水波|信息安全工作者、专栏作者

Oct 13, 2016 00:00 · 3011 words · 7 minute read

819688122344827992

🔗

介绍一下你自己和所做的工作。 🔗

我是一名信息安全工作者,现在在一家网络安全企业担任威胁情报总监。一般人听到「网络安全」这个词就往往会跟「黑客」或者「病毒」联想在一起,然而并非如此,网络安全从业人员即使解释过无数次也是无济于事的,所以最简单一句话惹怒我的同行们的方法就是问他们「你能帮我盗个 QQ 号么?」如果他没有当场揍死你的话那一定对你是真爱。

本质上讲,「网络安全」是「信息安全」这个概念的一个子集,而「信息安全」则涵盖了信息、数据的所有场合,以及贯穿数据生存周期的全过程。举个例子来说,视频监控摄像头的光圈大小与安装高度、银行账户的个人余额信息,都属于「信息安全」的不同范畴。在「信息安全」这个大范畴中,我做过模拟黑客真实攻击的渗透测试,也做过调查、取证以及追捕黑客的应急响应,也做过规划网络安全防御体系的安全方案设计,目前我在从事利用云计算环境与大数据平台对攻击者情报进行分析与建模以达成对他们的攻击行动进行主动防御效果的工作。

你职业生涯的转折点是什么? 🔗

应该说在大学刚入学的时候就已经确定了今后所发展的领域,而毕业正式踏入职场后的转折点,应该是从最初入职时的 Oracle 数据库工程师职位,转向了高级信息安全咨询师职位。当然要实事求是地说,在那个时候 Oracle 数据库工程师要远比处于雏形阶段的信息安全领域工作要有前途得多,做出这个选择还是需要一些勇气的。

你都在使用哪些硬件? 🔗

手机: iPhone 6 Plus

平板: Google Nexus 7 (刷了 Nethunter 系统)

鼠标: Razer Abyssus 1800 Apple Magic Mouse Logitech M558

键盘: CHEERY 某款黑轴机械键盘

笔记本: DELL Ins15PR-2748 加配版(内存增至 32G,硬盘改 SSD+ 机械硬盘)

MacBook Air 2014 11 寸高配版(内存增至 8G)

各类安全相关硬件:外接无线 Wi-Fi 网卡与增幅天线,某用于 SDR 的 USB 电视棒及外置天线,用于 NFC 安全测试的微型自带高低频天线的 Proxmark3 ,N 个装有各种操作系统的 U盘, 树莓派 2

单反: Canon 7D + 少量常用镜头

云计算虚拟化环境:全国近百台服务器主机组成的弹性网络与云计算环境

软件呢? 🔗

操作系统: Windows 10 / Windows 7 / Kali 2016(Debian 8) / OS X VMware Workstation Pro / Parallels Desktop

各类安全相关工具软件:漏洞扫描、逆向反编译、渗透测试、日志分析、应急响应、安全取证等种类。

编程 IDE: JetBrains PyCharm Eclipse Babun Shell 环境模拟器。

数据分析相关: Tableau Public SPSS MySQL Workbench Spark

思维导图: Mindjet MindManager

笔记应用: 有道云笔记

有哪些能有效降低个人信息泄露问题发生的办法? 🔗

与其考虑如何有效降低个人信息泄露,还不如反过来考虑有哪些地方可以泄露个人信息,但总的来说我对个人信息泄露的问题持悲观态度,尤其在大数据时代,个人隐私的边界也需要重新定义。在这里我引用自己在知乎上的一个回答来阐述这个问题。

社会工程学的本质其实是信息收集与利用,根本上是一种骗术,由于其与网络安全技术的紧密性不是特别大,以至于利用社会工程学为主的缺乏技术含量的网络犯罪行为在这几年内有泛滥的势头。

总的来看,国内社会工程学或者说信息收集的发起点无非是以下几个:网名,注册 ID,注册邮箱,QQ 号,真实姓名,社交网络等。以下逐个来分析一下:

网名:作为网络用户首要的识别符号,由于网民们本身就讨厌网名跟人重复,往往会想一些具有特别性和唯一性的名字在各个网络平台上反复使用。这样就导致很容易通过搜索引擎将使用相同网名的网络用户在各个不同平台上所留下的不同线索关联起来。因此在一些不太重要的网络平台上,可以考虑使用一个或两个便于记忆又没有太多相似性的网名进行活动。

