上班不摸鱼,那这班上的没有灵魂啊。但是不久前爆出的国美网络监控事件,也提示我们网络有风险,摸鱼需谨慎。
——“另一家国企的技术处负责人表示,“理论上,员工打开了哪些软件,运行了哪些程序,甚至在论坛上发了哪些内容,我们都看得到。形象地说,上网相当于发送了一个请求,这些请求是能被我们侦测到的,通过截获这个流量,可以分析员工的上网活动。当然,我们不会主动去拆封这些信息,只是留存,方便出现问题后的回查”
以上摘录了文章中的一段,各位听上去是不是多少有些恐慌。 那岂不是我上班写的博客,搜过的奇奇怪怪的问题,喜欢的女优,都被老板一览无余了:-)。锅叔对此也是深表惶恐,这岂不是分分钟社死的节奏。
听上去有些神奇,但又貌似很合理,毕竟人家是“国企技术处负责人”。目前我正好在摸鱼逛博客园,或者在写博客,我们来浅析下公司是否能够监控到锅叔浏览和发布了什么内容呢?
一、HTTPS 安全在哪里?
很容易注意到,打开博客园时,浏览器地址上有一个"锁",网址是https开头,浏览器提示“连接是安全的”。那么问题来了,浏览器说的这个安全,它的含义是什么呢?
就算你对网络安全一无所知,直觉上你应该也不会认为,我在这个网站上浏览和发布的内容,能够被第三方(公司),轻易“截获”,“拆封”是一种安全……-_-||。
信息安全三要素:机密性,完整性,可用性(摘自维基)
排名第一即机密性,顾名思义
机密性
(Confidentiality)确保资料传递与存储的隐密性,避免未经授权的用户有意或无意的揭露资料内容
如果机密性都保证不了那是保证了什么安全?因为是浅谈,就不扯太多原理和密码学,直接说结论。
如果你摸鱼的时候在网上闲逛,打开了一个Https开头,浏览器地址栏带锁的域名的网站。如博客园。这表明你与这个网站之间的通信是安全的,安全的意思是。
1. 你与这个网站的通信内容(你浏览到的与你发布的),不会被网络上的第三人(如公司等)知晓
2. 你确实是在与这个域名的实际持有人进行通信。
第一条很好理解,就是说你跟这个网站通信的内容,在网络通信这个层面(不包括拍照,截屏这种)。从你的浏览器程序发出去,到这个网站服务器收到,之间的信息传输是加密的,即便被其他人拦截也无法取得内容,可以被拦截,但无法解密,不了解意义。
第二条绕一点,其含义是与你通信的这个网站一定至少是你所访问的域名的实际持有人。对于博客园来说,即与你通信的网站,至少是域名“www.cnblogs.com”的实际持有控制人。
有同学会问,我访问的就是cnblogs的域名,难道跟我通信的会不是博客园的网站服务器么?答案是未必,例如你使用的是公司的网络,你可能会被代理,比如中间的某个网络设备,跟你说他就是cnblogs,成为了你和博客园通信的中间人,你以为你在跟博客园通信,实际是被中间人转发的,于是中间传话人自然就知道了双发的通信内容。
第二条的存在就保证了,跟你通信的不会是中间人,一定是“www.cnblogs.com”这个域名的拥有者。因为我的公司不拥有这个域名,因此,不可能通过中间人的方式拦截解析我与博客园之间的通信内容。
这是证书的详细内容,大意由www.digicert.com这个权威的机构担保,目前跟你通信的人,一定是拥有*.cnblogs.com的人。类型是 DV。 域名所有权认证证书。
结论1,以锅叔的密码学常识认为,如果你浏览的是https协议,证书有效的网站,你跟站点间的通信内容是不会被公司网络监听的,不必担心。
二、微信聊天记录是否可以被获得
这个担心的人就更多了,谁的微信还没点儿故事。:-)
是否安全,这个取决于微信的实现,如果设计上,微信的通信是明文裸奔的话,那如果使用公司网络,确实是会被监听获取聊天内容的。但腾讯这么大厂,微信这么多用户,显然不可能不考虑信息安全问题。因此锅叔可以大胆推测,微信的通信肯定也是经过可靠加密处理的。
记忆中有看过对微信安全机制进行分析的文章,也是使用非对称加密交换随机秘钥,然后用对称加密进行内容传输的。密码学上来说,私钥肯定是被腾讯服务器掌握并保管的好好的,微信客户端发送的随机对称秘钥,只有微信的服务器能够解读,这样的机制也是常规做法,符合我们的预期。非对称秘钥协商过程如下图。
结论2:微信的聊天内容,是不会被公司网络截获,取得的。
三、监控摸鱼的常见手段
—— 收到黑客邮件勒索,你公司内网已被攻破并植入后门, 请转账XXXXX元到指定账号,否则将对你公司网络进行间歇断网。之后公司网络确实每XX分钟断网X分钟,公司运维排查了很久都没有发现有入侵迹象,后来发现是黑客买通了机房保安,每隔XX分钟拔了网线,等会儿再插上。
技术从来都不是黑客的唯一手段。上网监控的方式有很多,大致分类如下:
1. 网络监听,通过网络设备进行审计,监听。
可以进行网络行为管理,进行一定的审计。包括禁止使用特定软件(阻止特定端口通信),网速限制,流量统计等。开头的国美流量报告,可以通过这样的方式取得,但像那个负责人说的可以获取全部内容就有点神了。
2. 上网行为管理程序
在员工电脑本地安装监控程序,程序因为工作在计算机本地,对系统硬件有完全控制权,很容易获得各类信息,如键盘输入内容,屏幕截屏,录屏等。
这种方式理论上是可以全权控制你的电脑的,电脑使用者毫无隐私可研。但前提是需要在该计算机提前安装相应软硬件。相当于对于使用人员可见,不算套路。尽量使用自己的设备。:-)。
3. 其他监控
如摄像头等,可以直接观察到你的行为。这个没啥说的,一般也都在明处。
4. 社会工程学
领导自行观察判断,或者通过,眼线,心腹情报了解。因此摸鱼要低调,广结善缘。
四、说回流量报告
最后说回流量报告,无论如何加密,你与特定服务器间通信的流量是无法隐藏的,因为都要流过你们之间的网络设备。所以通过监听审计的方式,是很容易取得一份类似国美的流量报告的。但你具体看了啥,如果不使用开放格式传输,中间环节未必能够了解。
所以未必是报告有所保留,可能也没有更多可以披露的摸鱼证据。
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施
,从而减少由网络安全而带来的经济损失
扫一扫
4433
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
