摘要:提到網(wǎng)絡(luò)安全就不得不提黑客。黑客�����,網(wǎng)絡(luò)的最主要的玩家���。有了網(wǎng)絡(luò),有了黑客�����,也就有了網(wǎng)絡(luò)安全這個(gè)概念�����。社會(huì)工程學(xué)是黑客攻擊網(wǎng)絡(luò)的主要的手段之一����。尤其是這幾年社會(huì)工程學(xué)攻擊越來越猖獗��,所以了解社會(huì)工程學(xué)是很有必要的��。知己知彼,百戰(zhàn)不殆�����。本文主要介紹一下社會(huì)工程學(xué)的含義�、起源����,發(fā)展,其進(jìn)攻手段以及防范社會(huì)工程學(xué)的攻擊的方法與技術(shù)����。
關(guān)鍵詞:非傳統(tǒng)信息安全�,社會(huì)工程學(xué)師,網(wǎng)絡(luò)釣魚攻擊�����,數(shù)據(jù)加密���,數(shù)據(jù)隱寫。 隨著電子商務(wù)的不斷發(fā)展�,全球電子交易一體化將成為可能。信息成了越來越重要的財(cái)富�����。但是����,開放的信息系統(tǒng)必然存在眾多潛在的安全隱患�,黑客和反黑客����、破壞和反破壞的斗爭仍將繼續(xù)���。在這樣的斗爭中�����,網(wǎng)絡(luò)信息安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來越受到人們的關(guān)注�。
那么什么是社會(huì)工程學(xué)攻擊?提到社會(huì)工程學(xué)不得不提一個(gè)人��。相信對網(wǎng)絡(luò)有較深入的玩家都知道凱文·米特尼克���。他是黑客中的王者����。在他身上體現(xiàn)了什么是真正的社會(huì)工程學(xué)�����。他締造了一個(gè)又一個(gè)神話��。15歲侵入“北美空中防務(wù)指揮系統(tǒng)”的計(jì)算主機(jī)內(nèi)����。緊接著又侵入了“太平洋電話”公司����,更改了數(shù)據(jù)庫中的數(shù)據(jù)。這只是他輝煌歷史的一個(gè)小小的片段。他的這一切的輝煌經(jīng)濟(jì)靠得不僅是傳統(tǒng)系統(tǒng)的系統(tǒng)的入侵����,更主要的是社會(huì)工程學(xué)。
社會(huì)工程學(xué)就是利用人的心理弱點(diǎn)(如人的本能反應(yīng)����、好奇心、信任�����、貪婪)�����、規(guī)章與制度的漏洞等進(jìn)行諸如欺騙�����、傷害等手段���,以期獲得所需的信息(如計(jì)算機(jī)口令�����、銀行帳號信息)�。社會(huì)工程學(xué)有狹義與廣義之分。廣義與俠義社會(huì)工程學(xué)最明顯的區(qū)別是會(huì)與受害者進(jìn)行交互式行為��。比如�����,你會(huì)設(shè)置一個(gè)陷阱使對方調(diào)入�����,或是你會(huì)偽造一封來自內(nèi)部的虛假電子郵件���,或者你會(huì)利用相關(guān)通信工具於他們交流獲取敏感信息�。廣義的社會(huì)工程學(xué)師師不會(huì)亂去下載網(wǎng)站與論壇的數(shù)據(jù)庫碰運(yùn)氣�。而是清楚的知道自己需要什么信息,應(yīng)該怎樣去做���,從收集的信息當(dāng)中分析出應(yīng)該與哪個(gè)關(guān)鍵人物交流�。這就是真正的社會(huì)工程學(xué)師攻擊的思想����。社會(huì)工程學(xué)入侵與傳統(tǒng)的黑客入侵有著本質(zhì)的區(qū)別,是非傳統(tǒng)的信息安全���。它不是利用漏洞入侵����,而是利用人為性的漏洞�����。它無法用硬件防火墻��、入侵檢測系統(tǒng)�,虛擬專用網(wǎng)絡(luò),亦或是安全軟件產(chǎn)品所能防御的�。社會(huì)工程學(xué)不是單純針對系統(tǒng)入侵與源代碼竊取,本質(zhì)上��,它在黑客攻擊邊沿上獨(dú)立并平衡著�。它的威脅不僅僅是信息安全,更包括能源�、經(jīng)濟(jì)、文化���、恐怖主義等�。國防大學(xué)盧凡博士曾經(jīng)說過:“它(社會(huì)工程學(xué)攻擊)并不能等同于一般的欺騙手法,���,即使自認(rèn)為最警惕最小小心的人�����,一樣會(huì)受到高明的社會(huì)工程學(xué)手段的損害���,因?yàn)樯鐣?huì)工程學(xué)主導(dǎo)著非傳統(tǒng)信息安全,所以通過對它的研究可以提高對非傳統(tǒng)信息安全事件的能力�����?��!?/P>
