2009年2月10日星期二
闲扯公司中VPN的安全
VPN,包括IPSec啊或是加密的PPTP啊什么的,本身是很安全的,一般都是用128位的算法来对来往数据加密。解开VPN的加密算法需要数千台计算机工作数千年。所以,迄今为止还没有听说通过破解加密算法来攻破VPN的真实案例,这也许是因为我孤陋寡闻,但是至少很稀有。
不 过,就像木桶能装多少水依靠最短的一块木板,VPN安全也有一块短板,那就是我们自己和自己的家用电脑。要想通过VPN来窃取公司机密,最方便也是最 常用的方法不是破解复杂的数学密码,而是想办法从相关人员手里偷到钥匙(偷窥到密码)。甚至在多数情况下,密码都不是“偷”去的,而是大摇大摆抄走 的,或是员工主动提供的。这听起来可笑,但是却常常发生在缺乏安全知识和意识的员工身上。下面通过几个例子来说明:
例子一:公司员工美女小A,在家里想远程连回公司办公,但是VPN总也不工作。小A想到正追求自己的宅男小C是电脑高手,于是搬来小C替自己解决。为了节约时间减少 麻烦,小A就把自己的密码“prada”告诉了小C。小C很快的解决了问题,带着小A的感谢和微笑(谜之音:还有密码!!!)回家了。小A找到帅气新男友 小D半月后,发生了公司客户数据以每条1块钱的价格泄露给竞争对手的消息,小A傻眼了(谜之音:她可能连眼都没傻)。
教训一:无论如何,不要把自己的密码泄露给其他人,包括公司的同事。公司的同事可能会利用你的身份进行信息犯罪,并栽赃给你。如果实在需要找小C帮忙,也记得自己输入密码,不要让小C看到。
例子二:公司员工美女小A,在家里想远程连回公司办公,输入了自己的用户名Amy和密码prada,顺利连入公司网络。情场失意的网络高手小C,在深夜报复社会,用程序猜测小A在公司VPN的密码。小C不是胡猜,他用一个含有很多常用密码、英文单词、从1970年到现在每天日期的文件作为猜测的备选,不出几分 钟,电脑上提示prada这个常见单词被猜中了。几天后,发生了公司客户数据以每条1块钱的价格泄露给竞争对手的消息。
教训二:不要使用简单的密码,例如自己的生日、英文单词、较短的随机字符串(例如小于5位字母,黑客完全可以把5个英文字母的所有组合尝试一遍)。密码要长,最好大于10位,要没有规律,要包含字母、数字和标点符号,例如“sak@32o8.fjs”就是一个不错的密码,黑客老死也无法猜中。记不住这么变 态的密码怎么办?多记就好了,一般来说几天之后就会背下来。我还有个小技巧,是利用符合发音规则的假词造长密码,例如coporine92simory!,这个密码比上面的好记,也相当安全。
例子三:公司员工美女小A,在家里想远程连回公司办公,输入了自己的用户名Amy和无敌密码i~dont~th1nk~u~can~guess~this~password293,顺利连入公司网络。情场失意的网络高手 小C在深夜报复社会,通过QQ、MSN等大量发送木马病毒。小A的机器没有开防火墙(嫌麻烦)和杀毒软件(嫌慢且不想花钱),已经不幸中招几天还没有察觉。小C发 现某台电脑受到自己控制,这台电脑又有一个活动的VPN链接,于是偷偷远程潜入小A的电脑,又通过小A电脑上已经连接的VPN进入公司。几天后,发生了公司客户数据以每条1块钱的价格泄露给竞争对手的消息,小A自己的私房照片也被贴在了火爆的成人网站上。
教训三:一定要开启防火墙,一定要及时更新系统,一定要安装杀毒软件并及时更新。黑客从来不是针对你行动的,他们广撒大网,只有安全性弱的电脑才会中招。 一般公司会配备集中采购的杀毒软件,如果没有的话,可以考虑Windows防火墙,AVG免费杀毒软件,360安全卫士和墨者安全专家等软件,这些都是完全免费的,能给电脑带来不错的基本保护(但是如果涉及高度敏感数据一定要咨询相关专业人员,如公司信息安全专员)。
