放个炮,某些 BOSS 以及 IT 人员的控制欲才是最大的安全漏洞

2016-01-12 23:39:18 +08:00
 lalalakakaka

看热乎的飞塔 OS 漏洞有感:
http://www.v2ex.com/t/250270#reply0

本意是为了所谓的“信息安全”,实质是满足管理人员的控制欲而产生的怪胎,非要把持网络出口的方方面面。然而这种东西一旦栽倒,那就是给黑客出让整个办公网络的控制权。对于黑客来说,连工具都不用上传了,这套系统的功能比任何黑客工具都强大。

类似的东西在国内特别多,而且都尤其的粗制滥造,
比如某些臭名昭著的高校校园网访问控制系统,要么在网络出口上放嗅探器,要么强制安装认证客户端,提供所谓的安全审计功能:桌面截图、系统信息、进程信息、上网记录、磁盘信息,等等。简直是个大号木马。
然而偏偏自身的安全性做不好,时不时爆出点远程溢出漏洞,比如这个:
http://www.wooyun.org/bugs/wooyun-2010-021657
更可怕的是所谓的网管控制中心也会有漏洞,比如这个:
http://www.cnvd.org.cn/flaw/show/CNVD-2012-4415
一旦沦陷,整个学校的电脑都会变成肉鸡,而且,木马是现成的,甚至不用部署任何恶意软件,黑客就拥有了全部电脑的控制权。

卖这种系统的人不负责任,而拍板采购这种东西的人简直就是脑残且罪大恶极。

5761 次点击
所在节点    职场话题
27 条回复
pupboss
2016-01-12 23:46:26 +08:00
曾经参与一个给领导查看学生信息的系统,同各种漏洞,中途跟领导意见不合被赶出来,不知道现在怎么样了
Autonomous
2016-01-13 08:26:31 +08:00
对于领导来说能控制才是王道,用户的安全不值一提
nvidiaAMD980X
2016-01-13 08:55:05 +08:00
鳖说来,哪天被超级黑客入侵了,直接当肉鸡,绑架采用这种系统的机构, DDos 几次 GFW ,就吼啦!
asj
2016-01-13 09:04:38 +08:00
这其实和现实中的社会结构是一致的
为什么中国改朝换代经常看到一个大帝国瞬间崩溃,因为皇帝这个大木马已经为入侵者铺好了路。
nvidiaAMD980X
2016-01-13 09:14:36 +08:00
@asj 只要自己不是“末代皇帝”就行,毕竟“我死后,哪管洪水滔天”←_←←_←
noli
2016-01-13 09:16:56 +08:00
V 也是这样成功黑进元首的全国性的强制性的广播系统,向全部人发表他的宣言的
xmoiduts
2016-01-13 09:51:31 +08:00
道理我都懂,可是 dr.c0m 到底要怎么 ssh 上去?
miclushine
2016-01-13 10:04:41 +08:00
那个社工创始人啥多米尼克好像说过,信息安全最大的漏洞是人,人永远是靠不住的。
fburst
2016-01-13 10:11:46 +08:00
再牛的技术也防不住社会工程学。
la0wei
2016-01-13 10:21:31 +08:00
错,是攻击的目标转移了。
你不能因为自来水公司集中供水有被投毒导致大面积中毒的可能就否定其工作。
所谓的自身安全性做不好,你举的例子是软件自身固有漏洞,但没有多少软件敢保证自身没有漏洞。假如你举的例子是这个漏洞披露于很久以前,而管理员没有修复这个漏洞,才能说明你标题的观点,否则不能说明什么。集中与分散都会有风险,这种讨论不知道有多少。
paradoxs
2016-01-13 10:59:07 +08:00
不要相信网络就是了,如果信息足够重要,管理者是有可能被人身绑架的,那时候一切的安全措施都会失效。
nvidiaAMD980X
2016-01-13 11:58:42 +08:00
@paradoxs 然而自己的各種信息早已經被轉賣了 N 手了…………為了自己的生活,而又不能不把自己的相關信息交給各個方面的機構,就拿手機通訊錄來說,自己保護得再好,朋友的 Wechat 和支付寶早就出賣了你………………有時,真的希望貴支變成無政府……………
lalalakakaka
2016-01-13 12:27:18 +08:00
@la0wei 你可以去看下这种系统的使用说明书就明白这是怎么一回事了。
这种系统口头宣称的是“信息安全”,但是主要功能却是:上网记录、偷窥聊天记录、屏幕截图、后台安装软件。
这已经远超一般的安全防护手段了,更多的是对个人领域的侵犯。使管理员的权力超越了其责任范围。
举例来说:某员工的电脑里被安装了所谓的“安全客户端”,然后出现了信息泄漏。那么这应该算是这个员工的责任还是管理员的责任?
虽然不想这么打比方,但这件事和我国很多事情是相似:上层领导把持住了所有的权力,然后把责任全甩锅给了底层干活的。本质就是一种管理者权力欲的扩张和不负责任的态度。
ryd994
2016-01-13 12:32:28 +08:00
@la0wei 但是把原本由不同密码和各种物理屏障保护的个体,全部集中到管理员这个单点上,这是个大坑啊……
更何况原本个体的问题(比如密码泄露),并没有解决,而是平白增加了一个入侵途径,这个真心 666

