个人专长: 胡扯,瞎掰,软件测试稍微靠谱
(空间无原创东西,全部来源网络,如有侵权请联系本人)
欺骗的艺术:社会工程学
上一篇 /
下一篇 2008-05-08 17:33:46
/ 个人分类:小知识册
第一章 什么是社会工程学
第一节 社会工程的概念
首先,给大家讲一个真实的故事。几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先,他们在实地踩点的两天之前已经对该公司进行了研究了解。例如,通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后,他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员工面带微笑的为他们开了门。
这群陌生人知道该公司的CFO那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个遍,找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO的声音,所以他们可以在电话中冒充CFO的身份装作很焦急的样子来询问网络密码。自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。
在这个案例中这些陌生人所扮演的角色是CFO请来对自己的计算机进行安全检查的网络安全顾问,而公司的员工对此都不知情。他们可以在没有从CFO那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是Kapil Raina讲述的,他目前是Verisign的一名安全专家)
以上的故事就是我们这一次培训的主题“欺骗的艺术——社会工程学”
那么什么是社会工程学?
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
第二节 为什么社会工程成为信息安全的软肋
社会工程学 人为因素才是安全软肋
美国著名黑客米特尼克强调了安全产品和技术并不代表安全, 安全更是人和管理的问题。
正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜,屋主的安全仍然难以保障。为何?因为人为因素才是安全的软肋。”
“与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为他们配置了精良的安全设备——防火墙、入侵检测,或是更为保险的身份认证系统……”
“正如著名的安全顾问布鲁斯•施尼尔(Bruce Schneier)所说:‘安全不是一件产品,它是一个过程。’也就是说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越发困难。于是,越来越多的人转向利用人为因素进行攻击。穿越人这道防火墙十分容易,只需拨打一个电话的成本、承担最小的风险。”
点出了安全因素中最薄弱的环节(即人的因素)之后,米特尼克举出了一个社会工程学史上的经典案例。
20世纪70年代末期,一个叫做斯坦利•马克•瑞夫金(Stanley Mark Rifkin)的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划,“甚至无需计算机的协助”,仅仅依靠一个进入电汇室的机会并打了三个电话,便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是,这一事件却以‘最大的计算机诈骗案’为名,收录在吉尼斯世界纪录中。斯坦利•瑞夫金利用的就是欺骗的艺术,这种技巧我们现在把它称为—社会工程学。”
这个案例证明安全的威胁不可避免,“类似的事件每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。”
日益增长的安全事件给企业的资产带来威胁并导致越来越大的财务损失,米特尼克表示“大多数公司配置的安全产品只是应付业余入侵者,如被称为’脚本小子’的年轻人……”。实际上,“真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱使的攻击者。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。”
“正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。于是,在很多时候,他们把这种心思放在了人的身上……”
而人的弱点又在哪里?《欺骗的艺术》告诉你:那就是信任。
“攻击者正是利用人们的心理弱点,编出不会让人怀疑的且听上去十分合理的理由,充分利用了受骗者的信任。”
在上期,我们陈述了《欺骗的艺术》与其他相关信息安全书籍的区别和本书的主旨。
“而这本书的主要内容—第二和第三部分,则讲述了社会工程师如何实施欺骗的故事。在这两部分中,大家将会看到:
•电话盗打者早就发现的,一个从电话公司获得未刊登电话号码的方法;
•几个不同的社会工程学方法,甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令;
•信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息;
•隐私调查者是如何获得企业、个人的隐密信息的,也许真相会让你脊背发凉。”
收藏
举报
TAG:
小知识册