操屁眼的视频在线免费看,日本在线综合一区二区,久久在线观看免费视频,欧美日韩精品久久综

新聞資訊

    天早上是著了一通急才出門的。

    事情是這樣的,早上發(fā)現(xiàn)爸媽家里的小愛音箱無法聯(lián)網(wǎng)了,就需要母上大人的手機(jī)來重置一下小愛音箱的網(wǎng)絡(luò),但無論怎么整,都無法把無線網(wǎng)絡(luò)配置傳輸?shù)叫垡粝渖稀?/p>

    感覺見了鬼了,偶然一瞥,咱媽的手機(jī)右上角咋寫著VPN呢?一個七十多歲的老太太,手機(jī)里面出現(xiàn)了VPN連接軟件絕對是事出反常必有妖。為啥有VPN呢?據(jù)咱媽的說法是聽別的老太太說上網(wǎng)速度可以變快遂裝之……

    但因?yàn)樽约旱民R上搬著一個巨重?zé)o比的功放去新家調(diào)試音響,所以就簡單地說了一下,把家里的網(wǎng)絡(luò)停掉,等下午回家再做進(jìn)一步處理,留下一臉懵圈的老頭老太太離家而去。

    為啥對所謂的VPN軟件反應(yīng)如此強(qiáng)烈呢?當(dāng)時給二老的解釋就是,如果去銀行取錢,是不是可以把銀行卡和密碼告訴一個你根本不了解的路人,讓這個人去替你取錢呢?顯然正常人都不會去做這樣的事情。那么正常人為啥要用一些VPN軟件呢?這和讓你不認(rèn)識的路人拿著你的銀行卡替你取錢是一個道理。

    從這個話題,我們先說一下網(wǎng)絡(luò)的信任機(jī)制。

    由于一些安全的需求,在公司的機(jī)器是要過一層防火墻的。

    現(xiàn)代防火墻或者說NGFW,都有深度的包檢測功能。例如對已經(jīng)加密的SSL數(shù)據(jù)包進(jìn)行檢測。

    防火墻會對客戶端下發(fā)一個SSL證書,客戶端的Https數(shù)據(jù)上傳到防火墻中,防火墻解密后進(jìn)行檢,檢測完畢再用服務(wù)器的SSL證書進(jìn)行打包。這個過程對于用戶來說是不可察覺的,只是在防火墻內(nèi)部完成處理和掃描。

    防火墻為什么要讓這些數(shù)據(jù)可見?主要是為了在防火墻的級別上對攻擊、病毒等有害于網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行偵測和識別。

    但是這個技術(shù)用在防火墻上是一個安全技術(shù),用在其他位置就不好說了。我們再來看一下這個技術(shù)框架:

    和防火墻上執(zhí)行的SSL檢測是完全相同系統(tǒng)結(jié)構(gòu),叫做“SSL/TLS中間人攻擊”,就是利用了下發(fā)一個偽造證書,獲取本該加密的SSL通訊數(shù)據(jù)。

    能不能理解為什么開頭說去銀行取錢,將銀行卡和密碼給路人的例子了?這個攻擊過程對于普通用戶來說依舊還是透明不可見的。一旦這個中間者鏈條形成,你的流量就會在你毫不知情的情況下被竊取。

    因?yàn)樗械膫鬏敂?shù)據(jù)對于攻擊者來說都是明文的,那么一些簡單加密的密碼傳輸對于攻擊者來說就完全可以得知了,一些稍微通過算法做進(jìn)一層加密的數(shù)據(jù)被破解也是稍待片刻的事情。這些數(shù)據(jù)就包括你的銀行APP、支付寶、微信等等至關(guān)重要的登錄和身份認(rèn)證數(shù)據(jù)。

    中間人攻擊的實(shí)施難點(diǎn)有兩個,第一個是攻擊者要把自己加在客戶到服務(wù)器之間的數(shù)據(jù)鏈路中,第二個則是讓客戶信任偽造的證書。

    這些難點(diǎn)很難嗎?并不難!

    原因就在于裝在老頭老太太手機(jī)中的VPN軟件。一句能讓你上網(wǎng)速度變快,就能誘使很多老人在自己的手機(jī)中安裝一款來路不明的VPN軟件。這其實(shí)才是真正老人用手機(jī)的過程中最恐怖的地方。網(wǎng)絡(luò)速度快不快,根本不重要,最重要的是“中間人”已經(jīng)插入到老人的手機(jī)中。

    因?yàn)閂PN是可以接管所有手機(jī)流量的,也就可以讓你的所有關(guān)鍵數(shù)據(jù)暴露在攻擊者的眼皮底下。

    攻擊者要這些數(shù)據(jù)做啥?攻擊者背后還有一個很龐大的黑產(chǎn)體系。這些數(shù)據(jù)攻擊者可以自己使用,也可以拿去在黑市賣掉獲利。例如昨天凌晨,還有試探iN的信用卡的事件發(fā)生:

    這張卡就是幾年前iN泄露掉的一張信用卡,雖然已經(jīng)換了新卡,但是依舊時不時還會收到這類的短信。

    所以說,免費(fèi)的VPN如果沒有后面的這些產(chǎn)業(yè)支撐起其巨大的收益,這些架設(shè)免費(fèi)VPN的商家是在賠本做慈善事業(yè)嗎?

    那收費(fèi)的梯子和機(jī)場呢?家人們別想得太天真了,在收服務(wù)費(fèi)之余再有一筆額外的收益誰能拒絕呢?

    至于讓人相信偽造的證書,其實(shí)也遠(yuǎn)比大家簡單。在老年人群體里都不是一個門檻。說下iN爹和iN的對話吧:“屏幕上出現(xiàn)一個方塊,上面有兩個按鈕,我點(diǎn)了,然后電腦就不動了”

    出來的啥?點(diǎn)的啥?怎么不動了?在老人的描述中是完全沒有絲毫可用信息的。趕回家去修電腦,發(fā)現(xiàn)只是電腦的電源線被踢松了,再問什么時候點(diǎn)的按鈕,答曰“電腦不動前半個多小時”……

    所以說很多老人是根本無法抵御刻意地安排的。

    即便是很多蘋果手機(jī),明明系統(tǒng)給出了提示:

    很多老人還是會毅然決然地點(diǎn)擊信任。

    其實(shí),在iN的觀點(diǎn)來看,整個的互聯(lián)網(wǎng)都是不可信的,這個觀點(diǎn)在業(yè)界也有相關(guān)的方案叫做“零信任網(wǎng)絡(luò)”

    如果做一個內(nèi)部的網(wǎng)絡(luò)系統(tǒng),我們可以采用零信任網(wǎng)絡(luò)的方案。但是對于家用“零信任”的道路還很遠(yuǎn),所有的用戶也就只能自求多福。

    #頭條創(chuàng)作挑戰(zhàn)賽#

    遠(yuǎn)程辦公逐漸常態(tài)化的背景下,很多企業(yè)都會讓員工使用 VPN,也就是虛擬專用網(wǎng)絡(luò)。VPN 通過加密辦公時發(fā)送和接收的數(shù)據(jù)來保障信息安全,可以防止黑客入侵企業(yè)數(shù)據(jù)或通信。本文總結(jié)了 VPN 使用的四個最佳實(shí)踐,實(shí)現(xiàn)高效遠(yuǎn)程辦公。


    1. 對不受信網(wǎng)絡(luò)使用遠(yuǎn)程 VPN

    在咖啡店、機(jī)場、度假酒店公共網(wǎng)絡(luò)等不受信網(wǎng)絡(luò)或不受控網(wǎng)絡(luò)上工作時,建議員工使用遠(yuǎn)程 VPN。而如果是家庭 WiFi 等專用網(wǎng)絡(luò)就沒必要使用 VPN。


    《連線》雜志曾提出:“公共 Wi-Fi 的控制者和連接者都是未知的,所以本質(zhì)上不如專用網(wǎng)絡(luò)安全。”


    2. 注意 VPN 帶寬

    企業(yè)提供的遠(yuǎn)程 VPN 一般是固定帶寬,看視頻或開視頻會議,會議時最好還是斷開 VPN 連接,為那些在公共網(wǎng)絡(luò)上辦公的用戶留出帶寬,提高訪問安全性。


    3. 僅在辦公設(shè)備上下載 VPN 配置文件

    由于企業(yè)提供的遠(yuǎn)程 VPN 資源有限,員工最好避免在個人手機(jī)和家庭電腦上囤積 VPN 許可證。此外,VPN 并不能向企業(yè)隱藏設(shè)備數(shù)據(jù),所以最好避免在辦公設(shè)備上進(jìn)行個人聯(lián)網(wǎng)行為。


    4. 謹(jǐn)慎選擇 VPN 廠商

    如果企業(yè)想增加遠(yuǎn)程 VPN 訪問的功能,在選擇 VPN 廠商之前應(yīng)該仔細(xì)甄別。有些聲稱免費(fèi)的 VPN 廠商可能會收集用戶數(shù)據(jù),這和部署 VPN 的初衷背道而馳。


