翻墙安全!网监追踪流程!你会是下一个吗?浅谈翻墙网络安全以及隐藏公网IP的重要性
目录:
- 克罗尔克莱克Twitter
- 你是否容易受到同样的打击?
- 如果您发现自己面临与Twitter相同的缺陷,那么请考虑这是您的起床电话。您必须定期检查各种在线账户的安全设置,以便保持对安全信息的控制权,因为很容易忘记您多年前进入的内容。请特别注意与您的主要电子邮件地址相关的辅助电子邮件帐户;考虑给安全问题一个假的答案(只有你记得);并定期更改您的密码,无论是由您自己的发明还是随机密码生成器,如GRC或Strong Password Generator。您也可以避开使用一两个密码,并使用像Clipperz,KeePass或Yubico这样的密码管理器来记住您的详细信息。但也许最重要的是,搜索您在自己的Webmail帐户中使用的最常见的密码并删除这些消息。如果最糟糕的事情发生了,而且您的账户被破坏了,那么您会很高兴自己做到了。
克罗尔克莱克Twitter
黑克克罗尔开始通过构建他的目标公司简介,在这种情况下Twitter 。基本上,他汇集了一份员工名单,他们在公司内的职位,以及他们相关的电子邮件地址。在积累了基本信息后,克罗尔为每位员工建立了一份小档案,其中包括他们的出生日期,宠物名称等等。
克罗尔创建了这些档案后,他开始敲门直到一个人倒下。这正是他为Twitter员工的个人Gmail帐户进行密码恢复过程时发生的情况。克罗尔发现,这个人的Gmail所附属的二级账户是一个Hotmail账户。问题在于Hotmail帐户由于不活动而被删除和回收 - 这是Hotmail的一项长期政策。现在,所有Hacker Croll所要做的就是为自己重新注册Hotmail帐户,然后回去执行Gmail密码恢复,然后Gmail将密码重置信息直接发送给坏人。
但尚未结束。 Gmail要求Hacker Croll重置Twitter员工个人电子邮件帐户的密码,他这样做。但是现在原来的用户被锁定在他们的账户之外,这会发出明显的红旗。因此,Croll所做的一切都是从Gmail帐户本身搜索其他活动服务的密码。然后他输入了他找到的一个常用密码,然后等待该人是否开始正常使用他们的帐户。 Croll现在可以从幕后访问Gmail帐户,并且能够访问未被发现的信息。为了让生活更加美好,Twitter员工在她的商业和个人账户上使用了相同的密码,所以黑客现在可以同时访问这两个账户,其余的都是历史。
你是否容易受到同样的打击?
关于克罗尔的方法令人担忧的是他们可能发生在任何人身上。我上周查看了自己的Google帐户,发现我对Twitter的员工是否有同样的安全漏洞。我很久以前就注册了我的Gmail帐户,忘记了我的第二个电子邮件地址。就像Twitter员工一样,附加到我的Google帐户的辅助邮件已经失效,并且可能会被任何人重新注册。那以后就改变了。我还在自己的电子邮件中搜索了我使用过的密码,我惊讶于返回了多少结果。使用最常用的密码在电子邮件帐户中进行搜索,然后查看结果。您可能会感到惊讶。但是,黑客可以通过其他方式获取您的信息。你有没有收到像Twitter一样的公共服务上的生日快乐问候?您是否曾经以某种方式将您的电话号码或任何其他信息发送给某人?你的社交网站上有哪些信息?您的MySpace和Facebook帐户是否关闭,或任何人都可以查看他们搜索您的人吗?你的Facebook页面是否有你的生日,你上过的学校,你的宠物的名字?您的母亲的婚前姓名(一个常见的安全问题)是否可以通过您的社交网络帐户发现?那么您使用的无数其他服务呢?如果您认为某人可能找不到这些信息,那么请尝试在所谓的“Deep Web”搜索引擎(如Pipl或Spokeo)中搜索自己,然后查看会发生什么。您可能会发现您完全忘记的在线帐户。
另一个问题是,大多数主要的电子邮件服务对Google都使用类似的恢复方法。 Hotmail与Gmail几乎完全相同。雅虎更容易,因为如果你告诉雅虎你不能访问你的第二个电子邮件帐户,你可以回答一个秘密的问题。这些安全措施使得学生去年能够入侵阿拉斯加州州长Sarah Palin的雅虎邮箱帐户。在我测试Yahoo Mail的恢复页面时,我看到了无限数量的机会来猜测我的雅虎邮箱秘密问题。 AOL邮件并不好,因为您可以选择输入您的第二封电子邮件(您必须知道它或猜测),或者您可以在AOL文件中输入您的确切出生日期和您的邮政编码。邮政编码障碍让人难以进入,但绝不是不可能的。