2016年4月21-23日, Qcon全球软件开发大会在北京国际会议中心成功举办。安全,作为信息时代挥之不去的几大问题之一,也在本届大会上引起了相当多的关注。4月23日,黑客专场——“打破规则,我是黑客”的一系列关于黑客、企业安全、安全开发的分享讨论,吸引了大量的观众。其中,来自北京永信至诚科技股份有限公司的信息安全服务咨询工程师吴海涛为大家带来的——“安全”开发之“坑无止境”主题分享,引起了与会开发者们的极大共鸣。
曾身为开发者的吴海涛从当年遇到的安全问题聊起,逐步为开发者们揭开软件开发和安全编程这两个层面互为支撑、保持平衡的重要性。软件的开发模式、流程、框架对开发者来说尤为重要,在实际的敏捷开发为了完成短平快的需求,人们往往容易忽视掉安全编程在软件实际应用中的重要作用,有时安全防护产品并不能完全保证开发环境的安全,也由此导致了一系列不必要发生的软件安全问题。
吴海涛层通过某次简单的蹭网连接而进行的真实渗透测试案例发现,系统账号密码和开发环境弱口令问题突出,甚至有多处密码通用的情况出现,开发环境的安全配置不重视、个人PC弱口令.敏感文件随意存放、内网平台或产品漏洞也成为常态。而导致这些情况发生的根本原因正是相关开发人员、厂商缺乏安全意识。
可以说,安全系统的设计和运营都是人完成的,人的知识、技术水平决定了系统的可靠性,人的可靠性直接影响到整个系统。信息安全的核心是人的安全,人自身的安全意识和能力直接决定了信息安全系统的稳定。那么,除了开发工作过程中要注意安全防范之外,我们的对日常信息安全的保障又能做些什么呢? 时下流行移动办公,很多人都会在咖啡馆点一杯咖啡,打开电脑和手机连上免费Wi-Fi,看似悠闲的办公。而实际上,不法黑客会通过伪造虚假响应包(Probe Response)来回应STA(Wireless station,手机、平板等客户端等)探测(Probe Request)的攻击方式,让客户端误认为范围内存在曾经连接过的WiFi热点,从而骗取客户端的连接。
而另外一个例子更为典型,i春秋的一名白帽黑客和女友吵架后,女友因工作外出,并没有告诉黑客出差地点,而机智的黑客仅凭在和女友的聊天中得到信息,就分析出了女友所在的准确地点。这不是美国间谍电影中的桥段,只是生活信息中的冰山一角,试想如果这两个人不是情侣关系,那是否会有危险发生?如果那个人是你呢?
互联网技术发展越快,安全就越重要。信息时代,到处是看不见的“坑”,只有深入了解网络安全才能拥有更多的安全感。让信息安全走入寻常百姓家,不论是开发者、运维人员还是基本不懂安全技术的小白,都非常有必要在工作和生活中保有充足的安全意识,甚至是花费一定的精力来学习能够保护自己隐私财产和工作成果的安全技能。未来学习网络安全,必将会成为每个人必须掌握的一项基本生活技能,永信至诚愿在网络安全的路上陪在每一个人的身边,给你信息时代的安全感!
