作者: fmyzjs

openstack小组第二次活动内容

活动时间:4.21 9am
活动地点:健翔桥nmclab
活动组织:北京信息科技大学nmclab

1.检查上一次活动任务的完成情况,讨论解决实际操作中遇到的问题。
2.提供211.68.39段的虚拟机(双核, 4G Ram ,40G硬盘 ,ubuntu12.04)完成控制节点,计算节点的架设部署及联机测试。
3.为openstack的校内服务做好准备。

其实人才是最安全的防火墙

为了对抗社会工程学攻击,必须组建“由人组成的防火墙”,抛弃网络架构刀枪不入之类的幻想。
对员工进行培训,使一部分企业能够预防和识别社会工程攻击的企图。这比对员工进行防火墙系统培训的难度要小得多。因此,只要组织措施得当,“人”将不再成为信息安全链中最薄弱的一环,而是成为最安全的后盾。
现实中发生的许多网络安全案例,破坏者使用的手法并不是十分高明,仅仅是通过一些非常简单的技术对系统进行破解。比如口令的暴力猜测,这些攻击并不需要太高深的技术,仅仅使用一些现成的软件和一点耐心就能实现。甚至还有一种技术含量更低的破解网络安全防御系统的方法,它通过种种手段骗取操作网络内部的人员提供必要的信息(如管理员口令),从而获取网络的访问权。这种方法称为“社会工程学”(Social Engineering)。
一、社会工程的黑客陷阱
社会工程学其实就是一个陷阱,黑客通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。还比如,只要有一个人抗拒不了本身的好奇心看了邮件,病毒就可以大行肆虐。
大家熟知的Mydoom与Bagle都是利用社会工程学陷阱得逞的病毒。如果您从事网络安全工作已经有了一段时间,就能说出这位最“臭名昭著”的黑客名字:Kevin Mitnick–他曾被媒体作为新闻标题、被电视节目作为评说对象。有人曾用这样的语句形容他:“他旁若无人地站在白宫走廊的一角,目光深邃。一台笔记本电脑与他寸步不离,他不时在键盘上敲下某些神秘的指令……”。我们可以引用他最著名的黑客理论:“赢得别人的信任,然后利用这种信任取乐或取利,在现实世界中此类现象比比皆是,在网络世界中也同样存在。人是一种社会动物,希望被喜欢、被信任,一旦这种天性被我们利用……”
二、e时代的信任危机
在2000–2003年的时候,如果你利用漏洞扫描软件在10分钟内就能轻易地发现100台以上的脆弱主机。在网络安全技术不断发展的今天,各种安全防护设备与措施使得网络和系统本身的漏洞已经较少了。然而黑客入侵事件却总在不断上演,这是为什么?网络使用者的安全防护意识起着关键作用。我们可以将服务器系统安全加固交给网络安全服务商完成;可以将网络安全的常识通过培训介绍给企业的每一个员工,但是,任意设置简单易猜的口令、随处留下自己的邮箱行为还是比比皆是,这都使得善于利用社会工程学的黑客能够很轻易地完成对某些目标的入侵。
可以说现在CIO们最怕的不是系统灾难,因为完整的灾难恢复机制已经让他们可以坦然面对。最近流行的“网络钓鱼”,其实并不是一种新的入侵方法,而是入侵者通过技术手段伪造出一些以假乱真的网站诱惑受害者根据指定方法操作的Email等,使得受害者“自愿”交出重要信息或被窃取重要信息(例如银行账户密码)。入侵者并不需要主动攻击,他只需要静静等候这些钓竿的反应,就像是“姜太公钓鱼,愿者上钩”。我们可以将它归纳为有一定技术含量的、被动的社会工程入侵。那么,没有任何黑客技术含量的主动入侵存在吗?回答当然是肯定的。
我们举一个例子:对方公司的销售人员想获得你的客户信息,他会通过电话、Mail或者QQ等了解到贵公司销售人员的通信方式。在通过冒充客户咨询的电话中,你都可能透露出真实的个人信息,然后以你的身份再次打进电话来,询问其他员工来获取网管员的电话。剩下的事情只需要向网管员申诉自己的邮箱出现问题了,要求将密码更改过来,如果网管员稍有疏忽,这一入侵行为就已成功结束了。
还有一种攻击也最为常见,那就是胁迫攻击。攻击者假装成权威人士,要么是组织内的高层人员,要么是执法人员。攻击者会选择其职位之下的几个不同层次的人作为目标。攻击者会制造一个借口来要求重设口令、改变账号、访问系统或敏感信息。如果遇到抵制,攻击者会利用职权胁迫这些员工就范。社会工程学基于最基本的生活常识,最简单的心理学原理:越简单的东西越不容易出错,而越复杂的事物越可能出现漏洞,世界上最复杂的就是人和人的思想,利用人们的信息信任–这就是“社交工程学”被信息安全专业人员所恐惧的主要原因。
三、完善制度重于技术防御
社会工程学,并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益;即使最先进的网络防火墙,一样无法阻挡没有电信号的信息泄露。企业在制定社会工程攻击防护方法时一定要充分考虑自身的特点,千万不能生搬硬套。根据受到过攻击的企业所提供“亡羊补牢”的方法大致归纳如下:
四、建立事故响应小组
从信息安全的观点,任何外部威胁的处理(包括社会工程)将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是,事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成,他们要经过良好培训并随时准备对社会工程攻击做出反应,有效的分析出入侵的目的与方式。
五、制定规章与教育相结合
防范社会工程攻击的困难在于大多数物理硬件和安全控制措施是无效的。因为社会工程攻击的目标是人,所以其防范措施需要集中在信息安全的管理部分。一个有效的防御措施就是建立全员的信息安全策略,策略指导应包含所有员工的“信息安全行为规则”。另外,有效的抵抗措施就是用户意识培训,在整个公司的层面上,将这个信息传递给所有员工是非常关键的。这样,整个公司在所有层次上都非常警觉。
六、模拟入侵程序
模拟入侵测试是一种从外部观点来评价安全控制措施的方法,是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度,也可以采用模拟入侵测试来发现一些证据。但是必须注意的是,尽管渗透性测试是评估组织的控制措施的最好方法之一,但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外,制定立即通告制度也很重要,一旦员工发现一个社会工程攻击的企图,必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤,以及精心配备的事故响应小组也要将其效能最大化。

