您好,欢迎来到三六零分类信息网!老站,搜索引擎当天收录,欢迎发信息
免费发信息
三六零分类信息网 > 上海分类信息网,免费分类信息发布

上海网站建设_社会工程学

2022/5/6 2:45:13发布57次查看
社会工程学——无法忽略另类安全
随着安全技术的不断开发,利用技术弱点进行攻击变得越来越困难,攻击者更多地转向利用人的弱点。社会工程学越来越强力地挑战了将信息安全集中于防火墙、入侵检测系统和杀毒软件的传统信息安全。社会工程学由现实中的一些欺骗手段,延伸应用到网络之中而形成的。社会工程学的出现,使得入侵渗透更加容易。
社会工程学:
简单的来说,就是骗。社会工程学是高于普通欺骗的一种复杂手段,是一种通过对受害者本能反应、好奇心、信任、贪婪等心理进行欺骗、伤害等手段,取得自身利益的手法,近年来已经呈现迅速上升甚至滥用的地步,希望通过这篇文章能让大家尽量避免被社工的悲剧。
由于运用社会工程学的门槛比较低,所以利用社会工程学理论来攻击网络的越来越多,攻击手段也日趋成熟,技术含量也是越来越高。下面我们来分析社会工程学中很经典,很有代表性的一个典例。希望大家能在这个故事中了解到社会工程学理论的应用。
斯蒂夫的故事:
斯蒂夫是一个医学器材公司的职员,他最近在做一件新型的智能心脏。斯蒂夫十分苦恼,他思考的如何降低心脏支架的动力消耗方面却没有丝毫的进展。
电话响了,技术支持部的雷蒙。“这是一个善意的来电,有三台服务器挂掉了。应该在星期四令你的文件正常使用。”“这真让人无法接受,”斯蒂夫很沮丧。他们不知道自己没电脑不可以工作吗?“我用家里的电脑连线,两个小时后,我要访问我的文件。懂了吗?”“我打的每一个电话,对方都要求先处理他们的事情。”“我现在的工作公司十分重视,我今天要完成它。”
“星期二恢复你文件的使用,怎么样?”
“不行,要现在!”
“好吧,”雷蒙说,斯蒂夫还能听到他无奈地叹了口气。“我该怎么让你连线,你使用rm22服务器,对么?”
rm22和gm16。”
“很好,可以绕过一些程序来节省些时间,我需要你的用户名和口令。”
为什么他需要我的口令?“你姓什么?主管是谁?”
“雷蒙。听着,你被雇用的时候,填了一个表格写下了你的密码。我可以找到这个文件,然后告诉你?”
斯蒂夫同意。他等着雷蒙取出文件,最终返回到电话前,斯蒂夫可以听到他在摆弄一堆文件。
“哈,找到了,你写的密码是janice。”janice是他母亲的名字,有时他会用做密码,很可能在他填雇用登记表时就用它做密码了。
“是的,是这样。”他承认道。“那好,我们正在浪费时间。你知道我是真的,你想让找走捷径帮你快速的取回文件,就必须给予我帮助。”“我的用户名是cramer,密码是pelicanl。”
“三个小时内,我把它恢复正常,”
斯蒂夫吃过午饭,便来到他的计算机前,发现他的文件已经恢复了。
克雷格中的故事克雷格是一个商业间谍。这次收到一个紧急任务。对方公司叫做双星,一家500强企业。对于我来说,大公司比小公司容易得多。在小公司里你很可能会被对方认出来不是自己所声称的那个人,而这种情况会把你的一切都毁了。客户发过来一封传真,说是一些医疗杂志上报道了双星医疗研究的全新设计的心脏支架,叫做sth-100。由于事情炒得很热,记者们已经替我做了前期调查工作。
于是我打电话给他们公司接线员:“我答应与你们的一位工程师联系,但我记不起他姓什么了,只记得他的名字是以s开头。”接线员说:“有两个人,一个叫斯科特,一个叫塞姆。”我冒着风险间:“哪一个在sth-100工作组?”她不知道,我只好随意选了斯科特。对方拿起电话,我说:“嗨,我是麦克,收发室的。我们收到一个寄给sth-100心脏支架方案组的联邦快递,应该给谁?”他告诉我方案组长的名字,杰瑞,他还帮我查到了电话。
我打给杰瑞,他的语音留言说他在度假,任何人有事的话打9j37找米歇尔。这些信息太有用了。我挂了电话接着打给米歇尔,她接起电话,我说:“我是比尔,杰瑞要我把说明书打给你,让组里的人看看。现在,到了整个布局的攻坚点了。我问:“你们用哪个系统?”
