|
 | 作者: chiruwn [chiruwn]
 论坛用户 |
登录 |
| 不可忽视的社会工程学 村野山人 ----------------------------------------------------------------- 我写这个贴子的主要目的是希望各位安全爱好者,不要一味盲目的只追求技术,安全不光只有技术而以,在此只是引个头,希望大家的眼界放宽一点。 ----------------------------------------------------------------- 黑客,在人们的心中都是技术含量很高的计算机高手,但是现在的“黑客”已经和以前黑客的方向偏离了,最早的黑客要从“真正的程序员(Real Programmer)”说起,他们主要来自工程界与物理界,他们戴着厚厚的眼镜,穿着聚酯纤维T恤与纯白袜子,用机器语言、汇编语言、FORTRAN及很多古老的编写程序,他们是黑客时代的先驱者,却默默贡献,鲜为人知。而现在在人们心中“黑客”这个名词已经和入侵、计算机犯罪等联系到了一起,所以我个人更喜欢将以入侵作为乐趣的人叫做入侵者或者是骇客。 很多年轻人向往着黑客这个名词,所以将自己融入网络中,忘记了现实,忘记了自己的真实身份,不断的寻找着计算机的漏洞。说到这里我不得我提一下“只会用工具的小孩子”,随着黑客工具越来越多,界面越来越友好,这种“只会用工具的小孩子”所带来的杀伤力也越来越强,这样另外一个名词也出现了“计算机安全爱好者”。这群人也是强烈的渴望着技术,和喜欢破坏的入侵者相比他们更乐于建设或者说是弥补,但是就在这时全心投入技术的他们却忽视了带来10%以上计算机网络安全问题的“社会工程学”。 “社会工程学”从字面上看来不带一点计算机技术的含量,猛然一听好像和计算机安全挂不上边,但是正是因为这好像挂不上边的“社会工程学”却带给了计算机网络难以估计的巨额损失。说起这篇文章的构思,要从前一段时间我的一个朋友遭到入侵说起。 我的朋友是一个系统管理员,和所有管理员一样,他掌握着公司网络的最高权限。有一天他打电话给我,很着急的说他们公司被入侵了,和往常一样,首先对他公司的IP扫描了一下,可是发现没有什么漏洞,最新的补丁也都打了,这样引起了我的兴趣,如果说他真的遭遇到入侵的话,那么一定是一个高手通过现在还未发现的漏洞入侵的,于是我急急忙忙的跑到了他们公司。 经过对日志的检查,除了一个IP地址登录过改了管理员密码外,没有任何被入侵的痕迹。我问他这个管理员的密码都有谁知道,他说除了他一个人谁也不知道,而且他的密码每周都要换,而且密码也相当强壮。这让我感觉非常奇怪,所以我就问他最近有什么特别的事情发生。他说没什么事情发生,就是最近他们买了一台服务器,昨天那个公司的人来电话说服务器有漏洞要远程进行升级工作,需要管理员的密码。我一听马上明白问题出在哪了,一般来说公司或者厂家不会向用户询问有关用户密码的事情,很明显这就是利用社会工程学的一个骗局。经过了半天的折腾,我终于拿回了管理员的密码,也让朋友了解了什么事社会工程学,可是通过这件事对我的触动却很大。 一直以来搞网络安全的都把注意力放在了技术的层面上,可是入侵不光是在技术上的,我的朋友就是一个很好的例子,还好他们公司并没有造成很大的损失,可是并不是所有的公司都是这么幸运,而且社会工程学的骗术又不是只有着一种。就像前一段时间,某省的工商银行的邮箱被盗,给所有网上注册的用户发了一封邮件,说是银行系统要升级需要用户的卡号和密码,虽然工行很快发布了通知,但是谁有知道有多少安全意识薄弱的人按照邮件的内容去做了呢? 利用社会工程学进行入侵的人,肯定在其背后有所图谋,否则很少有人花这么大的心思来构思一场巧妙的骗局,从某个层面来说利用社会工程学10%的入侵要比利用技术90%的入侵可怕的多。