(注:本文内容采编自讲座视频,如需了解完整内容,欢迎观看讲座回放视频。)
编者按
Kepha学院网络安全管理硕士项目主任林佑儒教授本期与大家分享关于手机安全的问题。在此之前,林教授已经做了一系列网络安全讲座,让大家懂得如何保护隐私,以免造成各种损失。精彩继续,敬请关注并转发给有需要的人。
01. 黑客入侵的方法
这个讲座的副标题是关于免费的危险性。为什么我们不应该追求免费的东西呢?因为这样只是占了便宜,而没有进行思考。近年来,由于电脑科技的发展,我们的移动设备也在快速发展。现在的移动设备功能已经与10年前甚至5年前的电脑没有太大差异,它们都非常强大。黑客可以轻易地使用这些移动设备侵入和攻击网站。而且,这种技术并不是非常高级,所以很容易上手。另外,由于它们是移动设备,很难阻止并且很难追踪。
据我们所了解,目前还没有一个完整的解决方案来防止移动设备的入侵。正因为如此,黑客对侵入个人移动设备有更大的动机。如果你关注最近与网络安全相关的新闻,你会发现即使是高端手机,如苹果手机,也可以被黑客入侵。苹果一直在更新他们的系统,更不用说那些安全性不高的廉价手机了,这些手机被入侵的机会更高。不要以为高端机型如iPhone就不会被入侵。我们可以一起来看看在Kepha学院常用的入侵工具,在我们Kepha网络安全硕士课程中,我们的学生经常使用一个名为Kali的操作系统,里面有很多不同的入侵工具。我们会讲解和操作这些工具,学生也会经常使用它们。因此,当他们毕业后,他们应该对这些入侵工具非常熟悉。我正在执行的这个指令,如果你对这个行业有一些了解,你可能已经见过。
为了方便,我已将我们常用的入侵工具列在一个档案中。刚刚我提到了苹果,虽然它被认为是非常保密的设备,但实际上也有很多与苹果相关的入侵方法。当然,我们今天不讨论入侵的方法,更不用说是安卓设备了。你还可以看到有许多入侵工具。将这个有效负载上传到受害者的手机上,当受害者启动这个程序时,远程用户就可以控制这些电脑或手机。在Windows上更多的入侵方法无法一一列举,这里只是举个例子。如果我列出Windows上的入侵方法,将会有很多很多。个人使用的电脑更是如此。
显然,与远程设备建立连接的入侵方法并不难编写,只要稍加研究,你也可以编写类似的工具。这是我们Kepha网络安全硕士班的学生都会学到的内容。在他们的整个课程中,他们将学习如何编写这样的工具。你并不一定需要使用别人写好的工具,因为你要入侵的设备可能是市面上看不到的,但原理类似。所以有时候你需要自己编写一个适合自己使用的工具。但话又说回来,即使你不会编写工具,也可以使用别人已经编写好的工具,不需要太高深的知识。
我们的硕士班学生不仅会使用别人已经做好的工具,还会自己编写这些工具。他们也会学习如何使用现成的工具。现成的工具也可以使用,只要能解决问题就好。所以你可以看到我们列出的这些工具,显然工具的制作并不困难。但困难的是,一旦你有了这些工具,你需要一个起始点来入侵一个手机设备。
那这个起始点是什么?被害人在不知情或情的情况下,通过启动这些工具,黑客可以远程操控手机设备。可能有人会想,为什么有人会在知情的情况下让自己的设备被控制呢?