用你的例子:有了自来水公司,人们就不用自己取水消毒(更何况很多人没有专业的水处理能力),因此大家都用上的卫生的水,这是集中化的好处。但是没有说水厂厂长变成一国首脑的……

而一个公司的信息安全,窃以为最重要的还是靠严格的权限制度和物理隔离。而这些系统以安全为名,把 IT 管理员直接变成了上帝,上面两点彻底违反。而其他员工,该被收买的还是会被收买,该被社工的还是会被社工。如今又多一条路,条条大路通罗马啊
更何况会用这种系统的管理员自己水平估计也高不到哪里去……
ferock
2016-01-13 12:32:43 +08:00
@la0wei 没有金刚钻别揽瓷器活,何况本来就是目的不纯。

所谓的集中资源办大事是最要不得的,成也集权,败也集权。
49
2016-01-13 12:50:49 +08:00
记得某人说过 “安全主要靠人”
hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh
mongodb
2016-01-13 13:08:01 +08:00
出了我本机网卡的流量必须加密
rssf
2016-01-13 13:17:14 +08:00
我死后哪怕洪水滔天。管不住立马要下台,你是选择立马下台还是偶尔被攻击出事才下台?
la0wei
2016-01-13 17:17:25 +08:00
@lalalakakaka @ryd994 @ferock 我之前的说法确实比较武断。校园接入外网需要客户端这种,我觉得一是为了圈钱,二是你懂的。没有上客户端的需要。企业里,机器加入域,可以获得统一的安全管理。但是域控被攻破,一样避免不了一锅端。集中,就是把风险集中在一起,但是以我所看到的,很多人的个人电脑安全防护薄弱之极,即使 IT 从业人员也是如此。集中的效果,取决去集中后的水平。攻破一个个人电脑,和攻破一台专业人员维护的服务器,其难度是不同的。
有了自来水公司,人们就不用自己取水消毒(更何况很多人没有专业的水处理能力),因此大家都用上的卫生的水,这是集中化的好处。但是没有说水厂厂长变成一国首脑的……
我明白槽点不在与是否供自来水,而是在于后一点。
我只能建议,对集中管控行为反感的话,不要把个人隐私相关内容放在集中管控的设备上。比如我单位的某数字提供的行为管理,你懂的。
ferock
2016-01-13 17:35:15 +08:00
@la0wei 有了自来水公司,人们就不用自己取水消毒,结果自来水公司被投毒,或者自来水公司自己投毒。。。所以,利弊重轻,还是集中风控和分散控制的区别

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/250292

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX