全度不足而被利用,從而暴露大量的私人文件。 可參見2014年icloud歐美艷照門。

2、移動互聯網安全威脅。 偽基站造成的簡訊詐騙,社交詐騙,智能手機遺失造成支付寶賬號泄露等等,

3、物聯網安全威脅。 隨著家庭設備的智能化,現在物聯網設備越來越多,這些設備的設計者往往注重用戶體驗,在使用方面非常便捷,但是也帶來安全設置過低等問題。 使用者都是普通用戶,不是信息安全專業人員,往往採用默認的設置,很容易就被惡意利用。

4、無線區域網帶來的安全威脅。 在安全屆眾所周知的「wifi萬能鑰匙」,將用戶的wifi密碼分享出去,陌生人很容易就可以訪問到家庭、企業的無線區域網,從而在內網中肆意掃描、暴力拆解、中間人攻擊等等方式去獲利;


謝邀~第一次被邀請,加之時間不是很多,我用手機寫一點我個人的看法吧。

2015年,隨著雲的大力發展,個人隱私都或多或少會存在雲上。舉個例子,很多人會把照片存在百度雲盤上。然而,一旦這些雲盤遭到入侵,那麼個人隱私將難保。

用戶主動將自己的隱私數據上傳到了雲上,然而用戶本身卻可能不是非常注意安全。這一定程度上相當於將自己的個人隱私親手送了出去。

隨著撞庫及滲透等黑產的不斷發展,這些雲將會受到嚴重威脅。

其次就是移動端問題。

首先,軟體本身的安全問題。移動端不同於PC機,這裡面可是有大量PC機裡面無法獲得的個人隱私數據的,如照片、通訊錄、簡訊、wlan密碼、gps信息等等。

然而,任何一個應用提供者或開發人員,都可以有意識或無意識(如包含惡意代碼的SDK)的對應用植入一些能夠獲取用戶敏感信息的代碼。

而這些代碼往往很隱蔽,危害又很強。不法人員甚至能完全接管敏感數據。而現有的手機防護軟體均可輕鬆繞過。

再就是服務端安全問題。很多移動端應用開發者根本就不注重移動端安全。這導致抓包直接對服務端api進行分析的入侵如雨後春筍般出現。

這到了一種什麼地步呢?如越權操作、代碼執行、跨站、注入等等常見漏洞應有盡有。有些甚至可以直接查看用戶信息、重置用戶密碼,危害極大。

至於漏洞的分布呢?很不幸,非常廣。至少,我目前測試的所有apk軟體中,無一倖免。

嗯,基本就是這樣了。總結:在一個常見web漏洞即將終結的時代,新興事物總是漏洞最多的。

時間不是很多,寫的也不是很詳細。內容全是我用手機一點點打出來的,絕無複製。也歡迎大家補充和糾錯。

以上。


這問題不需要回答第二遍:

隨著互聯網的發展,哪些網路攻擊手段越來越盛行了? - Stone Charles 的回答


瀉藥……

1.雲

去年好萊塢內個事警戒我們,雲端的個人隱私也十分重要。在國內就是360網盤、百度網盤、icloud最為人所歡迎,可能與前幾年破解空間一樣,破解雲端將成為更廣泛的攻擊方式。當然流出的照片會更多。

2.可穿戴

其實一直想說這貨要等到普及開才有利用價值,手環還好,但要小心數據的流出。智能手錶被攻擊的幾率更大,android wear設備更加齊全,所以以後能精準定位別人不再是夢。

3.手機

這其實是目前最大的市場,例如如果點進優酷app,在暫停的間隙頁面中央會生成廣告,這時你的不小心點擊可能就會導致應用的下載。因為無法保證應用申請那些許可權、會有怎樣行為,所以無法保證應用的安全。


林子聰天天拿屠龍刀威脅我


我個人覺得比較大的威脅就是:360安全中心,騰訊安全管家,百度衛士等等

以前上網中病毒,現在上網中衛士。。。。

不信抬頭看,管家饒過誰。


其實那個回答里,餘弦的答案到現在還是沒過時。2013 年中國互聯網安全環境面臨的主要威脅有哪些? 我再試著update一下吧

1、個人隱私越來越多的存在於雲上,甚至很多用戶根本沒有意識到這一點,更不用說針對性的保護。例如,前幾天我看lastpass的資料庫,才知道它居然不聲不響的幫我備份了使用過的wifi密碼。再比如14年的好萊塢艷照事件,估計不少使用者根本沒意識到,自己手機上的東西被存到雲上了,這超出了用戶的使用經驗和理解。

