当前位置:   article > 正文

远程控制软件安全吗?一文看懂ToDesk、RayLink、TeamViewer、Splashtop相关安全机制_todesk远程会泄露信息吗

todesk远程会泄露信息吗

目录

一、前言

二、远程控制中的安全威胁

三、国内外远控软件安全机制

【ToDesk】

【RayLink】

【Teamviewer】

【Splashtop】

四、安全远控预防


一、前言

近期,远程控制话题再一次引起关注。

据相关新闻报道,不少不法分子利用远程控制软件实施网络诈骗,致使用户钱财受损,进而激进地将矛头指向远程控制软件,让这些帮助人们实现远程协作的工具“变了味”。其实,正常情况下,正确使用远程控制软件是十分安全的。2023年6月6日,美国CISA、NSA、FBI等多家机构联合发布了《保障远程访问软件安全指南》,其中就强调了,远程访问软件为IT/OT团队提供了灵活的方法;合法使用远程访问软件可以提高管理效率。

本期我将结合真实案例、技术报告和国内外远控软件的安全实测来做具体分析,远程控制软件到底安不安全,一文见分晓!

二、远程控制中 的安全威胁

下面我将举几个现实案例,通过被害者的经历,搞明白远控过程中的可能出现的安全问题。

案例一:2022年12月,王女士接到了一个自称是“湖北警方”的电话,对方称王女十名下的银行卡账户涉嫌违法,并向她发送了通缉令等“法律文书”,要求她配合调查,否则将有牢狱之灾。王女士信以为真,按照对方的要求下载了一个远程控制手机软件,正当试图进行转账操作的时候,幸得民警及时赶到,避免了财产损失。

案例二:据执法部门爆料,不少财务人员陆续“中招”,原因是习惯性点开了QQ、微信群友发来的“电子发票”的压缩文件,然后电脑便不受控制,鼠标自行移动去查看聊天记录,实现截屏、录屏等操作,在窃取信息后扮演“老板”,“指挥”公司财务进行转账。

案例三:一个名为Gellin的GitHub用户在TeamViewer中披露了一个漏洞,该漏洞可能允许客户端(共享其桌面会话)在未经许可的情况下控制查看者的计算机。Gellin还发布了一个概念验证(PoC)代码,可注入的C++DLL,利用“裸内联钩接和直接内存修改来更改TeamViewer权限”。

简单总结下,威胁远控安全的主要路径有: 一是 接通电话—博取信任—下载软件—实施侵害; 二是
通过网络/第三方平台/软件漏洞等—植入病毒/操作远程/冒充身份—实施侵害。

前者多数出现在生活中,不法分子在取得被害者联系方式后,以身份冒充来获取信任,通常冒充公检法人员、绑匪、领导、银行人员、亲人等,以各种理由要求/通报你如果不…会…,这是骗子取得信任的关键一步,理由会关联到你周边的人事物,让你产生危机感和紧迫感,进而引导你下载软件,基于你对远程软件的不了解,在他一步步的引导下,不自觉地泄露了自己的账户信息,给陌生人开启共享屏幕或分享密码,直到转账后才后悔不已。

后者是处于不安网络环境、安全漏洞情况下,不小心点开了弹窗或陌生链接,一些人为失误和管控不严所致,被黑客攻击后植入病毒,实施远程窃密、数据篡改等一系列恶意操作。但随着电脑系统更新的不断完善,以及移动设备的普及,这类恶意攻击,逐年减少。

![](https://img-
blog.csdnimg.cn/img_convert/6d17e804b692a92cd91067bbb5613777.png)

理清楚后是不是瞬间清晰了?我们总认为自己不会犯那么低级的错误,但是道高一尺魔高一丈,不要低估不法分子的“智慧”,他们总是能找到契合你的信任点,让你卸下防备后做出冲动的行为。同时,我们也清楚的认识到,远程控制软件在这个过程中,只是一个软件工具,例如腾讯QQ、微信、支付宝等,这些日常与我们密切相关的软件都曾被有心之人利用过,片面化的归咎软件责任,不如正确认识错因后积极改正。

再者,各家远程控制软件也在为此努力,为用户创建多重安全防御机制,非人为泄密情况下一般是不会出现安全性问题。

三、国内外远控软件安全机制

这次我将以国内、国外各两款软件为例,看下它们在远程控制安全设置和保障用户隐私方面的具体措施。

【ToDesk】

ToDesk安全系数高,国产远控零负面。采用端到端加密技术,具备设备认证、双因身份认证、可控文件传输、黑白名单管理、日志记录等 安全保障
,支持安卓/苹果/Win/Mac/Lin五大主流平台;获得了统信、中科方德、麒麟软件、三级等保、ISO27001信息安全管理体系、ISO9001质量管理体系等多家权威机构认证,确保远程连接全流程安全可控。

值得一提的是,ToDesk在安全监控上有一项超实用的功能—— 自动隐藏私密信息
,会自动识别金融类软件而进行黑屏。例如你在打开支付宝、银行等涉及金融类的软件后,界面会自动开启屏幕隐藏,主控端无法获取用户私密信息,选择退出此类软件则恢复正常,能够有效防止敏感信息被不法分子利用,值得点赞!

我还特别留意到,如果你是开启ToDesk投屏模式的话,凡是银行软件页面都会有提示警告的,“ 检测到正在录屏,注意个人信息安全
”,或者出现人脸视频核实真身。所以,家人们,真不是软件问题,千万、一定要注意安全提示呀!

在保障用户隐私方面,还可以使用ToDesk 隐私屏
功能,在远程过程中拉起黑屏壁纸进行遮挡,防止远程内容被第三者窥视,无论你是搬砖还是玩游戏,别人都无法察觉。

【RayLink】

同是国产软件的RayLink,是一个跨界选手,听说背后的公司做的是视觉行业,所以该软件更适应开发设计场景,是瑞云科技旗下云渲染品牌。

RayLink的界面干净无广,安全设置相对较少,只提供简单的密码更新,自动锁定屏幕和客户端锁定;隐私方面可以开启防窥模式,和ToDesk隐私屏功能一致,避免隐私泄露。关于安全方面的描述较少,目前已通过ISO27001
数据中心安全认证。

RayLink最大的特点是免费,目前支持Win/Mac/iOS/Android操作系统。

Teamviewer

说到海外远控软件就不得不提到大哥Teamviewer(简称TV),无论产品性能还是用户覆盖率都稳居世界前列。

在安全性方面,TV采用端到端加密,在启动远程会话之前查看传入连接来源,防范恶意攻击;通过TeamViewer
Remote可以进行设备监控,在需要注意的时候发出警报,通过自动评估检测第三方软件和操作系统导致的补丁,使系统始终维持最新的安全状态。

就个人经历而言,TV曾爆出漏洞事件,害的我们把公司所有服务器都排查和卸载了一遍,后面开始转用国产软件。另外,境外软件收费都比较贵,Teamviewer也不例外。免费用户有设备限制,想多控几台设备都要花个大几千不等,一般自己连还可以;如果账户多的情况下,使用起来也会出现不稳定,容易被检测为商业限制而频繁断连。

【Splashtop】

Splashtop在欧美日很流行,国内知名度相对低一点,基本上没曝过安全漏洞问题,自称是“下一代安全远程服务解决方案”。

Splashtop提供内置安全功能,例如单点登录(SSO)、多因素身份验证(MFA)、设备身份验证和自动基础架构更新;采用 HTTPS、TLS
等行业标准安全协议,对通过端口443传递的数据进行加密,确保传输数据安全;提供对托管设备的安全远程访问,避免了通常与VPN相关的安全漏洞;还启动了安全漏洞披露计划,组建了一支由网络安全和合规领域知名专家组成的团队,进一步强化平台的防御能力。

用Splashtop访外网应该没啥大问题,使用前需要在远程的计算机上安装stream。体验过企业版,移动端功能项操作很丝滑,几乎没什么延迟。缺点就是邮件注册真的特别麻烦,啥都要邮箱验证才能操作,验证程序太多,就像剥洋葱一样,懒癌真的会逼疯。

四、安全远控预防

今年6月,美国多家机构联合发布的《保障远程访问软件安全指南》可以说来得相当及时,报告中说明了远程访问/控制软件和工具是用于维护和改进IT、操作技术(OT)和工业控制系统(ICS)服务的广泛功能;它们为组织远程监督网络、计算机和其他设备提供了一种主动和灵活的方法;合法使用远程访问软件可以提高IT/OT管理的效率。

对于我们用户来说,一款安全可靠的远程控制软件是安全远程办公的必备要素,合法合理使用能够帮忙解决很多远程操作和支持工作,注意我这里用的是合理合法。然后就国内外远控软件的安全机制对比结果,ToDesk和Splashtop安全层级较高,远控功能全面且安全稳定;单就个人体验来说,Splashtop受限挺多,付费又不忍割肉,而且国内某些企业已经禁用了境外远控软件;国内则推荐ToDesk,关心用户体验,有很多安心的实用功能。

总之,远程控制软件是安全的,使用者有没有安全使用才是关键。这里我引用了国家反诈中心的“三步一多”提醒:
未知链接不点击,陌生来电不轻信,个人信息不透露,转账汇款多核实。
关于远控的安全预防常识,每次公安机关和媒体报道都反复提醒过,这里我就不多赘述,给大家整理了一个图表,需要的自取。

感觉有用就点赞收藏吧!

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

2023届全国高校毕业生预计达到1158万人,就业形势严峻;

国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

img

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
img

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

img

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】

推荐阅读
相关标签