随着电子商务离我们越来越近,安全问题也越来越严重,真正高技术的入侵者毕竟只是很少的一部分,但是利用社会工程学的入侵者却不需要很强的计算机功底,也可以说一个对计算机一知半解的人也可以造成入侵。所谓的骗术,又有多少是已经用过但是至今我们还没有发现的呢?这个问题不是靠技术所能解决的,而是一种广泛的安全意识,但是这足够吗?让我们想想电视上报纸上报道了多少“马路边的骗局”,几乎每个人都能举出例子,可是现在还是有人不断的进入这种粗糙的骗局之中,这来给我们的将是长期的思索了! 在让我们看看国内的众多企业,他们的安全解决方案是什么?无非是防火墙加上防病毒,偶尔有安全意识的公司加上了IDS和将服务器放置到了DMZ区,但是有几家企业有自己的安全策略呢?就像上文我朋友的例子,如果他们公司有着明确的安全策略,那么这种事是绝对不会发生的,安全策略不光是一些规定,而是通过它让员工增强自身的安全意识,限制员工对网络造成安全问题。本来是很好的一个东西,到了国内却被那种“我花钱买了防火墙还能看见一个设备呢!买了安全策略我能看到什么?”的观念所代替,这让我们不得不感叹国内的安全意识了。 写了这么多无非是想提醒一下安全爱好者,不要把自己局限在一个技术的圈子里,真正搞好安全要从很多方面着手,社会工程学就是一个方面。在此希望所有的人都能重视网络安全,提高自身的安全意识。 |
| 地主 发表时间: 06/25 14:54 |
 | 回复: yy [yy]  论坛用户 |
登录 |
|
顶 我更喜欢人体工程学 |
| B1层 发表时间: 06/25 14:58 |
 | 回复: coki [coki]  论坛用户 |
登录 |
|
我建议你去看一下米特尼克的《欺骗的艺术》,这是译过来的名字,你去一下这是他刚出来不多时的书呀 |
| B2层 发表时间: 07/10 10:31 |
| 回复: coki [coki] 论坛用户 |
登录 |
|
我建议你去看一下米特尼克的《欺骗的艺术》,这是译过来的名字,你去一下这是他刚出来不多时的书呀 |
| B3层 发表时间: 07/10 10:32 |
 | 回复: group [group] 论坛用户 |
登录 |
|
人体工程学是什么东西 |
| B4层 发表时间: 07/11 23:51 |
 | 回复: city742 [city742] 论坛用户 |
登录 |
|
看来我什么也不知道 |
| B5层 发表时间: 07/11 23:57 |
| 回复: coki [coki] 论坛用户 |
登录 |
|
我们大家都得好好学呀 |
| B6层 发表时间: 07/15 09:37 |
 | 回复: baboo [baboo] 论坛用户 |
登录 |
|
灌水了,个人对楼主也很赞成,想想自己的实际就行了,大伙平时用的邮箱啊,论坛帐号啊,qq啊之类的密码是不是一样的?还有密码是不是自己的生日,电话号码,简单数字,姓名之类的?对普通的冬冬确实社会工程学比密码学还重要,不过到高层次了,想学点技术,还是学技术。 |
| B7层 发表时间: 07/15 19:47 |
 | 回复: hacker521 [hacker521] 论坛用户 |
登录 |
|
俺就是用的太多不一样,而且设置的又很强壮,搞到现在好多密码都记不清啦.害我最少损失了4台功能强大的肉鸡呀,心痛呀,55555^^^^^ |
| B8层 发表时间: 07/19 06:59 |
 | 回复: asolos [asolos] 论坛用户 |
登录 |
|
在<黑防>上讲的更清楚 嘿嘿 人都有反错的时候 欺骗术->很好 |
| B9层 发表时间: 07/27 07:13 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: [原创]不可忽视的社会工程学