行动设备在自愿或不知情的情况下启动这些工具后,黑客就可以轻易入侵手机并窃取敏感资料。在高端设备上的保护性可能较好,但安卓系统中存在一些低端、廉价的设备。由于安卓系统是开放平台,黑客可以轻松分享和开发恶意软件,让不知情的用户安装,从而远程操控手机功能。一旦骇客控制了你的手机或行动设备,它就像拥有者一样,可以随意打开文件、执行机密操作,并在手机的任何地方窃取你的数据。因此,在攻击时,骇客没有特定的目标,无论你是谁,而且现在手机功能越来越多,存储的数据越多,机密性也越高,因此要更加重视手机的安全。尤其是对于有钱或有名的人,如郭台铭,如果能入侵他的手机,就可以控制他的公司。
当然,这并不容易,我只是随便说说。而你呢?即使不是有钱或有名的人,当你的数据被盗取后,他们可以利用你的个人信息,如建立银行账户、随意开支票等,而你将成为付款人。你会发现,一旦手机被入侵,它好像不久前刚买的时候变得不好用了。一开始还很流畅,然后逐渐变得非常难用。有时候,当你的手机被入侵后,他们会在你的手机上操作一些功能,导致你的手机电池很快耗尽,处理器使用过多,从而使手机变慢,操作异常。他们盗取处理器的计算能力和电力有何用途呢?很可能是在你的手机上进行挖矿,利用你的手机赚钱。当你的手机被入侵后,你会发现有一些不明来源的费用,一些黑客担心被发现,所以他们聪明地偷一些小额钱,像1元、2元、10元、20元这样。普通人可能不会太在意这些小额钱,但是一台手机10元、20元,如果他们入侵了上千台、上万台手机,那每个月的收入就很可观了。如果你不介意每个月给他们收个10块钱、20块钱,那你也不用担心手机的安全。
另外一个问题是,在使用手机时,你会发现在操作过程中突然出现一些不明广告。有时候在商务场合或会议中,突然跳出一些不雅的广告或画面,会损害你的声誉,损失你的信用和人们对你的信任,所以手机的安全非常重要。
02. 谨慎使用免费WiFi
我们一直在强调一件事,即免费的东西可能是最贵、最危险的。其中一些危险之处在于,当你去机场或公共场所时,可能会发现一些免费的WiFi。一般人听到免费WiFi就连上了,但你要知道,免费WiFi其实很容易设置。假设这个免费WiFi是为了让人们使用,其目的当然是窃取用户的信息。所以在提供免费WiFi的设备上,他们可以安装一个中间人的程式,称为”中间人攻击”。当你连接到你的邮件账户时,你以为你连接到的是你的邮件服务器,但实际上你是连接到了中间人,然后中间人再转发到你的邮件服务器。你可能会问这有什么问题?现在问题是这个中间人知道你传输的所有信息。
此外,即使你加密了,由于你是与中间人设备和软件进行通信,这意味着建立了一个加密机制,你是与中间人软件进行通信,而不是与你的邮件服务器建立加密机制。因此,当你说你也要加密时,加密也没有用,因为中间软件有办法解密,因为你是与它建立了加密机制,所以它能够解密,一旦解密后,它就知道你传输了什么内容。
所以,需要特别小心使用免费的WiFi,尤其是当你在机场,国外的机场也是一样,有时候很难分辨这是否为机场提供的WiFi,如果可以的话最好避免使用。
03. 小心公共场所的免费插座
另外一个要小心的是插座,美国FBI和CIA一直在警告旅行者要小心公共场所的免费插座,这些插座可能看起来很友好,提供USB充电插座或电力插座,电力插座要入侵电脑有一定困难,但是当你看到USB插座时,使用前要特别小心,现在这种入侵方法被称为”juice jacking”,juice在英语中的意思是提供电力,同时窃取你的数据。