    除了使用 VPN 外,企業(yè)還可以為專用賬號和個人賬號實(shí)施寧盾多因素認(rèn)證(MFA)生成動態(tài)口令(OTP),增強(qiáng)賬號登錄安全。



    關(guān)于多因素認(rèn)證(MFA):

    多因素認(rèn)證(多因子認(rèn)證)是指在個人賬號密碼基礎(chǔ)之上利用額外的驗(yàn)證因素來加強(qiáng)賬號持有者的身份鑒別,確保登錄人員的身份安全可信。寧盾多因素認(rèn)證 MFA 采用的是動態(tài)密碼形式,基于令牌種子或時間采用國密 SM3 算法生成的隨機(jī)6位數(shù)字,不易被破解,也符合等保合規(guī)要求。


    動態(tài)密碼的載體一般為令牌形式,寧盾多因素認(rèn)證令牌有手機(jī) APP 令牌、硬件令牌、短信令牌、企業(yè)微信/飛書工作臺H5令牌、推送認(rèn)證、小程序令牌等多種形式,并同時兼容 RSA、Google Authenticator (谷歌身份驗(yàn)證器)其等第三方令牌,滿足企業(yè)不同場景下的身份鑒別需求。

    年來,隱私倡導(dǎo)者已經(jīng)驅(qū)動網(wǎng)站、VPN應(yīng)用程序和其他加密軟件的開發(fā)者使用Diffie-Hellman密鑰交換作為對ESA和其他國家支持的間諜監(jiān)視的防御。現(xiàn)在,研究人員正在更新他們的警告。密鑰交換實(shí)施中的一個嚴(yán)重缺陷是,NSA會破解并竊聽數(shù)萬億條加密的鏈接。

    “敵人的代價并不模糊。對于普通的1024位密鑰,它將花費(fèi)大約一年的時間和“數(shù)億美元”來解決只有一個非常大的質(zhì)數(shù)是Diffie-Hellman協(xié)商的起點(diǎn)。但事實(shí)證明,只有少數(shù)幾個素數(shù)是常用的,這使得價格落在110億美元的年度預(yù)算專用于“開創(chuàng)性密碼分析能力”的國家安全局。

    Alex Halderman和Nadia Heninger在星期三發(fā)表的一篇博客文章中寫道:“因?yàn)橐恍┧財?shù)被廣泛使用,所以他們可以解密的連接數(shù)量會帶來巨大的好處。”“破解單個1024位質(zhì)數(shù)將允許NSA對全局2/3進(jìn)行解密。VPN鏈接和所有SSH服務(wù)器的1/4。破解第二個1024位質(zhì)數(shù)將允許在一百萬個HTTPS站點(diǎn)上被動地竊聽近20%個連接。換句話說,一次性的大規(guī)模計算投資可以竊聽數(shù)萬億條加密的鏈接。

    “最可信的理論”

    Halderman和赫寧格說,他們的理論比美國國家安全局的大規(guī)模解密能力更具競爭力的解釋更合適。由前美國國家安全局承包商諾曼登泄露的文件顯示,例如,該機(jī)構(gòu)可以監(jiān)控加密的VPN鏈接,將截獲的數(shù)據(jù)發(fā)送到超級計算機(jī),然后獲得解密通信所需的密鑰。

    “系統(tǒng)的設(shè)計盡可能地收集攻擊Diffie-Hellman算法所需的特定數(shù)據(jù),并且不符合另一種解釋,例如AES或其他對稱加密。”研究人員寫道,“盡管文檔清楚地表明NSA使用了其他攻擊。技術(shù)如軟件和硬件的植入物,破解特定目標(biāo)的加密,無法解釋大規(guī)模被動竊聽VPN業(yè)務(wù)的能力。

    在星期三在丹佛丹佛舉行的第二十二屆ACM計算機(jī)與通信安全會議上,赫寧格和其他大波研究人員對他們的研究成果進(jìn)行正式介紹時,該博客發(fā)表了。這篇文章在5月份首次發(fā)表時被媒體廣泛報道,當(dāng)時它首次發(fā)表在“不完美的前保密:Diffie Hellman如何在實(shí)踐中失敗”。除了揭露美國國家安全局大規(guī)模攔截加密通信背后的潛在秘密外,該文件還揭示了一種密切相關(guān)的攻擊,它將數(shù)千個受保護(hù)的網(wǎng)站、郵件服務(wù)器和其他廣泛使用的互聯(lián)網(wǎng)服務(wù)開放給不那么復(fù)雜的竊聽者。

