“欺骗的艺术——社会工程学”安全培训

第一章 什么是社会工程学 第一节 社会工程的概念 首先，给大家讲一个真实的故事。几年前的一个早晨，一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。 他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先，他们在实地踩点的两天之前已经对该 公司进行了研究了解。例如，通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后，他们在大门前假装丢失了钥匙让别人 开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演，这次他们丢失的是他们的身份标志，而一名员工面带微笑的为他们开 了门。 这群陌生人知道该公司的 CFO 那时不在公司，所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公 司的垃圾堆翻了个遍，找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同 样学会了模仿 CFO 的声音，所以他们可以在电话中冒充 CFO 的身份装作很焦急的样子来询问网络密码。自此，他们最后终于可以使用 常规的黑客手段来获取系统的超级用户权限。 在这个案例中这些陌生人所扮演的角色是 CFO 请来对自己的计算机进行安全检查的网络安全顾问，而公司的员工对此都不知情。他 们可以在没有从 CFO 那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是 Kapil Raina 讲述的， 他目前是 Verisign 的 一名安全专家) 以上的故事就是我们这一次培训的主题“欺骗的艺术——社会工程学”  那么什么是社会工程学？ 社会工程学（Social Engineering） ，一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺 骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不 能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。 第二节 为什么社会工程成为信息安全的软肋 社会工程学 人为因素才是安全软肋 美国著名黑客米特尼克强调了安全产品和技术并不代表安全， 安全更是人和管理的问题。 正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜，屋主的安全仍然难以保障。为何？因为人为因素才是安全的软肋。” “与这位屋主一样， 有许多信息技术 （IT） 从业者都有着类似的错误观念。 他们认为自己的公司固若金汤， 因为他们配置了精良的安全设备—— 防火墙、入侵检测，或是更为保险的身份认证系统……” “正如著名的安全顾问布鲁斯•施尼尔（Bruce Schneier）所说：„安全不是一件产品，它是一个过程。‟也就是说，安全不是技术问题，它是人 和管理的问题。由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越发困难。于是，越来越多的人转向利用人为因素 进行攻击。穿越人这道防火墙十分容易，只需拨打一个电话的成本、承担最小的风险。” 点出了安全因素中最薄弱的环节（即人的因素）之后，米特尼克举出了一个社会工程学史上的经典案例。 20 世纪 70 年代末期，一个叫做斯坦利•马克•瑞夫金（Stanley Mark Rifkin ）的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、 没有使用武器、没有天衣无缝的行动计划，“甚至无需计算机的协助”，仅仅依靠一个进入电汇室的机会并打了三个电话，便成功地将一千零二十万 美元转入自己在国外的个人账户。“奇怪的是，这一事件却以„最大的计算机诈骗案‟为名，收录在吉尼斯世界纪录中。斯坦利•瑞夫金利用的就是欺 骗的艺术，这种技巧我们现在把它称为—社会工程学。” 这个案例证明安全的威胁不可避免，“类似的事件每天都在发生，你的资金可能正在流失，新产品方案正在被窃取，而你却一无所知。 ” 日益增长的安全事件给企业的资产带来威胁并导致越来越大的财务损失，米特尼克表示“大多数公司配置的安全产品只是应付业余入侵者，如 被称为‟脚本小子 ‟的年轻人……”。实际上，“真正的损失和威胁，来自于经验丰富、目标清晰，受商业利益驱使的攻击者。业余黑客看重数量，而 职业黑客在乎的是信息的质量和价值。” “正如同罪恶的心无法抵制诱惑，黑客们一心要找出功能强大的安全系统的弱点。于是，在很多时候，他们把这种心思放在了人的身上 ……” 而人的弱点又在哪里？《欺骗的艺术》告诉你：那就是信任。 “攻击者正是利用人们的心理弱点，编出不会让人怀疑的且听上去十分合理的理由，充分利用了受骗者的信任。” 在上期，我们陈述了《欺骗的艺术》与其他相关信息安全书籍的区别和本书的主旨。 “而这本书的主要内容—第二和第三部分，则讲述了社会工程师如何实施欺骗的故事。在这两部分中，大家将会看到： •电话盗打者早就发现的，一个从电话公司获得未刊登电话号码的方法； •几个不同的社会工程学方法，甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令； •信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息； •隐私调查者是如何获得企业、个人的隐密信息的，也许真相会让你脊背发凉。 ”  第二章 欺骗的艺术（社会工程学攻击实例） 第一节 密码习惯心理 大部人的密码习惯都和什么姓名、年龄、生日、电话等等有关， “我的爱人是？“ “我的老婆/老公/男朋友叫什么？“ “我是那里人？“等等. 但是这样的也容易让人得到有用的相关的信息。 还有大家看完这个动画之后要仔细想想是否也存在以上的习惯？ 还有是否图方便，密码设成了，1234567 或者 qwer 这样弱的口令也是容易让黑客猜解的密码。 虽然这个演示比较简单，但是希望能给大家提起注意。 大家可以通过这个动画的例子，举一反三。 还是那一句，安全是方方面面的， 也许在你眼中一个微不足道的信息，也会给你带来严重的安全隐患。  law_bbc (2007-7-04 20:22:53) 呵呵，我在这里简单的向大家介绍两个防止社会工程学的小窍门哈，对于 QQ 的防范最主要的就是密码和密码保护的问题及答案。大家不要小看 社会工程学哦，隐藏在身边的小偷总是让人防不胜防。要知道大部分的人的 QQ 密码都和什么姓名、年龄、生日、电话等等有关，毕竟这些和自 己相关容易记忆嘛，密码保护的问题也是什么：“我的爱人是？”“我的老婆/老公/男朋友叫什么？”“我是那里人？”等等，可你想过没有，要是你身边 的人通过社会工程学要得到这些资料是很容易的的，那你的 QQ 还能很安全吗？那是不是意味着我们就不能选用和自己有关的资料了呢，答案是 否定的，毕竟这有利于我们记忆嘛。我下面就给大家介绍两个即可以使用自己熟悉的个人资料又很安全的小窍门。 对于 QQ 密码我建议一定用特殊符号，在适当的地方使用特定的符号可以很好的防范社会工程学。比如你叫黎明 81 年 9 月 10 日出生，你的 密码使用 Lm810910，可能对你熟悉的人花不了多少时间就能破解你的密码。要是你将特殊符号加入密码，使用这样的密码：《Lm#81#09#10》 我想对你再怎么熟悉的人也不会猜到你会在什么位置使用什么样的特殊符号吧。 对于 QQ 密码保护的提示问