他在北京反诈骗15年,守住2亿人密码安全
2021-04-01 22:08:22 Author: mp.weixin.qq.com(查看原文) 阅读量:99 收藏

你的私人信息被泄露了吗?

比如身份证、手机号码、开房信息、简历被泄露、家庭摄像头被监控。

以及它们带来的糟糕局面:经常收到垃圾短信,陌生的诈骗电话……

它们怎么发生的?有什么办法防控?

星主徐焱,北京交通大学的安全研究员,从事网络信息安全技术行业 15 年的「老司机」。

△ 星主徐焱

小到个人、企业网络平台,大到国家网站,徐焱解决过很多信息泄露的应急事件。关于网络信息安全防护,他有不少故事和心得分享。
01 

我们的信息是怎么泄露的?

星主徐焱:生活中,我们经常在各种网络平台交友、购物、买票、开房。
这些行为都存在私人信息泄漏的危险。
而信息之所以被泄露,通常是因为黑客攻破目标平台的安全防护墙,潜入、盗取数据库导致的。
2018 年,华住酒店集团客户开房记录被泄露并在黑市售卖,就是典型的案例。
黑客怎么盗取呢?
比如,我们把酒店的网络平台,看成一栋房子,系统、数据库以及各种中间件等是房子的门和窗户;
用户的身份证、私人照片、银行账号密码等私人信息,是房子里的保险箱——最私密值钱的部分;
用户登录的账号密码,是房子的大门钥匙。

 图片来自网络
如果大门没关好,窗户没锁住或用户弄丢了钥匙。
黑客就会利用技术手段,打开大门、撬开窗户进入房子,把保险箱偷走。
不过有人问:已经关好大门、窗户,也没弄丢钥匙,为什么信息还被偷?
因为用户在某个网络平台的账号信息泄露后,也可能导致另一个平台的信息被泄露。
怎么可能呢?仍以网络平台类比房子为例。
你在不同的房子放置不同的保险箱,也牢牢锁住了大门和窗户。
但如果你为了方便管理,所有房子的大门钥匙,都是一样的。
当黑客在某座房子找到大门钥匙,就会利用技术手段,找到其它房子并用这把钥匙打开大门,偷走保险箱。
还有一种常见的情况:黑客利用技术手段,建立钓鱼 WiFi 破坏公共 WiFi 网络安全防护。
我们在不知情的情况下链接无线网络后,我们在网上的所有行为也会被黑客监控、盗取。
那该怎么防护呢?
02 

防止信息盗取的 3 种手段

星主徐焱:我们要保护个人网络信息安全,除了在平台注册信息时,尽量设置不同的密码,降低风险;
在公共领域,不连陌生的无线网络;
更重要的是社交、电商、企业等网络平台运营方,也要加强网络安全技术的防控。
设想一下,如果你所在公司的网络安全防护被黑客攻破,公司的办公系统、业务系统遭到破坏;
电子邮件、员工信息泄露,公司和个人的财产安全都将受到威胁。
如果国家的机密部门、武器控制台等重要机构被外国黑客攻击,那么国家的核心利益也将面临被盗取的风险。
网络安全技术的重要性,不言而喻。
但在 20 年前,它并没有像今天这样,被人们这么重视。
而我从网络安全技术小白到老炮,有幸见证了它的成长。
03 

在中美黑客大战里

看到人生努力的方向

星主徐焱: 1998 年,在电脑还没普及的年代,有人懂计算机技术,是一件特别酷炫的事情。
我的堂哥,就是当时为数不多特别酷炫的人之一。
在堂哥的影响下,我从小学就喜欢上了电脑。
每次,我在堂哥家敲几下键盘,看几页「高深」的计算机杂志,回到家后,经常兴奋地整晚睡不着。
毕竟对那个年代的人来说,网络世界就像未探索过的外太空,只需了解一点,就能给人无限想象。
我清楚地记得,当时人们上网需要拨号,上网也不叫上网,叫「网络冲浪」;网络不叫网络,叫「信息高速公路」。
不少人用过的 QQ 也不叫 QQ ,叫 OICQ ;网吧不叫网吧,叫「电脑房」。
我第一次玩电脑,就在电脑房里。
在那里,我第一次知道了《红色警戒》、《仙剑奇侠传》等网络游戏;
知道新潮的恋爱方式——网恋;知道了能聊天的聊天室、灌水的「斑竹」等这些新兴事物。
那时候,网络世界就像色彩缤纷的万花筒,让人一头钻进去就不想出来了。
但让我没想到,网络带来了方便和快乐,也存在着攻击与危险。
2001 年,我读高三,亲身经历了中美黑客大战。
在中国鹰派、红色联盟、天天安全网等网站论坛的号召下,我参与了这场持续 77 夜的「网络战争」。

