※ 引述《csid (csid)》之銘言:
: 先釐清一個觀念,當駭客入侵你的電腦取得控制權時,
: 能做的不只是竊取你的帳密和個人機敏資訊而已。
: 同時,你的電腦也將淪為殭屍網路(botnet)中的肉雞,
: 被用來協助進行各種網路犯罪行為,包括DDoS攻擊,社交網路釣魚詐騙,
: deepweb下非法網站的中繼點,入侵主要受害主機的起始點等等。
: DDos比較著名的案例,大概就是當時香港公投網站DDoS攻擊,
: 這是屬於國家戰略級的攻擊,成功擊敗過Amazon、google雲端和CDN服務。
: 最高流量曾達到每秒300Gb/s,攻擊來自巴西、印尼、美國、中國等等國家,
: 當時也有監測到不少流量是來自台灣。
: 社交網路釣魚詐騙這不用說,
: 透過你的社交聯絡人資訊發出相關訊息誘使你的親朋好友也成為被控制的一員。
: 入侵主要受害主機的起始點就是所謂的攻擊跳板,到時網路警察下來追查網路犯罪時,
: 追查到的就是你的主機,就是不是你做的想必也會對你造成不少麻煩吧?
: 事實上,大部分的人的確不是什麼名人或政治企業要角,
: 個人機敏資訊也就那幾樣,要透過入侵個人電腦取得帳密這類資訊,
: 還不如入侵擁有個人資訊資料庫的網站還比較快,例如論壇,社交、遊戲網站等等。
: 以現代人偷懶的個性,不同網站用同一組密碼是很常見的事,
: 而不少網站為了便宜行事或是另有目的,資料不是以hash
: (即使以hash儲存,仍然另有解密方式)或加密而是以明文儲存,
: 攻破一個網站的資料庫,關聯性推導等於取得這個人所有的機敏資訊,效率要高得多。
: 因此入侵個人電腦的主要目的,傳統上都是以種木馬讓主機成為Bot,
: 當然最近興起的勒索軟體則是另一個有趣的應用就是了。
這個事件其實很簡單
以下有三種人
如有雷同純屬巧合
1. 有腦的
登入銀行帳戶永遠不會存任何密碼,登入帳戶永遠學銀行3D簡訊驗證,不亂下載詭異軟體
這種人很少,因為他們活得很龜毛,很紀律
他們永遠相信,密碼是全世界最不安全的加密方式
他們永遠把自己的帳戶綁定在自己的手機上
要登入,繼簡訊給我,或是讓我用手機的一鍵驗證
這種就算密碼被駭也很難被幹錢
當然前提是他可能真的很窮
2. 一般使用者
他們利用CHROME存取密碼,對電腦有一點懂,看到SPECTRE跟MELTDOWN以後徹底崩潰
覺得INTEL在搞他們
他們的帳戶餘額不超過兩百萬
如今面臨效能降低
他們內心很掙扎
他們覺得這個世界瞧得起他們這種人
3. 天使
從來不用兩段式驗證,完全不懂電腦,很喜歡到處載片,電腦裡可能有私密照片
講完了其實以上都不是重點,如果今天駭客要駭你電腦
他可以選擇利用惡意程式或是用漏洞猜你的資料
第一種方式你應該乖乖裝上防毒軟體
載片記得要認清楚
檔案格式如果是EXE的千萬不要開
開了很有可能毀一生
另外一種是漏洞
其實駭客要駭你的密碼基本上很難
你的瀏覽器密碼都是雙重加密
然後再給OS加密一次
CHROME拿到你輸入的密碼以後不是跑去問WINDOWS這是不是你的密碼
他是先把你輸入的東西弄成一個憑證以後才跑去問WINDOWS
駭客如果有緣
必須在你輸入密碼的當下,直到密碼輸入完畢前才有可能駭到你的密碼
除非他擺明就是要弄死你
不然攻擊一個一般使用者其實非常划不來
誰知道你是不是有錢人
GOOGLE這幾年一直對網頁開發者提倡HTTPS的網頁架構
如果你的網頁是安全的
網址旁邊應該會有一個安全
如果是一個驚嘆號
那很抱歉
基本上那就是一個危險網站
你很有可能在那裡失身
最後如果你夠有自覺
非常推薦你在不同網站有不同密碼
對於大公司的網站GOOGLE YAHOO有簡訊雙重驗證的網站設立一個MASTER PIN
這裡的東西放最機密的資料
遊戲網站STEAM ORIGIN UPLAY設立一個 這類型的也有雙重驗證但不是簡訊 比較危險
最後是一些危險網站
如騰訊、對岸網站、台灣論壇
這類型網站風險往往極高,但是其實你去了也不是幹甚麼正常事就是,至少我不信
最後推薦密碼可以放在GOOGLE KEEP(手機上)
手機大概是目前比電腦更安全的東西吧
你可以靠指紋、虹膜、FACEID去加密你的手機
ARM 雖然在trustzone的做法跟win10有87%像
但是ARM的優勢就是他不需要像intel一樣代代支援
每一代的指令集基本上都會被改一點
雖然ARM好像也有想要搞backward compatibility就是了
這太多不說了
(除非你是拿小米華為moto這種垃圾手機,這種手機的人應該沒打算行使隱私權,屬自願放棄者)
大部分的手機基本上都會有指紋辨識器
光這點就甩pc不知道幾條街
在這個年代要保護自己
基本上盡可能用遠交近攻的方式
利用亂數、隨機、生物、反追蹤、主動驗證幾個思維
你可以把手機做成自己的神盾
再用神盾保護你的pc
然後千萬只能下載GOOGLE PLAY認證的軟體
如果你一天到晚只下載破解APK
那大概沒人救的了你了
--
: 先釐清一個觀念,當駭客入侵你的電腦取得控制權時,
: 能做的不只是竊取你的帳密和個人機敏資訊而已。
: 同時,你的電腦也將淪為殭屍網路(botnet)中的肉雞,
: 被用來協助進行各種網路犯罪行為,包括DDoS攻擊,社交網路釣魚詐騙,
: deepweb下非法網站的中繼點,入侵主要受害主機的起始點等等。
: DDos比較著名的案例,大概就是當時香港公投網站DDoS攻擊,
: 這是屬於國家戰略級的攻擊,成功擊敗過Amazon、google雲端和CDN服務。
: 最高流量曾達到每秒300Gb/s,攻擊來自巴西、印尼、美國、中國等等國家,
: 當時也有監測到不少流量是來自台灣。
: 社交網路釣魚詐騙這不用說,
: 透過你的社交聯絡人資訊發出相關訊息誘使你的親朋好友也成為被控制的一員。
: 入侵主要受害主機的起始點就是所謂的攻擊跳板,到時網路警察下來追查網路犯罪時,
: 追查到的就是你的主機,就是不是你做的想必也會對你造成不少麻煩吧?
