扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:ZDNet安全频道 2013年11月13日
关键字: 穿透测试
作者:迈克菲全球消费市场副总裁 Gary Davis
我想绝大部分人都不会让一个陌生人随意查看他们全部的个人信息和私密信息。然而有一位记者却这么做了,他试图用这种方式来解答以下问题:黑客究竟能从他那里得到什么?如果黑客想这么干,他们能获取多少权限?在这个实验中,来自 PandoDaily.com 的记者Adam Penenberg 将他自己的生活“送给”了黑客。
Penenberg的实验灵感来源于他14年前写的一篇报道。上世纪90年代,Penenberg雇佣了一位私家侦探,想试试如果仅通过他在报纸上的专栏,这位私家侦探能掌握自己多少信息。不到一周时间,这位私家侦探就发回了一份报告,上面列举出了他的姓名、生日、社保号码、家庭地址、信用报告、银行帐号、水电账单等等。回想起之前他的个人信息是如此轻易被人获取,Penenberg很想知道,在当今的数字时代,同样用这个简单的实验,又能“窥探”出什么?
Penenberg要求Trustwave(一家面向全球企业和政府部门提供所需和定制信息安全及支付卡行业合规管理解决方案的领先提供商)的“先进研究与道德黑客团队” —— SpiderLabs,对他进行一项个人“穿透测试”。SpiderLabs通常为大型企业进行穿透测试,其资深副总裁Dan Peroco对于这项个人调查也颇感兴趣。于是该团队很快便开始分解Penenberg的数字生活。
之后整整两个月时间,Penenberg收到的消息只是“SpiderLabs团队正在努力工作”。然而有一天,正当他在纽约大学教授研究生新闻学课程时,他的电脑和iPhone完全失控了 —— 他被黑了!问题在于,他究竟被黑了多少东西呢?
SpiderLabs团队获得了纳税单等个人文档的接入权限以及各种账户,包括Penenberg的银行、Twitter、亚马逊、苹果iCloud的所有用户名和密码。通过组合各种信息,该团队彻底破解了Penenberg的数字设备,使他无法进入自己的手机和电脑。
他们究竟是怎样进入的?
虽然使用了包括数字、人工等各种老式和新式手段,SpiderLabs团队最终“黑进”Penenberg的生活还是通过一些恶意邮件。首先,他们假装成一个想去纽约大学(Penenberg教书的地方)学习新闻学的高中生给Penenberg发送了一封邮件,附带了一份“写作样本”,该附件会向Penenberg的笔记本电脑散播恶意软件。但由于Penenberg当时没有在进行教学工作,他便将邮件转走了,也没有辨认出文件类型 (.jar)。于是该团队便转向了Penenberg的妻子,这次他们伪装成一位想在纽约找工作的瑜伽教师发送了一封邮件,附带了一个“视频样片”。Penenberg的妻子起初并没有回复,但在第二次接到同样的邮件后,她打开并下载了该文件,于是SpiderLabs团队就完全控制了她的笔记本电脑。
对于消费者来说这意味着什么?
敏感数据的攻击可能来自于任何地方。从被丢弃到垃圾桶中的纸质账单,到分享在社交媒体上的个人详细资料 —— 无论您觉得您对数据有多么完善的保护,在上网时如何谨慎,您的数字生活总会留下痕迹,而黑客也总有办法钻到空子。当有了足够的资金和资源,黑客只要专注于一个特定目标,就可以轻松进入我们的个人设备乃至整个数字生活。对我们的数字生活进行保护变得越来越重要。
如何保护数字化生活
如何保护您自己的重要信息,使其不被数字入侵、网络骗子以及其它无法预知的攻击损害? Penenberg的故事告诉我们,可以通过以下一些基本的步骤来增加黑客入侵的难度:
· 限制在线信息分享和粉碎纸质文件。SpiderLabs团队从Penenberg的在线文章中获取了大量的数据,为他们进行攻击提供了基础。即使是一些看上去很随意的在线信息分享,也有可能在攻击中被利用。除了注意网上留下的个人线索外,还要谨慎对待在家里和工作中丢弃的文档。您收到的对账单、求职申请、快递单据、获得预批准的信用卡申请等在被扔进垃圾桶前最好全部粉碎。
· 使用多个密码并进行正确管理。Penenberg在他妻子的电脑中保留了一个旧文档,上面列举了他一些账户的密码。同时,他还犯下了一个常见的错误,在各账户中都使用了类似甚至相同的密码。于是SpiderLabs只需要一组用户信息就能进入他的多个账户。而保护自己密码的最佳方式,是使用密码生成器和全面的密码管理器。
· 对陌生发件人发来的邮件和附件保持警惕。Penenberg和他的妻子最初都很警觉地对SpiderLabs团队发来的邮件产生质疑,但最后还是“妥协”了。哪怕邮件的内容看上去是真的,但如果是您不认识的人发来的,最好还是无视这些信件,或者自己先去查询一番。尤其要注意的是移动设备,由于屏幕比较小,显示发件人地址可能不完整,我们在快速查看时很可能无意识地就打开了这些信息。
· 对设备中保存的文件进行例行检查。Penenberg在他妻子的笔记本电脑中保存了一些文件,有些连他自己都忘记了。许多文件在SpiderLabs发动黑客攻击时都派上了用场。
· 确保您家人的设备都受到保护。迈克菲能够为您的智能手机、平板电脑、电脑和苹果设备提供全面的保护。它还提供安全云储存服务,让您的敏感文档不会落入“有企图”的人手中。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者