Rob Olson 以入侵网站为生。但别报警;他是个好人。Olson — 他还是纽约州罗切斯特理工学院计算机安全系的讲师,以及该大学 Eaton 网络安全实验室的技术总监 — 是一位白帽黑客。或者,用他自己的话说,不那么戏剧化地说,他是一位进攻性安全专家。这意味着他会按照客户的要求,入侵企业网站以暴露安全漏洞。然后他会告诉客户如何修复他利用来入侵的漏洞。
这项服务非常必要,因为总有人在试图入侵网站。几乎所有网站都或多或少地处于持续的攻击之下。Olson 将这种持续的登录尝试称为“一种背景辐射”。
方法和动机
攻击的方法和动机各不相同,攻击者的成熟度也各不相同,在网络安全行业中,他们被称为“对手”。网站攻击背后的对手可能是某个国家的情报机构或军队。或者,据 Olson 说,也可能是一个从互联网上下载了免费程序的ということです。高中生。
更多关于黑客的信息
从银行到游戏系统,查看网络安全史上 5 次最大规模的黑客攻击。
了解黑客如何能够让计算机传输自己的秘密数据。
阅读更多关于网络犯罪分子如何针对联网摄像头。
据OWASP(开放 Web 应用程序安全项目,一个致力于改进软件安全性的组织)维护的监控显示,直到最近,最常见的网站攻击是拒绝服务(DoS)攻击。这些攻击之所以流行,部分原因在于它们很容易 — 或者至少对于懂得如何做这件事的人来说很容易。它们相当于向网站发送超过其处理能力的流量,从而导致其崩溃。分布式拒绝服务(DDoS)攻击只是 DoS 的更大、稍微更复杂的版本。在 DDoS 攻击中,多台计算机以协调的方式用于向一个站点发送大量流量,从而压倒其处理能力。Olson 解释说,这些攻击的目的不是损坏站点或窃取数据。它们通常是一种抗议形式。他说,它们在 2010-2012 年期间很常见,当时“黑客行动主义”很盛行。
SQL(结构化查询语言)注入攻击也很常见。这种导致网站瘫痪的方法比 DDoS 攻击稍微复杂一些。这些攻击利用了编程困难、人们会犯错误的事实。或者,有时软件开发人员会冒着风险来节省时间或使产品用户友好。无论出于何种原因,这些安全漏洞都允许攻击者向站点的数据库发送查询,从而欺骗软件允许他们进入。
OWASP 十大威胁列表现在将“破碎的访问控制”列为第一名。在这种情况下,攻击者通过利用程序员在确保 Web 应用程序不向错误用户授予访问权限方面的困难来进入网站。根据 OWASP 的说法,一旦进入,攻击者就可以造成大量损害,有时甚至可以接管站点管理。
高科技骗局
这一切听起来可能像是一场软件开发人员与坏人之间激烈的军备竞赛。但 Olson 说,事实并非如此。网络安全专家对最佳实践有很好的掌握。他说,真正的挑战不是开发新的保护措施;而是教育人们了解我们已经拥有的那些。“我从未见过有人真正想减少安全性,”他说。“当人们知道最佳实践时,他们倾向于去做。他们只是不明白他们需要做什么。”
这对软件开发人员和网站所有者来说是个问题。但幸运的是,对我们其他人来说,最佳实践很容易实现:保持软件更新;使用强密码或密码管理器;不要在未付费的情况下下载软件。(正如 Olson 指出的那样,没有人会出于好意提供免费的 Windows 副本。)
对我们大多数人来说,我们最大的安全漏洞与计算机时代之前一样:天真。那些试图获取您登录信息的电子邮件?Olson 称之为“技术性诈骗艺术”。这与自毒蛇引诱夏娃品尝苹果以来人们一直在进行的诈骗并没有太大区别。我们只是看到了科技时代的版本。
Olson 说:“大多数人需要了解网络安全的最大一点是,你很可能不会成为目标。我们大多数人都没有那么有趣。除非你是一个非常有价值的目标,否则没有人会花费大量资源来破解,比如说,你的个人银行账户。运用一点常识,你应该就没事了。”