: 事實上,大部分的人的確不是什麼名人或政治企業要角,
: 個人機敏資訊也就那幾樣,要透過入侵個人電腦取得帳密這類資訊,
: 還不如入侵擁有個人資訊資料庫的網站還比較快,例如論壇,社交、遊戲網站等等。
: 以現代人偷懶的個性,不同網站用同一組密碼是很常見的事,
: 而不少網站為了便宜行事或是另有目的,資料不是以hash
: (即使以hash儲存,仍然另有解密方式)或加密而是以明文儲存,
: 攻破一個網站的資料庫,關聯性推導等於取得這個人所有的機敏資訊,效率要高得多。
: 因此入侵個人電腦的主要目的,傳統上都是以種木馬讓主機成為Bot,
: 當然最近興起的勒索軟體則是另一個有趣的應用就是了。
這個事件其實很簡單
以下有三種人
如有雷同純屬巧合
1. 有腦的
登入銀行帳戶永遠不會存任何密碼,登入帳戶永遠學銀行3D簡訊驗證,不亂下載詭異軟體
這種人很少,因為他們活得很龜毛,很紀律
他們永遠相信,密碼是全世界最不安全的加密方式
他們永遠把自己的帳戶綁定在自己的手機上
要登入,繼簡訊給我,或是讓我用手機的一鍵驗證
這種就算密碼被駭也很難被幹錢
當然前提是他可能真的很窮
2. 一般使用者
他們利用CHROME存取密碼,對電腦有一點懂,看到SPECTRE跟MELTDOWN以後徹底崩潰
覺得INTEL在搞他們
他們的帳戶餘額不超過兩百萬
如今面臨效能降低
他們內心很掙扎
他們覺得這個世界瞧得起他們這種人
3. 天使
從來不用兩段式驗證,完全不懂電腦,很喜歡到處載片,電腦裡可能有私密照片
講完了其實以上都不是重點,如果今天駭客要駭你電腦
他可以選擇利用惡意程式或是用漏洞猜你的資料
第一種方式你應該乖乖裝上防毒軟體
載片記得要認清楚
檔案格式如果是EXE的千萬不要開
開了很有可能毀一生
另外一種是漏洞
其實駭客要駭你的密碼基本上很難
你的瀏覽器密碼都是雙重加密
然後再給OS加密一次
CHROME拿到你輸入的密碼以後不是跑去問WINDOWS這是不是你的密碼
他是先把你輸入的東西弄成一個憑證以後才跑去問WINDOWS
駭客如果有緣
必須在你輸入密碼的當下,直到密碼輸入完畢前才有可能駭到你的密碼
除非他擺明就是要弄死你
不然攻擊一個一般使用者其實非常划不來
誰知道你是不是有錢人
GOOGLE這幾年一直對網頁開發者提倡HTTPS的網頁架構
如果你的網頁是安全的
網址旁邊應該會有一個安全
如果是一個驚嘆號
那很抱歉
基本上那就是一個危險網站
你很有可能在那裡失身
最後如果你夠有自覺
非常推薦你在不同網站有不同密碼
對於大公司的網站GOOGLE YAHOO有簡訊雙重驗證的網站設立一個MASTER PIN
這裡的東西放最機密的資料
遊戲網站STEAM ORIGIN UPLAY設立一個 這類型的也有雙重驗證但不是簡訊 比較危險
最後是一些危險網站
如騰訊、對岸網站、台灣論壇
這類型網站風險往往極高,但是其實你去了也不是幹甚麼正常事就是,至少我不信
最後推薦密碼可以放在GOOGLE KEEP(手機上)
手機大概是目前比電腦更安全的東西吧
你可以靠指紋、虹膜、FACEID去加密你的手機
ARM 雖然在trustzone的做法跟win10有87%像
但是ARM的優勢就是他不需要像intel一樣代代支援
每一代的指令集基本上都會被改一點
雖然ARM好像也有想要搞backward compatibility就是了
這太多不說了
(除非你是拿小米華為moto這種垃圾手機,這種手機的人應該沒打算行使隱私權,屬自願放棄者)
大部分的手機基本上都會有指紋辨識器
光這點就甩pc不知道幾條街
在這個年代要保護自己
基本上盡可能用遠交近攻的方式
利用亂數、隨機、生物、反追蹤、主動驗證幾個思維
你可以把手機做成自己的神盾
再用神盾保護你的pc
然後千萬只能下載GOOGLE PLAY認證的軟體
如果你一天到晚只下載破解APK
那大概沒人救的了你了
--
All Comments