取消
显示结果 
搜索替代 
您的意思是: 
cancel
35756
查看次数
40
有帮助
78
评论
julianchen
Spotlight
Spotlight
亲爱的小伙伴们,
感谢你们的一路陪伴和参与!

大家期盼已久的“吐槽咱身边的信息安全事件”获奖用户出炉啦!

获奖用户公告:
月度奖:
5月月奖获得者:
请获奖的小伙伴在收到获奖通知邮件10日内私信管理员,反馈您的收奖信息吧!逾期奖品可要作废了哦!
4月月奖获得者:
Indeed

3月月奖获得者:
ABC123

周奖:
2016年5月23日—5月29日 获奖用户:
请获奖的小伙伴在收到获奖通知邮件10日内私信管理员,反馈您的收奖信息吧!逾期奖品可要作废了哦!

2016年5月16日—5月22日 获奖用户:
2871638717

2016年5月9日—5月15日 获奖用户:
lyra


2016年5月2日—5月8日 获奖用户:
az2005

2016年4月25日—5月1日 获奖用户:
木头人

2016年4月18日—4月24日 获奖用户:
Indeed

2016年4月11日—4月17日 获奖用户:
skylake

2016年4月4日—4月10日 获奖用户:
plan9

2016年3月28日—4月3日 获奖用户:
xksun725

2016年3月21日—3月27日 获奖用户:
goldyear

2016年3月14日—3月20日 获奖用户:
Leon2015


2016年3月7日—3月13日 获奖用户:
ABC123

2016年2月29日—3月6日 获奖用户:
爱尔兰咖啡


2016年2月22日—2月28日 获奖用户:
dourbest


没参加的小伙伴赶快参与哦!
——————————————————————————————————————————
大家新年好!有不少新来的朋友和非技术控向我抱怨去年的《和巨廉一起漫谈企业信息安全运维》过于偏技术,走肾不走心,很容易办着办着就没有然后了。难道技术“老炮儿”和非极客小伙伴一定要像芈月和芈姝那样吗 ,就不能“一笑泯恩仇”吗?好的,我们很开放的,听取大家的意见,今年会推出新的一系列活动。
首先我给大家介绍第一个具有“业界良心”性质的“接盘侠”--《吐槽咱身边的信息安全事件》。有什么不开心的信息安全事件,说出来让大家开心开心吧。您亲身经历的,耳濡目染的,道听途说的,甚至是翻墙八卦看来的,都可以!越劲爆越好!
欢迎参与,来一起“惊艳了个青春”。当然,虽然没有底线,但是大家还是要注意素质,该隐去该省略的,请大家自行处理哦。

------------------我是华丽的分割线------------------
参与方式:
1. 大家可以直接回复本帖参与。
2. 也可另起炉灶,在本版自行开个新帖分享idea,不过标题格式需为"【吐槽咱身边的信息安全事件】-- XXXX", 然后把新帖的地址以回帖的形式回复到此活动下方 。


活动时间:
2016年2月22日——5月29日,以发帖时间为准

奖项设置:
1. 每周奖项:最佳互动奖1名
奖品:印有社区logo的T恤一件
2. 月度奖项:最劲爆奖1名
为最有技术含量、或者最搞笑、或者最囧囧有神的分享准备
奖品:价值200元的乐高玩具、机器人玩偶、无人机等炫酷奖品任选其一

