網(wǎng)絡(luò)安全意識 | 線上社交竟?jié)摬厝绱藧耗?..
顧名思義,本系列文章主講“安全意識”疆柔,而本期文章將主要講述線上社交方面的安全意識問題供鸠。
如今,一個系統(tǒng)整體的安全性已經(jīng)越來越強告希,面對純技術(shù)層面攻擊的“機(jī)器”也已經(jīng)進(jìn)化的越來越安全。但是烧给,就像一個人拿著世界上最好的釣魚竿也不一定就可以釣到魚一樣燕偶,僅僅是持有最好的工具是沒有用的。手握利器也沒法做大俠础嫡,只有自己武功高了才能保證不給武器拉胯指么。
相對應(yīng)地酝惧,無論一家公司,一家機(jī)構(gòu)伯诬,一個系統(tǒng)的安全性看起來有多高晚唇,如果系統(tǒng)里的人沒有安全意識,這個系統(tǒng)仍然是危險的盗似,在一個資深的安全工作人員眼里哩陕,無異于一塊放在玻璃柜子里的肉——看著護(hù)得挺嚴(yán)實的,其實赫舒,也就那么回事吧......
就像在安全行業(yè)里一句口口相傳的話所講的那樣萌踱,根本沒有絕對安全的系統(tǒng)。但這樣是否就代表著号阿,“反正怎么樣都不絕對保險并鸵,那還管他干嘛嘞”?
答案肯定是不對啦扔涧!于此可以套用密碼學(xué)的理論园担,即“攻擊收益小于攻擊成本時,密碼(系統(tǒng))就是相對安全的“枯夜。會有人印制成本為200塊錢的100元假幣嗎弯汰?會有人用一個月的時間破解當(dāng)周的彩票中獎號碼嗎?在安全方面湖雹,也是同理咏闪。
因此,本期或本系列的文章摔吏,主旨也并不在于促使觀眾所在的系統(tǒng)成為絕對安全的系統(tǒng)鸽嫂,而是使其開始對潛在身邊的危險產(chǎn)生覺知,使自身成為相對安全的系統(tǒng)征讲。
(假幣那句刪一下謝謝)
接下來直入正題据某!
本文將社交安全的安全意識分為線上和線下兩個部分,首先我們先講述線上社交的安全意識問題诗箍。
線上社交癣籽,廣義地講,即是通過網(wǎng)絡(luò)等渠道滤祖,非面對面直接交流的社交方式筷狼。
如今社交媒體已經(jīng)相當(dāng)發(fā)達(dá),大家也都愿意在上面分享自己的生活匠童。誠然埂材,每個人都愿意在社交媒體上分享自己美美的照片或者是深夜工作結(jié)束后的智者感悟雞血雞湯。但是俏让,請記得規(guī)避泄露有價值信息的風(fēng)險楞遏,因為當(dāng)看到你深夜在辦公室拍的照片時,會感動的不僅是你的老板首昔,還有黑客寡喝。
真正的惡意攻擊者是貪婪的,他們?yōu)榱诉_(dá)成目標(biāo)會不擇一切手段勒奇,不放棄一切信息预鬓。所以,如果你想保證自家公司的絕對安全赊颠,如果你想提升自己的安全意識格二,就不要忽視所有能被提供出去的信息的重要性,攻擊者能拿到的所有相關(guān)信息都有對應(yīng)的價值竣蹦。
接下來我們來主要談一談顶猜,你在社交媒體中可能會泄露信息的配置,泄露點痘括,和那些有用的信息本身长窄。
比較常用的社交軟件主要分以下幾類:QQ,微信纲菌,微博以及其他社交軟件挠日。
當(dāng)黑客決定對一個公司/系統(tǒng)的員工/成員下手的時候,很好用的一個辦法是偽裝一個身份與目標(biāo)直接接觸并進(jìn)行一些有目的性的交流翰舌,那么收集一些能夠便于偽裝身份的信息就是很有必要的了嚣潜。QQ是一種相當(dāng)古老的通訊軟件,使用時間長的用戶也會在上面留下足夠多的的信息椅贱,以至于說懂算,QQ上的所有信息整合起來就基本相當(dāng)于一個人的小型履歷。
其中庇麦,QQ空間是第一個“重災(zāi)區(qū)”犯犁。
一個安全意識不很強的人的QQ空間,可能會包含以下幾點有價值的信息女器。
1.個人履歷
一個人的QQ空間很有可能會包含他高中酸役,大學(xué)等的個人成長經(jīng)歷,也有可能暴露他對應(yīng)時期的關(guān)系網(wǎng)絡(luò)和當(dāng)時所發(fā)生的讓人印象深刻的事情驾胆。這些都有助于惡意攻擊者偽裝成另外一個人接觸目標(biāo)涣澡,用過往的共同經(jīng)歷和合適的綽號,稱呼非常有利于快速拉近雙方距離丧诺。經(jīng)典的“小王啊入桂,來我辦公室一趟”,“聽不出來了嗎驳阎,我是你老同學(xué)啊抗愁,我們還一起打怪升級來著”馁蒂,就屬于類似的攻擊手段。當(dāng)然一般來說實施這些手段的攻擊者大多屬于廣撒網(wǎng)蜘腌,并沒有對目標(biāo)進(jìn)行針對性的了解沫屡,屬于比較拙劣的攻擊就是了。
2.個人信息及關(guān)系網(wǎng)絡(luò)
姓名撮珠,年齡沮脖,樣貌,職業(yè)芯急,職稱勺届,家庭組成,公司階級構(gòu)成娶耍,工號學(xué)號組成規(guī)律等免姿。
3.活動范圍
筆者前幾天發(fā)現(xiàn),自己手機(jī)相冊里有一個“地點”的功能榕酒,這個功能會收集照片的位置信息养泡,并在地圖上放上對應(yīng)的照片,這樣就會大致勾勒出一個近幾年的活動范圍(關(guān)于照片位置信息請看下一點)奈应。QQ空間里的相冊澜掩,說說整合起來,也會勾勒出一個類似的活動范圍杖挣,它會讓你的行蹤暴露在外肩榕。目標(biāo)在什么時間會經(jīng)常出現(xiàn)在什么地點也會被攻擊者了解,便于攻擊者猜測你的生活習(xí)性和愛好等惩妇。比如下圖(電影院地址和蜜雪冰城)株汉,就能讓人捕捉到目標(biāo)經(jīng)常活動的地點歌殃,便于“踩盤子”乔妈,守株待兔。
4.活動范圍(進(jìn)階)
比較易于發(fā)現(xiàn)的活動范圍可能是依靠所發(fā)布動態(tài)的GPS定位氓皱,圖片里易于發(fā)現(xiàn)的標(biāo)志性建筑物等采集的路召。但也有一些更隱蔽的不易被人發(fā)現(xiàn)的方式,比如選擇原圖發(fā)送圖片時波材,圖片很有可能會藏有包含經(jīng)緯度位置信息的EXIF信息股淡,通過精準(zhǔn)的經(jīng)緯度信息,可以輕易定位你的位置廷区。當(dāng)然了很多軟件都對EXIF信息有操作唯灵,一般編輯過,美化軟件美化過的圖片會抹除它隙轻,所以和QQ好友聊天時不妨也發(fā)一些修改過的埠帕,美美的照片垢揩,不失為一個安全的好習(xí)慣哦。
除了以上提到的以外敛瓷,還有一些其他可能暴露有效信息的點叁巨,比如QQ簽名,留言板等琐驴,以下將給出一些具有針對性的建議俘种。
1.發(fā)布圖片時秤标,重要信息務(wù)必打碼绝淡;
2.盡量不在動態(tài)中暴露定位信息;
3.使用過“附近的人”功能者苍姜,應(yīng)清除地址信息后退出牢酵;
4.盡量不發(fā)送照片原圖,或編輯修改后再發(fā)送衙猪;
5.不要在公開社交網(wǎng)絡(luò)中暴露公司敏感信息馍乙;
6.盡量不要在空間中暴露真實姓名;
7.不要在QQ簽名(包括簽名歷史)垫释,留言板中泄露敏感信息丝格;
8.不要使用QQ空間中照片人臉識別后貼備注的功能;
9.盡量關(guān)閉通過手機(jī)號查詢到用戶的功能棵譬;
10.名片夾中“標(biāo)簽”功能盡量不要暴露個人照片或敏感信息显蝌;
11.安全問題的本質(zhì)是信任問題,不要輕易相信陌生人订咸,或?qū)ι婕暗焦緝?nèi)部情況等的敏感信息做到閉口不談(如果沒法做到防守好每一條可能被攻擊的渠道曼尊,就堅守最根本的不能放手的部分);
12.設(shè)定好空間開放權(quán)限脏嚷,至少非好友不能訪問骆撇;
13.盡量減少信息流出,有條件的話設(shè)置向外開放的時間范圍父叙,如只展示半年內(nèi)的動態(tài)神郊;
14.適當(dāng)管理留言板等公開交流渠道的內(nèi)容;
15.在熟人情況異持撼或開始涉及敏感信息范圍時屿岂,請多渠道核實真實情況;
