caoz的心得与分享,只此一家,别无分号.

信息安全,别为了芝麻丢了西瓜。

发布日期:2017-05-15 13:27:24 +0000

我之前写微博的时候,经常就有读者反馈说,你怎么用360浏览器啊,你不知道360流氓么。


当然,我并不是要给360做广告,但我应该用什么呢?360只是一种选择而已,未必是最好的,确是成本最低的。很多人说,甚至一些程序员说,高手都不用安全软件的,我不知道这是怎样的高手?


到今天,还有人坚持认为,只要不乱点链接,不打开奇怪的附件,不上奇怪的网站,电脑就不会中招,这是怎样的无知,从2001年起主动感染性的电脑病毒就已经肆虐互联网了,都16年了,居然还有人认为只要自己不操作,就不会出事。无知如此,还振振有词,遇到这种,我也是无语了。


我以前说过这么一段话,很多人,每天各种自拍发朋友圈发Qzone发微博,我今天去哪里了,昨天去哪里了,明天要去哪里;我都见了谁还要去见谁,家住哪里,孩子在哪读书,全都写出来,甚至见过有人把信用卡拍照发陌生人的大群里完全不打码;然而突然有一天,看了一下网络新闻,恍然大悟的说,我靠,原来百度/360/腾讯 偷了我的cookie。


我知道很多人会说,自己暴露是一回事,别人窃取是另一回事;但我要说的是,很多人对自己的隐私安全意识极为淡薄,却被某些舆论诱导的神经兮兮,该做的防护不做,犯不着操心的事情却操心的不亦乐乎,自以为很懂,但事实上却根本分不清利害。


最近互联网勒索事件很热,暴露几个问题,我也想跟读者分享一下我的观点。


1、流行的蠕虫都具有主动攻击性,防护软件必不可少。


所以很多银行,电信,车站的服务机构电脑,只提供最基本的特定服务,从来没有人用来上网的那种,也都纷纷中招。

安全工具和防护软件必须安装,裸奔是非常愚蠢的行为。


选择安全软件最好选择流行的,主流的,并不是说技术好坏,样本库全,出问题升级的速度最快,只要你不是第一波中招的,你有很大的机会躲过去。


我会要求我的员工务必安装主流的安全工具,当然,你用腾讯的也行,用360的也行,自己花钱买趋势的也行,这个我不会过度要求,反正,裸奔绝对不行,小众的也不行。


2、操作系统能用最新版本升最新版本,不能用最新版本打最新补丁。


99%以上的安全问题都是因为升级不及时造成的。

当然,我们知道有0day攻击,有升级到顶也难逃一劫的时候,不过请你放心,除非你是国防科学领域的顶尖专家,或者是掌握数千亿资产管理的金融大鳄,否则,你要明白,0day是一次性消耗品,很贵的,通常不会用在你身上。


日常的版本检查和升级不能偷懒,怎么强调都不过份。


3、不要求全责备,要抓大放小


啥叫大,啥叫小。

你电脑中毒,中木马,中蠕虫,被黑客窃取账号叫大;你cookie被人偷窥叫小。

我在中国最好的安全公司工作过两年,实话说,我水平不咋地,也不敢说自己有多懂安全,但我明白了一个事情,在互联网上,别以为别人不知道你是谁,别以为自己能掩盖的多好,所以我秉承一个原则,不去瞎操心那些不用我操心的事情,做好最基本的防范就可以了。


比如说,不要把不雅或者不适宜公开的内容放在网上,任何所谓加密空间,所谓私人空间都不可信。


比如说,个人行程和隐私,尽量不要过度公开,这个风险在哪里呢?诈骗者会利用相关信息诈骗你的亲人和朋友,这样的案例我也碰到过。比如你在飞机上电话已经关机,骗子诈称是你同事,跟你一起去哪里,说你在机场突然晕倒,送医院急救,你说你亲人如何核实?


再比如,如果你不是百度和腾讯高管,就别担心360会拿你什么隐私;如果你不是百度和360高管,就别担心腾讯会拿你什么隐私。你放心,在中国互联网,老大哥随时都在看着你,你那点隐私,用不用什么软件其实没区别。其实不仅中国,互联网无隐私,棱镜计划都爆出来几年了,你只要不去整暗网你就别操心这个。


那有人担心,我约炮了咋办,我看黄网了咋办,我低级趣味了咋办,你放心,大家都很忙,别做大V别乱放炮,谣言和种子都别群发,朝阳人民群众没功夫搭理你。


4、机构,教育和政府机关,也应该长点教训


不需要多高大上的安全服务,随时安全检测一下,随时打个补丁还是要的。去年底这些工具网上就透出来了,说实话中间这时间不短了,到现在都不去补是不是有点懈怠。


很多缺省的系统,软件是windows的,然后使用者和购买者觉得就是个盒子,甚至使用者都不知道里面是windows。这种情况下,遇到蠕虫基本上就是团灭。找一个相对靠谱的安全公司,定期检查一下,这种问题早就发现了;更不用说重大漏洞的紧急升级。


5、重要的数据和信息做一下备份,网上备份是可以的。


当然,如果你担心比如不雅照片,或者不适宜内容,你自己做个加密再备份。你说加密会不会破解,如果你加密的不是核反应堆,生化武器材料分子式,或其他足以让各大情报机构动心的玩意,此外加密算法不要太low,应该不会有人有兴趣破解。(嗯,量子计算机理论上能破解成熟加密算法,但估计还有不少年才能成熟呢)


6、如果你是相关机构,公司与IT运维有关的负责人,多关心一下安全行业新闻和信息,每次出了相关报道尽早跟进核实处理。


唉,唏嘘一下,乌云仍无法重生,我都不知道该推荐哪个平台来关心这些东西了。



那,最后,吐个槽,说个蹭热点的事情。


空空狐那篇文章呢,绝对是蹭热点,这个我是承认的。

这篇文章呢,也是蹭热点,虽然晚了两天,我也是承认的。


但上一篇关于技术的文章 系统优化的前提是应用场景 真的不是。


所谓蹭热点,至少要符合以下两个条件中的一个吧,其一是,用户基于对热点事件的兴趣点击了你的文章;其二是,用户基于对热点事件的观点转发了你的文章。


空空狐的文章,确实符合以上两点,从吸粉效果来说也很明显,于是我立即写了一篇技术文章洗粉。但是呢,不好意思,提了一句锤子。


拜托,第一,不会有任何人因为锤子手机的事情点我的文章标题对不对,完全没关联是不是;第二,整片文章的调性,用户绝不会因为我提了一句锤子就转发对不对。  这种完全没有基于热点去获利的行为,算个毛蹭热点啊。有读者评论说,你这也是蹭热点,拜托有点逻辑好不好。


那为什么要提呢?有读者问啊,总有人问,你怎么看锤子这回发布会啊,本来我也不看啊,人家都给行业带来惊喜那么多次了,我都麻木不仁,我就直说呗,拜托以后不要问了,这热点我追不起不行么。


本文在欧洲高铁上完成,写到此处时,正在跨越法国和意大利的边境。近期仍然无法保持有节奏更新,见谅。


连带小密圈维护最近也不是很到位,删广告都不够及时,一并请见谅。