相信無論你有沒有關(guān)注過個人的網(wǎng)絡(luò)安全,在2018年里,你或多或少都聽到過有關(guān)網(wǎng)絡(luò)黑客的新聞。別的不說,單是開房信息泄露、精準電信詐騙的新聞就讓我們心有余悸。經(jīng)過調(diào)查,犯罪的根源就出在網(wǎng)絡(luò)安全上,犯罪份子利用技術(shù)手段攻擊目標設(shè)備或網(wǎng)絡(luò),并在網(wǎng)站植入木馬病毒盜取信息,實施詐騙或精準攻擊。
那么個人信息如何從這些渠道被泄露出去?一方面是技術(shù)原因,比如信息系統(tǒng)存在安全方面的漏洞,安全漏洞被黑客入侵造成存儲管理的數(shù)據(jù)泄露;另一方面是管理原因,一些掌握個人信息數(shù)據(jù)的人可能會販賣這些數(shù)據(jù);此外也存在一些掌握個人信息數(shù)據(jù)的人,由于信息安全意識薄弱,無意識地泄露他人信息。所以無論從哪個角度看,保護我們的網(wǎng)絡(luò)隱私都是非常重要的。
從企業(yè)的角度來看,網(wǎng)絡(luò)安全也一直是一個長期存在的問題。目前,全球總共有超過幾百萬個網(wǎng)絡(luò)安全職位處于空缺狀態(tài),而數(shù)量如此之大的空缺職位在網(wǎng)絡(luò)安全行業(yè)中是從未出現(xiàn)過的。
從政府的角度看,希拉里的郵件門已經(jīng)導(dǎo)致了美國政治的出人意料的走向,至今還影響著美俄關(guān)系。從網(wǎng)絡(luò)攻擊的發(fā)展趨勢看,今年的網(wǎng)絡(luò)攻擊不論是從技術(shù)上還是從攻擊模式上,都呈現(xiàn)了前所未有的變化。
從近期網(wǎng)絡(luò)犯罪的發(fā)展趨勢來看,它們不但在技術(shù)上越來越高超,而且在發(fā)展模式上也越來越極具創(chuàng)意和多樣性,截至目前,總共有三種類型的網(wǎng)絡(luò)犯罪模式:
1. 平臺模式
這兩年新興的像Adwind “惡意軟件服務(wù)(Malware-as-a-Service,MaaS)”模式可以幫助缺乏技術(shù)經(jīng)驗的個人在其平臺上購買或租賃 Angler、Neutrino、RIG 等流行的漏洞利用工具包,這種商業(yè)模型的發(fā)展毫無疑問將極大降低了網(wǎng)絡(luò)犯罪的技術(shù)門檻,開啟了網(wǎng)絡(luò)犯罪的服務(wù)新模式。MaaS商業(yè)模型興起的原因主要有一下四個方面:
(1) 易用:漏洞利用工具包的主要賣點之一是易用性。所有內(nèi)容都經(jīng)過預(yù)編碼,客戶可以將內(nèi)嵌的控制臺和對用戶友好的 Web 界面結(jié)合使用,策劃自己所需要的網(wǎng)絡(luò)攻擊。
(2) 性價比高:大多數(shù)漏洞工具包都有買斷和出租兩種銷售模式,這樣可以最大化滿足不同消費能力的網(wǎng)絡(luò)罪犯。保證了消費者可以用低投入換取優(yōu)秀的投資回報。此外,很多漏洞包都帶有安裝即收費功能,消費者可以只為成功的感染買單,進一步降低攻擊成本。
(3) 可定制性非常高:大多數(shù)漏洞工具包都帶有多種配置模式及插件,攻擊者甚至可以選擇自制惡意軟件作為主要的攻擊載荷,可定制性非常高。攻擊者可以使用勒索軟件鎖定受害者在使用的設(shè)備、用銀行木馬竊取個人信息、讓受感染設(shè)備加入僵尸網(wǎng)絡(luò),或者發(fā)動針對性攻擊。
