@余弦 黑掉你,根本不在你认为的那个点上
我还是蛮期待我的10月18号 QCon 上海演讲的,议题《程序员与黑客》,我这个议题动用了很多心思,算是把我的程序员与黑客生涯拿来做了次 PK 吧。
这两个角色思维在面对安全问题是非常有趣:)
今天我为什么写这篇文章呢?
大过节的……
看到@奥卡姆剃刀 与众多安全人员/黑客在 PK,这需要很大的勇气,后来@王思聪 与@周鸿祎 都来凑热闹了,于是话题就火爆起来了,PK 的导火线如下:
注:来龙去脉,大家自己围观相关微博账号
上图红框部分:
「网银密码是经过加密的,WIFI只不过是个通道而矣,不可能由此获取银行卡密码。」
这是 PK 的关键点,我站在黑客角度来看,这句话肯定不成立:
1、加密算法真的靠谱?靠谱的话,实施这个算法能保证靠谱吗?还记得苹果 SSL 的这个缺陷么?
2、在 WI-Fi 环境下获取银行卡密码,一定是加密后的?如果执行了类似 ssltrip 的中间人钓鱼攻击,是有可能拿到明文密码的,且,钓鱼手段可不止 ssltrip 这一种。
3、还有更可怕的思路是动用一切猥琐手段植入木马到手机中。
当然,有人如果把这个只当做密码安全的学术 PK 的话,那就可以忽略黑客群体了,因为黑客压根不跟你玩密码学。
对于黑客来说:「黑掉你,根本不在你认为的那个点上。」这就是我为什么说很多人没理解什么是真正的黑客过程。
继续举几个例子。
比如某邮箱,曾经以为自己 SSL 通信全保障就真的很安全,后来还不是被拖库了么,而且 XSS 满天飞,用 XSS 漏洞拿你邮箱账号轻轻松的事。
还有前些天号称「全球唯一不怕黑客的云服务」,类似 Dropbox 那样的云存储,拿个加密文件让全天下黑客去破解。就这样也敢号称「全球唯一不怕黑客」,云端漏洞那么多,为什么不好好检查下呢?哪个黑客会傻傻的拿到那份加密文件,破啊破,为什么不从云端入手,拿到云端 Web 层面已经不是加密的文件呢?:)
这类例子能有一大堆,闹成这样,归根结底就是不懂黑客。你的系统面对黑客时,得面面俱到,防御是一个整体!而黑客只要突破任意一点,你就输了。有可能输得倾家荡产。
话说回来,科普是非常需要勇气的,我这一年来也做了很多科普,帮助了很多人,但也得到一些人的冷嘲热讽,当然我不怕,因为我能在技术层面 PK 一些人,但还是有些无厘头的脑残,比如非得让我黑掉他,如果他真有被黑的价值,那我倒是愿意,只是脑残是没价值的。
@奥卡姆剃刀 我本身是尊敬的,科普真需要勇气!尤其是有勇气承认自己的不足。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平会见马来西亚总理安瓦尔 7991894
- 2 轰6k机舱门上挂着朴实无华的U型锁 7982055
- 3 多名运动员为王楚钦发声 7836701
- 4 微视频|我的名字 7707098
- 5 川大回应招生简章把港澳列入国家 7641155
- 6 福布斯2024中国内地富豪榜公布 7574107
- 7 外交部回应特朗普涉台言论 7482538
- 8 专家:特朗普当选或刺激以升级局势 7305514
- 9 张小寒爆料黄晓明叶珂分手费内幕 7205061
- 10 晓华理发店门口已有特警执勤 7170521