現(xiàn)在的大多數(shù)攻擊的典型入侵手段既傳統(tǒng)的系統(tǒng)攻擊與腳本攻擊���,由于安全廠商不斷提供完備的解決方案變得越來越難了。在這樣的情況下社會(huì)工程學(xué)慢慢的成了主流入侵技術(shù)��,他們通過信息搜集與撥打電話式的社交直接索取密碼����,使得入侵更加容易����。但同時(shí)就網(wǎng)絡(luò)安全提出了更高的要求���。是不斷完善的安全技術(shù)推動(dòng)了社會(huì)工程學(xué)的進(jìn)一步發(fā)展。因此����,想確保網(wǎng)絡(luò)信息安全,就必須了解其主要的進(jìn)攻手段���。
首先介紹一下網(wǎng)絡(luò)釣魚攻擊�。
網(wǎng)絡(luò)釣魚(Phishing)一詞�,是“Fishing”和“Phone”的綜合體,由于黑客始祖起初是以電話作案��,所以用“Ph”來取代“F”��,創(chuàng)造了”Phishing”�。其含義是通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名����、口令����、帳號 ID �、 ATM PIN 碼或信用卡詳細(xì)信息)的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個(gè)通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上��,并獲取收信人在此網(wǎng)站上輸入的個(gè)人敏感信息����,通常這個(gè)攻擊過程不會(huì)讓受害者警覺。這些個(gè)人信息對黑客們具有非常大的吸引力����,因?yàn)檫@些信息使得他們可以假冒受害者進(jìn)行欺詐性金融交易,從而獲得經(jīng)濟(jì)利益��。受害者經(jīng)常遭受顯著的經(jīng)濟(jì)損失或全部個(gè)人信息被竊取并用于犯罪的目的��。案例:今年2月份發(fā)現(xiàn)的一種騙取美邦銀行(Smith Barney)用戶的帳號和密碼的“網(wǎng)絡(luò)釣魚”電子郵件���,該郵件利用了IE的圖片映射地址欺騙漏洞����,并精心設(shè)計(jì)腳本程序,用一個(gè)顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄��,使用戶無法看到此網(wǎng)站的真實(shí)地址�。當(dāng)用戶使用未打補(bǔ)丁的Outlook打開此郵件時(shí),狀態(tài)欄顯示的鏈接是虛假的���。當(dāng)用戶點(diǎn)擊鏈接時(shí),實(shí)際連接的是釣魚網(wǎng)站http://**.41.155.60:87/s��。該網(wǎng)站頁面酷似Smith Barney銀行網(wǎng)站的登陸界面�����,而用戶一旦輸入了自己的帳號密碼����,這些信息就會(huì)被黑客竊取。 攻擊者也在不斷地進(jìn)行技術(shù)創(chuàng)新和發(fā)展��,目前新的網(wǎng)絡(luò)釣魚技術(shù)已經(jīng)在使用中��。例如��,用戶會(huì)受到一則即時(shí)通訊消息或一封電子郵件����,消息或電子郵件自稱是朋友想讓用戶看渡假或生日舞會(huì)的照片��,其中包含有指向釣魚式網(wǎng)站的鏈接�。該網(wǎng)站能夠記錄用戶的ID和密碼�,并將用戶引導(dǎo)到真正的Yahoo Photos網(wǎng)站。
其次是傳統(tǒng)的社交手段����,如前面提到的通過打電話的方式,使用專業(yè)的術(shù)語�,提出內(nèi)部人員使用的ID,讓一個(gè)系統(tǒng)管理員登陸系統(tǒng)�,并將其傳真過來便可搞定。
社會(huì)工程學(xué)的手段還有很多���,但不是很常見�。謹(jǐn)記以上欺騙手段便可以在一定程度上保護(hù)自己的信息���。下面介紹如何一下防范社會(huì)工程學(xué)攻擊�。
