V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lalalakakaka
V2EX  ›  职场话题

放个炮,某些 BOSS 以及 IT 人员的控制欲才是最大的安全漏洞

  •  
  •   lalalakakaka · 2016-01-12 23:39:18 +08:00 · 5490 次点击
    这是一个创建于 2998 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看热乎的飞塔 OS 漏洞有感:
    http://www.v2ex.com/t/250270#reply0

    本意是为了所谓的“信息安全”,实质是满足管理人员的控制欲而产生的怪胎,非要把持网络出口的方方面面。然而这种东西一旦栽倒,那就是给黑客出让整个办公网络的控制权。对于黑客来说,连工具都不用上传了,这套系统的功能比任何黑客工具都强大。

    类似的东西在国内特别多,而且都尤其的粗制滥造,
    比如某些臭名昭著的高校校园网访问控制系统,要么在网络出口上放嗅探器,要么强制安装认证客户端,提供所谓的安全审计功能:桌面截图、系统信息、进程信息、上网记录、磁盘信息,等等。简直是个大号木马。
    然而偏偏自身的安全性做不好,时不时爆出点远程溢出漏洞,比如这个:
    http://www.wooyun.org/bugs/wooyun-2010-021657
    更可怕的是所谓的网管控制中心也会有漏洞,比如这个:
    http://www.cnvd.org.cn/flaw/show/CNVD-2012-4415
    一旦沦陷,整个学校的电脑都会变成肉鸡,而且,木马是现成的,甚至不用部署任何恶意软件,黑客就拥有了全部电脑的控制权。

    卖这种系统的人不负责任,而拍板采购这种东西的人简直就是脑残且罪大恶极。

    27 条回复    2016-01-20 21:14:58 +08:00
    pupboss
        1
    pupboss  
       2016-01-12 23:46:26 +08:00 via iPhone
    曾经参与一个给领导查看学生信息的系统,同各种漏洞,中途跟领导意见不合被赶出来,不知道现在怎么样了
    Autonomous
        2
    Autonomous  
       2016-01-13 08:26:31 +08:00 via iPhone
    对于领导来说能控制才是王道,用户的安全不值一提
    nvidiaAMD980X
        3
    nvidiaAMD980X  
       2016-01-13 08:55:05 +08:00 via Android
    鳖说来,哪天被超级黑客入侵了,直接当肉鸡,绑架采用这种系统的机构, DDos 几次 GFW ,就吼啦!
    asj
        4
    asj  
       2016-01-13 09:04:38 +08:00 via Android
    这其实和现实中的社会结构是一致的
    为什么中国改朝换代经常看到一个大帝国瞬间崩溃,因为皇帝这个大木马已经为入侵者铺好了路。
    nvidiaAMD980X
        5
    nvidiaAMD980X  
       2016-01-13 09:14:36 +08:00 via Android
    @asj 只要自己不是“末代皇帝”就行,毕竟“我死后,哪管洪水滔天”←_←←_←
    noli
        6
    noli  
