上班不摸魚,那這班上的沒有靈魂啊,但是不久前爆出的國美網路監控事件,也提示我們網路有風險,摸魚需謹慎,
https://baijiahao.baidu.com/s?id=1716730797543887197&wfr=spider&for=pc
——“另一家國企的技術處負責人表示,“理論上,員工打開了哪些軟體,運行了哪些程式,甚至在論壇上發了哪些內容,我們都看得到,形象地說,上網相當于發送了一個請求,這些請求是能被我們偵測到的,通過截獲這個流量,可以分析員工的上網活動,當然,我們不會主動去拆封這些資訊,只是留存,方便出現問題后的回查”
以上摘錄了文章中的一段,各位聽上去是不是多少有些恐慌, 那豈不是我上班寫的博客,搜過的奇奇怪怪的問題,喜歡的女優,都被老板一覽無余了:-),鍋叔對此也是深表惶恐,這豈不是分分鐘社死的節奏,
聽上去有些神奇,但又貌似很合理,畢竟人家是“國企技術處負責人”,目前我正好在摸魚逛博客園,或者在寫博客,我們來淺析下公司是否能夠監控到鍋叔瀏覽和發布了什么內容呢?
一、HTTPS 安全在哪里?
很容易注意到,打開博客園時,瀏覽器地址上有一個"鎖",網址是https開頭,瀏覽器提示“連接是安全的”,那么問題來了,瀏覽器說的這個安全,它的含義是什么呢?
就算你對網路安全一無所知,直覺上你應該也不會認為,我在這個網站上瀏覽和發布的內容,能夠被第三方(公司),輕易“截獲”,“拆封”是一種安全……-_-||,
資訊安全三要素:機密性,完整性,可用性(摘自維基)
排名第一即機密性,顧名思義
機密性(Confidentiality)確保資料傳遞與存盤的隱密性,避免未經授權的用戶有意或無意的揭露資料內容
如果機密性都保證不了那是保證了什么安全?因為是淺談,就不扯太多原理和密碼學,直接說結論,
如果你摸魚的時候在網上閑逛,打開了一個Https開頭,瀏覽器地址欄帶鎖的域名的網站,如博客園,這表明你與這個網站之間的通信是安全的,安全的意思是,
1. 你與這個網站的通信內容(你瀏覽到的與你發布的),不會被網路上的第三人(如公司等)知曉
2. 你確實是在與這個域名的實際持有人進行通信,
第一條很好理解,就是說你跟這個網站通信的內容,在網路通信這個層面(不包括拍照,截屏這種),從你的瀏覽器程式發出去,到這個網站服務器收到,之間的資訊傳輸是加密的,即便被其他人攔截也無法取得內容,可以被攔截,但無法解密,不了解意義,
第二條繞一點,其含義是與你通信的這個網站一定至少是你所訪問的域名的實際持有人,對于博客園來說,即與你通信的網站,至少是域名“www.cnblogs.com”的實際持有控制人,
有同學會問,我訪問的就是cnblogs的域名,難道跟我通信的會不是博客園的網站服務器么?答案是未必,例如你使用的是公司的網路,你可能會被代理,比如中間的某個網路設備,跟你說他就是cnblogs,成為了你和博客園通信的中間人,你以為你在跟博客園通信,實際是被中間人轉發的,于是中間傳話人自然就知道了雙發的通信內容,
第二條的存在就保證了,跟你通信的不會是中間人,一定是“www.cnblogs.com”這個域名的擁有者,因為我的公司不擁有這個域名,因此,不可能通過中間人的方式攔截決議我與博客園之間的通信內容,
這是證書的詳細內容,大意由www.digicert.com這個權威的機構擔保,目前跟你通信的人,一定是擁有*.cnblogs.com的人,型別是 DV, 域名所有權認證證書,
結論1,以鍋叔的密碼學常識認為,如果你瀏覽的是https協議,證書有效的網站,你跟站點間的通信內容是不會被公司網路監聽的,不必擔心,
二、微信聊天記錄是否可以被獲得
這個擔心的人就更多了,誰的微信還沒點兒故事,:-)
