移动手机应用程序(App)生态系统的一大好处就是它使得我们的生活更加方便和容易,而不好的一面就是这些 App 越流行,它们就越有可能受到黑客的袭击。当 App 在我们的生活中扮演的角色越来越重要的时候,例如通过我们的手机进行金融交易,或者上传我们的健康数据等,我们的个人数据就越有可能发生泄漏。安全攻击不仅会影响用户的个人信息和敏感数据,同时也会对商业、政府和军队产生巨大威胁。
因此,作为程序的开发人员,你就有责任和义务来确保你客户的数据的安全,保证它们不会受到黑客的侵扰。而保护消费者私人数据安全的一种方法是通过安全手段来保证我们的每一次操作的安全。当开发人员在进行移动 App 开发的时候,他们需要注意以下这些因素。
我们使用的密码很容易被忘记或者被黑客窃取。有时候,是因为密码太过简单,从而使得很多人都可以经过几次尝试猜到密码。对于那些存储有大量私人信息的 App,一旦被黑客知道,这也就意味着巨大的损失。二元密码认证则可以帮助解决这个问题。其最常见的形式就是当你在登陆一款 App 的时候,你可以通过事先预留的邮箱或者手机来获得包含随机密码的邮件或者信息。只有当你输入这串密码的时候,你才可以登陆你的 App。那些储存有你敏感信息的 App 应该在你不使用的时候登出,当你再次使用的时候需要再次登陆,这样就会来到我们将要讨论的下一个问题。
也许你已经听过 OAuth,这是一种用于不可信设备的用于确保 API 服务的原型,它提供令牌验证的方式来对移动用户进行授权。OAuth2 采用的这种授权方式是,它限定了授权令牌的使用时间。当用户登录移动设备的时候,用户会输入登录账号和密码,这时就会为用户创造访问令牌,并且在移动设备进行储存。一旦访问令牌过期,使用者就需要再次登录才能继续使用。OAuth2 并不需要使用者在一个并不安全的环境下储存 API 密匙。相反,它可以产生一个访问令牌,这个令牌可以暂时储存在非信任的环境中。这种机制运行得非常好,这是因为即便黑客获得了使用者的访问令牌,它也会很快过时。
OActive Labs 研究人员 Ariel Sanchez 测试了 60 家全球影响力最大的银行中的 40 种移动银行 App,其研究结果是:40% 经过审计的 App 并没有验证 SSL 证书的真实性。而很多的 App(大约 90%)在整个应用中包含了一些非 SSL 链接。在这种情况下,攻击者可以拦截流量,并通过创见创建任意的 JavaScript/ HTML 代码来制造一个假的登录提示,从而造成使用者信息泄露。通常情况下移动 App 不能有效地执行 SSL 验证,从而使得使用者很容易受到这方面的攻击。使用 SSL/TLS 来进行远程交流的 App 需要检查其服务证书。
AES,即高级加密标准(Advanced Encryption Standard),是目前用于对称密钥加密的最流行的算法之一。同时它也是一种「黄金标准」加密技术;很多具有安全意识的企业则会要求他们的雇员使用 AES-256 (256 - 比特 AES) 来进行通讯交流。事实上,公司应该使用那些经过安全组织调整的现代算法,例如具有采用 256 比特的 AES 进行加密。
当你在设计 App 的时候,如果你可以确保使用者的数据安全,那么你的 App 就会更加吸引用户,并且帮助你建立良好的安全因素。而这也会帮助你获得和留住更多的用户。
为了和这些安全攻击进行斗争,世界对于网络安全公司的关注也越来越多,而紧跟着的就是一些巨额投资。由此每年也产生了成千上万的工作岗位。为了支持这些产业的发展,全世界也发展出了一些网络安全生态系统,将公司、风险投资、人才和专业技术集中在一小块区域内。接下来要介绍的就是网络安全领域的一些顶级中心。
硅谷是绝大多数领先的网络安全公司的大本营。该地区很大一部分的风险投资都投入到了防病毒、防欺骗和反黑客软件领域。数据保护也是一个日益增长的方面,且这些威胁不紧来自外部黑客的攻击,也会来自内部。例如,根据 McAfee 的创始人 John McAfee,最近阿什利麦迪逊数据泄露就是由该网站的一名女性雇员造成的。
预防内部人员造成数据泄露也是硅谷公司正在努力的一个方向。硅谷整体的权威和高科技产业的主导地位使得其成为了网络安全初创公司的不二之选。公司、军队和政府都转向该区域寻求网络安全保护,以免遭黑客和恐怖主义的袭击。在今年 4 月,美国国防部宣布和硅谷公司展开合作,以保护数据的安全。一些公司,例如 Cylance、Ionic Security 和 Symantec 的总部都设在硅谷。硅谷的初创公司还在继续成立、创新、合并和变革,毫无疑问,这里的很多公司都将网络安全视为巨大的机遇。
以色列初创公司的蓬勃发展、严重的安全威胁和军事情报单位大量的人才流动使得这个国家成为了全球网络安全领域的超级大国。在过去的数年间,网络安全的协同作用在初创公司、跨国科技巨头、学术界、军事和政府之间建立起来。「将以色列打造成一位安全领域内的领导者是政府的一个目标,而国家总理也对此非常重视。以色列很有可能成为世界两大网络安全中心中的一个,对此我非常乐观。」Nadav Zafrir 说。Nadav Zafrir 是 team8(位于特拉维夫的一个非常规的风险投资公司,主要投资领域为创新型网络安全公司)的创始人。在这个国家中有超过 200 个网络安全公司,大多数都集中在特拉维夫和耶路撒冷,每年的网络输出达到了 30 亿美元。其中的领导者包括 Check Point、CyberArk、Imperva 等。
纽约市的金融区和企业财富创造了对于网络安全的巨大需求。为了解决这些问题,安全公司纷纷建立起来。许多公司都致力于保护股票市场,防止银行和金融欺骗。该市有大量的资本进入到了网络安全领域,但是其独特的位置增加了该区域的网络安全活动。顶级的初创公司包括身份验证公司 Socure,事件解决方案供应商 UpLevel 和数据泄露预防公司 Third Party Trust。
波士顿是 MIT 和哈佛的所在地。这里的天才已经创造了很多数学天才、科技专家和工程师,同时也成为了一个网络安全中心。这里的一些顶级公司包括主要军工承包商 Raytheon、安全密码解决方案提供商 SQRL 和安全分析初创公司 Rapid7,并且这些公司也持续募捐数百万美元成立基金。该地区的很多新公司也获得了成功。BitSight 科技宣布在 6 月份获得了 2300 万美元的融资,而 Barkly 获得了 1250 万美元的资金。
CyLon,或者伦敦网络是欧洲第一个网络安全加速器。该公司致力于帮助商业开发信息安全技术和相关产品,同时帮助伦敦的网络安全的成长。CyLon 的成员包括 CyberLytic、Intruder 和 Sphere Secure Workspace。不仅如此,英国政府也推出了相关的活动和项目来解决网络犯罪,增加相关领域的知识和意识。