[閒聊] 資安最大的漏洞

作者: trigungo (少女心)   2014-09-01 17:41:29
資安最大的漏洞在使用者,全世界皆然
只是大多數人不願意承認罷了,先怪別人就贏了!
這世界沒有攻不破的網路防護,只有不想攻的防護
什麼Https超安全各種加密超安全,我有裝什麼防火牆什麼防毒超神猛,都是屁話
對有心人來說都是屁話。
重點直接END看最後一段
要取得你帳號密碼的途徑太多太多了,
今天任何公司花大成本,弄一個保全超嚴密,以現有科技要花500年才能破解的資料站
結果使用者自己去逛別的網頁中木馬(木馬無所不在),或者去別的沒加密的網站
帳密用一樣的,結果被盜了還是怪這個公司,那砸這麼多錢幹嘛?
為什麼現在都用手機鎖驗證器? 因為所謂的網路安全都是屁話都是假議題
因為使用者要做到沒有漏洞是幾乎不可能的事情
砸再多錢,使用者方有漏洞一樣沒用
" 根本沒有所謂網路安全存在 "
甚至資訊流出 " 絕大部分是從使用者方流出 "
你會每個網站使用完全無關連的帳號密碼,輸入的時候不透過鍵盤而是用其他方式嗎?
即使如此,只要你一連上網就等於脫光光給別人看,有心人只要植入木馬
監聽你的封包,那你還是沒用,一般使用者的電腦要駭進去根本幾秒就能搞定
至於你的IP根本就是半公開的資訊有了IP你還想逃?
別做夢了,你以為DDoS哪來這麼多僵屍電腦? 要破解你輕而易舉,當然一堆僵屍
防毒軟體?
你知道防毒軟體是先有災情以後再花時間找到是哪個程序,再去破解他
而這段時間有心人可以寫出更多變種,然後又要重新破解一次,
永遠都慢人一步,防外行不防內行
各種加密程序?
請你跟我念一遍 " 沒有破解不了的加密只有不想破解的加密 "
為什麼驗證器也是用程式跑驗證碼有用卻不會被破解,其實只是單純因為要破解他
所花費的時間跟成本不合比例,所以"目前"不想破解罷了,以後電腦運算越做越強,
哪天驗證器也會被一鍵破解了,到時候就要用更複雜的運算增加破解難度,僅此
請各位把自己的個資當成公開的,只是要取得有一定難度,不是小貓兩三支就能隨便拿到
罷了,而現在單純取得個資也沒什麼用了,所有重要的事情都需要"活人"臨櫃/印鑑辦理
真以為你們銀行帳戶密碼別人拿不到手? 單純只是因為盜刷盜領會留下線索
隨便都會被抓罷了,像是金錢流向,帳號使用人,什麼時候在哪裡領,監視器調出來 gg
所以只有個資大概討債集團有用吧,所以請千萬不要去錢莊借錢
個資對他們來說只是兩三千元的事情罷了
作者: mindarla (...........)   2014-09-01 17:46:00
不過之前有新聞是 有用人用假證件報掛失..
作者: cybelia (@@)   2014-09-01 17:46:00
it's PTT... :o
作者: mindarla (...........)   2014-09-01 17:47:00
重新取得XXX之後 再把帳戶提領一空的.. @@我看到臉書一堆按讚之後會取得你的公開資料跟朋友名單的
作者: GODUFO (GODUFO)   2014-09-01 17:48:00
我覺得你太中肯了 先幫你補血
作者: mindarla (...........)   2014-09-01 17:49:00
再配合一些電影 動漫 遊戲相關的論壇..
作者: jokermask (JOKER)   2014-09-01 17:49:00
淚推了…
作者: dddm49 (芭蕉)   2014-09-01 17:49:00
單純的帳號密碼在這年頭等於虛設 這是一個需要知道的概念有心人要弄到帳密方法多的是
作者: noraneko (nora)   2014-09-01 17:50:00
如果密碼每五分鐘更新一次 並且超過64以上 就幾乎難以破解
作者: HornyDragon (好色龍)   2014-09-01 17:52:00
你的說法100%沒錯 但是GGC的處理態度
作者: ghast159 (PaulGeorge24)   2014-09-01 17:52:00
所以增加驗證碼繁瑣度這是我們要去要求的 是吧我們就是在爭取這個阿
作者: HornyDragon (好色龍)   2014-09-01 17:53:00
還有申請它們驗證APP的麻煩程度真的存心討罵
作者: GODUFO (GODUFO)   2014-09-01 17:53:00
事實就是只要遊戲夠紅有商機 就會有一狗票盜帳號
作者: akilight (OWeeeeeeeee~)   2014-09-01 17:53:00
這篇正解,DDOS都成千上萬甚至上億台在跑一般駭客那可能自備這麼多電腦,都綁架一般使用者當殭屍
作者: HornyDragon (好色龍)   2014-09-01 17:54:00
現在寫出能破壞電腦的病毒和木馬根本沒用啊都變成殭屍和木馬取向了
作者: sh021515 (OAO)   2014-09-01 17:55:00
現在都馬是在你電腦留後門當肉雞用了 沒人想破壞你的因為留著你的未來說不定有他用得到的地方
作者: dabiddabid (dabid')   2014-09-01 17:56:00
造成大量傷害的通常是公司客戶資料外流吧.....