文章来源@网络

网站被黑前你能做些什么?

目前大多数公司并没有专门的人员,担任此类工作的基本都是对网络安全不是很专业的程序人员和人员。即使有些公司配置有专业的人员,但毕竟个人力量有限,网络安全是一个整体规划的过程。因此必须重视网络,做全面的安全评估及跟进,这样做的好处是:排除已知网络隐患,预防潜在安全危机,把可能带来的风险降到最小。特别对于一些靠网站运营生存的企业,稳定的服务及网站将会直接影响经济效益。”

目前被黑的大部网站主要有以下几类:

1.使用网上公开的源代码程序做为网站支撑平台的网站

这类网站问题最多,因为源代码公开,黑客们可以直接对程序进行分析,找出漏洞。同时基于此类程序先天性的设计缺陷,也给黑客的攻击留下便利之门。目前网上黑客工具泛滥,稍懂黑客技术者就可攻击此类网站。不要以为你的网站黑客找不着,通过这些程序的某一个关键字即可通过某直达你的网站,例如使用动网系统的人,一个漏洞出现后将使数百甚至数千人被攻击。

2.一些比较着名的类网站

这类网站一般有比较大的流量,属于行业中的佼佼者,攻击这类网站可以直接给黑客带来可观的经济收益,亦有可能是竞争对手雇佣黑客所为,还有一个原因就是这类网站一般较高,黑客喜欢攻下此类服务器做为“肉鸡”。曾有某公司服务器攻击别人被公安部门检查后发现被人植入木马后远程操作所为。

3.政府及类网站

近两年来政府及电子政务类网站逐渐成为黑客的新目标,更是国外的直接目标,据我们调查,某国黑客网站联盟针对全球政府网站进行黑客比赛,将所黑政府网站及上传至该网站的文件罗列出来,据观察仅国内每日就有数十家被黑。至于国内黑客近年也愈来愈胆大,前几日某地方公安厅网站被黑,黑客书:“别以为是公安部门我就不敢黑你,有漏洞照黑!”

4.各大商业银行网站

银行网站一直是被众多不法分子偷窥的重点对象,同时也不缺乏恶作剧者,前几天网站被黑,网站上被黑客写下:“工商银行倒闭,所有存款没收!”的字样,引起一片轰动。同时也是钓鱼者模仿攻击最多的网站,使用者需要小心提防。

5.流量较大的行业门户网站

黑客攻击此类网站的直接目的是为了给其它网站带来流量或者是通过此类网站往用户电脑中植入木马或者。通过调查发现不少被黑的行业门户网站上均有黑客所留下的某个网址或者是某个网页木马,或许很多朋友浏览网站后自己中了木马仍不知晓。

在你的网站被黑之前,你可以做些什么?

“只有绝对的不安全,没有绝对的安全”,所有互联网相关企业都会面临网站被攻击的危险。目前中国互联网领先的大网站,无不遭受过被黑、被攻击的命运,那么你的网站迟早都会被攻击。那么在此之前,你可以为自己的网站安全作些什么呢?