我选择美女小A作为主角也是有意义的。公司里面不乏计算机达人,他们自己的电脑防护的如铁桶一般百毒不侵,但是像小A这样对技术不感冒的员工就是企业安全的短板。要修补这块短板,一般就需要专职IT人员的检查和不厌其烦的培训了,呵呵。
不 过,就像木桶能装多少水依靠最短的一块木板,VPN安全也有一块短板,那就是我们自己和自己的家用电脑。要想通过VPN来窃取公司机密,最方便也是最 常用的方法不是破解复杂的数学密码,而是想办法从相关人员手里偷到钥匙(偷窥到密码)。甚至在多数情况下,密码都不是“偷”去的,而是大摇大摆抄走 的,或是员工主动提供的。这听起来可笑,但是却常常发生在缺乏安全知识和意识的员工身上。下面通过几个例子来说明:
例子一:公司员工美女小A,在家里想远程连回公司办公,但是VPN总也不工作。小A想到正追求自己的宅男小C是电脑高手,于是搬来小C替自己解决。为了节约时间减少 麻烦,小A就把自己的密码“prada”告诉了小C。小C很快的解决了问题,带着小A的感谢和微笑(谜之音:还有密码!!!)回家了。小A找到帅气新男友 小D半月后,发生了公司客户数据以每条1块钱的价格泄露给竞争对手的消息,小A傻眼了(谜之音:她可能连眼都没傻)。
教训一:无论如何,不要把自己的密码泄露给其他人,包括公司的同事。公司的同事可能会利用你的身份进行信息犯罪,并栽赃给你。如果实在需要找小C帮忙,也记得自己输入密码,不要让小C看到。
例子二:公司员工美女小A,在家里想远程连回公司办公,输入了自己的用户名Amy和密码prada,顺利连入公司网络。情场失意的网络高手小C,在深夜报复社会,用程序猜测小A在公司VPN的密码。小C不是胡猜,他用一个含有很多常用密码、英文单词、从1970年到现在每天日期的文件作为猜测的备选,不出几分 钟,电脑上提示prada这个常见单词被猜中了。几天后,发生了公司客户数据以每条1块钱的价格泄露给竞争对手的消息。
教训二:不要使用简单的密码,例如自己的生日、英文单词、较短的随机字符串(例如小于5位字母,黑客完全可以把5个英文字母的所有组合尝试一遍)。密码要长,最好大于10位,要没有规律,要包含字母、数字和标点符号,例如“sak@32o8.fjs”就是一个不错的密码,黑客老死也无法猜中。记不住这么变 态的密码怎么办?多记就好了,一般来说几天之后就会背下来。我还有个小技巧,是利用符合发音规则的假词造长密码,例如coporine92simory!,这个密码比上面的好记,也相当安全。
例子三:公司员工美女小A,在家里想远程连回公司办公,输入了自己的用户名Amy和无敌密码i~dont~th1nk~u~can~guess~this~password293,顺利连入公司网络。情场失意的网络高手 小C在深夜报复社会,通过QQ、MSN等大量发送木马病毒。小A的机器没有开防火墙(嫌麻烦)和杀毒软件(嫌慢且不想花钱),已经不幸中招几天还没有察觉。小C发 现某台电脑受到自己控制,这台电脑又有一个活动的VPN链接,于是偷偷远程潜入小A的电脑,又通过小A电脑上已经连接的VPN进入公司。几天后,发生了公司客户数据以每条1块钱的价格泄露给竞争对手的消息,小A自己的私房照片也被贴在了火爆的成人网站上。
教训三:一定要开启防火墙,一定要及时更新系统,一定要安装杀毒软件并及时更新。黑客从来不是针对你行动的,他们广撒大网,只有安全性弱的电脑才会中招。 一般公司会配备集中采购的杀毒软件,如果没有的话,可以考虑Windows防火墙,AVG免费杀毒软件,360安全卫士和墨者安全专家等软件,这些都是完全免费的,能给电脑带来不错的基本保护(但是如果涉及高度敏感数据一定要咨询相关专业人员,如公司信息安全专员)。
我选择美女小A作为主角也是有意义的。公司里面不乏计算机达人,他们自己的电脑防护的如铁桶一般百毒不侵,但是像小A这样对技术不感冒的员工就是企业安全的短板。要修补这块短板,一般就需要专职IT人员的检查和不厌其烦的培训了,呵呵。
订阅:
博文 (Atom)