APP下载

信息安全分析与防护能力提升研究

2021-02-01徐小华胡忠旭

昭通学院学报 2021年5期
关键词:浏览器黑客密码

徐小华,常 凤,陈 冬, 胡忠旭

(昭通学院 a.网络与信息中心; b.物理与信息工程学院, 云南 昭通 657000)

1 引言

随着计算机网络、信息技术的飞速发展,信息安全的重要性也愈发凸显,智能终端设备的安全影响到人们生活中的方方面面,网络信息安全已越来越被国家所重视。在国家网络空间安全战略的贯彻落实下不易再次出现如2016年的磁碟机病毒、2017年的WannaCry 勒索病毒、Reaper 僵尸网络病毒以及2018年的挖矿木马等超级病毒。但近两年主要以个人信息泄露及网络诈骗问题为关注重点。2018年5月,黑客入侵快递公司后台盗走近亿条客户信息;2018年10月,圆通快递10 亿条用户信息数据被出售;同年11月,万豪酒店集团5 亿房客信息被泄露;2019年2月,京东金融APP 被曝获取用户隐私,抖音千万级账号遭撞库攻击;2020年3月,5.38 亿条微博用户信息泄露;2020年4月,多地高校数万学生隐私遭泄漏。在这些触目惊心的数字背后,让人们对信息安全的关注达到前所未有的高度。

没有网络安全就没有国家安全[1]。由于个人安全意识缺乏、企业安全投入不足,导致数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现上升趋势,也加重了网络安全事件所带来的损失和影响,要想实现互联网时代的进一步发展,必须解决这一关键性问题,保护广大用户的隐私安全[2]。信息安全在未来将会是人们普遍关注的话题。

2 网络信息安全现状

互联网已成为推动经济社会转型、提升国家综合竞争力的强大动力。与此同时,层出不穷的病毒、信息的泄露等网络安全事件也愈演愈烈,成为一大隐患和威胁。

2.1 网络安全形势严峻

2021年5月26 日,国家互联网应急中心(CNCERT)编写的《2020年我国互联网网络安全态势综述》报告(以下简称“2020年态势报告”)正式发布[3]。2020年态势报告显示,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量共计 20,704 个,继续呈上升趋势;全年监测发现约20 万个针对我国境内网站的仿冒页面,同比增长约 1.4 倍;区块链领域共发生安全事件 555 起,每月均有新增安全事件;全年捕获恶意程序样本数量超过 4,200 万个,日均传播次数达 482 万余次,涉及恶意程序家族近 34.8 万个;我国境内感染计算机恶意程序的主机数量约534 万台,同比下降8.3%;通过自主捕获和厂商交换新增获得移动互联网恶意程序数量约 303 万个,同比增长 8.5%;捕获联网智能设备恶意程序样本数量约341 万个,同比上升 5.2%。

2.2 信息安全意识薄弱

在数字化时代,互联网传递的信息鱼龙混杂,使我们眼花缭乱,应接不暇。从单一的IE 浏览器访问到多个客户端应用软件,都离不开密码的设置和应用程序的下载,人们使用网络时,大部分网站及应用需要用户填写相关信息来注册,成功登录后才能正常使用相关功能,用户一旦注册,手机号码、姓名、性别、出生年月甚至身份证号等一些至关重要的个人信息都会一定程度地公布在网络上[4],不法分子获得这些信息后,进而将这些个人隐私信息售卖,引发一系列安全问题。一些黑客往往会在应用类软件中注入病毒、木马后重新发布在网络中,诱导用户下载,以此实现对用户主机的完全控制;钓鱼网站以超高的仿制技术蒙蔽用户的双眼,造成用户信息泄露的同时还伴随着账户财产的损失;手机应用商店上架越来越多的APP,而这些APP 需要用户授予权限才能正常使用,如果用户拒绝授权,将无法使用APP,虽然有信息保护意识但却无可奈何,也是当前智能设备信息保护所处的比较艰难的窘境[5]。

3 信息安全存在的问题

2021年2月3 日,中国互联网络信息中心(CNNIC)正式发布了第 47 次《中国互联网络发展状况统计报告》(以下简称《报告》)[6]。《报告》显示,截止2020年12月,我国网民规模为9.89亿,互联网普及率达70.4%。网民规模的持续增长,使信息流动出现多元化、自由化的趋势,人们在享受互联网带来便利的同时,存在以下几方面的问题。

