当前位置:安全技术专区 → 正文

Reddit 的黑客教你如何保持企业安全

责任编辑:cdeng 作者:Adam Levin 译者:shania |来源:企业网D1Net  2018-08-20 09:17:52 原创文章 企业网D1Net

您的企业可能会面临持续存在的安全问题,需要对网络安全实践进行重大改革。

开放式加密审计项目主管Kenn White在谈到有关用户名、密码、电子邮件地址和更细粒度的信息的最新消息时说道“想Reddit这样的高价值房产以一些家伙的移动电话号码来确保无法使用。”

确实没有bueno,虽然乍一看这种妥协似乎不会产生很大的影响,但是稍作考虑应该引起关注。想想看:2017年最流行的开放密码是“123456”。网络卫生问题很普遍,很多人不仅在过去11年中使用过相同密码(Reddit的大部分拖鞋可以追溯到目前为止),但他们继续使用相同密码来“保护”其他账户,这些人现在收到了损害。

更令人担忧的是,黑客从2018年6月3日到6月17日窃取更改网站电子邮件摘要日志。无论黑客是对账户接管感兴趣,还是对特定用户的钓鱼攻击感兴趣,电子邮件摘要都将

用户名和电子邮件地址联系在一起(另一个原因是,电子邮件是一种敏感的个人身份信息)。用户名和电子邮件地址之间的链接提供了上下文中国的电子邮件,从而让攻击电子邮件成为可能,从一个被欺骗的Reddit账户以及主机其他攻击载体。

但与许多黑客攻击类似,这些攻击也存在潜在的损害,更严重的威胁往往不像那些成为头条新闻的东西那么明显。

毫无疑问,Reddit上的攻击扩大了暴露在攻击之下的个人的可攻击范围。然而,更严重的问题是网站源代码、配置文件和其他员工只能看到的记录的暴露。如果黑客们有兴趣在网站上建立一个永久的通道,并以此洞察特定的Reddit用户,那么拥有这些信息可能会被证明是一种有效手段。

因为Reddit可能永远不知道攻击他们的黑客动机,他们现在mainline一个持续的安全问题,需要采取系统性的行动,以确保无论发生什么都不会打开另一个网络协议的闸门。换句话说,他们将不得不改变网络安全的方式。

正确的网络安全

网络安全是一种不完美的做法。攻击成功的原因可能很复杂,但常常归结为想象力的失败。

说到网络安全,没有所谓的“防故障”。一个组织每天都可以从“get got”中得到喘息的机会,这是基于定期维护良好的网络安全实践——基于企业文化基础的行为和心态,由一流专家实施。

当我们错误地称自己的漏洞为“协议”,或者更简单地说,“这就是我们做事的方式”时,妥协就会发生。

Riddit并不是唯一一个让黑客难以侵入的网站,它为“正确”的黑客提供了一个机会。很难被击中已经不够好了。在网络安全领域,完善的保护是暂时的,因为每一分钟都是新的一天。

神奇思维的问题

Reddit被黑客攻击,使用的是一种登录认证类型,已知在妥协前两年易受攻击。任何人认为他们在这些条件下是完全安全的,这是一种神奇的思维方式。

黑客攻击的目标是获得Reddit授权的员工,他们的身份允许他们访问敏感信息,而且还通过SMS传输双因素身份验证。这需要想象力。

虽然这种身份认证并不常见,但它使所谓的“SIM交换”攻击成为可能,身份窃贼使用受害者的数据(通常是在黑暗的网络上购买的)欺骗手机运营商将电话号码转移到罪犯拥有的设备上。这并不容易,但这是可能的,Reddit应该知道这一点,并有一个策略来防止它——这是他们明显缺乏的。

为了让facepalm更加强大,SMS双因素认证的风险早在2016年就已为人所知,当时美国联邦贸易委员会(Federal Trade commission)发布了一份有关这一趋势的报告。

这里问题的症结是一个古老的难题。你在便利和安全之间的界限是什么?

有一些认证应用(你可以在2017年的文章中读到),或者你可以使用物理认证来实现双重保护。虽然使用它们并不像点击一个能触发发送到你手机的代码的图标那么容易,但这种便利性的丧失确实带来了安全性的提高。

关键在于:为了满足安全需求,发明了双因素身份验证。最严格的安全认证需要一些你知道的东西(密码),一些你拥有的东西(例如,你的手机,fob, USB设备)和一些你是(生物识别技术)。SMS双因素身份验证的问题在于,它并不完全依赖于您所拥有的东西,因为您在通过SMS发送的代码到达您的设备之前,并没有“拥有”通过SMS发送的代码的传输,而sim -swap意味着您不能总是确定这会发生。

不幸的是,这个解决方案并不方便。你必须比那些试图伤害你的人领先一步。这需要大量的超级不容易的工作,持续的警惕,而且,由于漏洞是当今生活的第三个确定因素,一些好运。