作者: theiceking (BBtoKK)   2014-09-01 17:56:00
沒有破解不了的防護,只有不想破解的防護走廚房一樣順手取得你的帳號密碼
作者: blackhippo (PH6.0 微.酸民)   2014-09-01 17:57:00
屁孩:不管啦全部都是GGC的錯
作者: theiceking (BBtoKK)   2014-09-01 17:57:00
會員登入沒加密這不是比走廚房順手還方便?
作者: Ghosta   2014-09-01 18:02:00
這篇推 完全是我想講的 G社該罵得一堆 無腦罵這條是哪招
作者: theiceking (BBtoKK)   2014-09-01 18:02:00
你進展太快了,我是假設他帳密都還不知道的情況下
作者: talrasha (拉拉)   2014-09-01 18:03:00
一堆沒申請或有申請卻沒開通來討拍真的頗呵
作者: rettttt5 (再踢五次)   2014-09-01 18:09:00
我天堂被盜過也沒在吭聲,萬把元的裝備真的小咖而已不是說被盜要自認倒楣,不過自己的資安真的要做好還是希望大家都沒被盜,徒增煩惱來得好被盜號我在好幾個遊戲都碰過,真的會萬念俱灰
作者: theiceking (BBtoKK)   2014-09-01 18:16:00
中文好難阿,我知道你說什麼,但你確不知道我說什麼
作者: vergilmir (.)   2014-09-01 18:17:00
目前就在這樣做 身上無財 濫裝 東練一隻西練一隻
作者: theiceking (BBtoKK)   2014-09-01 18:17:00
有學過資安的都知道只有相對安全沒有絕對安全,這點我們應該可以先達成共識吧?
作者: ck8861103 (puppy4ever)   2014-09-01 18:20:00
先不談防不防得住 而是GGC官網連保險都沒做 是這意思吧
作者: theiceking (BBtoKK)   2014-09-01 18:20:00
ya,不是說防不住你就可以完全不防了
作者: ck8861103 (puppy4ever)   2014-09-01 18:21:00
就像哪間銀行不會被搶 但你連警察都沒有 不搶你搶誰
作者: theiceking (BBtoKK)   2014-09-01 18:21:00
第一段建議加註:雖然這些東西對有心人來說都是屁話,但為了基本上資安防護,這些相關防護措施都還是要有。銀行的應該改成:你就算再怎麼防,來個私有軍還是要被搶,但也不能沒有保安及相關安全措施。
作者: vergilmir (.)   2014-09-01 18:25:00
話說D3當初我還是特地辦一個新帳號去買的 結果居然被盜真的是~科科科
作者: ahinetn123 (*兔)   2014-09-01 18:26:00
GGC公司自己的防護爛得要死 也有帳密流出的前科紀錄
作者: ck8861103 (puppy4ever)   2014-09-01 18:29:00
這篇比較偏向"搞到後面吵責任歸屬不如先顧好自己安全"
作者: blackhippo (PH6.0 微.酸民)   2014-09-01 18:30:00
你跟那些檢討自己之前先檢討別人的人吵不完啦...
作者: ck8861103 (puppy4ever)   2014-09-01 18:31:00
銀行例子確實是不太對 因為被搶也是銀行自己損失
作者: theiceking (BBtoKK)   2014-09-01 18:31:00
我只提登入頁面,還有阿,GGC你進儲值頁面就突然跑出https加密了,在登入頁也加密一下很麻煩嗎?還有我說你只要沒加密你也要負這方面的責任,我非常同意你說的有心人想要你帳密的方法多不勝數,但你沒做到最基本的防護你也是有不對的地方。所以我對你的看法剛好是你對我看法的相反,出事都是使用者的錯,跟官方無關。我也沒認為過使用者都沒問題,因為相較於這些東西取得
作者: ck8861103 (puppy4ever)   2014-09-01 18:37:00
就算是官方的錯 使用者也提不出證據啊 還是只能靠自己
作者: theiceking (BBtoKK)   2014-09-01 18:38:00
難度來講,從使用者那邊取得絕對比找這些公司容易多。還有沒加密應該攔截封包就好了吧,應該連黑官網都不必
作者: tank20326 (Tink)   2014-09-01 18:40:00
推出公式能怎樣嗎?裡面參雜隨機亂數 只要產生亂數function沒大瑕疵 基本上無法得知驗證碼
作者: theiceking (BBtoKK)   2014-09-01 18:41:00
我想表達的只有幾點阿,被盜帳後的後續處理態度要有,該有的最基本防護要有(不是說沒什麼用就可以不用有)還有我非常讚成你那個使用者的漏洞遠大於公司方的漏洞看你也滿懂這一塊的要不要發一篇電腦資安應該要注意什
作者: tank20326 (Tink)   2014-09-01 18:48:00
被盜幾乎是自己電腦有安全漏洞 一間公司必有資安政策
作者: theiceking (BBtoKK)   2014-09-01 18:48:00
麼及如何養成注意網路安全的習慣阿XD?
