大多数效率及协作方面的移动应用程序存在严重安全漏洞

您可能遭遇过重要的提醒事件或备忘录丢失事故,不要再怀疑是移动设备的应用系统出现意外故障,国为这是对您的一种信号或警示,您要小心使用旨在提高工作效率及协同合作的移动应用程序。

为了帮助人们提高协同工作的效率,不少开发者纷纷制作出基于移动设备的终端应用程序,他们要解决至少两个关键的问题——网络连通和文件分享,WIFI,3G等成了基本的配置,网络的连通性似乎并不太难,为了让这些终端系统更容易识别出彼此,开发者或设置中央认证系统,或开发终端的网络服务功能,问题不在这些连通性本身的发出点之上,而是这些它们的安全性存在问题。

使用中央认证系统意味着终端用户要冒至少两方面的风险——系统本身的安全性和网络通讯的安全性,中央认证系统和终端系统都有可能存在安全漏洞,更不提不良开发者窃取资料的可能性,而连接至中央认证系统网络通讯往往路途漫长,更易被监听、截取和篡改。

为近距离的网络连通提供便利的另一种方式莫过于为终端开发网络服务功能,不少开发者热衷于此,于是各类基于WIFI的网络服务功能问世,它的优点是快捷便利,问题仍然是安全性不够,服务本身可能被轻易开启,甚至在不知晓的情况下被开启,对来访者不进行身份验证,也不对通讯流量进行加密,这使得近距离的攻击者可以轻易发起不良攻击。

在文件分享方面,网盘文件同步、配置同步是最为流行的移动终端应用,甚至大量免费,免费的代价当然是安全和隐私的丧失,更有些许小型网上存储服务商为了在安全上省钱,而对流量不进行加密,这使攻击者可以轻松获得终端用户的各类文件。

近距离的文件分享往往借助于设备本身所启用的网络服务功能,无线USB存储、无线分享、移动磁盘、移动桌面、移动打印、无线同步、近距离协助等类似的移动应用程序越来越多,稍不留心,便会让攻击者获得用户终端设备上的关键文件信息。

有没有好的解决之道?当然,首先要建立应用程序安装使用的批准机制,在对个人电脑进行管理时,安全管理负责人会要求向员工提供标准软件清单,并且对不在清单上的软件安装走申请和授权的流程,移动设备的软件程序管理也应如此,安全管理团队要评测出安全可靠的效率及协作移动应用程序供员工安装使用,针对移动设备终端管理相关的技术管理措施也应跟上,并且更应加强移动终端设备安全使用情况的监管。

此外,在终端管理体系尚不成熟或全面的时刻,更重要的一块儿是要加强移动终端设备用户的信息安全意识,要让他们认识的使用移动设备时可能会面临的安全威胁,以及如何正确使用移动设备以便积极应对这些安全威胁。当用户有了这些基本的安全意识认知和安全防范能力的时候,移动终端的安全管理便成为轻松的话题。

昆明亭长朗然科技有限公司致力于移动终端设备安全管理相关的服务,包括咨询顾问和项目实施,并且有开发出针对企业用户的移动终端安全使用培训课程,有兴趣的话可以在线学习。

信息过量时代的网络安全自保之道

当您的计算设备如个人电脑、智能手机、移动平板或可穿戴式设备开启着的时候,它们就开始制造网络流量,以处理、获取或传播信息。通常可能有些消息提醒让我们很烦恼,因为太多垃圾信息并非我们期望获得的,或者至少来得不是时候。

特别是移动计算设备,那些无休止的提醒仿佛是在帮我们做选择,但是我们真正需要的信息是什么呢?登录设备时,您可能也偶尔会这样思考。至少我是对那些不时蹦出来的无聊的娱乐新闻和变态的社会事件感到厌倦。

其实,我们似乎没有办法逃离这些信息“噪音”,就如同我们无法离开这个社会生活环境。除此之外,即使在自身的专业领域,人们难免也会有一些信息倦怠,我们似乎永远没有足够的时间去了解业界时事和吸取经验教训,更不用说停下来静静地读一读书了。

空闲时间,我抓取了一段个人电脑和移动计算设备的网络数据包,一些发现让我感到困惑。我特意退出个人电脑中正在运行的程序,并且重新启动了移动设备,但是仍然发现了一些意外的DNS解析,和未经DNS解析而直接发向IP的请求。当然啦,如果从网络层看数据流,那必定是从应用层面的N多倍。问题是那些后端的系统和设备是如何区分出人的互动还是终端的自发行为呢?

疑惑之外,我想到了网络安全协议分析技术,在明文传输的时代,数据包会被网络设备途中镜相、截取和重组,并根据标准协议来完成内容的识别。而在加密传输时代,除非拥有密钥,否则到手的是一堆无用的元数据。控管互联网国家出入口的监管当局显然对跨国数据加密传输很不爽,而斯诺登棱镜门事件后,互联网公司纷纷启用SSL加密通讯以保障用户的安全,无疑加重了窃听机构的不满。

可以预见的是借助网络协议分析的网络入侵检测、网络审计、上网行为管理、数据防泄露等等系统的末日不远。如同那些互联网监管机构一样,网络安全界无疑要将未来的工作重点放在两端,即信息服务提供端与信息服务消费终端。对信息服务提供端的监控力度自然会被加强,近来,互联网大佬们被频频召集参加高层网络安全会议,便是例证。

强化对服务提供端的控制至少有两个好处:一、引导大众;二、监控小众。只要互联网公司的商业利益和国家安全利益不冲突,对大众的引导就很容易达成共同目标和行动纲领。这就是为什么我们总会收到那么多“噪音”信息的原因,要避开这些干扰,只有不访问这些网站,不使用他们的移动应用。

通常来说,海量的终端设备、应用及用户引不起中央监控的爱好者们的兴趣,因为即使有兴趣,出手也是大笔投入不值得。但是不免有少量社会安全的“危险分子”,所以,有需要能够在适当的时候找出这些小众并进行特别跟踪甚至追击。于是在各类大型终端软件中设置后门程序便成了合理但并不能公开的秘密,通过输入法来收集和分析全体国民的文字输入,通过筛选敏感字符来定位“危险分子”的做法并不为奇。这些,普通国民本没什么好担心的,即使有冤案,中奖的概率也不会太高。

如果过于担心那点儿隐私,就不要使用网络好了。或者有个中间路线,就是使用国外的产品和服务,骂一骂FBI和NSA这些混蛋们,他们监控到你,也只能干瞪眼,不会跨国来抓你。

总之,信息过量时代的网络安全自保之道便是卸载那些老是提醒您,但您却几个月都不去理会的移动应用。如果想极端一点来保护隐私,那就立即关掉设备的电源!关于移动计算安全的建议,您在撇嘴吗?的确,咱不能因噎废食啊!那就请看一看昆明亭长朗然科技有限公司出品的信息安全意识基础教程中的移动安全在线课程模块吧!几个生动的故事案例会让您大开眼界,不至于让您关闭电源,却能教会您如何识别常见的移动计算安全威胁,以及轻松的应对之道。

messages-overload-and-security-surveillance