信息泄露对于互联网来说,似乎是一个亘古不变的话题。近期轰动全网的学习通泄密事件到QQ被盗号,信息泄露似乎无处不在,我国网民深受其害。下面我来谈谈信息泄露的问题:
一、信息泄露的渠道
第三方平台泄露
电商平台、社交平台等软件非法搜集消费者个人信息。中国消费者协会的调查结果显示,有超过八成的消费者表示遇到过个人信息泄露。
邮件泄露
电子邮件是商务往来的重要沟通方式,然而信息化与全球化的宏观背景下,电子邮件已成为企业数据泄露的根源之一,很多企业、机构已经意识到了“邮件危机”,但在防止邮件泄露方面仍然没有有效的防护措施。
电子邮件数据泄露的主要途径有两个:一是黑客入侵;二是企业数据管理不善,内部人员泄露。
二、信息泄露的危害
1、垃圾短信、骚扰电话、垃圾邮件等源源不断,影响日常生活;
2、信息被盗用。不法分子通过购买他人个人信息,复制他人身份z,在网上骗取银行信用,从银行办理xyk,恶意透支消费。或者利用获取的他人信息进行违法犯罪活动,损害合法人的正当权益。
3、进行诈骗。不法分子冒充亲朋、同学、公安等坑蒙拐骗,在一些人未识别或是未核实的情况下给予转账等,造成资金损失。
三、信息泄露的预防措施
1、在正规的渠道下载软件。
2、关闭不合理的访问权限。凡是涉及到指纹和面部识别等信息的权限时,我们都需要谨慎处理。
3、不要泄露个人信息。不要在社交软件中,通过视频、照片、文字等形式暴露自己的家庭住址、单位地址、子女情况等信息。
总结:随着互联网的发展,个人的信息似乎越来越不是什么隐私,不过,我们在日常生活中还是要提高警惕,保护自己的信息安全。
针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。
硬件接口
通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。
弱口令
目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。
信息泄漏
多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
未授权访问
攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:
厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。
远程代码执行
开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。
中间人攻击
中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>
云(端)攻击
近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)