社會(huì)工程學(xué)攻擊竊取的是你的信息��,所以你只需對你的信息做一些處理就能達(dá)到一定效果����。黑客也許對你的電腦做了一些手段����,來竊取你的機(jī)密信息�。如果你的信息僅是幾段字符串的話(例如系統(tǒng)、郵箱等的登錄口令)��,利用COPY復(fù)制命令很容易完成簡單的隱藏工作)����。這個(gè)方法的原理是將兩個(gè)不同類型的文件進(jìn)行合并���,如將記事本文件與圖片文件合并成新的圖像文件�����,記事本的信息只是追加在圖片文件數(shù)據(jù)尾�����,且是明文顯示的��,要查看信息時(shí)只需要記事本打開�。這只是一個(gè)小技術(shù)而已。下面介紹一下數(shù)據(jù)隱寫技術(shù)��。
數(shù)據(jù)隱寫技術(shù)是用隱寫軟件在圖片����、音頻、文本等文件鐘隱藏了信息�,當(dāng)再次試圖解碼是仍然得使用該軟件進(jìn)行解碼,所以將所有相關(guān)的東西都放到U盤中��,才能保證你的數(shù)據(jù)安全�����。數(shù)字隱秘技術(shù)包括QR密文信息隱寫����,MP3音頻文件信息隱寫,BMP與GIF圖片文件信息隱寫,TEXT���、HTM�、PDF文件信息隱寫�����,在線JPEG與PNG圖片信息隱寫以及反匯編技術(shù)信息隱寫等。
數(shù)據(jù)加密技術(shù)是什么�����?是指將一個(gè)信息(或稱明文���,plain text)經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換��,變成無意義的密文(ciphertext)���,而接收方則將次密文經(jīng)過解密函數(shù)、解密鑰匙還原成原文����。加密的基本功能包括:
1. 防止不速之客查看機(jī)密的數(shù)據(jù)文件���;
2. 防止機(jī)密數(shù)據(jù)被泄露或篡改���;
3. 防止特權(quán)用戶(如系統(tǒng)管理員)查看私人數(shù)據(jù)文件;
4. 使入侵者不能輕易地查找一個(gè)系統(tǒng)的文件����。
數(shù)據(jù)加密是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的一種重要機(jī)制�,雖然由于成本��、技術(shù)和管理上的復(fù)雜性等原因��,目前尚未在網(wǎng)絡(luò)中普及����,但數(shù)據(jù)加密的確是實(shí)現(xiàn)分布式系統(tǒng)和網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)安全的重要手段之一。
數(shù)據(jù)加密可在網(wǎng)絡(luò)OSI七層協(xié)議的多層上實(shí)現(xiàn)���、所以從加密技術(shù)應(yīng)用的邏輯位置看�����,有三種方式:
①鏈路加密:通常把網(wǎng)絡(luò)層以下的加密叫鏈路加密�,主要用于保護(hù)通信節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)����,加解密由置于線路上的密碼設(shè)備實(shí)現(xiàn)。根據(jù)傳遞的數(shù)據(jù)的同步方式又可分為同步通信加密和異步通信加密兩種�����,同步通信加密又包含字節(jié)同步通信加密和位同步通信加密����。
②節(jié)點(diǎn)加密:是對鏈路加密的改進(jìn)���。在協(xié)議傳輸層上進(jìn)行加密,主要是對源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間傳輸數(shù)據(jù)進(jìn)行加密保護(hù)�����,與鏈路加密類似.只是加密算法要結(jié)合在依附于節(jié)點(diǎn)的加密模件中�����,克服了鏈路加密在節(jié)點(diǎn)處易遭非法存取的缺點(diǎn)���。
③端對端加密:網(wǎng)絡(luò)層以上的加密稱為端對端加密��。是面向網(wǎng)絡(luò)層主體���。對應(yīng)用層的數(shù)據(jù)信息進(jìn)行加密����,易于用軟件實(shí)現(xiàn),且成本低�,但密鑰管理問題困難�,主要適合大型網(wǎng)絡(luò)系統(tǒng)中信息在多個(gè)發(fā)方和收方之間傳輸?shù)那闆r��。
在這個(gè)發(fā)展及其快的社會(huì)��,信息變得越來越重要�����,因此如何利用社會(huì)工程學(xué)保護(hù)好個(gè)人的信息是網(wǎng)絡(luò)信息安全的最重要的項(xiàng)目之一��,也是致力于網(wǎng)絡(luò)安全的工程師不得不考慮的問題��。