(4) 隱匿:如果將漏洞利用工具打包,意味著暴露面就越少。因此,大多數(shù)漏洞包都附帶了多種逃避傳統(tǒng)反病毒軟件檢測的方法。比如使用多態(tài)滴入、每天更改目標設(shè)備上的惡意代碼、使用比特幣作為支付手段等。
2. 開源模式
像Mirai、Zeus 等惡意代碼開源模式,開啟了“潘多拉之盒”,造成了這些惡意代碼家族的變種泛濫、影響巨大(對運營商、對金融系統(tǒng),效果已經(jīng)顯而易見),這種“開源”模式極大的增加了惡意代碼的威脅能力和預(yù)防難度。
3. 勒索軟件服務(wù)(RaaS)模式
許多人把2016年稱為勒索軟件元年,這是因為那一年勒索軟件的感染設(shè)備迅速上升,而且當時勒索軟件的魔爪很快伸向物聯(lián)網(wǎng)設(shè)備、PoS機和自動取款機。如果在設(shè)備感染了勒索軟件之后你還想要回你的數(shù)據(jù)和文件,那么你恐怕得向攻擊者支付贖金了,可見不論是個人還是任何組織都必須重視網(wǎng)絡(luò)安全。
今天小編就和大家分享五個能夠保護個人網(wǎng)絡(luò)安全的技巧,雖然說知道這些技巧后,不一定能百分百保證你的信息不被盜,但可以肯定的是一般的網(wǎng)絡(luò)攻擊都不會對你的網(wǎng)絡(luò)信息安全造成影響。
一、密碼管理器:帶著走遍天下都不怕賬戶被破解
現(xiàn)在,我們的生活已經(jīng)離不開各種密碼,各種網(wǎng)站、網(wǎng)銀、電腦操作系統(tǒng)、微博、QQ、微信等等。許多人都喜歡將所有地方的密碼設(shè)置成同一個,這樣做雖然容易記憶,但是似乎不怎么樣安全。只要有一個網(wǎng)站的數(shù)據(jù)被黑,黑客就會根據(jù)你的用戶名和密碼猜出你其它網(wǎng)站的密碼,要是自己的銀行賬戶或者重要信息被才出來,那后果可就不堪設(shè)想了。“密碼復(fù)用”問題將會真正得到重視密碼復(fù)用是人們在日常生活的一種非常不好的習(xí)慣,近來雅虎和推特的大規(guī)模信息泄露事件,也加強了人們對使用獨立密碼重要性的認識。
2017年如果再發(fā)生幾個類似的重大事件,那時人們會更主動地去使用獨立密碼。但是如果將對不同的網(wǎng)站設(shè)置不同的密碼,那么想要挨個記住就不太容易了。許多人喜歡用App來管理密碼,但是一旦設(shè)備感染而已程序,App中的密碼也不安全了,甚至自己所有的密碼會被一股腦的全被黑客知道,危險性似乎更高。
不過有了密碼管理器,就可以瞬間解決這些難題了。下面小編就推薦的四款密碼管理軟件,供大家選擇。
1Password
LastPass
KeePass
PasswordBox
1Password目前在Mac和iOS上享譽最棒的密碼管理軟件,Mac和iOS均有中文,但Windows對不起,可能1Password官網(wǎng)對Windows有仇(因為 Windows 版本舊且太丑,目前無中文語言界面)。單一平臺單一版本需要高達百元費用,例如Mac OSX單一平臺(但仍然可以與家人、情侶共用)費用是三百多人民幣,而且只能在Mac OSX平臺上用。
LastPass可以跨平臺使用,可惜它采取的密碼保管只有兩種方式:上傳服務(wù)端和本地端保管。不過我認為理想的安全方式應(yīng)該是本地端保管,而不是上傳服務(wù)端,因為Web端具有被攻破的可能(已有新聞報道 LastPass 服務(wù)端被攻破),而且服務(wù)端根本沒有必要保管的需要。費用可能沒有1Pssword這么貴,但仍然很貴,目前都有中文翻譯版。