3.1 软件下载问题

木马软件是黑客常用的攻击手段之一,一旦运行木马软件,黑客就能在用户未授权的情况下获得计算机的完全控制权;而流氓软件是在使用的同时未经用户同意触发恶意行为,如篡改浏览器主页、广告弹窗、安装捆绑软件、安装捆绑插件、修改系统配置等。流氓软件介于正规软件与木马软件之间,分为广告软件、间谍软件和捆绑软件三类,流氓软件虽然不会对计算机造成直接性的经济损失,但是会占用过多的资源,拖慢计算机运行速度,影响用户体验,甚者收集用户信息,创建木马后门。以安装某云音乐为例,在百度搜索框中输入“某云音乐下载”,得到的搜索结果中前10 条搜索结果均为非官方链接,通过每一条搜索结果内的链接来进行安装测试,发现均有捆绑软件。一旦运行这些软件,捆绑的软件及木马应用也随之安装运行。每个软件都有自己对应的官方下载地址,由于搜索引擎对搜索功能做了特殊处理,大量网民已很难分辨真假官网,于是让木马应用及流氓软件有了可乘之机。

部分软件需要授权激活才能正常使用,如Microsoft Office 系列、Adobe 系列、Autodesk 系列等,大多数用户不愿意去购买官方授权,甚至不知道如何购买授权,因此用户会在浏览器中直接下载安装,还有一部分用户会选择淘宝购买软件或请专业人士安装,尽管去淘宝购买软件或请专业人士安装,他们依然不是通过官方渠道来激活,常用的方法是先安装官方正版试用然后再使用注册机来注册激活。注册机的原理是修改系统配置和目标软件的授权方式来达到授权激活的效果,所以注册机本身会被杀毒软件识别为病毒,使用注册机注册激活的方式极大程度上给了不法分子的可乘之机,他们往往会在注册机中注入病毒代码,让用户明知杀毒软件提示为病毒的情况下还运行注册机,于是木马程序也随之运行,使用户计算机成为黑客眼中的“肉鸡”。

3.2 密码设定问题

除了使用000000、qwe123、123456 等常规弱密码还会通过个人信息来设置密码,这些密码通常由姓名、生日、联系方式、身份证号码及特殊字符串组成,部分用户还会使用爱人或孩子的姓名和生日来设定密码,黑客一旦拥有这些个人信息,就能借助工具来枚举密码,破解出用户密码。

为图方便,大部分用户会使用自己精心设计过的密码来注册网站,即共享密码,这样的共享密码往往不超过三个。互联网每时每刻都有被攻击的风险,一旦有注册过的网站被“脱库”,那么黑客就能登录用这个密码注册过的所有网站,进而获取用户信息。

厂商会设定默认密码,以提供初始登录。例如某高校电子图书馆初始密码为123456,而学校做不到让所有学生都登录电子图书馆,即使登录了电子图书馆,也不愿意修改密码,通过这些初始密码,黑客不费吹灰之力就能获得用户个人信息。

3.3 网站浏览问题

浏览网站时我们往往需要在表单中输入账号密码等信息,大多数用户会选择让浏览器保存密码。由于网页中被嵌套了广告信息,以及本身就带有营销功能的浏览器,使我们在浏览网页的时候被广告信息误导,进而点击到非官方页面,甚者包含色情网站、赌博网站等非法网站,点击该类网站后,浏览器能强制弹窗到软件下载页面,且通过提前设定好的JavaScript 代码来获取用户保存在浏览器中的信息,这些被浏览器下载的软件通常都携带病毒,这些病毒程序通过修改注册表等系统信息,创建病毒启动项、设置定时任务来让病毒一直存活在用户电脑中,使不法分子通过该类病毒对用户计算机进行完全控制。

3.4 系统更新不及时

操作系统不及时更新,会存在许多漏洞,微软也不例外。错过重大安全更新,黑客可通过扫描得到目标主机的漏洞信息,并利用漏洞来攻击用户,将用户机器与黑客机器建立连接,进而获得完全控制权限,导致各种安全事故。

3.5 敏感文件处理不当

大部分用户喜欢把重要(如证件照、银行卡密码等)信息截图或者使用记事本保存,与普通文件共同存储在计算机中。一旦用户电脑遭到黑客攻击,黑客就能轻而易举下载到这些文件。

3.6 智能设备安全问题

智能设备的用户也避免不了信息泄露。造成信息泄露的主要原因是用户安全意识薄弱,手机APP 只要申请应用权限,用户就给予允许,以致于通讯录、短信记录、手机使用记录等被APP 后台静默上传。部分企业能通过特殊手段分析客户流量情况,给客户打上标签,通过标签生成用户画像,系统精准推送消息,如打开某APP 搜索某件商品,随后便会在微信朋友圈、QQ 空间、抖音短视频、手机浏览器首页等均显示该商品的广告信息。大数据“杀熟”、隐私泄露问题日益突出,从而造成大数据滥用、使得个人权益受损[7]。

