你认为在我们的周围有哪些很重要却一直鲜为人知的事?

比如说安卓是谷歌做的,刀子是不会划花屏幕的,某些人的某些经历是不为人知的,某些事情应该很有名然而却不被人了解的
关注者
46691
被浏览
1840928
尽量少连公共场合的 Wifi,尤其是人流量大的地方,比如各种咖啡馆、快餐店、KTV什么的。如果可能的话,还是用自己的流量吧。 (互联网公司里,网络安全做得比较好的,当然也可以忽视这一点)

就算情况万不得已,必须要连接公共场合 WiFi 的话,尽量少登陆邮箱。至于为什么,看完这个回答,你就知道了。

——————————补充案例 2016 年 3 月 1 日 14:00——————————
——————————更新主题 央视 2015 年 315 晚会现场——————————
关于 WiFi 安全问题,早已经耳熟能详了,但是很多人没有放在心上。有知友在评论里提到2015年315晚会也提到了这方面的内容,所以我专门去网上找了相关的视频,截取了其中关键的部分,上传到了国外视频网站(主要是没有广告)。只有 12 分钟,有兴趣的朋友,可以点这里看:

2015 央视315晚会现场 黑客利用免费 WiFi 窃取用户邮箱账号和密码的全过程 on Vimeo

如果不能看视频的,我截取了几张视频截图,简单说明下晚会现场数据窃取过程:


晚会现场,布置了一个免费的 WiFi 供观众使用,主持人诱导大家在现场自拍,然后连接网络分享到社交平台上,这期间,有黑客在后台窃取这些用户数据。第一张视频截图则是现场所有参与互动的观众手机数据,包括操作系统,正在使用的软件。



接着,黑客把当时现场观众上传的自拍照片进行窃取之后,在大屏幕公布了出来。



这是主持人提到的最关键的部分,黑客窃取了现场观众的邮箱数据,并且和观众进行核实,得出的结果是完全匹配,也就是说确实被黑客截获了账号信息。

以上就是这个视频的核心内容,不知道我有木有说明白。如果条件允许,还是建议大家看完这个视频片段。

之所以把这个晚会视频贴出来,是想告诉大家,黑客好像离我们很遥远,但现在网络渗透的技术门槛相对较低,尤其是很多人的网络安全意识不高,账号信息在使用免费 WiFi 过程中,真的很容易被截获。


——————————首更于 2016 年 2 月 28 日 19:00——————————

经过本人亲自验证,即使不懂技术,在网上下载某软件安装之后,分分钟可以渗透到同一 Wifi 下其他人的上网数据,真的,太恐怖。。


这是某软件的截图,其功能之强大,简直让人吓呆。通俗一点说,可以在刷微博的时候,用你微博发内容;在你登陆邮箱的时候,可以截取用户名和密码数据;同时可以限制你的网络连接,重定向你访问的网站到某个页面;可以更换图片和视频等。

以上这还只是初级的数据渗透,如果是黑客的话,呵呵,完了。

这类数据渗透软件网上还有一抹多,比如:


看别人的免责说明,你就知道多危险了。。

给两个参考:

透过公共 Wi-Fi 热点上网可能会面临哪些安全风险?如何保障安全? - 网络安全
养成哪些上网习惯可以避免泄露重要的个人隐私? - 网络安全

——————————补充更新于 2016 年 2 月 29 日 18:00——————————

一些网友可能不太信,觉得会不会有点夸张,那给大家亲自演示一下:


又是另一个同类型软件的截图,当时的情况是,我笔记本连着路由器,分配的 IP 为 192.168.1.101,正在访问的页面为知乎。在手机上打开这个软件之后,选择了渗透的 IP 地址,然后查看了其所有的访问请求,然后就是上面截图的这种。

这期间,我笔记本电脑是没有任何异常提示的,依旧可以打开网页,和平常一样。



来,接下来的这两张截图,是我的笔记本在访问网络期间,所有的图片请求,包括我自己上传的和网页加载的。截图看来可能比较模糊,但点击之后可以显示正常尺寸。图中可以看出不少知乎网友的头像,以及知乎的 Logo 等信息。

试想一下,如果你在刷微博、刷空间、刷贴吧等网站时,查看的所有图片,正被某个人或者某个群体监视着,是不是很恐怖呢?