△ 图片来源网络
虽然当时的自己只懂得一些简单的黑客技术,没有帮上什么大忙。但经此一役,我明白了网络安全对于国家、政府、企业的重要作用。
它在我心里竖起了一座灯塔,朦胧中让我看到了人生努力的方向。
04 

高三逃课上网

沉迷网络创业

星主徐焱:2002 年,网络技术发展很快。
我经常逃课去网吧,在那里看见很多人在充 Q 币打游戏、玩 MUD 、网聊或逛各色各样的网站。
但也看到不少人不知道如何寻找网站,在那抓耳挠腮。
当时上网费又很贵,时间与金钱经常在不知所措中就流失了。

△ 高三时的徐焱和同学
有人发现了这个商机,做了一个面向所有人开放的网址导航网站,通过接广告赚到人生的第一捅金。
Hao123 导航网站之父——李兴平就是其中之一。
这样的网络创业故事,当时有很多。
18 岁的我,深受它们鼓舞,也梦想通过做个人网站赚钱。
所以,在同学们为高考奋战的时候,我却偷偷努力学习各种技术知识。
最终做出了自己的个人网站,还通过搭建各种论坛,帮别人做网站,赚到了一些钱。
但因为经验不足,技术能力不够强,我的网站没能像 Hao123 导航网站那样成功。
虽然如此,这次小小的创业尝试,却让我知道,网络技术还有很多未知领域等着我探索。
05 

大学创建安全实验室

成为网络安全守门人

星主徐焱:因为高三沉迷网络创业,我第一次高考没考好,复读了 1 年。
复读很辛苦,起早贪黑,每天要记住十几个公式,还有写不完的试卷。

但因为创业失败,对我来说,那些知识不再是压力,而是向上的动力。

很幸运的是,当时父母对我也给予了很大的鼓励和支持。

2003 年,我终于考上了南京财经大学计算机专业。

大学期间,我玩过乐队,待过球队,但大部分时间是在研究网络技术。

△ 徐焱在乐队里担任鼓手

我课余经常泡在学校的电脑房里,登录论坛看技术大咖们的交流贴。

在那里,我学到不少关于网络安全技术的知识,并为之着迷;

也知道了当时国内网络安全技术发展落后,专业人员匮乏的情况。

那时候,我第一次生出成为网络安全「守门人」的想法,并做出了行动。

大三,我和同学在学校创建了一个协会:雄鹰安全实验室。

名字取自当时网络上的一个技术大咖的 ID「傲气雄鹰」。

目的是为了提醒我们:要向大咖看齐,努力学习网络安全技术,希望团队如雄鹰一样展翅高飞。

△ 大学时的徐焱

我们一起研究网络安全技术,在校园内免费普及网络安全技术知识。

我们还帮助老师做各种校园网络管理和小程序的开发。每天充实而忙碌。

那是我人生最美好的时光之一。

很遗憾的是,当时校内对网络安全技术感兴趣的人并不多。

随着我们毕业,实验室就消失了。但成为网络安全「守门人」的想法,从未停止。

06 
15 年的北漂之旅
在网安路上不断前进
星主徐焱:2006 年,我大学毕业,没有回老家江苏发展,孤身一人前往北京——
一个当时聚集全国优秀 IT 人才的城市,开始了 15 年的北漂生活。

为了能接触到当时先进的网络安全技术,我进入计算机、通信、消费电子等发达行业,从事网站的运作、技术的销售和管理等工作。

△ 工作时的徐焱
我发现,任何企业网络平台的安全风险似乎永远排查不完。
无论平台安全防护检查做得多么细致,平台安全演练测试做了多少次,还是存在被黑客攻击的可能。
而要解决这些问题,归根结底还是要提高网络安全技术。
这让我更想在,专门研究网络安全技术的单位工作。

2012 年,命运垂青,一次偶然的机会让我成功入职北京交通大学。

一年又一年,我和团队伙伴完成了不少国家交付的网络安全技术项目。

在至今为止的 10 年里,我们研究过不下 100 种黑客攻击网络的技术手段,及其对应的防护技术。

我们也帮过不少企业解决过网络安全的应急事件。

07 
下班时间写书引导十几万人
进入网络安全行业

星主徐焱:接触网络安全事件越多,我越发现:

随着互联网的迅速发展,人们对信息安全越来越重视,社会对网络安全人才的需求,也在不断增长。

图来自:前瞻产业研究院
而对网络安全人来说,需要不断接触、学习、思考与时俱进的网络安全技术,才能要学好这门技术。

但生活里,不少后辈和我抱怨很难入行为什么?

