首页 > 评论 > 关键词 > 比特币最新资讯 > 正文

比特币勒索反思:硬件隔离带来的安全感是纸老虎

2017-05-17 14:09 · 稿源:刘旷的网站

“辛苦了一年的毕业设计都没了!”、“为什么不能用加油卡,现在谁会带那么多现金”、“大老远赶过来不能说不办就不办吧。你找个不中毒的电脑不行吗?”

比特币勒索软件攻击以来,无数人在学校、加油站、办事厅发出类似的抱怨。这场攻击让经历者进入了科幻片中的一场第三次世界大战。

而本周一,毫无例外几乎所有的企业组织都给雇员发邮件要求开电脑之前先拔网线,并挨个安装补丁。虽然没有具体的损失统计,可想而知,整个社会的人力物力成本高昂。

为什么这些原本并不直接连互联网的内网电脑成为这场勒索攻击的重灾区?是什么让一向被认为安全的业务系统陷入绝境?为什么反而个人电脑更安全,企业的安全这成为大多数人想要知道的问题。

从技术角度来说,这次攻击方式是文件加密和内网蠕虫病毒的合体。这两个分别来看都不是新鲜事,文件加密攻击之前多数通过邮件附件来完成,蠕虫也常见。但这次蠕虫病毒非常好地利用了 3 月份泄露出来的 445 端口漏洞实现指数级传染。

虽然运营商和很多的云计算平台都提前封杀了这个445。但企业内网对这个重大漏洞无动于衷!

换句话说,当全世界都在修复这个爆炸级漏洞时,大部分企业还对自己的防火墙沾沾自喜,直到大厦崩塌。

不是还有防火墙和物理隔离吗?为什么没防住?

这就要说到一种传统安全思维和攻击者思维的差异了。传统上认为只要我把墙修得足够高,把壁搞的足够厚,多锋利的矛都没法刺穿,那我就安全了。

黑客其实不是这么想的,他的目的是获利,而不是跟你打阵地战。势单力孤的黑客哪能跟你玩这个,他们压根不走正门。有一句话:堡垒容易从内部攻破。

举个震古烁今的例子。 2006 年,伊朗在严密的物理隔绝状态下重启核计划开始生产浓缩铀。美国和以色列发现很难正面入侵。于是双方研发一种震网病毒,并通过马来西亚软件公司,使伊朗购入了夹带“震网”病毒的离心机控制软件。“震网”病毒于 2010 年 6 月爆发。控制并破坏伊朗核设施的离心机设备,使其运行失控、高温自毁。伊方不得不暂停浓缩铀进程。

从中可以看到,几乎没有一个系统可以真正在物理隔绝状态下独立运作。只要需要跟这个世界进行某种关联,总是会以各种形式被渗透。

当然,这次的勒索事件没有震网病毒那么复杂,更常见的是使用u盘就把外网的病毒带入内网。

进入内网之后,当然是长驱直入,如入无人之境。更何况但凡一台电脑被感染,即通过 445 端口自动搜寻同一个内网环境下的其他电脑,以指数级方式传染开来,成片沦陷。

根源在于防火墙和物理隔绝就是对外重兵陈防,却防不住歪门邪道。而越是依赖于对外防御的,往往内部就越是空虚。这就是公共服务系统、高校、以及一些央企业务几乎崩盘的原因。

也有人说,大部分公司组织的内网之弱,一个 10 年前的病毒都能肆虐。原因——在安全的虚幻感下,内网电脑几乎不更新系统。好比是无菌房里的花,一有风吹草动就枯萎。

抛开那些需要提升安全意识的空头话。如果说对本次攻击事件有什么反思的话,最重要的是改变思路。

首先,绝对的安全是不存在的,不存在的,不存在的。硬件隔离带来的安全感是幻觉,也是纸老虎。在虚假的安全感之下最大的损失就是丢失了足够的安全风险意识。甚至隔离有多好,内网就有多脆弱。

其次,安全是有限度的,有限安全=安全意识+安全工具+安全机制。三者缺一不可。安全意识根治每个用户的意识。安全工具像把剑,使用者的能力决定了能不能用好他。而安全机制更为关键:决定了是死板的还是积极的。