“rm22,还有gm16。”
我从她那里得到了信息,没有引起她的怀疑。接下来,为了麻痹她,我的语气自然,“杰瑞说你可以给我一个研发组成员的电子邮件列表。”“当然,表太长了,不便阅读,发邮件给你”
坏了!一个不是geminimed的邮箱都会带来麻烦。“你能发传真给我么?”
她顺利地应允了。
“传真机坏了,我问问另一台的号码,一会打给你。”我挂了电话。我打电话对接线员说:“嗨,我是比尔,我们的传真机坏了,可以往你那里发一个传真么?”她说没问题。
过了一会儿,我打回电话。我说,“我还得把它发给我们的顾问,能帮我发么?”她把传真发给“顾问”的时候,我正迈步走向我附近的一家店。我拥有了那个小组的成员名单和邮件列表。现在我已经跟许多不同的人谈过话,并往目标迈了一大步,继续搞从外部拨人工程服努器的电话号码。
我再次打到双星,能找一个人给予我帮助。他把电话转给别人,我装作对计算机技术一窍不通。“我在家里,我vl买了一个笔记本,需要设置一下,以便能从外面拨入服务器。”设置很简单,但我耐心地让他一步一步地教我,直到拨入电话号码。他告诉我那个号码,就像说出其它的一些日常信息。然后,我让他等我试一下。
拨号进入,偶然发现一台计算机上的来宾账号口令为空。于是我获得了加密口令。
一个叫斯蒂文的工程师,拥有一个口令为“janice”的账号。可是不是服务器的口令。我得用些技巧来让这个人自己告诉我他的用户名和密码。我一宣等到周末。后面的事情,你们已经知道了。周六,我打电话给克莱默,用服务器必须从备份中恢复的理由打消他的怀疑。也许有人要问,他填写雇用登记表时的口令是怎么一回事?我指望他不会记着所有的事,谁还会记得自己几年前的密码。而且,那份名单上还有其他人能尝试。我找到了需要的文件。
对故事的分折:
入侵者是一个熟备社会工程学的人,我们不得不承认他的技术。他的大部分工作如探囊取物般简单。先是假扮收发室的工作人员,声称收到一封联邦快递包裹来增加紧迫感,这样他得到了心脏支架研发组组长的名字,这位组长正在度假,酉他却留下了助手的名字和电话。克雷格打给这位助手,谎称项目组长的要求来打消她的怀疑。组长不在城里,米歇尔在无法证实他所言属实的情况下,相信了,并把项目组成员名单毫无保留地提供给他。当克雷格让他发传真而不是使用令双方都方便的电子邮件时,她甚至都没有怀疑。为什么她如此轻易的相信他人?如同许多工作人员那样,这个人所做的事是她的上司交待要做的。
这些也是社工必备的技能,入侵者利用这些技能,经过紧密的处理,取得了重大的成绩,不得不为之称赞。
无可避免的,社会工程学被人用来诈骗。本质却是为了入侵。有朋友说,黑客技术本身就是骗术,但骗的却是计算机,是系统。
社会工程学将黑客技术进行到最大化,不仅利用系统弱点进行入侵,还能通过人性的弱点进行入侵,当这两种技术融为一体时,将根本不可能有安全的系统存在,技术高超的社会工程师最终会击溃所有的安全防线!
