最近幾年,信息安全方面的問題日益嚴重,許多同學深受其害(比如網絡釣魚、盜用銀行卡、蠕蟲木馬泛濫、僵尸網絡盛行等等)。俺竊以為,很大一部分原因在于相應的掃盲教育沒有跟上。且不說普通的電腦菜鳥對信息安全一無所知,即便是很多IT公司的
專業技術人員,對此也知之甚少。其后果就是:很多菜鳥級的攻擊手法屢試不爽,很多平庸的攻擊者屢屢得手。有鑒于此,俺打算抽空普及一下信息安全相關的東東,或許能對某些同學有所幫助。
其實信息安全方面的話題非常之多,俺經過左思右想之后,決定先拿社會工程學來掃盲一下。至于為啥先說它,后面會解釋原因。
★
社會工程學是啥玩意兒? 俺喜歡把信息安全分為“
硬安全”和“
軟安全”兩個部分。所謂“硬安全”主要包括具體的IT安全技術(比如防火墻、入侵檢測、漏洞掃描、拒絕服務攻擊、緩沖區溢出攻擊、等等);而“軟安全”主要涉及管理、心理學、文化、人際交往等方面,與具體的IT技術無關。今天所說的社會工程學,實際上就是“軟安全”的范疇。
通俗地說,社會工程就是:攻擊者利用“
人”自身的弱點(往往是心理學層面)來獲取信息、影響他人,從而達到自己不可告人的目的。光這么說稍顯簡單,更詳細的定義可以參見“
這里”。不懂洋文的同學可以看“
這里”。
★
為啥要了解社會工程學? 開頭已經提到了安全基礎知識的普及度不夠。那為啥俺要先介紹社會工程學捏?主要有如下幾點原因:
◇普及度不夠
首先,社會工程是信息安全中一個經常被忽視的偏僻角落。即便很多IT安全領域的從業人員,往往也缺少社會工程學的相關
常識。比如很多人都知道什么是防火墻、殺毒軟件,但是卻從來沒有聽說過
社會工程學。
◇重視不夠
大部分的安全廠商都把注意力集中在“硬安全”方面(比如現在防火墻廠商、殺毒廠商多如牛毛),很少有安全廠商把社會工程掛在嘴邊的。以此
相反的是:現有的信息安全攻擊,大都以“軟安全”作為攻擊者的突破口,只有一小部分是純粹通過“硬安全”來進行的。(這又是一個
二八原理的生動例子)
為啥攻擊者喜歡從“軟安全”層面進行突破捏?因為人性的弱點是很難在短時間內得到改善的(尤其是人多大公司、大機構,更是如此)。所以,“軟安全”方面會遺留很多可以利用的漏洞,攻擊者只要善于利用這些漏洞,就可以輕易侵入。
◇用處大大滴
不過捏,光是鮮為人知、重視不足,還不至于讓俺花這么多口水大力忽悠。還有另一個原因是:社會工程學的常識非常有用,而且它的用處不限于信息產業(幾乎所有行業都用得著)。具體有些啥用處捏?
首先,了解起碼的社會工程學常識能夠讓你對相關的攻擊手法(攻擊手法的介紹參見“
這里”)有
基本的防范,不至于輕易上當。要知道,有很多人被攻擊者利用了之后,自己還渾然不覺。
其次,如果你是公司的老板或者某個管理層的頭頭,你可以在自己的職權范圍內進行相關的掃盲培訓(后面的帖子會介紹如何防范)。
最后,假如你看完本系列后,發現自己在社會工程方面很有天賦,那或許可以考慮朝這個方向發展。比如搞個商業間諜之類的工作干干,沒準也很有前途哦。不過捏,一旦將來被抓被關、被殺被剮,本博主是概不負責滴
:-) ★
本系列帖子能給你啥幫助? 如果你從來沒有聽說過社會工程學,僅僅想掃盲,那只需看本帖即可,后續的內容無需多看。
如果你希望對社會工程攻擊能夠有
基本的防范,建議看看后續的“
攻擊手法”、“如何防范”。
如果你對社會工程學這門學問很有興趣,建議看完本系列所有帖子。
如果你已經是社會工程學的老手,請不吝賜教,本系列帖子您老就不用看了。
★
本系列帖子不能給你哪些幫助? 本系列帖子
不能幫你成為社會工程學的高手。要達到此目的,請先
確保自己有這方面的天賦,接著再通過《
欺騙的藝術》(
凱文·米特尼克所著)進行深造。
本系列帖子
不能幫你化解
所有的社會工程攻擊。畢竟社會工程學的手法太多、涉及的面太廣。有些新穎的手法,其設計之巧妙、用心之險惡,估計連俺都會輕易入套。
為了方便閱讀,把本系列帖子的目錄整理如下:
1、
攻擊手法之信息收集 2、攻擊手法之假冒身份
3、攻擊手法之騙取信任
4、幾個攻擊的示例
5、你該如何防范?
6、書評:《欺騙的藝術》
追求原創,歡迎轉載。
轉載必須包含本聲明、保持本文完整。并以超鏈形式注明作者編程隨想和本文原始地址:
http://program-think.blogspot.com/2009/05/social-engineering-0-overview.html