KeePass是開源免費的,KeePass Password Safe就是專門為了解決人類記不得眾多密碼的問題所產(chǎn)生的,它包含了一個強大的密碼產(chǎn)生引擎與加密儲存機能,能夠提供一個安全的密碼儲存空間,仍然是跨平臺可用。KeePass是一款管理密碼的開源的免費軟件,KeePass將密碼存儲為一個數(shù)據(jù)庫,而這個數(shù)據(jù)庫由一個主密碼或密碼文件鎖住,也就是說我們只需要記住一個主密碼,或使用一個密碼文件,就可以解開這個數(shù)據(jù)庫,就可以獲得其他的密碼內(nèi)容。不用擔(dān)心安全,這個數(shù)據(jù)庫采用當今非常安全的密碼算法AES 和 Twofish。
不過有了密碼管理器,并不代表我們的密碼就萬無一失了,首先一個密碼管理器會集中我們所有的密碼記錄,萬一生產(chǎn)密碼管理器的公司本身發(fā)生了安全事件,那情況就更嚴重了。不過目前來看,對付“密碼復(fù)用”的最好方式就是使用密碼管理器了,誰讓密碼是一個糟糕的安全系統(tǒng)呢?只要它存在一天,我們就得加倍小心。
二、啟用雙因素身份驗證
雙因素身份認證(two-factor authentication )可以確保驗證具有唯一性,不會與其他人重復(fù)到。目前我們有 3 種認證方式:
一種是只有你已經(jīng)知道的一組數(shù)字,就是一般我們手機上以短信方式給你的那些驗證碼。
一種是USB 鑰匙或通過手機進行掃描驗證。
一種是你與生俱來的,例如指紋或其他特征。
雙因素身份認證,就是結(jié)合了兩種不同的驗證方式,比如在你登錄一個需要雙重驗證的郵箱時,你首先要輸入正確的用戶名和密碼,其次郵件服務(wù)器會給你發(fā)送一組數(shù)字,然后你再輸入這些數(shù)字才能登錄進去或是進行二維碼掃描進行身份確認。
目前很多的網(wǎng)站服務(wù)都會支持雙因素身份認證,包括 Facebook、Twitter、Apple ID、iCloud、亞馬遜、Paypal、LinkedIn、Snapchat 和 WordPress.com 等。大多數(shù)雙因素身份認證的網(wǎng)站都會請求你開啟雙因素認證。
對于使用者來說,這當然非常方便,但是卻也有一定的安全隱憂。如果你在這款信任的設(shè)備上關(guān)閉了雙因素身份認證,這就使得黑客可以輕松地盜取你的信息,因此對于這一點也要時刻注意。
在大多數(shù)情況下,你的手機將會是你的雙因素身份驗證的最終設(shè)備。在很多情況下,我們需要利用手機來接收驗證碼,或者透過特殊的 App 來產(chǎn)生驗證碼。
但是,手機也是最容易遺失或攻擊的設(shè)備。幸好,大多數(shù)的網(wǎng)絡(luò)服務(wù)都有對應(yīng)的緊急計劃。一些公司允許你使用備用號碼來進行恢復(fù)你的帳號,比方說你可以指定你的朋友、親人的手機號碼,來當作這個備用號碼(比如你在其他人的手機上登錄你的微信,就需要指定你的三個好友來進行身份驗證)。另外,比較少數(shù)的網(wǎng)絡(luò)服務(wù)公司,則會讓你可以多設(shè)一組備用密碼,讓你在需要的時候透過這個密碼來恢復(fù)帳號。
三、對付勒索軟件的笨辦法——提前做好備份