       2016-01-13 09:16:56 +08:00
    V 也是这样成功黑进元首的全国性的强制性的广播系统,向全部人发表他的宣言的
    xmoiduts
        7
    xmoiduts  
       2016-01-13 09:51:31 +08:00 via Android
    道理我都懂,可是 dr.c0m 到底要怎么 ssh 上去?
    miclushine
        8
    miclushine  
       2016-01-13 10:04:41 +08:00
    那个社工创始人啥多米尼克好像说过,信息安全最大的漏洞是人,人永远是靠不住的。
    fburst
        9
    fburst  
       2016-01-13 10:11:46 +08:00
    再牛的技术也防不住社会工程学。
    la0wei
        10
    la0wei  
       2016-01-13 10:21:31 +08:00
    错,是攻击的目标转移了。
    你不能因为自来水公司集中供水有被投毒导致大面积中毒的可能就否定其工作。
    所谓的自身安全性做不好,你举的例子是软件自身固有漏洞,但没有多少软件敢保证自身没有漏洞。假如你举的例子是这个漏洞披露于很久以前,而管理员没有修复这个漏洞,才能说明你标题的观点,否则不能说明什么。集中与分散都会有风险,这种讨论不知道有多少。
    paradoxs
        11
    paradoxs  
       2016-01-13 10:59:07 +08:00
    不要相信网络就是了,如果信息足够重要,管理者是有可能被人身绑架的,那时候一切的安全措施都会失效。
    nvidiaAMD980X
        12
    nvidiaAMD980X  
       2016-01-13 11:58:42 +08:00 via Android   ❤️ 1
    @paradoxs 然而自己的各種信息早已經被轉賣了 N 手了…………為了自己的生活,而又不能不把自己的相關信息交給各個方面的機構,就拿手機通訊錄來說,自己保護得再好,朋友的 Wechat 和支付寶早就出賣了你………………有時,真的希望貴支變成無政府……………
    lalalakakaka
        13
    lalalakakaka  
    OP
       2016-01-13 12:27:18 +08:00
    @la0wei 你可以去看下这种系统的使用说明书就明白这是怎么一回事了。
    这种系统口头宣称的是“信息安全”,但是主要功能却是:上网记录、偷窥聊天记录、屏幕截图、后台安装软件。
    这已经远超一般的安全防护手段了,更多的是对个人领域的侵犯。使管理员的权力超越了其责任范围。
    举例来说:某员工的电脑里被安装了所谓的“安全客户端”,然后出现了信息泄漏。那么这应该算是这个员工的责任还是管理员的责任?
    虽然不想这么打比方,但这件事和我国很多事情是相似:上层领导把持住了所有的权力,然后把责任全甩锅给了底层干活的。本质就是一种管理者权力欲的扩张和不负责任的态度。
    ryd994
        14
    ryd994  
       2016-01-13 12:32:28 +08:00
    @la0wei 但是把原本由不同密码和各种物理屏障保护的个体,全部集中到管理员这个单点上,这是个大坑啊……
    更何况原本个体的问题(比如密码泄露),并没有解决,而是平白增加了一个入侵途径,这个真心 666

