这是一个创建于 3629 天前的主题,其中的信息可能已经有所发展或是发生改变。
看热乎的飞塔 OS 漏洞有感:
http://www.v2ex.com/t/250270#reply0
本意是为了所谓的“信息安全”,实质是满足管理人员的控制欲而产生的怪胎,非要把持网络出口的方方面面。然而这种东西一旦栽倒,那就是给黑客出让整个办公网络的控制权。对于黑客来说,连工具都不用上传了,这套系统的功能比任何黑客工具都强大。
类似的东西在国内特别多,而且都尤其的粗制滥造,
比如某些臭名昭著的高校校园网访问控制系统,要么在网络出口上放嗅探器,要么强制安装认证客户端,提供所谓的安全审计功能:桌面截图、系统信息、进程信息、上网记录、磁盘信息,等等。简直是个大号木马。
然而偏偏自身的安全性做不好,时不时爆出点远程溢出漏洞,比如这个:
http://www.wooyun.org/bugs/wooyun-2010-021657
更可怕的是所谓的网管控制中心也会有漏洞,比如这个:
http://www.cnvd.org.cn/flaw/show/CNVD-2012-4415
一旦沦陷,整个学校的电脑都会变成肉鸡,而且,木马是现成的,甚至不用部署任何恶意软件,黑客就拥有了全部电脑的控制权。
卖这种系统的人不负责任,而拍板采购这种东西的人简直就是脑残且罪大恶极。
 | 1 pupboss 2016-01-12 23:46:26 +08:00 via iPhone 曾经参与一个给领导查看学生信息的系统,同各种漏洞,中途跟领导意见不合被赶出来,不知道现在怎么样了 |
 | 2 Autonomous 2016-01-13 08:26:31 +08:00 via iPhone 对于领导来说能控制才是王道,用户的安全不值一提 |
 | 3 nvidiaAMD980X 2016-01-13 08:55:05 +08:00 via Android 鳖说来,哪天被超级黑客入侵了,直接当肉鸡,绑架采用这种系统的机构, DDos 几次 GFW ,就吼啦! |
 | 4 asj 2016-01-13 09:04:38 +08:00 via Android 这其实和现实中的社会结构是一致的 为什么中国改朝换代经常看到一个大帝国瞬间崩溃,因为皇帝这个大木马已经为入侵者铺好了路。 |
| 5 nvidiaAMD980X 2016-01-13 09:14:36 +08:00 via Android @asj 只要自己不是“末代皇帝”就行,毕竟“我死后,哪管洪水滔天”←_←←_← |
 | 6 noli 2016-01-13 09:16:56 +08:00 V 也是这样成功黑进元首的全国性的强制性的广播系统,向全部人发表他的宣言的 |
 | 7 xmoiduts 2016-01-13 09:51:31 +08:00 via Android 道理我都懂,可是 dr.c0m 到底要怎么 ssh 上去? |
 | 8 miclushine 2016-01-13 10:04:41 +08:00 那个社工创始人啥多米尼克好像说过,信息安全最大的漏洞是人,人永远是靠不住的。 |
 | 9 fburst 2016-01-13 10:11:46 +08:00 再牛的技术也防不住社会工程学。 |
 | 10 la0wei 2016-01-13 10:21:31 +08:00 错,是攻击的目标转移了。 你不能因为自来水公司集中供水有被投毒导致大面积中毒的可能就否定其工作。 所谓的自身安全性做不好,你举的例子是软件自身固有漏洞,但没有多少软件敢保证自身没有漏洞。假如你举的例子是这个漏洞披露于很久以前,而管理员没有修复这个漏洞,才能说明你标题的观点,否则不能说明什么。集中与分散都会有风险,这种讨论不知道有多少。 |
 | 11 paradoxs 2016-01-13 10:59:07 +08:00 不要相信网络就是了,如果信息足够重要,管理者是有可能被人身绑架的,那时候一切的安全措施都会失效。 |
| 12 nvidiaAMD980X 2016-01-13 11:58:42 +08:00 via Android  1 @paradoxs 然而自己的各信息早已被了 N 手了…………了自己的生活,而又不能不把自己的相信息交各方面的,就拿手通,自己保得再好,朋友的 Wechat 和支付早就出了你………………有,真的希望支成政府…………… |
 | 13 lalalakakaka OP @la0wei 你可以去看下这种系统的使用说明书就明白这是怎么一回事了。 这种系统口头宣称的是“信息安全”,但是主要功能却是:上网记录、偷窥聊天记录、屏幕截图、后台安装软件。 这已经远超一般的安全防护手段了,更多的是对个人领域的侵犯。使管理员的权力超越了其责任范围。 举例来说:某员工的电脑里被安装了所谓的“安全客户端”,然后出现了信息泄漏。那么这应该算是这个员工的责任还是管理员的责任? 虽然不想这么打比方,但这件事和我国很多事情是相似:上层领导把持住了所有的权力,然后把责任全甩锅给了底层干活的。本质就是一种管理者权力欲的扩张和不负责任的态度。 |