4 解决信息安全问题的对策

针对信息安全存在的问题,本节做了全面的对策分析,以提升安全意识、规范用网为重点,从以下四个方面来阐述。

4.1 正确使用杀毒软件

4.1.1 普通用户对于杀毒软件的误解

国内杀毒软件凭借免费二字拥有很大的用户群体,使用杀毒软件可以抵御大多数网络攻击,但是也存在误杀问题,杀毒软件不仅拖慢了电脑运行速度,其弹窗已经影响用户到体验,一些用户在使用计算机的同时索性关闭杀毒软件。此外,杀毒软件能直接接管系统,甚至隐藏卸载功能,所以国内免费杀毒软件的口碑一直不是很好,大多数用户不愿意使用杀毒软件。杀毒软件默认的配置会监控用户的行为,占用电脑过多的资源,杀毒软件一旦有不认识的文件,就列为可疑文件,后台上传到云端进行人工分析。不同的杀毒软件有着不同的病毒库和不同的算法,以至于杀毒能力有强弱之分,国内免费杀毒软件基本都携带营销功能,如果用户不做正确的配置,杀毒软件的弹窗甚至比流氓软件还多。

4.1.2 正确配置杀毒软件

本节以Windows Defender 为主来进行配置,为普通用户解决绝大多数的系统安全问题。

(1)Windows10 系统中在开始菜单打开设置选项卡,依次点击“更新和安全”“Windows 安全中心”,打开Windows 安全中心后在“病毒和威胁防护”中选择“病毒和威胁防护”设置,将实时保护和云防护打开;

(2)在账号保护中登录微软账号,并将防火墙和网络保护中的域网络、专用网络和公用网络打开;

(3)在应用和浏览器控制选项卡中打开“基于声誉的保护”,将检查应用和文件、使用于Microsoft Edge 的SmartScreen、阻止可能不需要的应用打开;

(4)在设备和安全性选项卡中开启“内核隔离”;

(5)重新打开Windows 安全中心,当所有选项提示“无需执行任何操作”时,完成了Windows Defender 的配置。

4.2 防范网络钓鱼,安全上网

网络钓鱼是黑客最简单的攻击方式,常常发生在邮件、短信、免费WiFi 的链接中。首先,在点击网址前首先观察域名,确认是可信站点才访问;其次,不注册登录不熟悉的网站,不点击陌生人发送的链接,朋友同事发送的链接也要观察域名,确定是官方网站或可信网站才点击浏览。同时应保证杀毒软件的正常运行,杀毒软件能识别出大多数的钓鱼链接,不在网上留下真实资料,不连接未加密WiFi,不相信陌生人的任何信息。最后,建议使用谷歌浏览器或微软新推出的Microsoft Edge 浏览器上网;首页不使用导航页;不使用浏览器的密码自动填充功能;不访问非法网站,上网时开启防火墙和杀毒软件;及时清除上网记录。

4.3 加强智能设备安全

智能设备已融入到生活中的方方面面,正确、合理使用智能设备,智能设备才能安全地服务我们。首先应从正规商店购买智能设备,在安装应用时应从系统提供的应用市场来下载安装,不进行“越狱”操作[9],不安装来历不明的软件及盗版软件,不扫描来历不明的二维码,不连接公共WiFi,不使用来历不明公共充电器和充电宝。其次,使用应用的时候应留意权限申请,非必要不授权。最后开启锁屏密码、应用加密功能,并减少本地密码保存。

4.4 提升安全意识,规范用网

随着社会的进步,国家越来越重视网络安全,我们更应该响应国家号召,积极参加由政府、单位发起的网络安全培训,提升网络安全意识和基本技能,构筑网络安全的第一道防线[10]。除此之外还需从以下几个方面提升自我安全意识:

(1)使用高强度密码,不定期修改密码。设置的密码中不包含姓名、生日、联系方式等信息,多使用特殊符号并随机组合,设置12 位以上的密码,如果有登录验证,应该开启登录验证。密码应不定期更换,同一密码使用30 次后作废,及时修改密码。

(2)不共享账号密码等信息。不轻易向别人透露自己的账号密码等信息,如果必须将账户提供给别人使用,应该在使用前修改一次密码,使用后再次修改密码;不在不同的网站使用相同或相近的密码;及时修改由厂商或机构设定的默认密码。

(3)非必要不在网络中使用真实信息。当网站要求用户填写身份信息时,应考虑该网站的可信性。一般的网站不应该填写真实信息,包括购物网在内,除了地址信息及联系电话,不使用真实姓名。

5 结语

随着万物互联时代到来,人们更应加强信息安全意识,提升网信安全防护能力,避免隐私信息泄露。信息安全是推动社会进步的关键,信息安全问题无忧,国家安全和社会稳定才会有可靠的保障。人们应树牢“网络安全为人民,网络安全靠人民”的观念,全面贯彻落实网络空间安全战略,进入网络强国新时代。

猜你喜欢

浏览器黑客密码
欢乐英雄
多少个屁能把布克崩起来?
密码里的爱
网络黑客比核武器更可怕
微软发布新Edge浏览器预览版下载换装Chrome内核
反浏览器指纹追踪
密码抗倭立奇功
密码藏在何处
夺命密码
浏览器