因为找不到一本能看懂、有用又不过时的教材,还有一位能解答的老师。

为此,从 2016 年开始,我利用下班时间,在网上给后辈们解答问题。

我还根据 15 年的从业经验,编写了 3 本网络安全丛书。

徐焱编写的网络安全丛书
2017—2020 年

很意外,2017 年第一本书《 Web 安全攻防:渗透实战指南》刚出版,首印就卖出了 5 万册。

书籍还被全国 50 多所大学选为教材,引导十几万人进入网络安全行业。

不少读者还特地找到我的微信,向我表达感谢。
他们对网络安全行业的热情,对我的支持,让我不禁想到了大学时创建雄鹰实验室的自己。
我拥有了重建实验室的信心。
2019 年,我创建了知识星球内网安全「MS08067」
我希望通过社群的方式,能引领更多人了解网络安全,一起守护 14 亿人的信息安全。
星球内网安全「MS08067」创建至今,已经有 1100 人加入。
星球里有我沉淀 20 多年的行业经验,还有我编写的 2 本网络安全丛书的讲解视频。
星球内也有不少高校老师和学生,和从业多年的「老司机」。  
如果你想了解与网络安全有关的一切,可以加入星球学习,也可以向星球内的大咖请教。
或许你会问:我完全不懂网络安全技术,加入星球后能看懂、能学会吗?
下面的内容将解答你的疑虑。
网络安全系列丛书讲解视频
星主徐焱:星球内,有我编撰的网络安全系列丛书的配套视频和讲解,全部在星球内免费分享,有 80 多课。
这些教程视频,都是我逐一拆分书籍的知识点,并结合多年的实战经验,凝练而成。
如果你是小白,看不懂书,只看视频也能学会。  
干货心得+行业研究资料
星主徐焱:星球内沉淀有我和北京交通大学的团队伙伴,从业多年的干货心得和经验总结,它们能让你少走弯路。
技术演练的实操平台+内部WIKI
星主徐焱:星球还提供有我们实验室内部核心团队使用的内部知识库(WIKI),包括漏洞,教程,文章,在线工具等。
此外,星球提供技术实操演练需要的实验环境、工具资源。
 
实验室靶场题库分为历年 CTF 大赛真题、团队原创试题、图书配套试题共三大类。
其中真题包括 Misc、Reverse、Android、Stega、PPC、Web、Crypto 共七个类别。
致力于为网络安全人才培养提供的实战型训练平台。
拥有相同资源的平台,报价 7000 多,但星球只需几百元 ,其性价比之高,可见一斑。

现在加入星球还有限时限量优惠,文末可领取优惠券。
一对一不限次数提问
星主徐焱:学任何一门技术不是看书就能学会,实际情况远比理论复杂。
所以,拥有一位经验丰富的老师,是精进能力不可缺少的条件。 
我已入行 20 年,有丰富的实战经验。此外,星球内还聚集了一群优秀的行业老司机。
无论你对哪一个技术点有困惑,可以随时在星球提问一定会得到我们的解答,绝不敷衍。
 
组建战队:收获奖励,也收获成长
星主徐焱:为了提高星友的积极性和技术,我会定期拿出一些定制奖品作为奖励。
或邀请有兴趣的星友组成「追洞小组」等各学习小组。
比如,在 CTF 比赛或漏洞挖掘的优秀者,将被邀请加入核心成员群。
进群后免费享受我们实验室的所有资源,以及免费加入密圈、签名书籍、内部靶场、推荐出书、各类项目等资源。 
    
一群热爱网络安全的朋友 
星主徐焱:网络安全是小众行业,不像其他行业,很容易就能在学校课程和网上公开的资料里面学习到。
如果没有老师的指导,没有与圈内人的深入交流,进入网络安全圈子这条路必定是曲折和孤单的。
但你加入星球内网安全[Ms08067],这都不是问题,这里有: 
 
网络安全专业的高校教师和学生
资深网络安全领域从业者
网络安全技术爱好者
互联网技术相关人员

如果你想学习、提高网络安全技术,或者想转行网络安全行业,或想了解和网络安全相关的一切。

欢迎你加入我的星球内网安全[ Ms08067 ],一起学习,也可以向星球内的大咖请教,它一定不负你的期待。 
 每天只需 1 块钱,就能掌握一门技术 
限时加入立减 70
星球原价 449 元 |现价 379 元
每天只花 1 块钱左右为自己投资,就能学会一门技术,成本并不高。 

如果你对网络安全兴趣,可以先加入星球体验, 若不满意,3 天内还可全额退款。

优惠券限时限量,机会不可错过👇
阅读原文,和 1100 星友走进网络安全

文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247492930&idx=1&sn=a12a8d0bf1f86b3c1dc3f5050f28cb83&chksm=fc3c5c43cb4bd555c685e30ba7e6f34ce375576695d73252a28b155762955afa3bc82c038bbf#rd
如有侵权请联系:admin#unsafe.sh