上班摸魚與網路安全

　　上班不摸魚，那這班上的沒有靈魂啊。但是不久前爆出的國美網路監控事件，也提示我們網路有風險，摸魚需謹慎。

　　https://baijiahao.baidu.com/s?id=1716730797543887197&wfr=spider&for=pc

　　

 　　——“另一家國企的技術處負責人表示，“理論上，員工開啟了哪些軟體，執行了哪些程式，甚至在論壇上發了哪些內容，我們都看得到。形象地說，上網相當於傳送了一個請求，這些請求是能被我們偵測到的，通過截獲這個流量，可以分析員工的上網活動。當然，我們不會主動去拆封這些資訊，只是留存，方便出現問題後的回查” 

　　以上摘錄了文章中的一段，各位聽上去是不是多少有些恐慌。 那豈不是我上班寫的部落格，搜過的奇奇怪怪的問題，喜歡的女優，都被老闆一覽無餘了:-)。鍋叔對此也是深表惶恐，這豈不是分分鐘社死的節奏。

　　聽上去有些神奇，但又貌似很合理，畢竟人家是“國企技術處負責人”。目前我正好在摸魚逛部落格園，或者在寫部落格，我們來淺析下公司是否能夠監控到鍋叔瀏覽和釋出了什麼內容呢？

　　

　　一、HTTPS 安全在哪裡？

　　

　　很容易注意到，開啟部落格園時，瀏覽器地址上有一個"鎖"，網址是https開頭，瀏覽器提示“連線是安全的”。那麼問題來了，瀏覽器說的這個安全，它的含義是什麼呢？

　　就算你對網路安全一無所知，直覺上你應該也不會認為，我在這個網站上瀏覽和釋出的內容，能夠被第三方（公司），輕易“截獲”，“拆封”是一種安全……-_-||。

　　資訊保安三要素：機密性，完整性，可用性（摘自維基）

　　排名第一即機密性，顧名思義

　　機密性（Confidentiality）確保資料傳遞與儲存的隱密性，避免未經授權的使用者有意或無意的揭露資料內容

　　如果機密性都保證不了那是保證了什麼安全？因為是淺談，就不扯太多原理和密碼學，直接說結論。

　　如果你摸魚的時候在網上閒逛，開啟了一個Https開頭，瀏覽器位址列帶鎖的域名的網站。如部落格園。這表明你與這個網站之間的通訊是安全的，安全的意思是。

　　1. 你與這個網站的通訊內容（你瀏覽到的與你釋出的)，不會被網路上的第三人（如公司等）知曉

　　2. 你確實是在與這個域名的實際持有人進行通訊。

　　第一條很好理解，就是說你跟這個網站通訊的內容，在網路通訊這個層面（不包括拍照，截圖這種）。從你的瀏覽器程式發出去，到這個網站伺服器收到，之間的資訊傳輸是加密的，即便被其他人攔截也無法取得內容，可以被攔截，但無法解密，不瞭解意義。

　　第二條繞一點，其含義是與你通訊的這個網站一定至少是你所訪問的域名的實際持有人。對於部落格園來說，即與你通訊的網站，至少是域名“www.cnblogs.com”的實際持有控制人。

　　有同學會問，我訪問的就是cnblogs的域名，難道跟我通訊的會不是部落格園的網站伺服器麼？答案是未必，例如你使用的是公司的網路，你可能會被代理，比如中間的某個網路裝置，跟你說他就是cnblogs，成為了你和部落格園通訊的中間人，你以為你在跟部落格園通訊，實際是被中間人轉發的，於是中間傳話人自然就知道了雙發的通訊內容。

　　

 　　第二條的存在就保證了，跟你通訊的不會是中間人，一定是“www.cnblogs.com”這個域名的擁有者。因為我的公司不擁有這個域名，因此，不可能通過中間人的方式攔截解析我與部落格園之間的通訊內容。

　　 