1、做好数据备份

对于任何网站,都必须做好数据备份,你可以采取的备份措施有多种多样,但是无论备份如何,都只是做到了最坏的打算,大不了我恢复数据。但是备份是一种必须要做的措施,但无法主动应对。而且,在被黑之后,恢复备份之前,你的网站处于不可服务状态,你的直接损失无法金钱衡量。

2、购买更好的硬件

购买硬件是可以提高,但很遗憾,根本无法抵挡黑客攻击,而且,更快的硬件、更高的带宽只会带来更大的攻击后危险。什么?你说!?相信不少被黑的大型网站肯定会有数百万元购置的防火墙,但仍然无法抵挡黑客的入侵。因为你只要开放一个“80”服务端口,都将有被黑的可能性,因为网站程序的缺陷硬件设备是无法帮助你解决的。

3、让部门做安全检查

不错,这是个积极的做法。但问题是:

你相信那些成天被网站老板催促的程序员真的有时间来仔细检查代码?即使检查了,你认为任何人能够轻松找出自己的代码安全隐患?另外,当产品开发追在屁股后,你真能够下决心让自己的开发停顿下来?算算程序员的开支和可能提升的安全质量吧,会有多少?

4、完善公司的内部安全机制

嗯,不错,是搞管理的,但问题是,你能够弄清楚防火墙、路由器的区别已经是花费了半天时间了,你可以将安全制度做得更好吗?或者说,即使出来了一个规范,你认为它适合你的公司现状吗?安全等级管理是一个很专业的问题。

5、训练员工安全意识

世界上最安全的防火墙是什么?人才是最安全的防火墙!训练员工有安全意识 不做弱口令砖家 不随意泄露敏感信息 防止被黑客通过社会工程学手段获取到他想要的信息。这里推荐一个91ri.org上的经典的企业被社会工程学案例:《社工-20分钟内窃取公司机密信息》

6、聘请资深的安全管理员

嗯,是,这样加强安全措施思路没错!但接下来的问题是:

我在哪里找有实践经验的安全专家?你每年的预算是多少?你能够请多少安全专家来为你的网站规划安全计划?一个完善的应该来自于一个有丰富经验的技术团队!

7、等着被黑

不要不承认,你大部分时间是出于这种状态。当网站访问量越来越高,当用户越来越多,你的担心就越来越大,服务器可承受的压力,程序的安全性及处理数据的能力,网站被黑客骚扰的烦恼事儿会让你夜不能寐……

本文来自@网络

信息安全技术相关的五个误解与谎言

1. 软件爆出了漏洞,打上补丁以后就安全了。

真相:软件爆出一次漏洞,往往意味着会持续爆出漏洞。其频度和软件安全质量强相关。
建议:尽量选择安全声誉好的软件。对于非必用的联网软件,如果被爆出漏洞,请停用一段时间。(比如目前浏览器上的Java插件,留个印子https://t.cn/zW5J74m)
2. 数据加密了,就不怕泄漏了。
真相:加密算法并不能保证数据的隐私性,构建在其上的加密协议和具体实现都至关重要。无论是MD5/SHA、DES/AES、还是RSA等非对称加密,都被发现在不正确的使用下,可以非常迅速的获得明文。
建议:注意保护自己隐私信息,非必须尽量不要暴露给联网软件(无论是安全软件还是云存储软件),特别是他们宣称“用了加密,于是安全”。
3. 物理隔离的内部/专用网络,不会有安全问题。
真相:攻击者在受害者完全不知情的条件下通过受害者的U盘实施“摆渡”攻击等众多手段,都能对物理隔离的内网实施有效攻击。 实际发生的案例如stuxnet(震网)蠕虫对伊朗核设施的攻击。越大规模的内部网络,越容易出此类问题。传统的专用网络(比如老的电力控制网)由于缺乏 安全防护,一旦被攻击,其后果更加严重。
建议:对于大范围的内部/专用网络,安全要求和措施应等同联网环境。
4. 嵌入式设备软硬件一体化,不会有安全问题。
真相:近年来,无论是HP打印机、家庭宽带路由器,还是cisco/juniper等专用路由器,都被发现了有严重安全问题,可以被攻击者远程控制。特别是家庭宽带路由器,每次发现问题的设备都以数十万计,攻击者控制了它们以后,就获得了受害家庭的网络控制权。
建议:嵌入式设备的安全公告也要关注,及时更新。选择设备时,注意安全声誉。
5. 个人信息不值钱,泄漏就泄漏吧。
真相:在互联网上,犯罪分子可以大规模的搜集和筛选受害人的信息,对于信息掌握较为全面的受害人,他们可以进行各种实体攻 击。其中又以有明显弱点(孩子、老人、女性)或有钱的人为首选目标。著名的案例是,某学校的学生家庭信息泄漏,攻击者骚扰学生使其无法接听电话后,利用对 受害者信息的熟悉,冒充老师获取家长信任,对家长进行诈骗。类似的事情也发生在诈骗老人上。而你的身份证信息和信用卡信息更是可以直接用于消费和欺诈。
建议:自己注意,让家人知晓此类诈骗。
参考文章:
https://qing.weibo.com/1891235985/70b9f891330038ps.html
https://lenx.100871.net
本文来源@网络