今天早上是着了一通急才出门的。
事情是这样的,早上发现爸妈家里的小爱音箱无法联网了,就需要母上大人的手机来重置一下小爱音箱的网络,但无论怎么整,都无法把无线网络配置传输到小爱音箱上。
感觉见了鬼了,偶然一瞥,咱妈的手机右上角咋写着VPN呢?一个七十多岁的老太太,手机里面出现了VPN连接软件绝对是事出反常必有妖。为啥有VPN呢?据咱妈的说法是听别的老太太说上网速度可以变快遂装之……
但因为自己得马上搬着一个巨重无比的功放去新家调试音响,所以就简单地说了一下,把家里的网络停掉,等下午回家再做进一步处理,留下一脸懵圈的老头老太太离家而去。
为啥对所谓的VPN软件反应如此强烈呢?当时给二老的解释就是,如果去银行取钱,是不是可以把银行卡和密码告诉一个你根本不了解的路人,让这个人去替你取钱呢?显然正常人都不会去做这样的事情。那么正常人为啥要用一些VPN软件呢?这和让你不认识的路人拿着你的银行卡替你取钱是一个道理。
从这个话题,我们先说一下网络的信任机制。
由于一些安全的需求,在公司的机器是要过一层防火墙的。
现代防火墙或者说NGFW,都有深度的包检测功能。例如对已经加密的SSL数据包进行检测。
防火墙会对客户端下发一个SSL证书,客户端的Https数据上传到防火墙中,防火墙解密后进行检,检测完毕再用服务器的SSL证书进行打包。这个过程对于用户来说是不可察觉的,只是在防火墙内部完成处理和扫描。
防火墙为什么要让这些数据可见?主要是为了在防火墙的级别上对攻击、病毒等有害于网络系统的数据进行侦测和识别。
但是这个技术用在防火墙上是一个安全技术,用在其他位置就不好说了。我们再来看一下这个技术框架:
和防火墙上执行的SSL检测是完全相同系统结构,叫做“SSL/TLS中间人攻击”,就是利用了下发一个伪造证书,获取本该加密的SSL通讯数据。
能不能理解为什么开头说去银行取钱,将银行卡和密码给路人的例子了?这个攻击过程对于普通用户来说依旧还是透明不可见的。一旦这个中间者链条形成,你的流量就会在你毫不知情的情况下被窃取。
因为所有的传输数据对于攻击者来说都是明文的,那么一些简单加密的密码传输对于攻击者来说就完全可以得知了,一些稍微通过算法做进一层加密的数据被破解也是稍待片刻的事情。这些数据就包括你的银行APP、支付宝、微信等等至关重要的登录和身份认证数据。
中间人攻击的实施难点有两个,第一个是攻击者要把自己加在客户到服务器之间的数据链路中,第二个则是让客户信任伪造的证书。
这些难点很难吗?并不难!
原因就在于装在老头老太太手机中的VPN软件。一句能让你上网速度变快,就能诱使很多老人在自己的手机中安装一款来路不明的VPN软件。这其实才是真正老人用手机的过程中最恐怖的地方。网络速度快不快,根本不重要,最重要的是“中间人”已经插入到老人的手机中。
因为VPN是可以接管所有手机流量的,也就可以让你的所有关键数据暴露在攻击者的眼皮底下。
攻击者要这些数据做啥?攻击者背后还有一个很庞大的黑产体系。这些数据攻击者可以自己使用,也可以拿去在黑市卖掉获利。例如昨天凌晨,还有试探iN的信用卡的事件发生:
这张卡就是几年前iN泄露掉的一张信用卡,虽然已经换了新卡,但是依旧时不时还会收到这类的短信。
所以说,免费的VPN如果没有后面的这些产业支撑起其巨大的收益,这些架设免费VPN的商家是在赔本做慈善事业吗?
那收费的梯子和机场呢?家人们别想得太天真了,在收服务费之余再有一笔额外的收益谁能拒绝呢?
至于让人相信伪造的证书,其实也远比大家简单。在老年人群体里都不是一个门槛。说下iN爹和iN的对话吧:“屏幕上出现一个方块,上面有两个按钮,我点了,然后电脑就不动了”
出来的啥?点的啥?怎么不动了?在老人的描述中是完全没有丝毫可用信息的。赶回家去修电脑,发现只是电脑的电源线被踢松了,再问什么时候点的按钮,答曰“电脑不动前半个多小时”……
所以说很多老人是根本无法抵御刻意地安排的。
即便是很多苹果手机,明明系统给出了提示:
很多老人还是会毅然决然地点击信任。
其实,在iN的观点来看,整个的互联网都是不可信的,这个观点在业界也有相关的方案叫做“零信任网络”
如果做一个内部的网络系统,我们可以采用零信任网络的方案。但是对于家用“零信任”的道路还很远,所有的用户也就只能自求多福。
标签: dcc