再次,积极的安全机制是指,专业机构治理下的环境通常会及时修复漏洞,从而使得运行的系统处于“当前最安全”的状态,这是一个保持进化的系统。但普通企业组织经常对补丁视而不见,停止了更新,对外部攻击的抵抗能力更低,一旦出现问题,反而更为脆弱。

最后,从运营商和云计算厂商提前封禁高危端口的处置策略来看,也能发现一点,任何大规模行动都在事先有迹可循,侦察兵对于打赢战争起到关键作用。大规模的云计算厂商往往能够从历史信息结合当前的情势有一个更加全面的态势感知能力。从而可以提前预知和尽早防御。也可能也是未来安全防御的重要趋势。

刘旷,以禅道参悟互联网

  • 相关推荐
  • 大家在看
  • 螣龙安科:警惕这些勒索病毒

    2020 年 4 月 7 日,360CERT监测发现网络上出现一款新型勒索病毒wannaRen,该勒索病毒会加密windows系统中几乎所有的文件,并且以.WannaRen作为后缀。360CERT该事件评定:危险等级为高危,影响面为广泛。在运行该勒索病毒后会弹出如下界面:经 360 安全大脑分析确认,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“Shadow Brokers”组织。从三年前Wannacry席卷全球,至少 30 万用户中招,勒索病毒的威力可见一

  • “加密大佬”为比特币喊单,OKEx带你回顾比特币起源

    据金色财经消息,机构投资者越来越对加密货币市场生态系统产生兴趣,比如:日本顶级投行野村证券已经向旗下机构客户发布了备受期待的加密托管服务“Komainu”,富达数字资产公司研究团队也发现全球800家机构投资者中近四成投资过加密资产。行业“大佬”纷纷表态?比特币时代已到Galaxy Digital创始人迈克·诺沃格拉茨(Mike Novogratz)最近探讨了机构投资者开始对比特币产生兴趣的问题,他表示如果机构投资者现在还不入场的话,他

  • 今年买比特币会怎样?以OKEx为例教你怎么买比特币

    今年 5 月份,比特币第三次减半,引来了币圈不小的动荡,甚至有人扬言比特币要突破十万美元大关。我相信比特币会有这么一天的,但肯定不是今年。从近两个月的数据来看,比特币一直在上下震荡,但总体持续上升的阶段,毕竟 3 月份的腰斩还是重创很多人。其实在不知不觉当中,币价的重心慢慢抬升,如果速度保持不变的话,未来几天之内币价将再次挑战 10000 的整数关口,不过大家在交易时建议不要抱太大的期望值,毕竟目前的情况之下

  • 如何购买比特币才能升值?

    比特币,它代表着在全球货币竞争中的技术进步。它是黄金以及利用黄金货币属性的法币体系的优秀后继者。自诞生之日起,比特币便遭到了诸多的非议,但是,其却凭借着巨大的诱惑力,使得众多投资者趋之若鹜。比特币在 2008 年时,其价格十分低廉, 1300 枚比特币仅需要 1 美元。此后,比特币价格一路猛升,最高时一枚比特币的价格就要 13 万元,涨幅高达 2600 百万倍,堪称惊人。比特币的数量永远都只有 2100 万个,挖完就再也产生不?

  • 今年买比特币会怎样?

    今年5月份,比特币第三次减半,引来了币圈不小的动荡,甚至有人扬言比特币要突破十万美元大关。我相信比特币会有这么一天的,但肯定不是今年。从近两个月的数据来看,比特币一直在上下震荡,但总体持续上升的阶段,毕竟3月份的腰斩还是重创很多人。其实在不知不觉当中,币价的重心慢慢抬升,如果速度保持不变的话,未来几天之内币价将再次挑战10000的整数关口,不过大家在交易时建议不要抱太大的期望值,毕竟目前的情况之下前期的

  • 新手如何购买比特币比较安全?

