用户隐私泄露已成常态,我们又该如何防御?

Joe  于  2014-03-24 22:06:04  发布至  行业资讯  累计    次阅读

个人隐私

近日,携程网被爆可导致用户个人信息、银行卡信息等泄露,隐私泄漏事件之前已是频发,CSDN密码外泄门,如家、七天开房信息泄密、棱镜门事件、美国政府窥探全世界的一切、网站公然叫卖用户账号密码,种种事件都表明在这个互联网时代,用户自己的隐私并不是自己能够保护的。 

在知乎看到了一篇安全相关文章,是知道创宇,安全负责人余弦写的,倒是值得一看:

《不懂安全的你,不好》

这篇文章是写个其他圈子的同学看的,有感于这些天的一些发现,大家感兴趣可以看我之前的文章。 我以前并没如此强大的感受,但我现在意识到一点:安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心……

正因为安全看不见,所以往往不受重视,因为感知到的概率真的太低,用户的第一感知是他看得见、摸得着、嗅得到、品得出的东西,实实在在的东西,而不是那种虚无缥缈的东西,我们对概率低的东西往往默认选择忽略。  比如飞机降落滑行,手机被明确告知不能开机,以免影响滑行导航,可能导致事故,可就会有很多人开机,因为在用户的记忆里似乎没听过这能出什么事故,而且别人也开了,飞机照样没事,更加而且的是还经常能看到个别人在飞机飞行过程中悄悄打开手机,拍照啊、看视频啊,这样的情况下,飞机也没事呀,那可以得出的结论是:我偷偷打开手机导致飞机坠机的概率太太太低了,我可以偷偷开机…… 这种例子还能举出N个,比如:路人抢过红绿灯、抽烟、频繁熬夜、不吃早餐、浪费纸张等等等。

那什么时候我们会开始重视这些问题呢?

1.身边稍微密切的人,有那么几个出安全问题了;

2.自己出安全问题了; 一旦能感知到,就会开始重视,但别忘记了:懒是人性之一,随着时间的推移,这种感知又会慢慢开始降低。

网民眼里的安全

回到网络上,有牛人说过网民是一个低智商、没耐心、易暴怒、易跟风的群体。这些人你和他谈安全,人家当你白痴,他们来用你的产品可能就是看中某项小得不能再小的功能,用完就走,想用就来,不想用就不来。这个时候你和他们谈安全,即使把活生生的黑客摆在他们面前,他们仅仅会用千奇百怪的眼神打量下,然后呢?然后就没然后了。 

你要不去问问,黑客在网民的眼里代表什么?更多的是惊讶与好奇,有些网民巴不得哪天自己能被黑一次,这样在朋友聚餐吹牛的时候,还可以拿出来大吹特吹,表面假装气愤,实则心里那个爽啊。 哪天网民的邮箱被盗,密码被改,要都要不回,里面一堆重要资料啊,气愤啊咬牙啊,终于发现有一个帖子上说到:“密码最好设置复杂些,否则容易被破解,账号会被盗取。”从此,网民开始意识到:安全事件还真的发生了。 故事不都这样发生的么?不用想了,都是这样的。说不定这个邮箱被盗的网民是系统安全的大牛呢,可人家不懂Web安全啊,不懂黑客会这样来社工他,防不胜防。

老板是怎样想的

老板第一思考的当然是如何赚到更多的钱,如何拥有更多用户,如何把公司做得更大更好。大多时候老板和这些网民是站在一起的,老板会下意识的认为:“用户都不在乎安全问题,我们的产品需要尽快研发上线,需要一流的用户体验,需要第一时间抢占市场!”老板从来不会在那些战略话语中带上“安全”字样,包括安全圈中的老板,虽说是做安全产品,但不等于做好了产品安全。 老板这样想是对的,可具体的执行人千万不要这样,在说明这点之前,我先说下哪类人会被黑及什么情况下会被黑?

哪类人会被黑

1.没安全意识的人。这种人压根没这个概念,用最土的方式都能把这种人黑掉;

2.有安全意识,却没安全经验的人。比如上面说的系统安全大牛邮箱被盗事件; 

3.有安全意识,有安全经验,却没安全习惯的人。常在河边走,哪有不湿鞋?培养后天习惯往往是很困难的,我说了懒是人之本性啊! 这3类人应该包含全人类了,所以结论是:我们都会有被黑的时候。

什么情况下会被黑

某人问:“可是……被黑的概率还是很小呀。”恩, 我知道当满足一些条件的时候,被黑概率会越来越大: 

1.你手上有黑客感兴趣的私密资料,你仔细想想下自己有没有什么隐私是某些人感兴趣而很想得到的,比如网游里的装备、网银里的RMB、邮箱里的私密对话、空间里的马赛克图片……哪怕你是屁民,一样被攻击,黑客根本不需要认识你;

2. 你用的互联网产品有价值,有利益驱动,成为黑客的目标了,比如CSDN、天涯等各大网站密码泄露事件,导致千万网民躺枪……即使你是屁民,你在黑客面前早已经没了马赛克; 

3. 你名气很大,枪打出头鸟,黑客无聊或有聊都会把你当做目标,周鸿祎、刘谦、李开复等不都被黑? 

4. 你直接得罪黑客,比如月光博客曾经就各种鄙视贬低黑客,后来各种密码被破解,博客被黑,这个黑客是好的,仅仅是给个教训; 其实这些都是被爆出来的,有多少没被爆出的、间谍活动的、恐怖活动的,我感觉这些离我们很近,不过绝大多数人会感觉很远……

执行人该怎么办

首先有一点,我必须强调的:这个世界决不能交给不懂安全的人。前面说了老板和网民站在一起,身为具体产品过程的执行人,我们该怎么办? 我们应该带着安全思维去执行产品的架构设计、研发、测试、运维(甚至完整的产品生命周期)。业务为导向的产品过程并不是处处强调安全,但是安全必须作为基础融入,这是一种有远见、负责任的产品过程! 

我认为:不懂Web前端安全的前端工程师不好,不懂安全的架构师不好,不懂安全的产品经理不好,不懂安全的网民不好……为了逆袭,黑客们抢占这些职位吧,为中国互联网多带去优良的黑客基因,做出更好更安全的产品,这就是我之前说的跳出我们那狭小的圈子。 嗨,别不服了,看看那年的高铁相撞事故,那个列车的用户体验爽了吧?虚荣心满足了吧?安全呢??还不够吗?现在你架构的业务让任何人都可能轻易被搞,安全无小事,不要以为自己做的不是“高铁”,其实危害最大的是你的残缺思维与无动于衷……

怪异心理

在很多大公司,安全与业务部门是分离的,安全人员恨不得这个产品出现一些有影响的安全事件,这样那些搞业务的人才会重视。这两派不应该这样,谁都不能高高在上,你说呢? PS1:本文说的黑客(如果是坏的)都是指那些坏蛋,真正的黑客才不会这样,他们很有爱,我就是很有爱的一员。 PS2:个人思维残缺不可怕,团队思维残缺决不允许!   


关于防御,我简单列下吧(都是血的心得啊):

重要网站/APP的密码一定要独立,猜测不到,普通网站为了记忆方便可以简单有规律,如果你记忆好,那可以都不一样,或者用1Password这样的软件来帮你记忆; 电脑勤打补丁,腾讯管家、百度卫士都可以(不推荐360是因为我不信任); 

能不用IE浏览器就不要用(网银登录这类必须是IE的情况那再用),用Firefox或Chrome浏览器,如果想和我一样变态安全的话,可以考虑给Firefox装个安全扩展:NoScript; 支持正版,包括Windows,Office等,淘宝注册码没几个钱(相比激活软件要靠谱,虽然也非正版方式,但对国内来说要求大家都正版不现实),因为盗版的、破解的总是各种猫腻,后门存在的可能性很大,当然有的破解者是友好的,到时你自己判断,只是我强烈建议:支持正版。(补充:其实应该把“正版”改为“从正规渠道下载的软件” 会更实际些,大家理解就行了); 

不那么可信的软件,如果你玩虚拟机的话,可以安装到虚拟机里; 手机建议用安全的iPhone,别越狱,如果用安卓就安卓吧,别root,同样强烈建议购买正版APP,哪天我有心情我给你们证明下哪些破解APP的猫腻,iPhone用户尽量不用什么快用苹果助手、同步推、iTools、PP助手之类的,尊重苹果的原生态吧; 不要在公共场合(如咖啡厅、机场等)使用公共无线,自己包月3G/4G,不差钱,当然你可以用公共无线做点无隐私的事,如下载部电影之类的; 

自己的无线AP,用安全的加密方式(如WPA2),密码复杂些; 在任何地方输入密码时,注意周围,包括角落的摄像头; 不要在陌生的电脑上输入密码等,如果实在需要,输入后,清除好记录; 离开电脑时,记得按下Win(Windows图标那个键)+L键,锁屏,这个习惯非常非常关键; 

如果你是重要人物,记得给你的BIOS加个密、硬盘加个密、关键文件放到TrueCrypt里,发邮件用PGP加密; 接上条,住酒店时,离开房间时,记得关机,锁好电脑到保险柜去; 涉及到QQ、微信等的朋友、亲人向你借钱、充值之类事宜,电话过去确认,要记住互联网那头不一定是一个人或你以为的那个人; 即使是官方短信也不一定可信,因为基站可伪造,百度“伪基站”看看就知道了; 不用相信“天下掉馅饼”的传说; 手机锁屏时要密码(数字、字母或指纹都行),千万不要图形密码,随便都可以被瞄到!! 

不轻易把自己的姓名、电话、邮箱等给陌生人(包括名片),很多场合是可以写假名字的,该低调就低调; 相信我,如果你成为目标的话,黑客要黑你的方式太多了。还是那句:不做亏心事不怕鬼叫门,这是终极防御了;  最后,意识为先,让更多人意识到吧,来个俗套的请求:把我的这篇文章转发出去,转发时附上:文章给出了很多非常好的防黑建议(blabla~,剩下你自由发挥),谢谢。 

大家发现没,以上我给出的建议都是基于“信任”这个核心给出的,安全的本质是信任。“除了你自己没谁是真的可信的。”记住这句终极心法,不过这个太残忍了,你自己把控下度。 

原文转自知乎:《不懂安全的你,不好》

上一篇:腾讯和360在与微软XP合作下的明争暗斗下一篇:新浪微博更名为微博,IT公司也卖萌