    “攻擊,稱為LogCAMP(河流被漂移日志阻塞),是非常嚴(yán)重的,因?yàn)橹恍枰獌蓚€星期來生成所需的數(shù)據(jù)來攻擊兩個素數(shù),當(dāng)512位Diffie Hellman算法協(xié)商一個臨時密鑰時,最常被稱為兩個素數(shù)。據(jù)估計,影響前一百萬名域名的8.4%和支持HTTPS的所有網(wǎng)站的3.4%。支持SMTP協(xié)議的SMTP協(xié)議、安全POP3和IMAP的郵件服務(wù)器分別受到14.8%、8.9%和8.4%的影響。為了使用脆弱的連接,攻擊者使用數(shù)字字段過濾算法來預(yù)先計算數(shù)據(jù),一旦完成了任務(wù),就可以實(shí)時攻擊脆弱的連接。

    “僵局是美國政府對美國開發(fā)人員實(shí)施出口限制的結(jié)果,他們希望他們的軟件在90年代被用于海外。這一計劃是由克林頓政府設(shè)立的,目的是使聯(lián)邦調(diào)查局和其他機(jī)構(gòu)解密外國實(shí)體使用的加密技術(shù)。在論文發(fā)表后的五個月中,最廣泛使用的瀏覽器、VPN和服務(wù)器應(yīng)用程序已經(jīng)刪除了512位Diffie Hellman的支持,使登錄的威脅大大減少。但是,類似的漏洞仍然可以被攻擊者使用國家政府級預(yù)算被動地解密1024位Diffie-Hellman密鑰,它仍然被許多實(shí)現(xiàn)所使用。

    “一個令人不安的結(jié)論”

    “Halderman和赫寧格的球隊在5月份得出了這個令人不安的結(jié)論,但是國安局可能早就知道了。雖然這一知識使得NSA能夠大規(guī)模地解密通信,但它也為其他國家提供了相同的能力,其中一些國家是美國的敵人。Halderman和赫寧格寫道:

    “我們的調(diào)查結(jié)果說明了美國國家安全局在美國收集情報和維護(hù)計算機(jī)安全的兩個任務(wù)之間的緊張關(guān)系。如果我們的假設(shè)是正確的,該機(jī)構(gòu)一直在充分利用弱小的Diffie Hellman,但很少采取措施來幫助解決這個問題。在國防方面,國家安全局建議用戶在沒有漏洞的情況下被轉(zhuǎn)移到橢圓曲線加密,但是這些建議經(jīng)常被忽視,沒有明確的理由或演示。問題是復(fù)雜的,因?yàn)榘踩鐓^(qū)不愿意相信在國家安全局的建議后,顯然作出努力,以保持密碼在門后。

    “這種情況使每個人的安全風(fēng)險。這種規(guī)模的脆弱性是未分化的,它影響到每個人的安全,包括美國公民和公司——但我們希望對政府監(jiān)控背后的密碼分析有更清晰的技術(shù)理解,這將是每個人更好的安全性的重要步驟。

    “Diffie Hellman是一對彼此不認(rèn)識的陌生人。即使他們通過不安全的公共渠道通信受到復(fù)雜競爭者的監(jiān)視,他們也可以協(xié)商關(guān)鍵突破。它還可以通過定期改變加密密鑰來實(shí)現(xiàn)完美的前向保密。這大大增加了竊聽的工作量,因?yàn)槊看闻R時密鑰發(fā)生變化時,攻擊者必須再次獲得它,而其他加密方案,例如RSA密鑰,只需要一次。這項研究意義重大,因?yàn)樗@示了加密的嚴(yán)重后果,這是隱私和安全倡導(dǎo)者廣泛青睞的潛在后果。

    “研究小組建議該網(wǎng)站使用2048位Diffie-Hellman密鑰并發(fā)布指南來部署Diffie Hellman TLS。該小組還建議SSH用戶將服務(wù)器和客戶端軟件升級到OpenSSH偏好橢圓曲線Diffie-Hellman密鑰交換的最新版本。

網(wǎng)站首頁   |    關(guān)于我們   |    公司新聞   |    產(chǎn)品方案   |    用戶案例   |    售后服務(wù)   |    合作伙伴   |    人才招聘   |   

友情鏈接: 餐飲加盟

地址:北京市海淀區(qū)    電話:010-     郵箱:@126.com

備案號:冀ICP備2024067069號-3 北京科技有限公司版權(quán)所有