Windows 是最安全的作業系統
建了一個用戶交流群,我在群里說:「Windows 是最安全的作業系統。」 立刻引發了很多有意思的觀點。我在群里一個人說不過大家,先篇文章把自己的論點羅列一下。
對作業系統攻擊的方式
有5類基本的攻擊方式:
1、 系統口令攻擊:猜測攻擊、字典攻擊、窮舉攻擊、混合攻擊、直接破譯攻擊、網路嗅探、鍵盤記錄、中間人攻擊、社會工程學
2、 SMB/NetBIOS協議攻擊:空會話攻擊
3、 腳本攻擊:SQL注入技術、PHP+MySQL注入技術、跨站腳本攻擊技術、cookie攻擊技術、WebShell提權技術
4、 惡意程式碼攻擊:木馬技術、Rootkit技術、病毒技術、蠕蟲技術、網頁惡意程式碼
5、 網路安全設備攻擊:路由技術、Dos攻擊、防火牆攻擊
一項對參加了 DEFCON 會議的黑客的調查表明,「84% 的人使用社會工程學作為攻擊策略的一部分。」 社會工程學又叫社交工程學,發起「社會工程學」攻擊的人也有一個被美化的稱號是社工工程師。Windows 系統因為用戶基礎的關係,社會工程學的攻擊主要也是針對 Windows 系統。
下面大家來做一道單選題,
在 Windows 、macOS 和 Linux 三個用戶最多的系統中,Windows 在安全方面做了更多的工作。因為其用戶量不但碾壓其他兩個系統,其用戶的技術水平也最為參差。
當然這只是個人觀點。目前業界並沒有全面的統計數據。甚至安全的指標都不明確。到底什麼才是安全的指標呢?是 攻擊成功率、被攻破次數?到底是以那個時間段作為衡量指標?衡量覆蓋範圍到底涉及哪些?統統沒有定論,所以沒有標準答案。
業界影響較大的攻擊舉例
案例一 Equifax 數據安全事件
2017 年 9 月,美國徵信巨頭 Equifax 承認 1.45 億美國居民個人隱私資訊泄露,這是該國歷史上最嚴重的數據安全事件,以美國人口 3.2 億計算,受影響的超過 40%。
由於徵信局採集的數據涉及到消費、貸款等大量隱私數據,這讓徵信局成了黑客眼中的香饃饃,偏偏本次事件的主角 Equifax 的安全防範系統實在不堪一擊,讓犯罪分子得以利用其漏洞獲取對部分文件的訪問權,於是 1.45 億用戶的姓名、社會安全號碼(SSN)、出生日期、地址、駕駛證號碼(這相當於是中國的身份證號碼)等資訊就這樣泄露了出去。
這個漏洞是 Apache Struts 的低版本安全漏洞引起的,其實只要及時升級版本,問題可以避免。但是特別是這種重要的應用,版本升級等變更就越困難。所以在一個新應用投產時,特別是邊界應用,盡量選擇無高危漏洞的版本。而事實上,新應用在選擇版本時,架構師們往往並不根據實際情況,而是採取「跟隨策略」。就是使用其他應用在長期穩定運行的版本。
問題是首先要考慮,如果自己的應用邊界應用,並且是很多黑客覬覦的產品的一部分,安全是第一重要的,應該盡量選用無已經被發現漏洞的高級版本。因為像 Equifax 被攻擊這種事情,30年也就發生一次。作為邊界應用被攻擊成功,不會有其他應用給做背書,一損俱損。後果還是自己扛。
案例二 Log4j2 lookup 漏洞
2021年12月9日,中國多家機構監測到 Apache Log4j2 存在任意程式碼執行漏洞,並緊急通報相關情況。由於Apache Log4j存在遞歸解析功能,未取得身份認證的用戶,可以從遠程發送數據請求輸入數據日誌,輕鬆觸發漏洞,最終在目標上執行任意程式碼。
雖然有這個漏洞,目前還沒有對企業造成任何損失。並且如果沒有用到 Message Pattern Lookups
的程式,可以使用 – Dlog4j2.formatMsgNoLookups=true 禁用它解決問題。而且 log4j2 官方也已經為此漏洞打上修補程式。其實我很想為 log4j2 說兩句話。高版本的 log4j2 相比logback等其他主流日誌框架更加強大,它提供了更加強大優雅的API、默認無垃圾模式運行、更強的非同步性能。
Log4j2 在安全方面給我的啟迪有兩點:第一,盡量使用官方還在維護的軟體版本。現在設想一下:假如發現 log4j2 漏洞之後,log4j2 開發者明確表示不會修復此漏洞,使用的公司們打算怎麼辦?第二,不要在不需要的情況下開啟軟體的高級特性,增加引入漏洞的幾率。
總結
近年來,由於作業系統本身的問題引起的漏洞要少了上面運行的軟體的漏洞。而 Windows 作業系統由於擁有更多的用戶量,配套的軟體也更多更全,很多都很難從官方渠道免費使用,使得攜帶病毒的軟體有可乘之機。而MacOS由於基本只能通過官方應用商店下載;而 linux 系統上運行大多是開源軟體,完全可以通過官方渠道免費下載。所以這其實使得 Windows 系統不如其他兩個系統安全,這個是 Windows 從一開始的設計理念決定,這個鍋 Windows 得背。
春節前我建了一個群,旨在答謝用戶,用了全年收入的 1800% 給大家發了紅包。之後還有很多朋友說要入群交流,不是為紅包來的。非常歡迎。給出入【編程一生】用戶交流群官方渠道:加微信 brmayi 註明入群。或者已經是好友的朋友可以私信我:入群。
今年紅包已經發完了,要增加明年紅包的預算要靠大家了。關注、點贊、在看、點廣告。明年收入多少我發多少。不過目前為止大家的預算堪憂啊。