    根据近日行情来看,比特币攀升至9, 500 美元以上,但没有冲破9, 600 美元。在BTC / USD货币对的小时图上,在9, 450 美元附近的阻力位处可能会形成看涨的标志。 在9, 595 美元附近形成高点,价格目前正在回调。它跌破了9, 500 美元和 1 小时的简单移动平均线。下跌幅度如此之大,价格甚至测试了从8, 907 美元的低位回升至9, 595 美元的高位的50%斐波拉契回撤位。在BTC / USD对的小时图上,在9, 450 美元附近的阻力位处似乎

  • 没有在OKEX上买比特币,她错失千万

    2011 年 12 月 21 日,大三女学生小竹子在知乎上发起了一个提问:“大三学生手头有 6000 元,有什么好的理财投资建议?”有一个留言说:“去买比特币吧!买完后保存好钱包文件,然后忘掉这件事情,等到 5 年后再来看。”小竹子做梦也不会想到,给她建议买比特币的人名叫长铗,是中国最早的区块链社区“巴比特”的创始人。 当时,长铗的评论引起了小竹子的注意,在别人都是推荐炒股或者投资自己的时候,这条评论显得如此另类,而在此之

  • 如何通过币安在印度购买比特币

    在币安,印度用户可以通过多种方式购买比特币和其它加密资产。在这篇文章中,你将了解到其中的主要方式 。印度正逐渐成为加密资产的重要市场。在这个有着多达 13 亿人口的国度里,加密资产和区块链行业正蓬勃发展,人们开始探索加密资产从交易到线上消费和汇款的各种使用场景。我们注意到印度对加密资产的巨大需求,并为印度用户提供使用印度卢比(INR)购买比特币和其它加密资产更加简便的方式。在这篇文章中,我们将分享在印度购

  • 如何购买比特币?币圈老人交易攻略

    很多新手不知道该如何持有比特币,是低买高卖?还是长期持有?根据交易所的数据来看,很多比特币的玩家大牛都是长期持有比特币,等着比特币一步步的变成巨额财富。比特币大牛如何投资比特币?他们买入比特币后,不再频繁关注,每月只看一次自己买的价格和交易量,来决定下一步的操作计划。当逐渐所有人都谈论比特币时,尤其是从不投资的人也想买比特币了,证明牛市来了,此时卖掉比特币,一般都会盈利颇丰, 2015 年很多人都是这样

  • 币圈老人教你如何购买比特币

    上周,比特币的GNI指数略有上升,钱包里拥有 1000 比特币或更多比特币的所谓鲸鱼的数量已从 1 月份的大约1, 650 攀升至1,882。这是近三年来达到的最高数字。根据Glassnode 的最新市场报告,拥有大量比特币的投资者数量已接近 2017 年 9 月的水平,当时顶级加密货币的价格飙升至20, 000 美元的历史最高水平,比特币鲸鱼人口激增至1,882-三年来最高水平。Glassnode指出:“ BTC的价格现在比我们第一次看到这么多鲸鱼的价格高出 2

  • 新手去哪里买比特币

    比特币不同于传统的货币,不是由政府或者银行发行的,主要是存储在网上。由于全球爆发的大流行,在过去几个月,积极拥抱比特币交易的华尔街老手和硅谷高净值人士的数量迅速增加。Quittem称,比特币是“最公平的货币”。 由于大量印钞,比特币作为一种稀缺资产数量恒定越来越有意义。美联储主席鲍威尔:“美联储没有考虑提高利率。”Quittem解释说,无限美元追逐有限的 2100 万比特币,将无限法定货币与有限的比特币很好的区分开来

  • 新手如何买比特币不走弯路

    面临丰水期的到来,很多新手想要通过挖矿来实现人生的第一枚比特币。但是据Tokenview区块浏览器数据显示,近 24 小时比特币链上交易额为118. 74 万 BTC,环比上升145.56%,链上交易数为31. 91 万笔,环比上升17.46%。当前全网算力约合99.07 EH/s,全网挖矿难度为13.73 T,挖矿难度预计将于今晚 10 时迎来上调,预计难度将上调至15.47 T,上调幅度达12.6%。 挖矿难度持续上调,新手想要通过自己挖矿持有比特币基本是难以实现了。现

  • 价值百万比特币被盗,他的经历你可能也会遇到,避险还是okex

    最近,一位外国网友丢失比特币的事情登上了热搜。据称这位网友是因为下载了带有钓鱼性质的比特币钱包,最终导致自己积攒多年的比特币被盗。因为这次被盗,他损失了自己全部的比特币,共计是 12 枚,价值近百万。作为一名数字货币的关注者,这位网友从 13 年就开始积攒比特币,并且一直没有出售,直到他下载了一款假应用之后,它所有的数字货币都被快速盗走。随后他在社交平台上发起了求助,有网友表示愿意捐给他一些,让他从新开始

  • 让资产缩水的疫情又能让比特币在OKEx中能值几何?