最后这张是大招。有知友在评论里留言说,可能一些 https 的网站链接,访问过程中可能会更安全和保密一些,可是实际上呢?如图所见,这款软件有一个功能就是 SSL 欺骗,具体怎么骗的,在功能说明里都介绍了下,还特别强调了一下,访问 https 网站不会受到影响。

——————————补充更新于 2016 年 2 月 29 日 22:00——————————

下午的时候进行了进一步的密码抓取的测试。测试环境如下:电脑连着 WiFi,手机开启网络渗透软件,开启软件中 SSL 欺骗功能,截取所有的数据请求,效果如下:


在浏览器中打开网易邮箱,接着登陆个人账号,然后就出现截图里面的情况,提示已经截取到了账号信息。


这是比较让人吃惊的,渗透之后截取的网易 126 邮箱的用户名和密码数据是明文,也就是说,如果被别人截取之后,可以直接在网站上登陆。

接下来试了一试百度。


上图为在浏览器中登陆百度账号之后,cookies 请求数据。



这是截取到的密码数据,比较幸运的是,百度的传输密码为加密的算法,比较长,一般人即使知道了也无法直接盗取账号信息。(原谅我那不标准的打码手法,主要是秘钥太长)

期间,还测试了腾讯邮箱、谷歌邮箱、淘宝账号等登陆,有的可以看到明文账号信息,有的是加密的,有的则无法截取到数据,总之还是蛮恐怖的。


——————————补充更新于 2016 年 3 月 1 日 12:00——————————
——————————更新主题为 怎么预防和减少被攻击的可能性——————————

国外 Quora 上关于公共 WiFi 安全的讨论,有兴趣可以点击去看下:quora.com/Is-it-safe-to

里面的一些网友的回答:

大概意思就是说,确实不太安全,建议用的 VPN 访问。再引用 storify.com/WorldSIM/ho 里面的一段话:

How Do You Keep Safe?
The best way to keep your personal data secure when using a public WiFi network is set up a VPN (Virtual Private Network). What this does is simply put up a barrier between your device and those who may be possibly trying to steal your personal information. It works by encrypting every piece of data that you send. It is a simple case of logging into the VPN client when you open your browser and then you can feel assured that everything is secure. Doesn’t sound so simple? Not a problem, this guide will explain exactly what you need to consider when setting up a VPN so you can make the right, informed decisions.
简单翻译一下,是这样的:当你在用公共 WiFi 上网时,保护你个人信息最好的办法就是使用 VPN(虚拟专用网络)。

再推荐看下国内网络安全领域大神 @余弦 曾经在 透过公共 Wi-Fi 热点上网可能会面临哪些安全风险?如何保障安全? - 余弦的回答 里关于如何防御的回答:

我对我用的每个软件几乎都算了解,我心中有数他们的安全性,所以在这种环境下,我尽可能不用那种不靠谱的软件,但对于大众来说,我建议:
  1. 如果真要在这种 Wi-Fi 环境下上网,要么就用上靠谱的 VPN,全网流量走 VPN,前提是这个 VPN 真的靠谱;
  2. 上网时用浏览器的隐身模式,不要登录账号了;
  3. 还是别上 XX 聊天了;
  4. 手机 3G 吧,XX 聊天可以在手机进行;
  5. 不要过分依赖 HTTPS 的安全性,虽然 HTTPS 本身在传输上几乎是绝对的安全。


——————————————又是分割线——————————————

第一,本回答中,只是贴了三款同类型的软件截图,实际上网上关于这类网络渗透的软件还有很多很多。
第二,在评论里或者私信里问我软件名的留言,一概不会回复(安全起见),还请自行谷歌。
第三,本文仅供提醒。
第四,有网友在评论里留言,建议我把截图里泄露的软件名信息等打上马赛克,所以我真的去加上了。
第五,答主是个文科生,网络安全方面的知识也是一知半解,才开始学习的,有知识点错误还请在评论里面指出,我会虚心接受并且改正的。


我也是最近才知道有这样的软件的存在,以前的时候,觉得很多 wifi 都加密了的,一概会很安全,在用这类型软件测试之后,发现基本都不太安全。

——————————————还是分割线——————————————

引用一段信息安全椒叔酱 @黄玮透过公共 Wi-Fi 热点上网可能会面临哪些安全风险?如何保障安全? - 黄玮的回答 里的一段话,与大家共勉:

帐号被盗、数据被窃听的概率高不高?我只能说,攻击技术上很成熟,防御技术上虽然也相对成熟,但普及程度还是不够高。安全不?那得看是谁和你一起【公共】wifi了,呵呵。
各位,慎重连 WiFi 呀!


——————————————回答更新记录——————————————

第一次,简洁的回答。2 月 28 号 18:00
第二次,补充渗透软件的测试截图。 2 月 29 号 17:00
第三次,新增关于 SSL 欺骗之后截取到的账号测试截图。 2 月 29 号 22:20
第四次,增加打马赛克的幅度,哈哈。3 月 1 日 11:00
第五次,补充更新怎么预防和减少被攻击的可能性。3 月 1 日 12:00
第六次,更新主题 央视 2015 年 315 晚会现场。3 月 1 日 15:00

现阶段这个回答还在不断更新完善当中,之后汇总整理版的内容,我会更新在:小正说事 - 知乎专栏 ,欢迎点击关注噢。

———————广告分割线———————

我个人微信公众号:小正说事(xiaozhengla),欢迎骚扰。