技术与日俱增,比超速货运子弹头火车枪还要快,甚至比光速还快。好的,也许不是那么快,但是我们所有人都感觉错过了技术上的分水岭,或者至少错过了具有令人眼花new乱的新规格的新产品,而您却一无所知区域的tiddlywinks社交网站上的任何人都在谈论。
放松。它发生了。因此,让我们回顾一下一些最常用的安全性术语及其含义。
1。加密
让我们从一个大的开始,以及您可能遇到的一个开始。仅仅是因为您已经遇到过,并不意味着您了解加密的不可思议的重要性。
简而言之,无论您是否知道加密,加密都是对数据的转换。
是的。您不希望Alan在本地酒吧中使用中间人攻击来窃取您的帐户凭据。同样,您不希望任何人都能阅读您的电子邮件,安全消息和任何采用加密技术保护的无数服务。
该年度最大的加密案例之一就是迅速恢复了生命。我给您一个简短的提示:2015年12月,在加利福尼亚州圣贝纳迪诺的内陆地区中心,有14人在一次家庭恐怖行为中被谋杀。
几个小时后,恐怖分子在一次恐怖袭击中被杀。枪战,联邦调查局继续搜索他们的当地住所。他们回收了许多物品,其中包括一具死者的加密iPhone。这给FBI带来了一个问题:他们无法暴力破解(旨在猜测所有可能的密码排列的详尽攻击)电话的保护,因为这可能会擦除数据。
Apple,这是正确的拒绝创建供联邦调查局使用的金色后门,理由是一旦创建后,它将被重复使用。此外,他们再次正确地表示他们相信这样的后门将不可避免地落入错误之手,并被用来直接和负面影响其他公民。
向前滚动几个月。 FBI和Apple曾在法庭上来回走动,当FBI突然宣布,在一个未知的第三方(据报道是以色列安全研究公司)的帮助下,他们成功破解并访问了iPhone上的数据-反过来,基本上什么都没有。
还是我吗?再过几个月,直到2016年8月,黑客宣布“解放"了来自NSA辅助服务器的高度敏感的数据,推测这是由政府机构的一个内部精英黑客组织使用的。数据显然包含详细描述对许多重要的全球使用的防火墙进行后门攻击的代码,并且要出售这些数据(要价高达5亿美元左右)。
TL; DR:后门直到所有人都知道为止。然后,每个人都被搞砸了。
通过对数字密钥进行签名(在两方之间安全地交换),可以保持安全加密。公钥加密(AKA非对称密码)使用一对密钥来加密和解密数据。
公钥可以与任何人共享。 私有密钥保持私有状态。这两个密钥都可以用来加密邮件,但是您需要在另一端解密对方的密钥。
该密钥本质上是一长串数字,已经与另一长串数字配对,但不完全相同(使它们不对称)。当Diffie和Hellman于1977年提出公钥密码学时,他们的工作被认为具有开创性,并为我们今天利用的许多安全数字服务奠定了基础。
例如,如果您已经曾经使用过数字签名,但是您已经使用了基于非对称密码的技术:
要创建数字签名,签名软件(例如电子邮件程序)会创建单向散列的电子数据被签署。然后,用户的私钥用于加密哈希,返回哈希数据唯一的值。加密的哈希与哈希算法之类的其他信息一起形成数字签名。
数据中的任何更改(甚至更改为单个位)都会产生不同的哈希值。此属性使其他人可以通过使用签名者的公钥来解密哈希来验证数据的完整性。如果解密的散列与相同数据的第二个计算的散列匹配,则表明该数据自签名以来没有改变。
如果两个散列不匹配,则说明该数据已被篡改
2。或者以某种方式(表示完整性失败)创建签名,或者使用与签名者提供的公钥不对应的私钥创建私钥(表明身份验证失败)。 2。 OAuth和OAuth2
OAuth本质上是一个授权框架。它允许两方安全地通信,而不必每次都提供密码。我将通过一个简单的示例来说明其工作原理:
在整个过程中,Bill无需将其帐户凭据提供给第三方。相反,它们是通过OAuth令牌系统进行验证的。 Bill仍然保留对该系统的控制权,并且可以随时撤消令牌。
OAuth也可以提供进一步的深度权限。我们可以分配粒度级别的权限,而不是允许所有内容都对您的凭据具有相同的访问权限,例如,给一个第三方服务提供只读访问权限,而给另一个第三方服务以您的身份担任和发布的权限。
I知道吧?谁知道安全性术语可以这么简单!认真地说,我会再解释一下这个术语。它归结为客户端ID和客户端密钥。为了使OAuth正常运行,必须在OAuth服务中注册该应用程序。应用程序开发人员必须提供以下信息:
一旦注册,该应用程序将收到一个客户ID。然后,服务将使用客户端ID来标识应用程序。当应用程序请求访问用户帐户时,客户端密钥用于向服务验证应用程序的身份。它必须在应用程序和服务之间保持私有状态。
您很有可能在没有意识到的情况下使用过OAuth。您是否已使用您的Facebook,Google或Microsoft帐户登录到第三方网站?然后,您使用OAuth建立了安全连接。
3。勒索软件
这种恶意软件变种正迅速成为互联网的祸害。
就像传统恶意软件感染您的系统一样,勒索软件也将其感染到僵尸网络节点,勒索软件主动加密您的数据并然后要求付款以确保其释放。我们在本文前面介绍了公钥加密-绝大多数勒索软件使用了公开可用的加密技术。
Internet安全中心对此的定义如下:
密码学是一种用于以某种方式加密或加扰文件内容的方法,以使只有知道如何解密或解密内容的人才能读取它们。勒索软件是一种拥有计算机或用于勒索的文件的恶意软件,它继续突显出对密码术的恶意使用。
例如,最早形式的勒索软件之一,一旦安装了勒索软件,就会将其转移到命令和控制服务器,以生成2048位RSA密钥对,然后将一对发送回受感染的计算机。然后,它将使用预先确定的扩展名列表稳定地加密众多重要文件,并用赎金消息宣布其完成,并要求以比特币付款以安全释放私钥(这将允许对文件进行解密)。
如果用户未备份其文件,则将被迫支付赎金或面临永久删除。由CryptoLocker勒索软件生成的加密密钥通常是2048位RSA,这意味着使用当前技术,基本上不可能破坏密钥(破坏加密所需的强大计算能力目前不可行)。
2014年当Gameover Zeus僵尸网络被关闭时,检索了CryptoLocker勒索软件私钥数据库。它使安全研究人员有机会创建一个免费的解密工具,以传播给那些受影响的用户,尽管据估计,勒索软件开发人员似乎已经强迫了3美元左右。百万通过受感染的用户:
2012年,赛门铁克使用来自5700台受感染计算机的命令和控制(C2)服务器中的数据,估计大约2.9%的受感染用户支付了赎金。 。平均赎金为200美元,这意味着恶意行为者每天从单个C2服务器上获利33,600美元,或每月394,400美元。这些粗略的估算证明了勒索软件对于恶意行为者而言是多么有利可图。
这种经济上的成功可能导致了勒索软件变体的泛滥。 2013年,引入了更具破坏性和利润丰厚的勒索软件变体,其中包括Xorist,CryptorBit和CryptoLocker。一些变体不仅加密受感染设备上的文件,还加密共享或网络驱动器的内容。这些变体被认为具有破坏性,因为它们会对用户和组织的文件进行加密,并在犯罪分子收到赎金之前使它们变得无用。
浪潮尚未扭转。尽管我们对勒索软件的了解比以往任何时候都多,但勒索软件开发人员一直在不断更新和调整其产品,以确保最大程度地混淆和最大程度地获利。
2016年6月,勒索软件重新引入了“较旧的"形式。 Locky以前“脱机",新感染大大减少,转而使用另一种勒索软件变种Dridex。但是,当Locky返回时,它被赋予了一种额外的猛击打击方式。以前,勒索软件必须拨到命令和控制服务器才能生成和共享我们之前讨论过的非对称密钥:
上周三至周五,我们发现垃圾邮件分发量显着增加洛克最多每小时可以看到30,000次点击,将每日总点击次数提高到12万次。
昨天,星期二,我们看到了两个新活动,它们的规模截然不同:每小时超过12万次垃圾邮件点击。换句话说,这比平常的日子多200倍,比上周的活动多4倍。
如果勒索软件无法拨号,那将无能为力。那些意识到自己极早就被感染的用户可能会在不对整个系统进行加密的情况下抵抗感染。更新后的Locky不需要拨回家,而是向它感染的每个系统发出一个公钥。
您是否已经明白了为什么这可能不像看起来那么糟糕?
从理论上讲,使用单个公钥意味着单个私钥可以解锁由Locky勒索软件加密的每个系统-但我仍然不会将我的系统文件存入银行!
ISO标准化词汇表
我们研究了您在日常生活中可能遇到的三种不同术语。这些通用术语在整个安全和信息管理领域具有相同的含义。实际上,由于这些系统是如此之大,如此重要,而且触及全球的各个角落,因此存在强大的术语框架,以促进不同合作伙伴之间的开放统一通信。
这些术语由ISO / IEC 27000:2016,它提供了ISMS系列标准所涵盖的信息安全管理系统的全面视图,并定义了相关术语和定义。
该标准非常重要,因为它为之间的关键任务通信奠定了基础任何有兴趣的人。
知识就是力量
我们到处都是错误的信息。为什么会发生?不幸的是,拥有足够能力做出可能对我们的安全产生积极影响的决策的人们,很少了解足以制定出知情的,渐进的策略来维护隐私和安全性的知识。必须根据群众的安全来衡量他们的决定,这通常会导致隐私减少。但是有什么收获呢?
花时间学习和理解当代安全术语。这样会让您感觉更安全!
您是否希望我们涵盖更多安全术语?您认为需要进一步解释什么?在下面让我们知道您的想法!
图片来源:通过F-Secure的Locky Linegraph