    今年,因为新冠病毒的大爆发使得全世界各地金融市场以及衍生产品的交易市场交易行情都变得晦暗不明。在这魔幻的 6 个月中,美股曾经有过一周之内四次熔断,WTI石油期货也经历了跌破为负数的考验。尽管这段时间里各国央行努力地向市场注入了大量资金,可是不难看出比特币市场对于单位交易价值五位数的突破显得有心无力。 3 月份比特币的价位曾经稍有回升的光景,这究竟是向好投资前景的预示,还是将来一直上行困难的真实写照,很多?

  • 2020年如何购买比特币?

    6月21据外媒报道的消息称,自今年3月份市场中主要的加密货币和山寨币在一天内市值损失了50%后,加密货币市场一直处于复苏状态。在全球经济衰退的背景下,比特币和以太坊在六月份引领市场增长,比特币的市值近乎达到了3月市场暴跌前的水平。6月23日比特币开始想10000美元上方试探,试图打破一潭死水的横盘状态。现在全球经济被黑色笼罩着,比特币作为避险资产备受瞩目,很多散户开始把目光瞄向比特币,比特币钱包日使用量的最大涨幅

  • 比特币系统的重要环节究竟为何?OKEx讲述矿工故事

    CSW (Craig Wright)于6月2日在个人官网发文批驳了加密货币领域关于许多项目会设置开发者基金或者进行代币预挖的现象。CSW表示:“开发者没有必要获得任何奖励,这会使整个激励系统产生偏差,进而会出现不必要的技术官僚。在比特币生态系统中,唯一应该得到报酬的是那些需要报酬的人--即矿工。自由市场竞争才是比特币激励体系的支柱。”由此可见,矿工是比特币生态系统中不可或缺的重要环节。作为投资者,在比特币投资的过程中,必?

  • 2020年如何买比特币?

    比特币无疑是过去十年中表现最好的资产,从0. 001 美元(甚至更低)飙升至 20000 美元的历史高点。顶级评论员和企业家布兰登·基特姆说,比特币拥有的这种“影响力”本身就应该吸引投资者,因为它有上升的潜力。这并不是说过去的表现不能代表未来的结果,但很多人认为比特币很可能成为本世纪表现最好的资产之一。前对冲基金经理拉乌尔·帕尔(Raoul Pal)在 1 月份表示,从风险回报的角度来看,比特币“胜过一切”。 随着越来越多的主

  • 2020年我们应该如何购买比特币

    比特币,一个神奇的名字,一个颠覆了经济的币种,开启了虚拟货币的先河,那这个到底有多牛X呢,接下来给你揭晓。比特币,英文名Bitcoin,你把这英文名拆开就是两个词,bit和coin。这bit音标是[b?t],中文翻译就是比特,而且它还是英文二进制单位( binary unit)或二进制数字(binary digit)的缩写,没错它不是个英语单词。其次比特是表示信息的最小单位,是二进制数的一位包含的信息或2个选项中特别指定1个的需要信息量。一般来说,n

  • 牛市还会重来吗?买比特币交易全攻略

    比特币,从 2008 年 11 月 1 日诞生到现在,经历了无数的风雨。近日,美国交易所Kraken发布了一份针对其VIP交易员的报告,报告称比特币正处于多年突破的边缘,可能引发新一轮牛市。 这份文件突显了自 2017 年以来,比特币在牛市行情中的走势。Kraken表示,这一模式表明,比特币正处于多年的整合阶段,以为下一次的上涨做准备:“如果比特币能够涨超 10500 美元,从而在宏观趋势中创下新高,就可以说比特币进入了一个新的牛市。”

  • 为什么说每个价值投资者都该在OKEx拥有一枚比特币?

    今日,一则关于全球知名投资大师巴菲特退休的消息在网上传的沸沸扬扬,不管新闻真实与否,不得不说,巴菲特的一生确实践行了“价值投资者”这一称号,作为价值投资领域的大师,师从本杰明格雷厄姆后,便一头扎进了价值投资这座金矿。 据资料显示,在巴菲特执掌伯克希尔公司的 42 年间(1965~2006),伯克希尔公司净资产的年均增长率达21.46%,累计增长361156%,而同期标准普尔 500 指数成分公司的年均增长率为10.4%,累计增长幅为

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天