    用你的例子:有了自来水公司,人们就不用自己取水消毒(更何况很多人没有专业的水处理能力),因此大家都用上的卫生的水,这是集中化的好处。但是没有说水厂厂长变成一国首脑的……

    而一个公司的信息安全,窃以为最重要的还是靠严格的权限制度和物理隔离。而这些系统以安全为名,把 IT 管理员直接变成了上帝,上面两点彻底违反。而其他员工,该被收买的还是会被收买,该被社工的还是会被社工。如今又多一条路,条条大路通罗马啊
    更何况会用这种系统的管理员自己水平估计也高不到哪里去……
    ferock
        15
    ferock  
       2016-01-13 12:32:43 +08:00
    @la0wei 没有金刚钻别揽瓷器活,何况本来就是目的不纯。

    所谓的集中资源办大事是最要不得的,成也集权,败也集权。
    49
        16
    49  
       2016-01-13 12:50:49 +08:00
    记得某人说过 “安全主要靠人”
    hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh
    mongodb
        17
    mongodb  
       2016-01-13 13:08:01 +08:00
    出了我本机网卡的流量必须加密
    rssf
        18
    rssf  
       2016-01-13 13:17:14 +08:00
    我死后哪怕洪水滔天。管不住立马要下台,你是选择立马下台还是偶尔被攻击出事才下台?
    la0wei
        19
    la0wei  
       2016-01-13 17:17:25 +08:00
    @lalalakakaka @ryd994 @ferock 我之前的说法确实比较武断。校园接入外网需要客户端这种,我觉得一是为了圈钱,二是你懂的。没有上客户端的需要。企业里,机器加入域,可以获得统一的安全管理。但是域控被攻破,一样避免不了一锅端。集中,就是把风险集中在一起,但是以我所看到的,很多人的个人电脑安全防护薄弱之极,即使 IT 从业人员也是如此。集中的效果,取决去集中后的水平。攻破一个个人电脑,和攻破一台专业人员维护的服务器,其难度是不同的。
    有了自来水公司,人们就不用自己取水消毒(更何况很多人没有专业的水处理能力),因此大家都用上的卫生的水,这是集中化的好处。但是没有说水厂厂长变成一国首脑的……
    我明白槽点不在与是否供自来水,而是在于后一点。
    我只能建议,对集中管控行为反感的话,不要把个人隐私相关内容放在集中管控的设备上。比如我单位的某数字提供的行为管理,你懂的。
    ferock
        20
    ferock  
       2016-01-13 17:35:15 +08:00
    @la0wei 有了自来水公司,人们就不用自己取水消毒,结果自来水公司被投毒,或者自来水公司自己投毒。。。所以,利弊重轻,还是集中风控和分散控制的区别
    Khlieb
        21
    Khlieb  
       2016-01-13 19:19:32 +08:00 via Android
    这在编程随想的博客里面就提到过,作者把这个叫“单点故障”
    http://program-think.blogspot.com/2015/04/Single-Point-of-Failure.html
    Khlieb
        22
    Khlieb  
       2016-01-13 19:56:49 +08:00 via Android
    有个俄罗斯专家在关于苏联解体的评论里面也有像这样的解释:
    “苏☭对武装力量和情报部门的领导已经到了无孔不入的荒诞程度——这才是导致苏联解体的决定性因素。苏联体制如此构建而成,以致苏☭高层一旦叛变或者丧失管理能力,所有领导国防和安全的机构就会瘫痪。苏军和克格勃在技术层面上能够完成上级的任何命令;但由于缺乏这样的命令他们就无法采取任何决定性行动。”

    http://sputniknews.cn/radiovr.com.cn/2013_09_24/243957230/
    wizardforcel
        23
    wizardforcel  
       2016-01-13 20:42:47 +08:00 via Android
    这种校园网访问系统,根本没个文档没个测试,找个人几个月写完就上线了,不崩溃就不错了,你还能指望它没安全漏洞什么的。
    nvidiaAMD980X
        24
    nvidiaAMD980X  
       2016-01-13 22:58:45 +08:00 via Android
    @Khlieb 我倒觉得苏联解体是一件对前苏联各民族都有利的事, 100 多个民族, N 个宗教,每个宗教又有 M 个教派……………斯大林本身就是个民族问题专家,结果他解决矛盾的方法就是"一声令下,让整个族群迁徙或毁灭"……………太讽刺人了…………
    @49 龙叔说:“中国人是需要管的!”←_←←_←我就瑟瑟发抖了!
    @la0wei 为什么我看到的现状是那些安全意识高的人士即使在危机伺服的网络环境中,被攻击的概率还是很低;而一群靠强制性、从众性扎堆的小白,覆亡的几率更高?
    @la0wei 也不能一家自来水厂完全垄断啊………必须要有竞争………只有一家自来水厂,哪天某零时工把消毒器给污染了,整个城市的人都没了………………
    Khlieb
        25
    Khlieb  
       2016-01-13 23:21:42 +08:00
    @nvidiaAMD980X 南斯拉夫人米洛凡·德热拉斯说过,☭主义起源为一种意识形态,其中含有☭主义极权的及垄断的性质,在☭主义对人民的控制中,这种意识形态已不再占据重要地位。☭主义作为意识形态的阶段,已大体上成为过去,☭主义能向世界表现的新事物已不多,但对于权力及所有权两种要素,就不能这样说。另外斯大林的那些手段已经被发现都是跟列秃驴学的。
    Khlieb
        26
    Khlieb  
       2016-01-13 23:25:50 +08:00
    @49 安全主要靠人本身没错,但问题是具体靠什么人,怎么叫人把关?
    Khlieb
        27
    Khlieb  
       2016-01-20 21:14:58 +08:00 via Android
    @nvidiaAMD980X 另外苏联这几十年里头总少不了激烈的宫廷内斗,赫鲁晓夫、勃列日涅夫都是把自己斗上台的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1180 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 18:17 · PVG 02:17 · LAX 11:17 · JFK 14:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.