怎样挣脱Google的影响,完成一个完全无Google要素的收集情况 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

怎样挣脱Google的影响,完成一个完全无Google要素的收集情况

申博_新闻事件 申博 106次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

媒介

本文我得先从我近来介入的一个平安检测项目最先谈起,本次的客户是一家企业,不得不说,本次我们的客户的平安防护做得异常好。他们的平安运营中间(SOC)装备了很多先进的内部异常检测对象和顽固的事宜相应团队。这里我要说一句,他们是Google的客户,并运用G Suite来处理他们基于云的营业运用程序。

2019年4月,Google为 G Suite带来了一系列更新,本轮更新重点增强了公司数据的珍爱,既包孕掌握用户的接见权限,还可以或许经由历程供给新的对象来防备收集垂纶和歹意软件进击。本次Google还宣布了高等收集垂纶和歹意软件珍爱Beta版本,旨在资助治理员珍爱用户免受歹意附件和电子邮件诳骗等要素的影响。

因而,我花了相称长的时刻研讨和进修怎样破解G Suite并将它们兵器化,以下我会细致引见我运用过的很多分歧进击要领。

对G Suite举行渗入测试时,被Google反制裁。在我和我的团队运用CredSniper(一个运用Python微框架Flask和Jinja2模板编写的收集垂纶框架)成功地损坏了凭据并绕过了双要素考证以后,我们马上最先横向地在Google运用程序中寻觅典范的公司数据。不外,我们碰到了G Suite的异常检测体系,由于它们运用Google Groups向手艺团队发送电子邮件,个中就包罗风趣的平安警报和crontab命令行日记。不久以后,客户在Google的资助下发明我们的身份考证运动是可疑的,并触发了一系列内部平安流程。经过努力,我们终究侵入了其他一些账户,此时纵然企业有壮大的事宜相应团队,他们也没法进入我们的OODA轮回。厥后我们发明,Google的治理API实际上并非实时的,并且日记延迟了15分钟,这让我们有了充足的进击自信心。为了考证G Suite的壮大防御才能,他们联络了Google的SOC追求资助。

果然在24小时内,就有平安研讨职员一直在跟踪、纪录和损坏我们的进击历程。

在此,我想说的是,客户和Google之间的实时相同异常重要。然则,偶然事变能够会适得其反,这点我会在下面讲到。

企业和Google之间的团结防备战略的完成

在这24小时内,GoogleSOC可以或许跟踪和联络关系我的一切有关此次渗入测试的帐户、德律风和API令牌,然后停息一切帐户。更糟的是,他们还将进击的目标与我的一切相干账户举行了联络关系婚配,停息了我的事情账户。虽然我们的体系治理员第二天从新启用了它,但又被停息了,同时还停息了体系治理员从新启用它的权限。因而可知,Google跟踪和联络关系账户的才能异常异常好。在接下来的几天里,我以至没法收到Google已规复的客户的邮件,且没法接见任何与Google身份考证帐户相干的资本。除此之外,我的事情日程也没法接见。

若是争执发作在企业账户级别,那末这意味着企业的全部营业能够会戛然则止。在接下来的几周里,我和老婆赓续碰到身份考证题目,一切装备(笔记本电脑、电视、恒温器、平板电脑等等)上的Google帐户会话都邑随机请求从新身份考证。至此我非常疑心,我们的家庭IP地点是不是在Google体系中被符号为歹意?

若是我的疑心属实,则意味着一家科技巨子可以或许主宰我事情和生涯的各个方面,想一想都恐怖,这已逾越了平安行业的范畴。厥后,我的客户告诉我,GoogleSOC给他们供给了初始接见向量的链接。

别的,Google是不是有关于我的一切联络关系账户的信息呢? 虽然我的此次渗入测试是违背了Google对渗入测试的请求的划定,但却不违背其云效劳条目。明显,每一个测试职员在渗入测试时,都须要注意的相干的划定,这是一切测试职员在测试任何基于云的效劳时都须要注意的题目。在云效劳渗入测试方面,我们还处于空缺范畴。以是,很多供给商都误以为,即我们永久不会测试他们的中心效劳。

消除Google对渗入测试职员的追踪

须要申明的是,我所具有的每一部智能手机都运转Android体系,我家里险些一切的智能装备或许都运转Android体系,或许归Google所具有的,而我自身也是一个G Suite用户。由于我一切的文件都备份到Google云端硬盘,我的Google帐户是我的上网重要帐户,我的一切TOTP 2FA都依靠Google身份考证器,我的德律风号码以至是谷歌语音。毋庸置疑,消除Google对我的追踪是何等急切。

替代Google挪动操作体系

为此我斟酌了以下的体系:

1.FireOS(好像已停用了);

2.PureOS( ,一款全新的免费Linux发行版);

3.Firefox OS(已停用了);

4.KaiOS(一个基于Linux的挪动操作体系);

5.Ubuntu Touch(不错的挑选);

6.LightPhone 2(还没有宣布);

7.Windows 10手机版(今年年底宣布)

8.Blackberry/SilentPhone/Cryptophone(如今都运转Android)

9.iOS

在对一切可用的挑选都测试以后,我终究买了一部iPhone,它与Macbook Pro笔记本电脑连系在一起,彻底改变了我的全部收集生涯。

替代2FA考证计划

虽然挑选一个TOTP 2FA解决计划相称简朴,然则我想再深切一些,并为基于SMS的2FA建立一个完整自力的考证计划。虽然有些人能够以为它与prepper-level status属于统一种别,但它确切为进击者在进击备份SMS 2FA完成时建立了分外的珍爱步调。有很多TOTP选项,和运用运用程序集成其他德律风号码的VOIP供给商。我没有看到大多数选项之间的太大差别,以下是一些我斟酌过的接纳TOTP多因子身份考证的运用程序:

Authy ;Authy是一款跨平台的、支撑多个装备同时运用的两步考证治理对象,是“Google 身份考证器”的有力替代者。Authy 的长处在于,它可以或许同时治理多个平台的两步考证,同时支撑多装备同时运用,也可以或许疾速在装备之间迁徙、抹除,还支撑 Touch ID 考证。Authy 可以或许治理一切运用“Google 身份考证器”的账号体系,包孕 Gmail、Evernote、Facebook、Dropbox、LastPass等。Authy 改进了 Google Authenticator 的功用:

Duo Mobile :Duo Mobile 是一款手机体系软件,下载并安装了这款软件后,可以或许获得Duo收集平安的双要素认证效劳,使登录越发平安。

LastPass Authenticator :LastPass新出的考证码运用,支撑以是基于时刻的一次性暗码规范(TOTP)算法的效劳。它将双要素考证因子存储在LastPass账号中,可以或许在分歧装备之间云同步。

替代VOIP供给商

Cloud Sim:Cloud SIM手艺,其本质上就是聚合环球流量资本,供给跨境场景下的通讯效劳;

Telos;

OpenPhone;

Sideline;

Line2;

替代电子邮件服务商

替代新的邮件供给商时,我碰到了一个很大的题目。我刚最先是愿望效劳商完整支撑别号注册,由于我想为分歧的别号建立独一的电子邮件地点。这听起来能够很猖獗,但运用别号可以或许轻易地整合电子邮件,下降交织污染的风险。由于我不喜欢我的小我数据被出卖,以是我挑选了付费电子邮件。现时有多个邮件效劳供给商可供挑选:

ProtonMail;ProtonMail是着名的平安电子邮件供给商,总部在瑞士,2013年由欧洲核子物理研讨所(CERN)、麻省理工(MIT)、和哈佛(Harvard)的研讨职员团结建立,致力于为注意隐私和平安性的用户供给加密电子邮件效劳。支撑免费和付费两类帐户,一切账户均运用端到端加密功用,默许启用PGP加密。

FastMail;

第二届自立可控平安共测大赛强势开启

近年来自主可控技术得到创新历史性发展机遇。伴随着云计算、人工智能、5G等新技术领域的突破,以及智慧城市、无人驾驶、智能制造等新应用场景的逐步拓展,需要自主可控技术产品的开发者、应用者、测试者共同直面发展中必然的安全性挑战。

Office 365;

Zoho;

iCloud;

我运用的电子邮件供给商是FastMail,他们有多个注册计划,你以至可以或许自带域名。它内置支撑同步联络人和日历,同时支撑相似于Google云端硬盘的文件支撑。我确切忧郁我的邮件客户端会在每一个电子邮件标题中泄漏我的源IP地点,这一般发作在你不运用Webmail客户端时。据悉,FastMail有一个未公开的SMTP端口565,它会从一切出站电子邮件中删除源IP地点。别的,他们也有一个不错的挪动运用程序。

离开Google情况,完整迁徙的历程

以下有一些须要注意的事项:

账户方面:

· 运用新的电子邮件地点更新一切网站设置装备摆设;

