曹政信息安全常识科普.docVIP

曹政：信息安全常识科普 曹政：信息安全常识科普 0 时间：2015-10-23 9:06:14编辑：少恭热度：1531 ℃ 前天在新加坡IC咖啡做了一场关于信息安全的常识普及分享，主要是一些基本概念的澄清，以及对信息安全入门级别的了解。 我不是信息安全技术高手，很多很实际的技术细节可能不够了解，所以如果有一些概念错误或其他误导，也请技术高手指正 先说一些错误的概念 1、对于企业而言，信息安全是技术人员的工作。 错误，普通员工如果不注重安全很容易被突破。 内网安全往往是由非技术人员的疏忽造成的。 范例1： 某巨头互联网公司内网曾因某员工不安全的电脑导致ARP欺骗，导致内网dns解析遭受感染，在内网正常电脑的正常用户的访问本公司网址居然被转移到木马网址。 范例2：某信息安全上市公司因销售人员安全意识淡泊个人电脑被入侵，导致内网穿透，信息泄露很久后被发现。 全员信息安全意识培训非常重要。 2、良好的上网习惯，不乱下文件，不点开奇怪的文件，不上奇怪的网站，个人电脑就不会中病毒。所以，裸奔有理 的论调特别流行。 错误，15年前，从尼姆达病毒起，病毒和木马就已经具有了主动攻击性，他们根本不需要你点击和打开，会主动在网段内扫描和入侵有缺陷的主机。 3、装好杀毒软件，打好补丁，就不会被入侵被黑掉。 错误，0day攻击可以轻松穿透杀毒软件和打好最新补丁的系统。[ 转自365知识网 / ] 名词解释：0day 我们知道每隔一段时间，微软，苹果或其他系统厂商都会公布安全漏洞，发布安全补丁，然后用户就会及时打补丁防止被入侵，那么我们想一个简单的问题，1、这个漏洞是系统厂商公布的时候才出现的么？2、在漏洞被系统厂商发现之前请问谁能防止基于这个漏洞的攻击？ 很遗憾，事实，就是，没有，所以，在安全漏洞没有被系统厂商发现，或者被发现但安全补丁没有发布之前，这段时间，基于这个安全漏洞的攻击，就统称为0day，所以0day实际上不是一种技术形式，而是一种时间的概念，未公开的漏洞是广泛的，长期存在的，有一种说法叫做长老漏洞，什么是长老漏洞呢？比如说有款微软的操作系统漏洞，当微软发现这个漏洞的时候，其存在时间已经超过了10年。那么，这十年是否一直没有被人发现呢？很遗憾，只是没有被微软发现而已，在某些技术高手手里，这是一个通杀的入侵工具，想想可怕不。 那么，谁手里有0day呢，第一，各国军方，美国有，中国也有，俄罗斯有，以色列有，韩国有，日本也会有。第二，各大安全公司，有人会说，安全公司不是要讲操守，发现漏洞不是应该公告么？ 有些会公告，有些不会，为什么不会呢？ 因为有时候需要，比如说，两个安全公司去抢一个军方的订单，军方说了，你来检测一下我的系统，给我一个报告吧，如果你手里没有0day，你可能就竞争不过手里有0day的同行。你对手拿到了人家服务器的权限你没拿到，你不就丢单了么，你说其实你漏洞挖掘比对手强，不过你都公告了（你公告了系统厂商就有补丁了，有补丁了人家军方的运维也不是吃闲饭的，早就补了，明白这个逻辑不。），你看微软，google给你一沓感谢信呢，你想想军方领导人怎么想，尼玛另一家随时可以入侵我，而你不能，你让我跟你合作，我傻啊。第三，很不幸，一些个人高手和黑产手里也有，存在0day交易的地下黑市，简单说个数字概念，比如微软给TK教主发现的漏洞和利用方法发奖金，10万美元，大家觉得了不起，这是TK教主比较有操守，如果这个漏洞放到黑产的地下黑市里，100万美金都可以卖掉你信不信。 一个高危漏洞，在黑产手里的话，其价值是极为巨大的，很多人让我写写黑产，但我不敢，实话说，我惹不起他们。你看你看，我敢写黑社会，我不敢写黑产。写了黑社会我大不了不去香港了，写黑产我互联网的业务不要碰了。 那么问题来了，为什么系统厂商不给很高的奖金去奖励安全专家呢？而让漏洞流向黑产？这里还真不是钱的问题，而是存在一个悖论，如果系统厂商，对漏洞的奖励过高，会存在一个管理风险，如果奖金激励太大，那么系统厂商的开发工程师真有可能会故意留一些看上去很不小心的问题点，然后将这个问题点泄露给第三方的安全专家，分享奖金。所以，很多时候，利弊权衡，并不能只看一面。 名词解释：漏洞挖掘 什么叫漏洞挖掘，就是针对某个系统，某个应用，去分析其弱点并挖掘其可被利用的漏洞，其结果又分为高危漏洞和低危漏洞，高危一般是可以取得系统控制权，或者利用系统执行一些危险的操作。低危往往是可能导致系统不稳定，或者存在一些非机密信息泄露的可能。 发现漏洞和找到漏洞利用方法是两个步骤。 有的时候安全专家发现一个可能严重的漏洞，比如一个权限很高系统服务在一个偏僻的系统调用处存在一个溢出点。但这时只能说这可能是一个高危漏洞，有时候系统厂商会认为这个漏洞无法利用，当作低危漏洞来处理，这种情况以前很常见，但一旦找到漏洞利用方法，