 | 14 ryd994 2016-01-13 12:32:28 +08:00 @la0wei 但是把原本由不同密码和各种物理屏障保护的个体,全部集中到管理员这个单点上,这是个大坑啊…… 更何况原本个体的问题(比如密码泄露),并没有解决,而是平白增加了一个入侵途径,这个真心 666 用你的例子:有了自来水公司,人们就不用自己取水消毒(更何况很多人没有专业的水处理能力),因此大家都用上的卫生的水,这是集中化的好处。但是没有说水厂厂长变成一国首脑的…… 而一个公司的信息安全,窃以为最重要的还是靠严格的权限制度和物理隔离。而这些系统以安全为名,把 IT 管理员直接变成了上帝,上面两点彻底违反。而其他员工,该被收买的还是会被收买,该被社工的还是会被社工。如今又多一条路,条条大路通罗马啊 更何况会用这种系统的管理员自己水平估计也高不到哪里去…… |
 | 16 49 2016-01-13 12:50:49 +08:00 记得某人说过 “安全主要靠人” hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh |
 | 17 mongodb 2016-01-13 13:08:01 +08:00 出了我本机网卡的流量必须加密 |
 | 18 rssf 2016-01-13 13:17:14 +08:00 我死后哪怕洪水滔天。管不住立马要下台,你是选择立马下台还是偶尔被攻击出事才下台? |
| 19 la0wei 2016-01-13 17:17:25 +08:00 @lalalakakaka @ryd994 @ferock 我之前的说法确实比较武断。校园接入外网需要客户端这种,我觉得一是为了圈钱,二是你懂的。没有上客户端的需要。企业里,机器加入域,可以获得统一的安全管理。但是域控被攻破,一样避免不了一锅端。集中,就是把风险集中在一起,但是以我所看到的,很多人的个人电脑安全防护薄弱之极,即使 IT 从业人员也是如此。集中的效果,取决去集中后的水平。攻破一个个人电脑,和攻破一台专业人员维护的服务器,其难度是不同的。 有了自来水公司,人们就不用自己取水消毒(更何况很多人没有专业的水处理能力),因此大家都用上的卫生的水,这是集中化的好处。但是没有说水厂厂长变成一国首脑的…… 我明白槽点不在与是否供自来水,而是在于后一点。 我只能建议,对集中管控行为反感的话,不要把个人隐私相关内容放在集中管控的设备上。比如我单位的某数字提供的行为管理,你懂的。 |
 | 20 ferock PRO @la0wei 有了自来水公司,人们就不用自己取水消毒,结果自来水公司被投毒,或者自来水公司自己投毒。。。所以,利弊重轻,还是集中风控和分散控制的区别 |
 | 21 Khlieb 2016-01-13 19:19:32 +08:00 via Android 这在编程随想的博客里面就提到过,作者把这个叫“单点故障” http://program-think.blogspot.com/2015/04/Single-Point-of-Failure.html |
| 22 Khlieb 2016-01-13 19:56:49 +08:00 via Android 有个俄罗斯专家在关于苏联解体的评论里面也有像这样的解释: “苏对武装力量和情报部门的领导已经到了无孔不入的荒诞程度这才是导致苏联解体的决定性因素。苏联体制如此构建而成,以致苏高层一旦叛变或者丧失管理能力,所有领导国防和安全的机构就会瘫痪。苏军和克格勃在技术层面上能够完成上级的任何命令;但由于缺乏这样的命令他们就无法采取任何决定性行动。” http://sputniknews.cn/radiovr.com.cn/2013_09_24/243957230/ |
 | 23 wizardforcel 2016-01-13 20:42:47 +08:00 via Android 这种校园网访问系统,根本没个文档没个测试,找个人几个月写完就上线了,不崩溃就不错了,你还能指望它没安全漏洞什么的。 |
| 24 nvidiaAMD980X 2016-01-13 22:58:45 +08:00 via Android @Khlieb 我倒觉得苏联解体是一件对前苏联各民族都有利的事, 100 多个民族, N 个宗教,每个宗教又有 M 个教派……………斯大林本身就是个民族问题专家,结果他解决矛盾的方法就是"一声令下,让整个族群迁徙或毁灭"……………太讽刺人了………… @49 龙叔说:“中国人是需要管的!”←_←←_←我就瑟瑟发抖了! @la0wei 为什么我看到的现状是那些安全意识高的人士即使在危机伺服的网络环境中,被攻击的概率还是很低;而一群靠强制性、从众性扎堆的小白,覆亡的几率更高? @la0wei 也不能一家自来水厂完全垄断啊………必须要有竞争………只有一家自来水厂,哪天某零时工把消毒器给污染了,整个城市的人都没了……………… |
| 25 Khlieb 2016-01-13 23:21:42 +08:00 @nvidiaAMD980X 南斯拉夫人米洛凡德热拉斯说过,主义起源为一种意识形态,其中含有主义极权的及垄断的性质,在主义对人民的控制中,这种意识形态已不再占据重要地位。主义作为意识形态的阶段,已大体上成为过去,主义能向世界表现的新事物已不多,但对于权力及所有权两种要素,就不能这样说。另外斯大林的那些手段已经被发现都是跟列秃驴学的。 |
| 27 Khlieb 2016-01-20 21:14:58 +08:00 via Android @nvidiaAMD980X 另外苏联这几十年里头总少不了激烈的宫廷内斗,赫鲁晓夫、勃列日涅夫都是把自己斗上台的。 |
Select Language