今天早上是著了一通急才出門的。
事情是這樣的,早上發現爸媽家裡的小愛音箱無法聯網了,就需要母上大人的手機來重置一下小愛音箱的網絡,但無論怎麼整,都無法把無線網絡配置傳輸到小愛音箱上。
感覺見了鬼了,偶然一瞥,咱媽的手機右上角咋寫著VPN呢?一個七十多歲的老太太,手機裡面出現了VPN連接軟體絕對是事出反常必有妖。為啥有VPN呢?據咱媽的說法是聽別的老太太說上網速度可以變快遂裝之……
但因為自己得馬上搬著一個巨重無比的功放去新家調試音響,所以就簡單地說了一下,把家裡的網絡停掉,等下午回家再做進一步處理,留下一臉懵圈的老頭老太太離家而去。
為啥對所謂的VPN軟體反應如此強烈呢?當時給二老的解釋就是,如果去銀行取錢,是不是可以把銀行卡和密碼告訴一個你根本不了解的路人,讓這個人去替你取錢呢?顯然正常人都不會去做這樣的事情。那么正常人為啥要用一些VPN軟體呢?這和讓你不認識的路人拿著你的銀行卡替你取錢是一個道理。
從這個話題,我們先說一下網絡的信任機制。
由於一些安全的需求,在公司的機器是要過一層防火牆的。
現代防火牆或者說NGFW,都有深度的包檢測功能。例如對已經加密的SSL數據包進行檢測。
防火牆會對客戶端下發一個SSL證書,客戶端的Https數據上傳到防火牆中,防火牆解密後進行檢,檢測完畢再用伺服器的SSL證書進行打包。這個過程對於用戶來說是不可察覺的,只是在防火牆內部完成處理和掃描。
防火牆為什麼要讓這些數據可見?主要是為了在防火牆的級別上對攻擊、病毒等有害於網絡系統的數據進行偵測和識別。
但是這個技術用在防火牆上是一個安全技術,用在其他位置就不好說了。我們再來看一下這個技術框架:
和防火牆上執行的SSL檢測是完全相同系統結構,叫做「SSL/TLS中間人攻擊」,就是利用了下發一個偽造證書,獲取本該加密的SSL通訊數據。
能不能理解為什麼開頭說去銀行取錢,將銀行卡和密碼給路人的例子了?這個攻擊過程對於普通用戶來說依舊還是透明不可見的。一旦這個中間者鏈條形成,你的流量就會在你毫不知情的情況下被竊取。
因為所有的傳輸數據對於攻擊者來說都是明文的,那麼一些簡單加密的密碼傳輸對於攻擊者來說就完全可以得知了,一些稍微通過算法做進一層加密的數據被破解也是稍待片刻的事情。這些數據就包括你的銀行APP、支付寶、微信等等至關重要的登錄和身份認證數據。
中間人攻擊的實施難點有兩個,第一個是攻擊者要把自己加在客戶到伺服器之間的數據鏈路中,第二個則是讓客戶信任偽造的證書。
這些難點很難嗎?並不難!
原因就在於裝在老頭老太太手機中的VPN軟體。一句能讓你上網速度變快,就能誘使很多老人在自己的手機中安裝一款來路不明的VPN軟體。這其實才是真正老人用手機的過程中最恐怖的地方。網絡速度快不快,根本不重要,最重要的是「中間人」已經插入到老人的手機中。
因為VPN是可以接管所有手機流量的,也就可以讓你的所有關鍵數據暴露在攻擊者的眼皮底下。
攻擊者要這些數據做啥?攻擊者背後還有一個很龐大的黑產體系。這些數據攻擊者可以自己使用,也可以拿去在黑市賣掉獲利。例如昨天凌晨,還有試探iN的信用卡的事件發生:
這張卡就是幾年前iN泄露掉的一張信用卡,雖然已經換了新卡,但是依舊時不時還會收到這類的簡訊。
所以說,免費的VPN如果沒有後面的這些產業支撐起其巨大的收益,這些架設免費VPN的商家是在賠本做慈善事業嗎?
那收費的梯子和機場呢?家人們別想得太天真了,在收服務費之餘再有一筆額外的收益誰能拒絕呢?
至於讓人相信偽造的證書,其實也遠比大家簡單。在老年人群體裡都不是一個門檻。說下iN爹和iN的對話吧:「屏幕上出現一個方塊,上面有兩個按鈕,我點了,然後電腦就不動了」
出來的啥?點的啥?怎麼不動了?在老人的描述中是完全沒有絲毫可用信息的。趕回家去修電腦,發現只是電腦的電源線被踢鬆了,再問什麼時候點的按鈕,答曰「電腦不動前半個多小時」……
所以說很多老人是根本無法抵禦刻意地安排的。
即便是很多蘋果手機,明明系統給出了提示:
很多老人還是會毅然決然地點擊信任。
其實,在iN的觀點來看,整個的網際網路都是不可信的,這個觀點在業界也有相關的方案叫做「零信任網絡」
如果做一個內部的網絡系統,我們可以採用零信任網絡的方案。但是對於家用「零信任」的道路還很遠,所有的用戶也就只能自求多福。