设置这样的设备其实非常容易,你只需要花大约100美元,市面上有出售这样的设备,然后你就可以设置它,当移动设备连接到USB时,你可以自行设置要窃取的数据,甚至小学生都可以做到,只要你有这个设备。所以在公共场所要非常小心使用USB的电源接口。
你可能会说这样的话难道我们不能充电了吗?实际上也不是,这种入侵我不想过多介绍技术细节。但是,在USB中一般有四个线,其中两根用于数据传输,所以如果你购买了那种纯粹充电的线缆,剩下的两根线就是用来供电的。因此,如果你使用这种充电线,就不会有资料被窃取的危险。这种充电线通常是最便宜的充电线,那最便宜的充电线其实有时候也是比较安全。
04. 小心使用不明来源的应用程序
请小心使用不明来源的应用程序,保护手机的一个重要方法是不随意执行启动命令。手机可能会在未知情况下启动,这是我们个人无知造成的。另一种情况是用户在知情的情况下启动,这是我们自己的责任。所以保护手机的简单方法是确保我们的价值观正确,当我们的人生观、世界观和价值观都正确时,就不容易受到入侵,许多入侵的原因是因为我们的狭隘思维。
我们曾经说过免费的最贵,手机上的免费品是最便宜、最危险的。如果我们的价值观不正确,就容易贪图小便宜。
我们可以检查手机是否存在安全问题,第一种情况是当你使用手机时,突然出现一个新的应用程序,而你并没有安装它,那么你需要小心了,可能你已经被入侵了,而且在使用过程中可能会发现其他异常。
如果你最近发现网络流量异常增加,却没有特别频繁上网,那么你需要小心了,可能有人在偷用你的网络。
另外,你经常会收到莫名其妙的短信验证,我在美国有时候也会遇到这种情况。这可能意味着你的手机已经被入侵,他们已经盗取了你的信息。但是你很聪明,我们稍后会讨论多重认证,他们会发送验证码到你的手机上。然而,多重认证也不是100%正确或安全的,因为技术层面很高深,我们不在这个场合讨论,我们将在课堂上讨论。
同时,你也会注意到你的手机是否消耗了你的信用卡费用,是否出现了异常。现在的黑客非常聪明,他们不会一次偷走太多钱,他们一次只偷几块钱,如果你不留意的话,就会帮他们赚钱。
如果你经常发现手机上出现莫名其妙的广告,你也要小心,可能你的手机都被都被入侵了。
5. 如何保证手机安全
如何保证手机安全呢?首先,密码的设置要足够安全。我们之前讨论过如何设置安全密码,今天就不再赘述了。另外,您还需要记住远程擦除数据的设置。当您发现手机被盗或被监控时,您可以擦除手机上存储的数据。同时,要经常备份数据,备份方式有很多种,有些是厂家提供的备份方式,而在我们的网络安全课程中,我们也会讲述如何建立个人备份。我个人喜欢使用自己的云存储而不是厂家提供的iCloud。此外,记得经常更新手机,尤其是安全更新和系统更新。不要将所有权限开放给所有应用程序,因为有些应用程序会要求获取您的位置权限,如文本编辑器,但与位置无关。因此,在给应用程序授权时,要清楚自己的选择,不要盲目开启所有权限。
06. 手机越狱带来的安全性问题
如果您越狱手机,手机的安全性就会降低。为什么有些人会想要越狱呢?有些人可能认为厂家提供的功能不够多、不够好,他们想要更好的功能,所以选择越狱手机。虽然有些人是越狱方面的专家,非常了解如何进行越狱,但您知道他们是如何做的吗?越狱之后可能存在一些安全问题,虽然越狱工具本身可能不会安装后门或恶意软件,但一些安全设定可能被打开。在我们的课程中,我们会讲述手机或电脑的安全设置被打开后,系统不在监督的情况下,黑客可以利用一些技术手段侵入您的电脑,例如缓冲区溢出等。虽然越狱应用本身可能没有问题,但越狱之后带来的安全性问题是许多用户不了解的。