· 更新Slack和其他交际运用程序;

· 运用电子邮件作为备份更新其他设置装备摆设文件;

德律风方面:

· 迁徙手机文件和图象;

· 在新手机上从新安装运用程序;

数据方面:

· 备份G Suite数据;

· 备份Google云端硬盘文件;

· 导入联络人;

· 导入日历事宜;

平安方面:

· 从新同步TOTP 或推送2FA令牌会话;

· 运用SMS 2FA更新设置装备摆设文件;

帐户迁徙

我运用了一些技能来加快这个历程:起首运用我的暗码治理器来跟踪我用新电子邮件地点更新的帐户。这很轻易,由于它能资助我确保覆盖了一切帐户,同时还可以或许直接更新暗码治理器。不外要注意的是,偶然暗码治理器不会自动更新电子邮件地点。很少有网站不许可我更新我的电子邮件地点。别的,你能够还想斟酌从新天生你更新电子邮件地点的帐户所依靠的API令牌。别的,在我更新了我的小我资料电子邮件以后,我运用的API令牌不再有用。

德律风迁徙

这多是最简朴的迁徙了,我把Android手机上的运用程序列了一个简朴的清单,并确保在我的新手机上从新安装它们。惋惜的是现在还没有一款运用能自动做到这一点。

数据迁徙

经由历程接见https://google.com/takeout,你可以或许很轻易地下载一切帐户数据,但我强烈建议零丁同步Google云端硬盘。若是你是一个重度用户,大文件会消费很长的时刻。运用Google Takeout的优点是你的一切Gmail都将被下载,独一的题目是导出我的Google图书时出了题目。由于某种缘由,他们不再供给下载或导出功用。

关于存储数据的迁徙,我挑选用Synology DS218play NAS和Seagate SATA驱动器替代我的家用NAS,然后将一切内容存储在当地而不是云端。我终究购买了两倍的空间并运转了SHR raid设置装备摆设。这与raid 1设置装备摆设相似,分歧之处在于它是一种自定义Synology raid范例,许可夹杂和婚配磁盘巨细,同时在磁盘发作毛病时保护典范的镜像冗余。挑选Synology有很多缘由,但这个基于Linux的操作体系有一个简化的用户界面,个中包罗一些异常酷的内置运用程序,从合作对象到我的Google照片和Google云端硬盘需求的替代品(Moments和Drive运用程序),你以至可以或许直接备份Google云端硬盘! 

若是你还想在云中猎取更多数据,可以或许运用以下解决计划:

· AWS S3

· Azure Storage

· Digital Ocean Spaces

· Box.com

· DropBox

注意:不要遗忘将你的联络人和日历导入新的供给商。

平安迁徙

末了,我们不要遗忘GoogleAuthenticator中一切那些憎恶的TOTP令牌会话,和为一切设置装备摆设文件变动你的德律风号码,这些设置装备摆设文件仅经由历程供给SMS来完成2FA解决计划,效果很差。

我异常阻挡运用基于sms的2FA作为重要的以至是备份的2FA。若是你的设置装备摆设文件只启用了SMS 2FA,请确保运用你的新德律风号码更新设置装备摆设文件。

挣脱Google的限定后,从新进入收集情况

如今是删除Google帐户的时刻了,由于一切的设置、迁徙和一般事情都已完成。但我没有马上行动,由于我忧郁我能够脱漏甚么内容。效果证实我的挑选是准确的,由于在一些情况下,我须要接见我的电子邮件,它被设置装备摆设为其他设置装备摆设文件的备份。从新进入收集情况前,要做的事变:

· 删除Google账户

· 出厂重置

关于某些人来讲,制止运用Google效劳是不能够的。比方,我必需在事情中运用它,那末我怎样防备将数据泄漏给Google呢?我的做法在一个断绝的情况中,如我的事情笔记本上运用Google。关于互联网搜刮,我已完整运用了DuckDuckGo,DuckDuckGo强调在传统征采引擎的基础上引入各大Web 2.0站点的内容,其办站哲学主意保护运用者的隐私权。

深切理会BokBot的中间人攻击方式(上)

一、BokBot:代理模块 CrowdStrike在最近的一篇博文中对BokBot的核心模块做了深入分析,而本篇文章作为前篇内容的延伸,将对BokBot代理模块的内部工作原理做深入探讨。BokBot代理模块是一段十分复杂的代码,其主要目的是诱骗受害者将敏感


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明怎样挣脱Google的影响,完成一个完全无Google要素的收集情况
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址