作者: tank20326 (Tink)   2014-09-01 18:50:00
被盜怪ggc明顯的很無腦
作者: cephalitis (腦炎( ′-`)y-~)   2014-09-01 18:53:00
steam其實有steam guard 我不知道跟你所說的有沒有關不過至少不是脫光光的就是...garena是因為之前隨便都能登入的關係才會這樣吧
作者: DiAbLoE (?)   2014-09-01 18:53:00
那為什麼國際服的玩那麼久都沒事呢 = =???
作者: cephalitis (腦炎( ′-`)y-~)   2014-09-01 18:54:00
只要你能打開競時通,就能打開Garena的所有遊戲。
作者: ryan3445 (瓜- .-)   2014-09-01 19:06:00
玩國際服沒被盜跟資安應該是沒甚麼關係的
作者: theiceking (BBtoKK)   2014-09-01 19:06:00
https://www.pathofexile.com/login國際服的登入頁面,他沒加密?連公司的身份都有驗證他官網的https可以自行把s去掉還能上,但登入的會強制改回有加密的,所以GGG也沒加密是哪裡看來的?然後在firefox中GGC的會員登入頁面網址前加個https呢這個連線未受信任、您要求 Firefox 和 platform.garena.tw 建立安全連線,但是我們無法確認目前的連線是安全的。還有不要再說我說會被盜都是GGC的錯了,我上面有說了我承認通常都是玩家這邊的問題比較多
作者: kevinfu0302 (THE LAST OF US)   2014-09-01 19:19:00
這篇中肯阿
作者: jokermask (JOKER)   2014-09-01 19:19:00
iCloud都被盜了齁!珍妮佛羅佩茲在駭客面前也是裸體啦!
作者: TheMidnight (惡夢)   2014-09-01 19:23:00
懂你想表達什麼 但我覺得被盜的 不會 去接受
作者: theiceking (BBtoKK)   2014-09-01 19:27:00
而且滿大一部份使用者都不知道他們使用網路有什麼問題
作者: rettttt5 (再踢五次)   2014-09-01 19:36:00
不會接受是正常的,會覺得被落井下石吧
作者: julianscorpi (各打五十大板流 免許皆傳)   2014-09-01 20:17:00
這篇實在應該M 台灣人最大的問題是只怪別人不怪自己
作者: enterbenson (潮水退了,褲子在哪)   2014-09-01 20:18:00
有龍大
作者: lionswhite (豚骨超人)   2014-09-01 20:51:00
不然你以為ptt哪那麼人可以神出來XDDDD
作者: penguin974 (耐殺玫瑰)   2014-09-01 23:00:00
.....joker是不是弄錯人了
作者: GuYueHu (GuYueHu)   2014-09-01 23:59:00
資管系的覺得欣慰 看到這篇感覺專題又有得寫了
作者: boss30117 (deer01)   2014-09-02 00:25:00
大推,盜帳號猖獗大概跟遊戲太有利可圖和氾濫的現金交易有關,不管到哪都一樣只要有錢賺沒有盜不了的帳號
作者: exitptt (隱士)   2014-09-02 02:44:00
推一個…真的一切都在使用者阿!像我連防毒之類的軟體(除了內建的MSE)都沒裝,到現在任何帳號都沒被盜過…
作者: aluileung (gnueliula)   2014-09-02 02:47:00
一堆人說沒亂逛其他網頁 防毒多好然後被盜 真的很好笑
作者: smileahpain   2014-09-02 10:32:00
所謂的資安就是趕快把你的身分證上傳、傳真到G社去,身份證都交出去了,很難想像有什麼所謂的資安意識不用身分認證APP鎖就是無法使用,所以嘛...
作者: edcrfv5566 (lllIII)   2014-09-02 10:34:00
的確玩家問題比較大 但GGC也是有錯 如果他們強制玩家啟用通訊鎖這種基本的防盜或是簡化流程 這樣不就能有X遊戲 通訊鎖就是預設的效防止盜帳號的嗎? 我玩過一些遊戲 通訊鎖就是預設的囧 手機回文鬼打牆...
作者: pzs   2014-09-02 11:13:00
推你,的確是這樣,個資和帳密外洩管道太多了,自己先做好吧
作者: bndan (seed)   2014-09-02 17:55:00
僵屍程度其實大多都是使用者允許附予權限的 WIN7以上 UAC沒這麼好繞.以法律來看 僵屍電腦的使用者有可能算共犯才對XD

Links booklink

Contact Us: admin [ a t ] ucptt.com