如果您使用的越狱应用本身就是恶意的工具,那就更加危险了,相当于您购买了一幢豪宅,但将门敞开,欢迎所有坏人进来。所以,如果您的价值观正确,您就不会考虑越狱。归根结底,您认为这些新奇功能与个人资料哪个更重要?如果您认为个人资料不重要,那么今天就不需要听这个讲座了。因此,如果您今天选择参加,说明您对个人安全和数据保密性有所担忧和思考,那就要小心不要越狱。
可是即使你做了这些方法,有时候手机还是会被偷传资料。那手机被偷传资料的原因实际上有几个。
第一个是使用者安装了非商店的应用,这就是偷窃,也是贪心。开发这些应用需要费尽心力,在行动设备上卖的时候一般也不贵,所以付一点小钱购买一些有用的工具可以让你的生活更方便更便利,这是应该的。但是有些人贪小便宜,所以提供免费的破解工具。你怎么知道这些破解应用的背后动机是什么?你知道它改了什么东西吗?如果你都不知道,那你只能摸摸鼻子。
当你使用手机浏览网络时,不要随便点击那些不知名的链接,有可能是在你点击时进行一些操作。在我们的课程中,我们会讲到,有些链接看起来无害,但实际上它们可以有很多层次。点击后,它们会在你的电脑中安装一些你不知道的东西,所以不要随便点击那些链接。
你也不需要去安装优化的应用,有些人喜欢安装优化应用,但结果发现它们更耗电。实际上没有这样的必要。有时候人家免费给你这个优化的应用,在商店中,但是使用一段时间后会问你是否需要这个功能,你装的那些功能你不知道它在背后做了什么事情。这些都和价值观有关系。尤其是不要安装色情软体或者参加这些网站,它们之所以能够生存,是因为有些人自愿。
07. 如何预防手机偷传资料?
我们刚刚讲的就是你自愿帮人家赚钱。我们要记得手机要常常更新,那我们怎么样预防手机偷传资料?
其中一个就是用VPN传送资料,这样可以确保你的资料的安全和加密,但是同样也不是100%的安全,所以要特别小心,在公共场所使用这个Wifi的时候要特别小心。
另外一个就是你怎么知道你的手机有没有在偷传资料?在我们的网络课程里面我们就会讲到这个Wireshark,我们的学生也会学习怎么去操作这个Wireshark。
再一次的重申,正确的三观可以保护我们个人的隐私。当你三观不正确的时候,你的资料,你的安全性就受到威胁,这很重要,很重要。为什么呢?在我们的 Kepha学院里面,我们的学生都需要修哲思课,就是要改正我们的三观,当你的三观正确之后,你的安全就变得就有一定的保障。
记得当我们在做连接的时候,最好是加密。加密有很多种方法,我们上次讲到怎么样自己加密,就算你是在一个开放的平台,或者在开放的Wifi,你要传送一些敏感的资料,我们刚刚讲过,这些开放的平台跟Wifi ,骇客是可以轻易地截取资料的。上次我们讲到你怎么样自己加密,你可以自定加密的方法,我们上次讲到说,怎么用很快速的方法去加密。加了密之后,就算被偷窥,人家也不知道你是怎么加密的,这样子就可以确保你的资料不会被偷窥。更重要的就是无论如何,尽量的,如果你重视你个人的隐私的话,使用安全的平台,使用安全的设备,高端的安全的加密的设备,这是资料安全的基本。
8. 问答:
问题一:手机突然会自动地翻屏,关不了机,不知道是不是硬体或软体的故障?
林佑儒教授:我猜想硬体的问题可能性比较大,但在我检视这个手机之前,也不敢确定。如果你的使用习惯一般都很好,那很有可能是硬体的问题。但如果你的手机使用习惯不好,到处乱点,那就很难说了。
问题二:没有IT背景,想申请你的专业,可以学得会吗?网络安全专业怎么报名呢?有什么课程?