假如你是一個公司老板,周一剛回到崗位,卻發(fā)現(xiàn)整個公司的業(yè)務(wù)系統(tǒng)癱瘓,電腦屏幕彈出一個黑客勒索信息:“你們的所有系統(tǒng)已經(jīng)被我鎖死,快給我拿幾十萬過來否則撕票!”這時你會怎么辦,給錢?或者是撥打幺幺零?一般情況下,警察叔叔除了想辦法幫你抓壞人,恐怕也沒辦法幫你恢復(fù)文件。因為就在去年的一次網(wǎng)絡(luò)安全峰會上,連FBI的人都奉勸過大家:公司在感染了勒索軟件之后最好支付贖金來找回重要數(shù)據(jù)。
然而,如果你的數(shù)據(jù)備份工作做得好,事情就完全不一樣了。
對資料進行安全備份可以說是我們每個人的一開始就會的經(jīng)典絕招,大家都知道360云盤的事情吧,我們很多人就是把有用的資料都上傳到云端,進行備份,既方便又安全,不過“不要雞蛋放在一個籃子里”這句話顯然適合任何安全的行業(yè),就在前幾個,360云盤宣布停止服務(wù)了,這不小編這兩天只能趕緊把資料下載下來重新備份,不過這次小編我多了個心眼,除了在電腦里存一份外,我又買了個移動硬盤,總之雖然麻煩,但很保險,就像魚和熊掌,我們永遠要在安全性與便捷性之間艱難的做出取舍,而從目前勒索軟件發(fā)生的頻率來看,建議大家還是怕麻煩。不過最近聽說實際上靠備份降低軟件勒索的傷害并不是那么簡單。因為隨著網(wǎng)絡(luò)惡意軟件的不斷升級,一旦惡意軟件侵入計算機并成功加密所有文件,那么備份系統(tǒng)及鏡像也將被一同加密,所以建議大家不要沒事的時候就去備份副本,其只需應(yīng)對緊急情況。
四、使用VPN
也許你會特別高興,現(xiàn)在在一些公共場所也能免費上網(wǎng)了,但上網(wǎng)就會有一些風(fēng)險,尤其是在公共場合,黑客侵入咖啡館和酒店的WiFi,以此控制未受保護的設(shè)備,這種事你應(yīng)該也聽過吧。不過可能你還沒有對此采取什么對策。讓上網(wǎng)更安全的一個簡單方法,就是使用VPN,也就是Virtual Private Network(虛擬專用網(wǎng))。VPN已經(jīng)多年被媒體報道,不過大多數(shù)的網(wǎng)友和手機迷還未使用VPN。根據(jù)GlobalWebIndex2015年10月份的調(diào)查顯示,全球只有27%的人用過VPN。亞洲及南美的使用率高于美國。如果你是剛開始上網(wǎng),也可以立即開始使用VPN。下面是一些關(guān)于VPN的常見答疑。
我為什么需要VPN?
簡單點說,VPN就像上網(wǎng)時帶上安全套。當你用VPN的時候,它會創(chuàng)建一個加密的私人通道,你上網(wǎng)時發(fā)出的請求會通過這個通道發(fā)送出去。你的活動不是通過共享的WiFi網(wǎng)絡(luò),而會通過VPN供應(yīng)商控制的服務(wù)器來改變路徑。這樣的話,你連接網(wǎng)絡(luò)或者下載程序的時候,那些精通科技的信息偷窺狂們就無法跟蹤你的網(wǎng)絡(luò)行動了。如果沒有VPN的話,你的信息就任他們抓取;如果你上的網(wǎng)站或者下的程序不支持SSL加密,那么你點擊或發(fā)送的所有東西,黑客都能看到。
我從來不用公共WiFi. 那我還需要VPN嗎?使用VPN還有其他的好處。通過VPN服務(wù)器(很可能在另一個國家),你的網(wǎng)絡(luò)會被改變路徑,因此好的VPN可讓翻墻,避開當?shù)氐木W(wǎng)絡(luò)限制。至于怎么翻墻,哈哈,有機會再寫。
我應(yīng)該用哪種VPN?
