貓寧!!!
參考鏈接:https://mp.weixin.qq.com/s/z6UI-tdhN1CGdqQQuglLVQ
對方公衆號:caoz的夢囈
我之前寫微博的時候,經常就有讀者反饋說,你怎麼用360瀏覽器啊,你不知道360流氓麼。
當然,我並不是要給360做廣告,但我應該用什麼呢?360只是一種選擇而已,未必是最好的,確是成本最低的。很多人說,甚至一些程序員說,高手都不用安全軟件的,我不知道這是怎樣的高手?
到今天,還有人堅持認爲,只要不亂點鏈接,不打開奇怪的附件,不上奇怪的網站,電腦就不會中招,這是怎樣的無知,從2001年起主動感染性的電腦病毒就已經肆虐互聯網了,都16年了,居然還有人認爲只要自己不操作,就不會出事。無知如此,還振振有詞,遇到這種,我也是無語了。
我以前說過這麼一段話,很多人,每天各種自拍發朋友圈發Qzone發微博,我今天去哪裏了,昨天去哪裏了,明天要去哪裏;我都見了誰還要去見誰,家住哪裏,孩子在哪讀書,全都寫出來,甚至見過有人把信用卡拍照發陌生人的大羣裏完全不打碼;然而突然有一天,看了一下網絡新聞,恍然大悟的說,我靠,原來百度/360/騰訊 偷了我的cookie。
我知道很多人會說,自己暴露是一回事,別人竊取是另一回事;但我要說的是,很多人對自己的隱私安全意識極爲淡薄,卻被某些輿論誘導的神經兮兮,該做的防護不做,犯不着操心的事情卻操心的不亦樂乎,自以爲很懂,但事實上卻根本分不清利害。
最近互聯網勒索事件很熱,暴露幾個問題,我也想跟讀者分享一下我的觀點。
1、流行的蠕蟲都具有主動攻擊性,防護軟件必不可少。
所以很多銀行,電信,車站的服務機構電腦,只提供最基本的特定服務,從來沒有人用來上網的那種,也都紛紛中招。
安全工具和防護軟件必須安裝,裸奔是非常愚蠢的行爲。
選擇安全軟件最好選擇流行的,主流的,並不是說技術好壞,樣本庫全,出問題升級的速度最快,只要你不是第一波中招的,你有很大的機會躲過去。
我會要求我的員工務必安裝主流的安全工具,當然,你用騰訊的也行,用360的也行,自己花錢買趨勢的也行,這個我不會過度要求,反正,裸奔絕對不行,小衆的也不行。
2、操作系統能用最新版本升最新版本,不能用最新版本打最新補丁。
99%以上的安全問題都是因爲升級不及時造成的。
當然,我們知道有0day攻擊,有升級到頂也難逃一劫的時候,不過請你放心,除非你是國防科學領域的頂尖專家,或者是掌握數千億資產管理的金融大鱷,否則,你要明白,0day是一次性消耗品,很貴的,通常不會用在你身上。
日常的版本檢查和升級不能偷懶,怎麼強調都不過份。
3、不要求全責備,要抓大放小
啥叫大,啥叫小。
你電腦中毒,中木馬,中蠕蟲,被黑客竊取賬號叫大;你cookie被人偷窺叫小。
我在中國最好的安全公司工作過兩年,實話說,我水平不咋地,也不敢說自己有多懂安全,但我明白了一個事情,在互聯網上,別以爲別人不知道你是誰,別以爲自己能掩蓋的多好,所以我秉承一個原則,不去瞎操心那些不用我操心的事情,做好最基本的防範就可以了。
比如說,不要把不雅或者不適宜公開的內容放在網上,任何所謂加密空間,所謂私人空間都不可信。
比如說,個人行程和隱私,儘量不要過度公開,這個風險在哪裏呢?詐騙者會利用相關信息詐騙你的親人和朋友,這樣的案例我也碰到過。比如你在飛機上電話已經關機,騙子詐稱是你同事,跟你一起去哪裏,說你在機場突然暈倒,送醫院急救,你說你親人如何覈實?
再比如,如果你不是百度和騰訊高管,就別擔心360會拿你什麼隱私;如果你不是百度和360高管,就別擔心騰訊會拿你什麼隱私。你放心,在中國互聯網,老大哥隨時都在看着你,你那點隱私,用不用什麼軟件其實沒區別。其實不僅中國,互聯網無隱私,棱鏡計劃都爆出來幾年了,你只要不去整暗網你就別操心這個。
那有人擔心,我約炮了咋辦,我看黃網了咋辦,我低級趣味了咋辦,你放心,大家都很忙,別做大V別亂放炮,謠言和種子都別羣發,朝陽人民羣衆沒功夫搭理你。
4、機構,教育和政府機關,也應該長點教訓
不需要多高大上的安全服務,隨時安全檢測一下,隨時打個補丁還是要的。去年底這些工具網上就透出來了,說實話中間這時間不短了,到現在都不去補是不是有點懈怠。
很多缺省的系統,軟件是windows的,然後使用者和購買者覺得就是個盒子,甚至使用者都不知道里面是windows。這種情況下,遇到蠕蟲基本上就是團滅。找一個相對靠譜的安全公司,定期檢查一下,這種問題早就發現了;更不用說重大漏洞的緊急升級。
5、重要的數據和信息做一下備份,網上備份是可以的。
當然,如果你擔心比如不雅照片,或者不適宜內容,你自己做個加密再備份。你說加密會不會破解,如果你加密的不是核反應堆,生化武器材料分子式,或其他足以讓各大情報機構動心的玩意,此外加密算法不要太low,應該不會有人有興趣破解。(嗯,量子計算機理論上能破解成熟加密算法,但估計還有不少年才能成熟呢)
6、如果你是相關機構,公司與IT運維有關的負責人,多關心一下安全行業新聞和信息,每次出了相關報道盡早跟進覈實處理。
唉,唏噓一下,烏雲仍無法重生,我都不知道該推薦哪個平臺來關心這些東西了。