是否安全,這個取決于微信的實作,如果設計上,微信的通信是明文裸奔的話,那如果使用公司網路,確實是會被監聽獲取聊天內容的,但騰訊這么大廠,微信這么多用戶,顯然不可能不考慮資訊安全問題,因此鍋叔可以大膽推測,微信的通信肯定也是經過可靠加密處理的,
記憶中有看過對微信安全機制進行分析的文章,也是使用非對稱加密交換隨機秘鑰,然后用對稱加密進行內容傳輸的,密碼學上來說,私鑰肯定是被騰訊服務器掌握并保管的好好的,微信客戶端發送的隨機對稱秘鑰,只有微信的服務器能夠解讀,這樣的機制也是常規做法,符合我們的預期,非對稱秘鑰協商程序如下圖,
結論2:微信的聊天內容,是不會被公司網路截獲,取得的,
三、監控摸魚的常見手段
—— 收到黑客郵件勒索,你公司內網已被攻破并植入后門, 請轉賬XXXXX元到指定賬號,否則將對你公司網路進行間歇斷網,之后公司網路確實每XX分鐘斷網X分鐘,公司運維排查了很久都沒有發現有入侵跡象,后來發現是黑客買通了機房保安,每隔XX分鐘拔了網線,等會兒再插上,
技術從來都不是黑客的唯一手段,上網監控的方式有很多,大致分類如下:
1. 網路監聽,通過網路設備進行審計,監聽,
可以進行網路行為管理,進行一定的審計,包括禁止使用特定軟體(阻止特定埠通信),網速限制,流量統計等,開頭的國美流量報告,可以通過這樣的方式取得,但像那個負責人說的可以獲取全部內容就有點神了,
2. 上網行為管理程式
在員工電腦本地安裝監控程式,程式因為作業在計算機本地,對系統硬體有完全控制權,很容易獲得各類資訊,如鍵盤輸入內容,螢屏截屏,錄屏等,
這種方式理論上是可以全權控制你的電腦的,電腦使用者毫無隱私可研,但前提是需要在該計算機提前安裝相應軟硬體,相當于對于使用人員可見,不算套路,盡量使用自己的設備,:-),
3. 其他監控
如攝像頭等,可以直接觀察到你的行為,這個沒啥說的,一般也都在明處,
4. 社會工程學
領導自行觀察判斷,或者通過,眼線,心腹情報了解,因此摸魚要低調,廣結善緣,
四、說回流量報告
最后說回流量報告,無論如何加密,你與特定服務器間通信的流量是無法隱藏的,因為都要流過你們之間的網路設備,所以通過監聽審計的方式,是很容易取得一份類似國美的流量報告的,但你具體看了啥,如果不使用開放格式傳輸,中間環節未必能夠了解,
所以未必是報告有所保留,可能也沒有更多可以披露的摸魚證據,
總之,看片、聽高保真的摸魚方式是風險很高的,建議,調整下愛好,看看文字小說啥的,
對于流量報告有什么應對策略,鍋叔能想到的可能就是用代理方式了, 這樣審計上會看到你與代理服務器發生了流量交換,但因為不是已知的這些知名應用ip 埠,沒法直接得出結論,你是在看片,還是在聽歌,只知道你跟一個特定IP,請求了很多個G的資料……
所以,對于流量審計,大家有解么?o(* ̄︶ ̄*)o,
————————————————————————————————
更新:2022-04-27 17:15:00
很多同學反映微信的聊天記錄是能夠通過網路層面取得的,結論2 可能是錯誤的!
這個確實有點出乎意料,但密碼學應該不會騙人,是微信加密不嚴密? ?我是持懷疑態度的-_-||
希望能有安全方面大神能給大家分享科普下原理,
https://weixin110.qq.com/security/readtemplate?t=security_center_website/article&artid=120813euEJVf160119miIfyY
本文來自博客園,作者:鍋叔
轉載請注明原文鏈接:https://www.cnblogs.com/uncleguo/p/16195011.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/465998.html
標籤:其他