关键字:企业安全

原创文章 企业网D1Net

x Reddit 的黑客教你如何保持企业安全 扫一扫
分享本文到朋友圈
当前位置:安全技术专区 → 正文

Reddit 的黑客教你如何保持企业安全

责任编辑:cdeng 作者:Adam Levin 译者:shania |来源:企业网D1Net  2018-08-20 09:17:52 原创文章 企业网D1Net

您的企业可能会面临持续存在的安全问题,需要对网络安全实践进行重大改革。

开放式加密审计项目主管Kenn White在谈到有关用户名、密码、电子邮件地址和更细粒度的信息的最新消息时说道“想Reddit这样的高价值房产以一些家伙的移动电话号码来确保无法使用。”

确实没有bueno,虽然乍一看这种妥协似乎不会产生很大的影响,但是稍作考虑应该引起关注。想想看:2017年最流行的开放密码是“123456”。网络卫生问题很普遍,很多人不仅在过去11年中使用过相同密码(Reddit的大部分拖鞋可以追溯到目前为止),但他们继续使用相同密码来“保护”其他账户,这些人现在收到了损害。

更令人担忧的是,黑客从2018年6月3日到6月17日窃取更改网站电子邮件摘要日志。无论黑客是对账户接管感兴趣,还是对特定用户的钓鱼攻击感兴趣,电子邮件摘要都将

用户名和电子邮件地址联系在一起(另一个原因是,电子邮件是一种敏感的个人身份信息)。用户名和电子邮件地址之间的链接提供了上下文中国的电子邮件,从而让攻击电子邮件成为可能,从一个被欺骗的Reddit账户以及主机其他攻击载体。

但与许多黑客攻击类似,这些攻击也存在潜在的损害,更严重的威胁往往不像那些成为头条新闻的东西那么明显。

毫无疑问,Reddit上的攻击扩大了暴露在攻击之下的个人的可攻击范围。然而,更严重的问题是网站源代码、配置文件和其他员工只能看到的记录的暴露。如果黑客们有兴趣在网站上建立一个永久的通道,并以此洞察特定的Reddit用户,那么拥有这些信息可能会被证明是一种有效手段。

因为Reddit可能永远不知道攻击他们的黑客动机,他们现在mainline一个持续的安全问题,需要采取系统性的行动,以确保无论发生什么都不会打开另一个网络协议的闸门。换句话说,他们将不得不改变网络安全的方式。

正确的网络安全

网络安全是一种不完美的做法。攻击成功的原因可能很复杂,但常常归结为想象力的失败。

说到网络安全,没有所谓的“防故障”。一个组织每天都可以从“get got”中得到喘息的机会,这是基于定期维护良好的网络安全实践——基于企业文化基础的行为和心态,由一流专家实施。

当我们错误地称自己的漏洞为“协议”,或者更简单地说,“这就是我们做事的方式”时,妥协就会发生。

Riddit并不是唯一一个让黑客难以侵入的网站,它为“正确”的黑客提供了一个机会。很难被击中已经不够好了。在网络安全领域,完善的保护是暂时的,因为每一分钟都是新的一天。

神奇思维的问题

Reddit被黑客攻击,使用的是一种登录认证类型,已知在妥协前两年易受攻击。任何人认为他们在这些条件下是完全安全的,这是一种神奇的思维方式。

黑客攻击的目标是获得Reddit授权的员工,他们的身份允许他们访问敏感信息,而且还通过SMS传输双因素身份验证。这需要想象力。

虽然这种身份认证并不常见,但它使所谓的“SIM交换”攻击成为可能,身份窃贼使用受害者的数据(通常是在黑暗的网络上购买的)欺骗手机运营商将电话号码转移到罪犯拥有的设备上。这并不容易,但这是可能的,Reddit应该知道这一点,并有一个策略来防止它——这是他们明显缺乏的。

为了让facepalm更加强大,SMS双因素认证的风险早在2016年就已为人所知,当时美国联邦贸易委员会(Federal Trade commission)发布了一份有关这一趋势的报告。

这里问题的症结是一个古老的难题。你在便利和安全之间的界限是什么?

有一些认证应用(你可以在2017年的文章中读到),或者你可以使用物理认证来实现双重保护。虽然使用它们并不像点击一个能触发发送到你手机的代码的图标那么容易,但这种便利性的丧失确实带来了安全性的提高。

关键在于:为了满足安全需求,发明了双因素身份验证。最严格的安全认证需要一些你知道的东西(密码),一些你拥有的东西(例如,你的手机,fob, USB设备)和一些你是(生物识别技术)。SMS双因素身份验证的问题在于,它并不完全依赖于您所拥有的东西,因为您在通过SMS发送的代码到达您的设备之前,并没有“拥有”通过SMS发送的代码的传输,而sim -swap意味着您不能总是确定这会发生。

不幸的是,这个解决方案并不方便。你必须比那些试图伤害你的人领先一步。这需要大量的超级不容易的工作,持续的警惕,而且,由于漏洞是当今生活的第三个确定因素,一些好运。

关键字:企业安全

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^