经典的黑客技术入门知识
一、学习技术:
互联网上的新技术一旦出现,黑客就必须立刻学习,并用最短的时间掌握这项技术,这里所说的掌握并不是一般的了解,而是阅读有关的“协议”(rfc)、深入了解此技术的机理,否则一旦停止学习,那么依靠他以前掌握的内容,并不能维持他的“黑客身份”超过一年。初级黑客要学习的知识是比较困难的,因为他们没有基础,所以学习起来要接触非常多的基本内容,然而今天的互联网给读者带来了很多的信息,这就需要初级学习者进行选择:太深的内容可能会给学习带来困难;太“花哨”的内容又对学习黑客没有用处。所以初学者不能贪多,应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。
二、伪装自己:
黑客的一举一动都会被服务器记录下来,所以黑客必须伪装自己使得对方无法辨别其真实身份,这需要有熟练的技巧,用来伪装自己的ip地址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙。伪装是需要非常过硬的基本功才能实现的,这对于初学者来说成的上“大成境界”了,也就是说初学者不可能用短时间学会伪装,所以我并不鼓励初学者利用自己学习的知识对网络进行攻击,否则一旦自己的行迹败露,最终害的害是自己。如果有朝一日你成为了真正的黑客,我也同样不赞成你对网络进行攻击,毕竟黑客的成长是一种学习,而不是一种犯罪。
三、发现漏洞:
漏洞对黑客来说是最重要的信息,黑客要经常学习别人发现的漏洞,并努力自己寻找未知漏洞,并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验,当然他们最终的目的是通过漏洞进行破坏或者修补上这个漏洞。黑客对寻找漏洞的执着是常人难以想象的,他们的口号说“打破权威”,从一次又一次的黑客实践中,黑客也用自己的实际行动向世人印证了这一点——世界上没有“不存在漏洞”的程序。在黑客眼中,所谓的“天衣无缝”不过是“没有找到”而已。
四、利用漏洞:
对于正派黑客来说,漏洞要被修补;对于邪派黑客来说,漏洞要用来搞破坏。而他们的基本前提是“利用漏洞”,黑客利用漏洞可以做下面的事情:
1、获得系统信息:有些漏洞可以泄漏系统信息,暴露敏感资料,从而进一步入侵系统;
2、入侵系统:通过漏洞进入系统内部,或取得服务器上的内部资料、或完全掌管服务器;
3、寻找下一个目标:一个胜利意味着下一个目标的出现,黑客应该充分利用自己已经掌管的服务器作为工具,寻找并入侵下一个系统;
4、做一些好事:正派黑客在完成上面的工作后,就会修复漏洞或者通知系统管理员,做出一些维护网络安全的事情;
5、做一些坏事:邪派黑客在完成上面的工作后,会判断服务器是否还有利用价值。如果有利用价值,他们会在服务器上植入木马或者后门,便于下一次来访;而对没有利用价值的服务器他们决不留情,系统崩溃会让他们感到无限的快感!
第二节、黑客应掌握的基本技能
从这一节开始,我们就真正踏上学习黑客的道路了,首先要介绍的是作为一名初级黑客所必须掌握的基本技能,学习这可以通过这一节的阅读了解到黑客并不神秘,而且学习起来很容易上手。为了保证初学者对黑客的兴趣,所以本书采取了循环式进度,也就是说每一章节的内容都是独立、全面的,学习者只有完整的学习过一章的内容,才能够进而学习下一章的内容。
一、了解一定量的英文:
学习英文对于黑客来说非常重要,因为现在大多数资料和教程都是英文版本,而且有关黑客的新闻也是从国外过来的,一个漏洞从发现到出现中文介绍,需要大约一个星期的时间,在这段时间内网络管理员就已经有足够的时间修补漏洞了,所以当我们看到中文介绍的时候,这个漏洞可能早就已经不存在了。因此学习黑客从一开始就要尽量阅读英文资料、使用英文软件、并且及时关注国外着名的网络安全网站。
二、学会基本软件的使用:
这里所说的基本软件是指两个内容:一个是我们日常使用的各种电脑常用命令,例如ftp、ping、net等;另一方面还要学会有关黑客工具的使用,这主要包括端口扫描器、漏洞扫描器、信息截获工具和密码破解工具等。因为这些软件品种多,功能各不相同,所以本书在后面将会介绍几款流行的软件使用方法,学习者在掌握其基本原理以后,既可以选择适合自己的,也可以在“第二部分”中找到有关软件的开发指南,编写自己的黑客工具。
第三节、网络安全术语解释
一、协议:
网络是一个信息交换纯拥有这些物理设备并不能实现信息的交换,这就好像人类的身体不能缺少大脑的支配一样,信息交换还要具备软件环境,这种“软件环境”是人类实现规定好的一些规则,被称作“协议”,有了协议,不同的电脑可以遵照相同的协议使用物理设备,并且不会造成相互之间的“不理解”。
这种协议很类似于“摩尔斯电码”,简单的一点一横,经过排列可以有万般变化,但是假如没有“对照表”,谁也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样,它们通过各种预先规定的协议完成不同的使命,例如rfc1459协议可以实现irc服务器与客户端电脑的通信。因此无论是黑客还是网络管理员,都必须通过学习协议达到了解网络运作机理的目的。
每一个协议都是经过多年修改延续使用至今的,新产生的协议也大多是在基层协议基础上建立的,因而协议相对来说具有较高的安全机制,黑客很难发现协议中存在的安全问题直接入手进行网络攻击。但是对于某些新型协议,因为出现时间短、考虑欠周到,也可能会因安全问题而被黑客利用。
对�...
上海分类信息网,免费分类信息发布

VIP推荐

免费发布信息,免费发布B2B信息网站平台 - 三六零分类信息网 沪ICP备09012988号-2
企业名录