Posted on

“世界的声音”易信群演讲稿: 今天我来跟大家交流一些关于信息时代隐私信息泄露与保护的问题。罗缉思维的第2季第5期讲的“致我们终将逝去的隐私”,罗胖子主要讲的是大数据分析导致隐私的泄露,今天我说说其他泄露个人隐私的途径以及如何在一定程度上防止隐私泄露。 信息时代无隐私。所有隐私都是相对的,没有绝对的隐私。今天我就举例说明一下。 对于今天晚上要用到的一些网上已经有了的数据没有打码,对于一些隐私问题打了马赛克。 首先和大家分享一些近期大家都熟悉的新闻。 一、近期大事件

  1. Gmail密码泄露 2014年9月11日将近500万个Gmail用户名和密码遭到泄露,这些信息涉及到Gmail和Google Plus等多项Google服务的多国的用户。图1.1是gmail密码的一个统计,像123456,password这样的弱口令不算少数。
  2. 好莱坞艳照门 2014年9月1日- 2014年10月5日共有60多位好莱坞女明星的苹果iCloud账户被盗之后,大量私密照遭外泄。
  3. 2000W开房数据 2000W开房数据泄露:网上流转的1.7G数据库中包含涉及个人信息的33个字段。其中,27个字段内容相对较完整,14个字段内容直接涉及个人信息,包括姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间等内容。
  4. CSDN明文密码 2011年12月21日CSDN证实600万数据库泄漏。据了解,腾讯微博网友爆料,黑客在网上公开了CSDN用户数据库,此次CSDN泄漏的密码无任何加密明文形式。由于CSDN用户多为程序员,此次事件影响巨大。
  1. GSM短信监听 金山毒霸安全中心2014年10月中旬,模拟黑客进行实验发现,使用不到百元的设备就可实现对附近2G手机短信内容的监听,而且整个过程都不需要与手机进行接触。在北京一幢写字楼内,短短五分钟,黑客就监听和收集了几十条短信,全部内容均可以明文查看,其中包含朋友间私密聊天、工作业务汇报、银行转账通知、团购券下发通知等。并使用团购券成功到电影院换取电影票。

类似的内容还有很多。他们的危害,还是很大的。比如一些泄露的数据被人放到了互联网上,公众能查到自己密码有没有泄露的同时,也能查到大量其他的人信息。给一些不法分子可乘之机。比如电信诈骗、广告推销等等。再比如邮箱中有公司的机密信息,造成机密信息的泄露。 刚才这些新闻看似距离我们很遥远,下面我就举例说一些咱们身边的信息泄露吧。 二、身边的信息泄露

  1. 第一类是各种账户的弱口令、默认口令

作为科大的学生,选课、查课表、评教都会用到一个网站,就是咱们的教务系统。看似很方便,但是它也造成了学生个人信息的泄露。因为教务系统中有我们的详细学籍信息和照片。 今天先不谈教务系统自身的漏洞,只从同学们设置的密码出发,说说大家是如何泄露个人信息的。 大家刚上大一的时候,学校给我们学号的时候,默认密码和学号是相同的,并且各个学部的教学秘书在入学教育的时候应该都提醒过大家如何更改密码。(看了吴凡帮导员给工二新生讲座的幻灯片,更改密码的方法讲的很详细。)但是还是有很多同学没有修改密码。我做了一个简单的测试,随机选了信息学院的50名同学进行暴力登陆,其中13人都没有改密码。如图2.1.1,红圈中的都是学号密码相同的同学。 以上是没有修改密码的同学,有些同学修改了密码,但是密码只有几个数字,加之教务系统没有验证码,给暴力破解留下了隐患。尝试破解了咱们易信群里一位同学的教务密码,由于只有六位数字,用不了多久就可以找到正确的密码。如图2.1.2, 尝试登陆,如图2.1.3,姓名、学号、专业班级、家庭地址、高考分数、身份证号码、个人的靓照都能看到。尤其是家长的联系方式,可以给不法分子留下来诈骗的可乘之机。

  1. 第二类是无意的间泄

比如位置信息的泄露:通过微博、空间等社交软件的定位功能,可以泄露自己的位置信息,这些都是不经意之间的。因为微博的地址不像易信群聊天中的位置发送可以任意修改位置,它只能在微博中显示的真实位置。本来我想通过空间微博找咱们群里一些人的家的位置,在海林姐的空间翻了好久也没有找到在家定位发的说说,说明她的隐私意识还是比较强的,大部分微博都是在学校发的。当然,她也经常出去玩,去过哪儿一目了然。后来就没有费时间去找。不过通过一些技术手段可以修改位置,那天中午现在没事测试了一下,瞬移到纽约玩了一会儿,如图2.1 还有个人信息的泄露。如图2.2.1,这是一位老师在群里发的一则通知,上面的马赛克是我后来加的,内容是提醒大家防止诈骗的,但是在提醒大家的同时,有泄露了理工学院书记和辅导员姓名和QQ号,又为诈骗提供了可乘之机。 再比如,前两天海林姐在世界的声音QQ群里问我和吴凡手机号,我还不犹豫的发了出去。如图2.2.2。这样群里的四百多人都知道了我的手机号。谁也不能确定这里面的号码主人是不是校友本人还是坏人盗取了他们的QQ。

  1. 第三类是数据库泄露得到的酒店开房记录、GMAIL和各种论坛密码等等 我尝试查询了一下少阳QQ群关系,如图2.3.1,虽然这是两年前的数据,但是还能得到一些信息。如果知道一个QQ号,还能知道它的真实姓名,因为一般人们都是习惯在QQ群名片写上自己的真实姓名的备注。如图2.3.2,这是吴凡在各个群里的备注。

其实被人获取信息的方式还有很多很多,比如钓鱼网站,伪造一个和真实网站一模一样的登陆界面,上网经验比较丰富的同学一般会通过域名识别这是不是钓鱼网站,但是不懂的人很容易在上面输入自己的账号密码。 其他被坏人获取信息的途径不再一一列举。 三、给大家一些建议

  1. 关于密码的设置方案(工程师的密码)

设置一个复杂的密码防止被爆破。8位以上的密码,并且加上大小写字母、标点和特殊符号,就很难被暴力破解了。 如图3.1就是CSDN密码泄露中工程师设置的强密码,用诗句组成了非常复杂的密码。工程师们还是很有才的。 如果网络服务商的数据库泄露,并且是明文储存密码,再复杂的密码也会被人得到的。那么我们怎么办呢?我给大家两套密码方案,仅供参考。 一套方案是设置不同风险等级的密码,比如用于支付的绝密型密码,最复杂,不能告诉任何人。用于涉及个人隐私较多的社交软件比如QQ的机密型密码,不能告诉任何人。用于论坛、贴吧灌水的秘密型密码,哪怕被人知道了也我所谓,不会造成损失和太多个人信息泄露。并定期修改这些密码。 另一套方案是每个网站的密码都不同,并且有一个仅仅有自己知道的算法用于加密。比如说,用几个统一的数字是123456,QQ的密码设置成QQ12345,微博的设置成WB123456,当然我举例用的太简单了,仅仅用来说明问题。可以有更复杂的算法。比如键盘的位移,Q键右移两个键是E,那么是EE123456,贴吧的是UM123456只是举个例子。当然也可以两套方案同时使用。

  1. 同时我们要提高隐私保护的意识,注意自己的上网行为。比如不在网上留下自己或者别人信息,不随意在网上传证件照片,即使要传可以加上水印”仅供某年某月某公司办理某业务使用”,比如不在公共场合随意链接无线网络。手机数据上网要比无线安全得多,哪怕费一点儿流量费。
  2. 听了今天晚上说的这么多,是不是觉得网络很不安全,不敢用了?大可不必草木皆兵,大家只需要提升安全意识,该怎么用还是怎么用。

视频推荐:
1.道哥(吴瀚清)阿里巴巴安全框架总设计师,演讲《Hacking for fun》 
2.GSM短信监听演示视频
 
链接:http://yxs.im/Ogzh60 密码:mzn5(今晚讲座下载链接)感谢少阳合成录音。

发表回复