　　這是證書的詳細內容，大意由www.digicert.com這個權威的機構擔保，目前跟你通訊的人，一定是擁有*.cnblogs.com的人。型別是 DV。 域名所有權認證證書。

　　結論1，以鍋叔的密碼學常識認為，如果你瀏覽的是https協議，證書有效的網站，你跟站點間的通訊內容是不會被公司網路監聽的，不必擔心。

　

　　二、微信聊天記錄是否可以被獲得

　　這個擔心的人就更多了，誰的微信還沒點兒故事。:-)

　　是否安全，這個取決於微信的實現，如果設計上，微信的通訊是明文裸奔的話，那如果使用公司網路，確實是會被監聽獲取聊天內容的。但騰訊這麼大廠，微信這麼多使用者，顯然不可能不考慮資訊保安問題。因此鍋叔可以大膽推測，微信的通訊肯定也是經過可靠加密處理的。

　　記憶中有看過對微信安全機制進行分析的文章，也是使用非對稱加密交換隨機祕鑰，然後用對稱加密進行內容傳輸的。密碼學上來說，私鑰肯定是被騰訊伺服器掌握並保管的好好的，微信客戶端傳送的隨機對稱祕鑰，只有微信的伺服器能夠解讀，這樣的機制也是常規做法，符合我們的預期。非對稱祕鑰協商過程如下圖。

 

 　　結論2：微信的聊天內容，是不會被公司網路截獲，取得的。

 

　　三、監控摸魚的常見手段

　　—— 收到黑客郵件勒索，你公司內網已被攻破並植入後門， 請轉賬XXXXX元到指定賬號，否則將對你公司網路進行間歇斷網。之後公司網路確實每XX分鐘斷網X分鐘，公司運維排查了很久都沒有發現有入侵跡象，後來發現是黑客買通了機房保安，每隔XX分鐘拔了網線，等會兒再插上。

　　技術從來都不是黑客的唯一手段。上網監控的方式有很多，大致分類如下：

　　1. 網路監聽，通過網路裝置進行審計，監聽。

　　可以進行網路行為管理，進行一定的審計。包括禁止使用特定軟體（阻止特定埠通訊），網速限制，流量統計等。開頭的國美流量報告，可以通過這樣的方式取得，但像那個負責人說的可以獲取全部內容就有點神了。

　　2. 上網行為管理程式

　　在員工電腦本地安裝監控程式，程式因為工作在計算機本地，對系統硬體有完全控制權，很容易獲得各類資訊，如鍵盤輸入內容，螢幕截圖，錄屏等。

　　這種方式理論上是可以全權控制你的電腦的，電腦使用者毫無隱私可研。但前提是需要在該計算機提前安裝相應軟硬體。相當於對於使用人員可見，不算套路。儘量使用自己的裝置。:-)。

　　3. 其他監控

　　如攝像頭等，可以直接觀察到你的行為。這個沒啥說的，一般也都在明處。

　　

 

     4. 社會工程學

 　 領導自行觀察判斷，或者通過，眼線，心腹情報瞭解。因此摸魚要低調，廣結善緣。

 

　　四、說迴流量報告

 　  最後說迴流量報告，無論如何加密，你與特定伺服器間通訊的流量是無法隱藏的，因為都要流過你們之間的網路裝置。所以通過監聽審計的方式，是很容易取得一份類似國美的流量報告的。但你具體看了啥，如果不使用開放格式傳輸，中間環節未必能夠了解。

　　所以未必是報告有所保留，可能也沒有更多可以披露的摸魚證據。

　　總之，看片、聽高保真的摸魚方式是風險很高的。建議，調整下愛好，看看文字小說啥的。

　　對於流量報告有什麼應對策略，鍋叔能想到的可能就是用代理方式了， 這樣審計上會看到你與代理伺服器發生了流量交換，但因為不是已知的這些知名應用ip 埠，沒法直接得出結論，你是在看片，還是在聽歌。只知道你跟一個特定IP，請求了很多個G的資料……

　　所以，對於流量審計，大家有解麼？o(*￣︶￣*)o。