如果你的目的僅僅是為了在公共場合上網(wǎng)的時候保護隱私,或者翻墻,基本的VPN就夠了。如果你在某個網(wǎng)絡(luò)管制很嚴的國家,那你可能需要一款功能更齊全的VPN,比如可以支持OpenVPN或者IPSEC/L2TP安全協(xié)議的VPN,不保留連接記錄,有多個退出節(jié)點,并且服務(wù)器位于你的國家之外。
那我要是用VPN,我就完全安全了?
也不全是。許多VPN還會用PPTP,一種“已經(jīng)完全被攻克的”加密協(xié)議。使用安全性低的服務(wù) —— 比如基于PPTP技術(shù)的VPN,就像把自行車用普通鋼絲鎖,鎖在小偷經(jīng)常帶著斷線鉗出沒的地方一樣。這保護不了你的自行車,也保護不了你的數(shù)據(jù)。再就是,別指望VPN能幫你躲過政府的監(jiān)視,比如NSA可以輕易地看到你在使用VPN(只要看你的數(shù)據(jù)進出VPN服務(wù)就行了)。如果你想逃過國安局或者其他情報機構(gòu)的監(jiān)視,那么最好用Tor。Tor雖然是一個匿名瀏覽器,但也會發(fā)生信息泄露和攻擊的事件。
所以基本上來說,不管怎么著都沒用了是吧?但使用VPN比什么都不用要安全很多。但是和其他安全保護一樣,VPN并不是完美的。你只能相信你使用的VPN,一旦VPN服務(wù)被損壞,你所有的保護措施都會毀于一旦。
總體來說,VPN還是用比不用好。尤其你所在的網(wǎng)絡(luò)不受信任的時候。不過,你在使用VPN時仍要繼續(xù)使用HTTPS和其他安全條款”。真正注重隱私安全的人,會把這些手段疊加使用,建立一個多層安全網(wǎng),這樣你的數(shù)據(jù)才更不易受侵犯。
我忠實的建議是,無論如何,下個VPN吧。
五、使用端到端加密聊天工具
目前主流的社交聊天工具都已經(jīng)實現(xiàn)了端到端加密,大家可以放心。早在2013年,當Telegram(號稱不會被查水表的通信APP)開始出現(xiàn)在人們的視野當中時,它最大的賣點就是聊天信息十分安全(才用端到端的加密方式)。
那么什么是端到端的加密呢?端對端加密通訊方式是讓發(fā)出的信息只能被特定的收信人解密,并獲得信息內(nèi)容,不允許第三方介入。換言之,只有終端持有密鑰,而負責(zé)傳遞信息的服務(wù)器僅作為媒介,它本身不能解密信息。通俗一點說,服務(wù)器只是一個中轉(zhuǎn)站,沒有秘鑰,不能解密。而秘鑰則是在另一終端用戶的手中,只有另一終端用戶才知道你發(fā)了什么,任何第三方,政府,黑客,犯罪分子,甚至開發(fā)人員以及該軟件的后臺都無法知道用戶之間到底聊了些什么內(nèi)容。
目前,除了Telegram外,2016年4月,F(xiàn)acebook旗下WhatsApp也宣布對所有通訊進行端到端加密,現(xiàn)在,WhatsApp超過10億用戶的所有信息(包括文字、照片、視頻、文件和語音信息)在默認下都會進行端到端加密,包括群聊。目前,蘋果的iMessage都已經(jīng)支持了端到端加密。
就像上面提到的,并非所有的采用端對端加密的工具,都能對所有的信息保持百分之百的安全,比如有的端對端加密就是一個選擇項,而有的只對某些內(nèi)容,比如文字進行加密,不過世界上沒有百分之百的安全設(shè)置。比如,蘋果iMessage就存在安全隱患,詳情請查看《iMessage是世界上最安全的即時通訊工具嗎?》,我建議用戶定期更新密鑰。
可是在國內(nèi),QQ,微信,陌陌占據(jù)了整個通信市場,這些高級貨我們哪里有機會享用呢?如果非得,請仔細參考第四條建議。
小編在這里可以保證,使用好這五條建議,可以讓你的網(wǎng)絡(luò)安全比以前更上一個新的層次。