16.盡量少地在個人信息處留下真實信息鲸匿;
17.事出反常必有妖爷怀,有便宜占時請及時核實真實情況,不要貪心带欢;
18.相信直覺运授,一旦起疑就及時進(jìn)行核實烤惊,在涉及到敏感范圍時,任何人都是不值得信任的吁朦。
只要與外界交流接觸就難免流出信息柒室,只要有信息就難保沒有價值。滴水不漏的防御要比專注一點的攻擊難做得多逗宜,真正做到極致的安全是非常嚴(yán)謹(jǐn)苛刻甚至反人類的雄右。
所以以上建議并不必不變通地完全100%執(zhí)行,按照自身需要安全等級適當(dāng)調(diào)整完成度纺讲,就已經(jīng)比其他無安全意識的廠家好上很多擂仍。啟蒙不是對光明的想象,而是對黑暗的覺知熬甚。雖然提升安全意識并不能幫助大家直接變成安全達(dá)人逢渔,但提高了個人/企業(yè)員工的安全意識就代表黑客攻擊成本上升,被攻擊概率下降乡括。
微信
微信逐漸受到大眾青睞肃廓,慢慢成為了辦公使用的重要通訊工具之一,雖然在內(nèi)容豐富度上不比QQ诲泌,但由于其職場使用頻率高盲赊,以及比QQ更加具有私密性的特點,在重要性方面還猶過之敷扫。
比如下面哀蘑,就是一個暴露自身信息的例子。雖然看起來該藏起來的信息都藏好了呻澜,但實際上藏起來的也就是4位生日而已递礼,非常好猜解,或者通過別的渠道取得也是很容易的羹幸。真正重要的身份證號隨機(jī)數(shù)全都暴露在外脊髓。
而下面的例子也將告訴你,用社交媒體里的圖片找到真實地址也并非空穴來風(fēng)栅受。
微信的大體情況和QQ類似将硝,也就不再贅述,以下給出一些針對性的建議:
1.發(fā)布圖片時屏镊,重要信息務(wù)必打碼依疼;
2.盡量不在朋友圈中暴露定位信息;
3.使用過“附近的人”功能者而芥,應(yīng)清除地址信息后退出律罢;
4.盡量不發(fā)送照片原圖,或編輯修改后再發(fā)送;
5.不要在公開社交網(wǎng)絡(luò)中暴露公司敏感信息误辑;
6.盡量不要在朋友圈中暴露真實姓名沧踏;
7.事出反常必有妖,有便宜占時請及時核實真實情況巾钉,不要貪心翘狱;
8.經(jīng)常管理微信登錄設(shè)備;
9.有條件的話砰苍,請設(shè)置好友可查看的動態(tài)時間范圍(非好友最好不可查看)潦匈;
10.盡量關(guān)閉通過手機(jī)號,QQ號查詢到用戶的功能赚导;
11.微信號盡量不要暴露個人信息茬缩,如姓名縮寫等。
其他非線下社交渠道
在社交軟件方面辟癌,以上兩者以外的社交軟件種類繁多寒屯,不便一一說明荐捻。但萬變不離其宗黍少,最根本的宗旨只有一個(說來簡單做起來難啊)——嚴(yán)防死守一切你認(rèn)為可能造成危害的敏感信息处面,不輕易暴露真實信息厂置,不輕易信任他人,謹(jǐn)慎謹(jǐn)慎再謹(jǐn)慎魂角。
不僅社交軟件昵济,電話有時都是不值得信任的,甚至說野揪,線下見面都未必真實访忿,除非你能保證他真的是他。
線下社交的問題將在后續(xù)文章中細(xì)說而在此不表斯稳。在本文結(jié)束之際再次重申線上社交安全的幾點準(zhǔn)則海铆,請大家務(wù)必牢記:
有任何涉及到敏感信息或者公司安全的情況,杜絕“自以為”挣惰,務(wù)必及時通過多渠道核實真實情況卧斟;
**禁止無條件的信任,不輕易暴露真實信息憎茂,不輕易泄露機(jī)密敏感信息珍语。
**
真正做到極致的安全可能無法與業(yè)務(wù)或正常生活并存,但也不代表可以完全不管不顧竖幔。做到條件允許的板乙,最好情況的安全即可。
(對于人來說拳氢,不和外界接觸最安全募逞;對于機(jī)器來說晓猛,網(wǎng)線拔了最安全......算了網(wǎng)線拔了都不一定安全,無論道高多少尺凡辱,魔總能高一丈戒职,絕對的安全是不存在的。)
最后送上一句話透乾,作為本文的宗旨洪燥,希望大家喜歡這句話,也喜歡零時科技安全團(tuán)隊本系列的文章乳乌,謝謝大家:
