2015 年的中国互联网安全环境面临哪些主要威胁? 余弦,在知道创宇黑客不神秘 我对下面几点有担忧: 1. 用户隐私,各大互联网产品 / 移动终端 App 上的,实在不敢想象,各类隐私库明里暗里都出来了; 这个已经恶化,不要问我为什么… 2. 移动终端尤其是安卓上的混乱:权限混乱、生态混乱; 这个开始有点点好转苗头。 3. 浏览器上的混乱(Web 前端):XSS 盲打 + XSS 钩子满世界,不一定那次就踏进去了; 这个…纽约时报都来报道某水坑攻击了,烂了,疯了。 4. 提供互联网服务的团队基本没什么安全意识,这很可怕,互联网步伐加快,可安全意识没赶上,被脱裤,被利用是迟早的事; 开始有点点好转,至少被大量安全事件冲击,那些老板们开始在意了… 5. 云端数据,各种 Web 服务等都开始逐渐托管到云上,各家的云,出问题就是一窝端,业务先行,安全保护、异常监控、弥补措施都还不一定完善; Docker 流行了…至少又多了个攻击维度,尤其是苦笑的 namespace 问题… 6. Web 服务组件持续广泛,漏洞频繁,看看我们团队的应急响应就知道; 没啥改善,比如 Drupal、WordPress 等知名组件漏洞不断,还比如系统级的心脏出血、破壳等史诗级漏洞… 7. 全民安全意识还是很差; 叹… 8. 黑产 / 灰产还是很嚣张啊很嚣张,虽然工信部今年说要严打; 叹叹… 9. “棱镜”还是明里暗里的; 叹叹叹… 10. 不过我们还是看到了希望,黑客们在驱动世界,好的影响开始逐渐出来了; 至少这点欣慰,变革是漫长的… 继续补充下几条: 1. 习大大牵头的网信办成立,对国内互联网安全的影响说是立竿见影也不夸张。举个小例子:连续两届的网信办安全周,开始全民普及安全意识,国家机器在动,你感受下?这个点带来些什么影响就不多说了,至少是利好; 2. 说说物联网安全吧,确实这两年曝光越来越多,如路由器安全、摄像头安全、工控安全等等(先不要提那些智能设备),都是一个个强大分支,它们被拿来做 DDoS、刷比特币、境外势力...我们这两年跟进比较多,明显的感觉是:物联网基础设施比想象的脆弱,尤其是工控,被评为「最脆弱的重要系统」一点也不为过; 3. 黑产中得特别强调下 DDoS,尤其是反射放大的 DDoS 攻击,这两年开始风靡全球,气焰嚣张,流量动辄几百 G,根本受不了,这是无数互联网企业的梦魇; 请关注我们的微信公众号「lazy-thought」, ———————————————— 更多讨论,查看 · 知乎圆桌 白帽黑客与安全 查看知乎原文
