我们都听过“互联网上没有删除按钮”这句话,但我们暗地里希望,当我们从Facebook上删除那张不讨人喜欢的照片时,它就永远消失了。好吧,出席自动化会议及博览会上周亲眼所见,情况根本不是这样。一名认证道德黑客(CEH)的演讲向观众展示了恢复一个似乎已被删除的旧MySpace账号是多么容易——包括图片和其他一切。
虽然这在今天的世界里看起来微不足道网络威胁,这只是演讲者展示的一个例子——他保持匿名,因为他是该项目的一员InfraGard,是联邦调查局和私营部门合作保护的一个项目关键基础设施。为了使信息与观众相关,ceh使用了一个名为shodan的黑客搜索引擎,能够显示一个通信层漏洞,捕获了互联网上运行的设备之间的MQTT讨论,范围从汽水机到工业阀门。
虽然他确实发现了数千个暴露在互联网上的设备,但他解释了是如何发现的MQTT设备可以通过软件定义周长(SDP)来保护,也被称为黑云。SDP使用单包授权,因此接收设备被“黑化”,因此黑客无法看到它。观众还被告知,流行的开发工具树莓派(Raspberry Pi)并不安全,它将是恶意软件程序在企业中扫描的第一个东西。
CEH进一步解释说,有多个层面的暴露,包括对敲击键盘的人们的隐私的无形威胁。营销人员使用人类行为分析来跟踪你点击的内容,并提供支持你兴趣的广告。然而,黑客则使用数字分析进行模式匹配,以识别你连接互联网的方式,监视你的行为,并获取你的登录和密码信息。归根结底,他们想要的不是你;他们会利用你作为进入你公司的途径。
CEH表示:“黑客在攻击你的公司之前,已经在你的生活中呆了两年。”
因为我们生活在万物互联的时代,从冰箱到手机,所有的东西都是进入企业的一个入口。那么,我们该如何保护自己和公司呢?首先,要注意你在社交媒体上发布的内容——即使是一张简单的照片也能提供网络罪犯的线索。安装像Ghostery这样的浏览器插件,可以阻止追踪技术,关闭手机上的定位服务,当然,还可以加密在智能设备之间移动的数据。
CEH说,练习网络态势感知。“当你和某人说话时,你会考虑你在哪里,你有多大声,谈论的话题是什么。把同样的思维模式应用到网络上。在连接之前要三思。”