林佑儒教授:我们的课程设计是给一般的人,每个人都可以学习的,不一定需要IT专业背景的人来申请。我们欢迎各行各业的学子来参加我们的课程。我们的学生有小学老师,他是学教育背景的;还有护士,文科背景的等等。之前我提到了Google和Apple最近聘请了一个高中生当资深工程师,年薪20万美金。这个高中生没有大学学历,所以在计算机安全领域,知识与大学背景或者是否有大学学历不是绝对相关的。所以如果你没有大学学历,我需要和你进行面谈,了解你是否适合这个专业。最重要的是你愿意学习,不畏惧电脑操作。如果你连电脑更新都要请别人来做,可能不太适合这个专业。我们欢迎那些愿意动手去追根究底的人。
我们有设计桥梁课程,就是补足你一些基本的知识。在你学习高深知识之前,你一定要有一些基本的知识。这个桥梁课程也不是说人人都一定要学,如果你很有自信,全部都会了,那你就不用修。因为我们的目的并不是要赚你的钱,而是要预备好,使得你可以接受我们要传授的高深的知识。
如果你不谦卑,那就算有博士学位,我们可能也建议你就不要来了。所以最重要的就是你愿意谦卑,愿意学习,我们就尽力地帮助。至于你能不能毕业,其实也不是决定于我们,而是决定于你自己的能力。
问题三:在中国国内可以使用 VPN 吗?
林佑儒教授:这个法律的规定我不是很清楚,最好的方法就是大家遵守法律。我所讲的 VPN 其实是我们在美国常用的一个保护自己隐私的方法,就是在自己的家中设置这个 VPN 的服务器,这个设定的方法也非常简单。VPN 可以防溯源,这个不是我们的重点,防溯源有很多其他的方法。所以我并不是说你要去买或者去使用别人设定的 VPN 服务器,这不是我的意思,但是这个技术层面的建设比较广,我就不讲了。所以我要更正,不是说鼓励大家使用 VPN,你要遵照所在地的法律规定,好好地过活,这样最重要。
问题四:学完需要多长时间?最后的认证考试具体情况是怎样的?
林佑儒教授:这看个人,如果说你的学习能力强,你一个学期可以学三四门课的话,那你一年,其实我的这个项目的设计就是学生一年内可以毕业。但是这个就是看你自己的能力了。关于认证考试,就是说当你有这个学位之后,你可以到全世界各地去工作,当然我们不是说一定可以哈,这个是跟个人的能力有关。如果你要去阿拉伯工作,那么你可能就要去考他们国家的认证考试。你如果想来美国工作,你就要来考美国的认证,因为他们的政策不是我们能够决定的。有一些认证是全世界都认可的,像美国的security plus,也就是我们推荐的这个认证考试,绝大多数的国家是认可的。但是你要考这个的话,你自己要有相当的英文能力,所以我们也不强求每个学生都要去考 security plus。
但是另外一方面来说,你要学网络安全,你需要有一些英文能力,或者你愿意学习一些英文,因为基本上的工具,基本上的一些知识都是英文的,所以我们尽量用中文来跟教大家,让大家能够理解,但是我们的能力也是有限,因为我们不可能把全世界所有的工具全部都中文化,那是不可能的。但是你要成为顶尖的网络安全专家,那你一定要使用到某些工具是没有中文的,这个就是大家要去思考。
其实我觉得学习什么都不是问题,像我这样的人都可以拿到博士学位,你想想看各位观众,你们都比我厉害,一定也都可以拿到,也都可以成为网络安全专家。唯一的差别是在哪里?就是你是不是有这样的决心,你是不是下定决心的?你要跳脱你现在的生活,你愿意改变你生命的轨迹,这个是最重要的。如果说你只是“我来看看而已”,那我觉得你就不要浪费时间了,因为我们的学费这么低廉,那是因为很多人的付出,不是说让人来滥用的。所以如果你没有下定决心要来学习的话,我建议就不要了。
注:文章中涉及的立场,仅代表嘉宾的个人观点,不代表本学院的立场和观点。
网络安全硕士项目主任
- 美国佛罗里达大学电机电脑博士
- 创建 Kepha 学院网络安全硕士学位课程,现任主任
- 目前在查理司顿南方大学担任 MSCS 硕士主任,创建查理司顿南方大学网络安全相关学系课程
- 专长于电脑网络通信、加密技术以及网络安全
- 具有 20 年的面授、网络教学经验