注册 ID:基本上与网名的意义近似,但由于现在的网络产品设计中很多都将注册 ID 默认作为网络邮箱的用户名,这也给垃圾邮件泛滥或者猜测注册邮箱的行为提供了方便。另外,注册 ID 很多都使用了字母 + 数字的命名方式,数字方面有很多人使用生日或者 QQ 号,这也是很错误的行为。防范方式同上, 在一些不太重要的网络平台上,可以考虑根据平台运用的不同,使用多个便于记忆而又没有太多特殊性的ID进行注册。

注册邮箱:随着我国整体网络安全意识的提高,单纯通过搜索引擎就能查到用户注册邮箱的方式基本上不太多见了。但由于垃圾邮件的自动性和批量性,在网络安全界的「背阳面」已经存在了海量的用户名库和密码库的情况下,使用一个用户名,然后自动往各大邮件服务提供商的相应邮件地址发送垃圾邮件的方式也是理所当然的。在这点上我能做的建议只是,私人与工作邮箱,尽量不要在网页中公开;注册用邮箱或者网友联系邮箱,可以用 Gmail,对垃圾邮件的拦截效果相对更好一些。

QQ 号:QQ 号是中国网民泄露个人信息最常见的渠道。首先是在各种论坛与社交网络中,个人资料中往往会要求或建议填写 QQ 号,这便为潜伏于社区中的不怀好意者提供了信息。另外,由于 QQ 邮箱(的确还算好用)在我国很大数量的网民中是作为首选默认邮箱所使用的,在各种论坛、社区的帖子中被经常回复在帖子中以获得某些资源。这些都为社工提供了从社区内容、QQ 资料、QQ 空间等渠道获得个人信息的绝好途径。现在很多人都有不止一个或者两个 QQ,可以考虑用一个特别的 QQ 号专用于在网络公开或半私密空间进行联络。

真实姓名(手机号码)与社交网络:这东西其实是社工最终变成「人肉搜索」的一个突破点。我相信大多数网民在上网时对自己的真实姓名的提供还是有所保留的,但说实话作为一个专业的信息安全工作者,对这点我也是最无可奈何的。我们即使可以控制自己不去那些要求真名注册的社交网络如人人网或者征婚网一类,但我们没法控制那些知道我们真实姓名的「别人」把我们的身份泄露出去,人类这种动物总是对别人隐私的保全兴致缺缺的。因为我们没法不在使用电子商务网站时不使用真名,否则我们无法付款也无法收货;我们也没法不在使用网上订票订房网站时使用真名,否则我们无法登机或者入住。

综上所述,个人对于个人信息与互联网隐私保护所能做的事情其实是不多的,除非你完全不上网,那你的信息就必然会在网络上以数字化形式存在,而只要是数据就必然存在着外泄的风险,更别说很多的数据外泄都是内部人员有意出卖的。大数据的主要参与主体:政府、企业和公民,政府享有权力垄断并且缺乏竞争者,因此缺乏改进技术来保护公民隐私权的动力;在某些情况下政府的大数据业务应用甚至直接成为公民隐私泄露的主要来源之一(事实也是如此);而由于企业可以直接从大数据中挖掘商业价值,在目前又不会面临侵权受罚的风险,因此企业具有侵犯公民隐私权的动力。而最有足够动力保护隐私权的仅有公民一方,由于大数据发展本身是非对称的过程,公民受到技术条件与有限知识水平约束,并不具备足够的保护自身数据隐私的能力,公民隐私权保护能力与市场主体的侵犯动力相差悬殊,这种状况必须得到高度重视和改善。

你最理想的工作环境是什么? 🔗

深夜时分一个人在书房里戴着耳机听着音乐,只留一盏台灯,手边放着一壶咖啡,这时候我的工作效率是最高的。

你平时获得工作灵感的方式有哪些? 🔗

洗澡的时候工作灵感最多……但如果要刻意去寻找灵感的话,应该会拎着记事本(忘了说我也是 Moleskine 本子的忠实用户)和笔在沙发上做葛优瘫,然后随意在本子上涂画吧。

推荐一件生活中的利器给大家。 🔗

生活中其实我还是个 EDC 爱好者,日常携行率最高的应该是 Olight M1X Striker 。这款手电具备最高 1000 流明的可调输出与爆闪档,而且攻击头相对突出与锋利,在近战自卫中有很高的实用价值,值得向每个有可能走夜路回家的人推荐。

加入 利器社群 ,你也可以分享自己的利器。