评论
CSCO12370587
Level 1
Level 1
朋友们设置密码中包含常用词汇:123456、1314、520、521等常用词汇
80后,用生日当密码。90后使用自己名字做密码。小朋友使用爸爸妈妈手机做密码。lollol
Indeed
Community Member
我来说了个两个案例,聊一下如何防范社会工程学的密码策略,也是我做培训写的案例。共享给大家~~:)
案例1:
曾经有人做实验,在地址栏输入http://www.xxxxxxx.gov.cn,按回车键登陆北京xx网站。选择公务员邮箱,输入邮箱名,邮箱密码默认为六个1,鼠标单击登陆。例如,选择公务员邮箱,在用户名处输入tjjbgs,密码输入111111,或者123456等,单击登陆即可进入统计局办公室的邮箱。如果做这个实验的是不法分子盗取国家机密信息,麻烦就大了。
案例2:
管理员发现一台服务器被入侵,但是不知道如何被入侵的,简单了解了一下情况,服务器前有防火墙,只开放了80、3389端口,服务器补丁打全了。怀疑可能SQL注入,但是看web日志前,习惯性的先简单看了看服务器日志,发现服务?器安全日志中存在多个互联网IP地址从远程终端登录的记录,甚至有在夜间的。于是问了一下管理员和开发商人员,在记录的时间段内是否进行过登录,回答均没有在那个时间登录过,初步判断可能是密码被猜出来,攻击者直接从终端服务进行了远程登录,登录到系统上进行了操作。问管理员密码情况如何,管理员说我们密码安全性应该比较好,有字母、有特殊字符,而且12位长,问之什么密码,答约:zaq12wsxZAQ!@WSX 大家看起来应该比较复杂,仔细看一下你的计算机键盘,其实就是最左边的一排键,从下按到上,兜一圈按下来,然后按着shift键再重按一次。
案例虽然不复杂,但是其实其中牵涉到了密码设置的问题。账号密码设置是信息安全中最基本的安全措施,尽管事情非常简单,但是任然有大量的安全事件与密码有关,如何设置一个好的密码,其实是一门学问。很多安全资料,都提到设置密码,提到的都是多少位长度、大写字母、小写字母、数字都有,但上面案例中管理员设置的密码似乎都符合以上要求,长度够、复杂度够。但仍然不是安全的密码。因为这种密码对于纯粹穷举的暴力破解是很好的,但是对结合了社会工程学的口令破解方式,这种密码就属于安全性不足的密码了。
好的密码应该包含两个特点:自己很好记、别人不好猜。
案例中的管理员设置的密码符合了第一条,没有符合第二条,所谓不好猜应该指的是不好推理出来,使用电话号码、生日作为密码的就明显不符合不好推理的情况,攻击者可以通过收集目标信息从而推理出来,还有就是必须无规律,案例中的管理员就是使用了规律的密码,构成密码的字符在键盘上是顺序排列的,也就意味着有?规律可循、可以推理出来,因此不是好密码。
还有些管理员设置了很复杂的口令,的确无规律,不可推理,能有效的应对攻击者的口令破解,但是大多很难记忆,不符合第一条要求。由于不好记忆,于是管理员会将口令保存在excel表中、存放在自己的个人电脑中,或者记在笔记本里面,这也为口令的保管带来了另外的安全威胁,但如果仅仅把密码记忆在脑中,又存在由于时间长而忘记口令的情况。
我有一个比较好的方法请大家参考,用自己熟悉的唐诗宋词做密码,并定期更换。例如:“问君能有几多愁?恰似一江春水向东流” 密码:Wjnyjdc?qs1jcsxdL
这个密码长度安全可以防范暴力破解,并且有大小写,符号,数字等多种组合,符合了“自己很好记、别人不好猜”策略。是个比较好的密码策略,也容易定期更换,也请大家集思广益分享好的密码策略~~
:P:P:P
julianchen
Spotlight
Spotlight
Indeed 发表于 2016-4-19 16:47 back.gif
我来说了个两个案例,聊一下如何防范社会工程学的密码策略,也是我做培训写的案例。共享给大家~~
案例 ...

感谢分享!有深度!
Yanli Sun
Community Manager
Community Manager
skylake 发表于 2016-4-17 14:54 back.gif
给大家回顾下2个故事聊一下公开信息安全问题
Story1:

这么夸张,几张照片而已。感谢楼上分享,以后晒朋友圈要谨慎再谨慎了,虽然咱们没影迷关注吧,也得避免给坏人可乘之机 :lol
木头人
Level 1
Level 1
吐槽一下信息安全事件吧,我的手机最近经常收到银行提醒积分兑换,去银行一问,得知是诈骗信息;警方提醒广大市民,电信网络诈骗各种骗术层出不穷、手段花样繁多,提醒大家一定要提高警惕:注意保护个人的信息资料,在任何时间、任何地点、对任何人都不要同时说出自己的身份证号码、银行卡号码、银行卡密码等个人信息;对于一些根本无法鉴别的陌生短信、电话,最好的做法是不要理他,同时要特别注意防范套问个人身份证情况、银行卡储蓄信息等情况的电话;在接到自称电信、公安、检察院等国家机关工作人员打来的电话,以各种理由要求群众转账汇款到所谓“安全账户”的,这一定是个骗局,因为国家机关工作人员绝不会通过电话给群众提供所谓“安全账户”而要求群众转账汇入;在电话诈骗犯罪中,不法分子有可能使用修改号码软件,以提高“可信度”欺骗群众。遇到这种情形,群众可以回拨显示的对方来电以确认真伪,如果对方是通过来电显示修改软件拨打的电话、按显示的号码回拨该号码,就只能是打回真正的号码的主人,不法分子是无法接听到的,这样就立即戳穿诺言和骗局;遇到紧急情况,要尽快拨打110报警电话与警方联系。
chaikekunabc
Community Member
如今,电信诈骗在全国各地呈高发态势,并有愈演愈烈之势。据数据资料显示,仅在北京和上海两市,2013年前11个月破获的电信诈骗案件较之2012年同期就分别上升了32.24%和44.6%。
以后卖诈骗保险去喽。。。。
tingtingyuli
Spotlight
Spotlight
身边真实的事情,不知道算不算信息安全的范畴呢。
不管啦,说出来,也提醒一下大伙
朋友把银行卡密码直接写在签名栏,当然可能也考虑到了安全问题,所以是倒过来写的,就这样,还是被当时的舍友偷盗了,后来报警,找到偷盗者,追回了资金,但是这样的事情,就是听起来弱智,做起来却很顺手。
所以,很多时候不是不懂安全,只是觉得不会轮到自己头上吧。简单点,好记点就算了。。。
az2005
Level 1
Level 1
本帖最后由 az2005 于 2016-5-7 10:26 编辑
说一个某黑客V讲过的故事吧,
“我曾经持续观察了一个女孩3年,3年中一直看着她和男朋友谈情说爱。她是个美女,我只见过她两次,是朋友的朋友。最后她没有选择一直在谈情说爱的男朋友,而是和一个比她大了10岁的男人结婚。”
那么V是如何观察这个女孩的呢?
V坦诚,有时候他喜欢窥探他人的隐私。窥私欲是人类的天性,是所有黑客走上黑客之路的源动力。
QQ查找好友的“可能认识的人”,把女孩推荐给了V(朋友的朋友)。女孩用自己的照片做了头像,所以一眼就能认出来。随后V查看了女孩的个人资料,知道了女孩的邮箱地址。V查出了女孩用的网易邮箱的密码,发现密码很有规律,是“姓名全拼+!@#”,或者“woaini+生日+姓名全拼”。
V进入女孩的邮箱后,发现女孩注册了12306用来订火车票。V通过这个注册邮箱,获取了女孩在12306的密码。登录12306后,V得到了女孩和她家人的所有身份证信息以及出行记录。同时女孩在携程上预订的机票信息也会发送到这个邮箱。自此,女孩只要出行想去什么地方,去过哪里,全都在V的掌控之中。
网易邮箱为了保护账户安全可以绑定QQ。V看到女孩的网易邮箱没有绑定QQ,就去绑定了一个自己的QQ。这样就算女孩把邮箱密码换了,V也能够通过绑定的QQ号强制改回来,从而实现了对女孩的终生监控。女孩至今都没发现安全认证的QQ号不是自己的。
有一次,V用一个QQ的XSS漏洞,获得了女孩在腾讯的Cookie,从而能够浏览她的微博私信、QQ空间、私人相册、朋友网、QQ每天都和谁说话了,QQ每天在哪里登陆过。V就像一双隐形的眼睛,在背后默默的注视着女孩的一举一动,一颦一笑。也许V比女孩最亲密的人,都更了解女孩的一切。
这里没有什么狗血的爱情故事,V只是默默的观察着,而从未惊动过女孩。。。
从这个故事里,我们可以体会一下如何防范自己的信息安全~~
chaikekunabc
Community Member
吐槽一下铁路局的网络技术,前天突然收到铁路局短信,说王某某定的北京至天津的高铁票订购成功,我思考了一下,我不姓王啊!!难道我的号码被盗了!!!我当时就蒙圈了,难道还有人无聊到盗用我的号去购票,自己不会注册一下???
lyra1
Level 1
Level 1
讲2个我们身边最贴近的信息安全技术问题。
1.WIFI钓鱼陷阱
许多商家为招揽客户,会提供WiFi接入服务,客人发现WiFi热点,一般会找服务员索要连接密码。黑客就提供一个名字与商家类似的免费WiFi接入点,吸引网民接入。比如在王府井附近,用来钓鱼的WiFi名就被命名为WangFujin_Free,很快就能发现逛街累了的人们接了进来。
一旦连接到黑客设定的WiFi热点,你上网的所有数据包,都会经过黑客设备转发,这些信息都可以被截留下来分析,一些没有加密的通信就可以直接被查看。于是,你在免费上网,就如同在互联网上裸奔。黑客可以知道你上网买了什么东西,在朋友图看了什么图片和视频,还可以冒用你的身份去发微博,查看你和朋友聊天的私信。
“钓鱼”实验:
模拟黑客,在王府井商业区分别设置了名为WANGFUJINGFREE的免费WIFI热点,不设密码,作为“诱饵”引诱附近的网民连接。
由于该WIFI无需密码且信号较强,因此很快就有几十个网民通过手机、平板电脑、电脑等设备接入了这两个钓鱼热点,而网民在网络上的一举一动,甚至其手机型号、打开的应用名称及上网信息,如浏览过的网页、机主QQ号码、微信朋友圈照片、淘宝、微博账号等信息,则同时被该WIFI创建者截获。
实验发现,在钓鱼WIFI环境下,网民若登录微博,黑客则利用网上存在的会话机制轻松劫持该网民的微博帐号,不仅可以以主人的身份浏览网民的私信内容和加密的相册,还可以进行发微博和删微博等操作。而如果网民接入WIFI后进行网购,那么黑客一样可以直接进入其网购账号,查看网民购买记录及个人联系方式、家庭住址等。
2. 家用路由器易被攻克专家:切记修改出厂密码
连接公共WIFI有风险,在自己家里使用路由器上网就安全吗?
路由器劫持及网络欺诈过程:
黑客攻击家用路由器一般有三个步骤:第一,破解网民家里的WiFi密码;第二,接入WIFI之后,再破解路由器管理后台的账号和密码,获得路由器管理权;最后,在路由器中植入后门程序,窃取网民上网信息,或者篡改路由器DNS设置,使得网民在不知情的情况下访问钓鱼欺诈网站。多数网民缺乏一些相关的安全意识,路由器管理后台的初始登录账户和密码从不曾修改,这也给了恶意攻击者可乘之机。
chaikekunabc
Community Member
最近许多人问我什么是网络安全,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。因此,网络安全的关键是预防!!
28716387171
Level 1
Level 1
我来吐槽下信息安全问题,现在几乎每个人都网购,方便快捷。但买完东西后,大家都习惯性的把包裹袋子随手一扔,殊不知,这存在很大的安全隐患,包裹袋子上含有个人电话、地址等很重要的个人信息,你时不时的收到骚扰电话,或许就跟这有关,被不法分子捡到的话,后果更是不堪设想。信息安全问题,从小事做起,从身边做起,所以,以后一定要把袋子撕烂再扔!
az2005
Level 1
Level 1
据《福布斯》网站报道,LinkedIn(领英)周三对外证实,公司网站LinkedIn.com在2012年遭遇黑客攻击时,有超过1亿条用户登录信息(包括电子邮件和散列密码)被盗,而之前的说法为650万条。
linkedin用的人很多,这下遇到麻烦了。
木头人
Level 1
Level 1
谷歌最近又做了一件超级“政治正确”的事情,继续巩固全球“道德楷模公司”的形象。
谷歌在5月4日表示,会禁止网站上“具有欺骗性和恶性的金融产品”广告,因为这些广告会导致用户陷入难以偿还贷款和高额违约金的困境中。
跟百度相比,广告对于谷歌来说可能更重要—它占了谷歌收入来源的绝大部分,虽然从事广告运营的人员很少—据说只有2%的员工在负责给公司赚钱。
现在,谷歌的口号已经由被动变为主动,从“永不做恶”升级为更有进取感的“做正确的事”。
对谷歌“侵犯隐私”的质疑声音从来没有断绝过,而且随着大数据时代的到来而变得越来越密集。—尽管在大数据时代,互联网公司穷尽各种手段伸手到用户的硬盘和账户里,吸血一样收集用户信息已经是一种全行业默认的共识。
天啊,网络安全,网民主权,看来只是一句空话啊!!!!!!!
danny.yf_li
Level 1
Level 1
我读香港城市大学的时候,很喜欢研究黑客技术。有一次进了城市大学的图书馆,好奇之下看了一下图书馆的借书系统。查询系统一般是window xp。所有管理员工具都被隐藏。但是没有关掉微软HELP文档帮助。打开文档帮助可以存取ie. 在IE 的地址栏打指定命令就可以打开command shell 。然后所有的管理员工具都可以透过cmd里运行。比如regedit, explorer ...甚至format. 于是那天晚上我就匿名发个邮件给学校图书馆,告诉他们有这个漏洞。他们回复我谢谢我的提醒。他们最后有没有做出改善我没有去关注了,但是这种低级漏洞出现在大学里面我觉得还是有点粗心了。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接