网络安全是一场攻防能力之间的军备竞赛,不幸的是,我们正在输掉这场战斗。作为用户,我们希望更好的技术能够做更酷的事情,让我们能够做更多的事情。但我们拥有的技术越多,我们就越依赖它,这些系统也就越复杂。
复杂性是安全的敌人。事实上,复杂性是安全的克星,这也是我们在这场军备竞赛中失败的主要原因之一。
我将向大家介绍安全漏洞和脆弱性,以及它们如何影响你的安全。
安全漏洞和脆弱性实际上是一回事。所以,如果我说安全漏洞或脆弱性,它们指的是同一件事。它们都是一种错误。这是一种写入软件的错误,它为威胁主体(例如黑客)创造了利用它的可能性。
例如,最近的Heartbleed漏洞,你可能听说过,因为它出现在了主流媒体新闻中。这是一个Open SSL中的漏洞,它可以解密发送到易受攻击网站的互联网流量。举个例子,也许你有一家网上银行。如果它容易受到 Heartbleed 漏洞的影响,当你发送用户名和密码时,如果这家银行存在漏洞,其他人就可能解密并获取你的用户名和密码。
只要人类还在编写软件,安全漏洞就永远存在。这或许不会永远存在,但人性本善,所以只要人类还在编写软件,就一定会有安全漏洞。
想想 Windows 操作系统,这其实并不奇怪。它由数百万行代码组成。人性本善,我们会犯错,就会出现安全漏洞。
左边是一张代表你电脑的图表,右边是一张代表互联网的图表。两边都是你关心的内容。
安全漏洞可能存在于你的操作系统、固件、应用程序、Outlook、媒体播放器、Adobe Acrobat 等程序中。在特定风险中,它们可能存在于你的浏览器以及浏览器内的扩展程序和插件中。
比如,你的 Internet Explorer 可能存在安全漏洞。你访问了一个包含特殊代码的网站。你不会察觉到这些代码的存在,而恶意软件会在你的电脑上安装恶意软件,并利用这个漏洞接管你的电脑。
其后果可能是,他们会加密你所有的文件,并勒索赎金,直到你付费解密,这就是所谓的勒索软件。
因为你在网上关注着你的信息,所以我们必须考虑互联网网站和互联网基础设施中存在的安全漏洞。比如,你使用 Dropbox,Dr. Evil 发现了 Dropbox 上的一个漏洞,这个漏洞让他可以访问你的文件。由于 Dropbox 会存储加密密钥,所以加密并不能保护你,他仍然可以访问你的文件。漏洞主要分为两类。实际上,最好区分已知漏洞和未知漏洞。
我们从已知漏洞开始。已知漏洞都有补丁,只要你给系统打上补丁,就能避免这些漏洞的攻击。接下来,我们会介绍所有需要修补的漏洞的最佳且最简单的修补方法。然后是未知漏洞,也称为零日漏洞。由于没有补丁,这些漏洞更难防范。因此,我们稍后会介绍一些防范这些漏洞的技术,在安全行业中,这些技术被称为补偿控制。
我将提供一个电子表格,让你更深入地了解网络犯罪的世界。如今,初出茅庐的黑客创业者甚至不需要特别熟练的技术。他可以购买现成的漏洞利用工具包。
如果你看一下这个电子表格,顶部列出了目前市面上各种流行的漏洞利用工具包,可以购买。下面列出了各种漏洞及其影响范围。
作为一名初出茅庐的黑客创业者,我们可以浏览一下,看看哪个漏洞我们可能想利用。好的,我们可能想利用 Internet Explorer,所以,我们可以利用这个漏洞。这里我们可以看到,这个漏洞允许远程攻击者通过精心设计的网站执行任意代码,从而触发对详细对象的访问。这意味着,如果您点击链接或使用 Internet Explorer 浏览器访问任何易受此漏洞影响的网站,他们就可以控制您的计算机。