2、灰色個人資料被過度採集。在個人資料的世界裡,很多東西不是「非黑即白」的,長久以來,只有「個人身份證號、銀行密碼」等被公認為個人隱私不能採集。但實際上,由於社工庫的盛行,由於權力機關在大量採集個人資料,大公司在用很多方法定位、個人畫像,導致原有的非敏感資料可能被大數據搞出來非常精確的信息。(瀏覽記錄、app安裝記錄、手機地點上傳、手機IME、手機瀏覽器cookie等等),綜合起來能把人搞死。

3、可穿戴設備。只要裝了某種app(例如手環),你一天的行蹤就會被暴露在所有人的視野里,如果這個再存到雲上。。。你自己慢慢祈禱吧,不用「開房查詢」,你自己都暴露了。血壓app、心跳app、美食app、專車app……不敢想像。

4、傳統企業對安全風險的應對緩慢。例如銀行,每天幾千個人被假銀行網站騙走密碼,用密碼轉走資金,他們都在幹什麼呢?你見到他們採取任何可行的措施了嗎?尤其是工農中建四大行。連QQ都知道搞個設備鎖,在陌生手機上登陸需要再次驗證身份,銀行呢?

5、安卓的開放許可權問題。一個app能在後台幹掉另一個app,在IOS和WP上你能想像嗎?這還是應用於正規app上,如果流氓軟體們開始這麼干,可憐的用戶們就完蛋了。還記得3721、百度搜霸和cnnic橫行的日子嗎?

6、各種黑產打擊不力。偽造身份證,買賣銀行卡,買賣手機號,這些黑色產業的盛行,使得銀行實名和手機號實名幾乎沒給普通用戶帶來任何好處(比如網銀詐騙,理論上用銀行卡實名即可防範大部分,實際上沒啥卵用),而是方便了黑客們買賣社工庫,收集用戶信息等等。


百度全家桶

騰訊全家桶

360全家桶

金山全家桶

..................


挖掘機吧。


網民的訪問需求與公權力的要求不可調和;

網民的評論需求與管理方的管制方法不可調和;

網民的帶寬需求與接入方的提供量不可調和。

最終危險來自社會群體。不在顓臾,而在蕭牆之內也。


對普通人來說,百度、360、騰訊這三家巨頭的全家桶危害最大,比病毒危害大得多!


1. 用戶隱私

已經有很多網站爆庫了

2. 移動終端

魚龍混雜,沒有很好的篩選機制

3. 網站廣告

太多了,而且很沒品位,已經變成視覺垃圾了

4. 萬里長城

封閉了中國互聯網生態


小米等公司刷流氓,利用公眾的無知。

如,劫持路由器事件。

還有百度廣告競價,搜索一個扯淡的醫院呢?


恩,人!都哪都一樣 。


用戶隱私!用戶隱私!用戶隱私!


最大的威脅來自於老大哥需要看著你,而眾多小鬼利用這種特殊環境做著骯髒的勾當。環境不改變,談什麼安全都是白搭,這種狀況會一直持續下去。


看完後,腦袋裡第一個蹦出來的是「智能路由」。

360開始做智能路由了,小米急了,終於憋不住開始通過智能路由劫持瀏覽器了。

這只是開始,試想你的所有接入智能路由的設備的所有活動都經過他們的手……貌似操作系統再安全也沒用了。


莫名其妙被邀請(謝謝),嘗試答一下吧……………在我看來隨著移動互聯網的發展對於個人來說最大的威脅是隱私問題,個人隱私會隨著眾多互聯網產品,各種雲產品的普及暴露的越來越多,在這之下這些隱私信息會被各種利用,給你帶來物質和精神上的損失。


雖然這次的園桌討論已經結束了,但我還是覺得很有必要把我的經歷分享出來,以免更多人上當受騙。

背景介紹:

情事是這樣的,2015年的某天,我在家裡休息,有個親戚打電話給我,說她好像被騙了。她在一家做特價機票的網站上購買機票,付款後,沒能預定成功,於是覺得不對,感覺可能是被騙了,支付金額有4位數

詳細經過:

我詳細的問了她整個操作細節,流程大致為:

1.百度搜索:特價機票預定官網

2.點擊百度第一條推廣信息,進入了機票預定網站,然後進行相關操作

支付後,系統提示無法出票,撥打網站上的客服電話,連續打了幾次,接通後,對方說是航空公司的問題。而且網站後台不能取消訂單,如果要取消的話,需要工作人員操作,需收取30%的手續費,錢會在10個工作日退還。後面又連續打了N次電話,對方就沒接了。

以上就是被騙的過程。

騙局剖析:

可能大家已經看出來了,上面兩張圖片中百度推廣顯示的域名和最終訪問後的域名不一樣。為什麼會這樣?這就是騙子利用百度推廣的漏洞。由於參與百度推廣的網站必須是備案後的企業網站,騙子利用一個已備案的域名開了一個二級域名:http://ww.wobanzhao.cn,這樣就可以用其來投放百度競價了。當用戶點擊百度推廣鏈接http://ww.wobanzhao.cn後,網站做了一個跳轉,跳轉到了一個叫民航票務網(http://www.petrotrip.cn)上面。這樣就巧妙的利用了百度競價給其網站帶了精準的流量。對於專業人員來說,整個騙局比較簡單,門檻較低,但是對於那些網路安全意識較差的人來說,是非常容易上當的。

處理過程

聽親戚的介紹後,經分析後我基本上確定這個網站是一個釣魚網站。心裡正要開始罵百度競價怎麼能給這樣的網站做推廣的時候,突然看到了百度競價的這個域名後面有個藍色的V字標籤。於是想到了最近今年百度出的一個叫百度保障的政策。

大致意思是:如您在登錄百度賬戶狀態下,在含信譽標識的搜索結果中因假冒官網、資質或釣魚欺詐而蒙受經濟損失,依&<&<保障服務協議&>&>符合保障條件的可向百度申請保障。具體參考官網介紹:百度保障

於是抱著試試的態度按百度要求提交了相關證據,沒想到居然通過了核審,百度同意全額賠付,在10到20個工作日內把全額賠償金打到指定賬上。

整個流程百度團隊處理的效率還是很高的,提交了相應的證明資料,大概3天時間,百度後台就提示處理狀態: 保障成功。這個處理速度確實有點讓我有點意外,沒想到會這麼快有反饋,非常很贊!(貌似是第一在公開場合誇百度:P)

總結:

回到問題主題(好像前戲太長了一點。。。哈哈)

除了上面大家提到安全問題外,我個人覺得,如今中國的互聯網已經比較普及了,特別是最幾年智能手機的普及,越來越多的普通老百姓開始接觸到互聯網。但是,父母輩、甚至一少部分對互聯網不熟悉的80後、90後的網路安全意識非常差,非常容易上當受騙。

對此,我們平時很有必要向家人或親戚朋友灌輸網路安全意識,教他們一些基本的網路安全常識,提升他們的網路安全意識,以降低被騙的機率。

此外,希望能有更多的互聯網企業(特別是用戶數量龐大的企業)肩負起相應的社會責任,除了在保障自身產品安全和加強監管的同時,是否能制定一些保障用戶利益的措施,讓用戶能更加安心的使用服務。

============補充===========

再補充下這個網站擁有者的其他網站,我查了下,這個域名擁有者還有註冊有很多個域名,這些域名中有很多都是垃圾網站,如私服、賭博、購物、外貿等。

愛站查詢鏈接:www.petrotrip.cn的綜合查詢 和 whois反查_站長工具_whois查詢工具第一次在知乎認真寫這麼長的答案,花了近2個小時,希望能對大家有幫助。

除知乎,禁止轉載到其他平台,謝謝!


推薦閱讀:

請問這種病毒是怎麼回事?
Web安全與網路安全的區別?
6位PIN碼/數字密碼是否比傳統字元密碼更加安全?
白帽子的未經授權滲透測試合法嗎?
這種「QQ病毒」是如何實現的?

TAG:網路安全 |