起源
社會工程學社會工程學是黑客米特尼克在《欺騙的藝術》中所提出,
但其初始目的是讓全球的網民們能夠懂得網路安全,提高警惕,防止沒必要的個人損失。但在我國黑客集體中還在不斷使用其手段欺騙無知網民製造違法行為,社會影響惡劣,一直受到公安機關的嚴厲打擊。一切通過各種渠道散布、傳播、教授黑客技術的行為都構成傳授犯罪方法罪,如出版的《黑客社會工程學攻擊2》已被公安機關網安部門所關注,予以打擊;一切使用黑客技術犯罪的行為都將受到法律嚴厲制裁,請讀者慎用這把“雙刃劍”。
經過多年的套用發展,社會工程學逐漸產生出了分支學科,如公安社會工程學(簡稱公安社工學)和網路社會工程學。
據余星辰發表至公安部核心期刊《警察技術》2014年第2期《公安社工學在網路追蹤中的套用》文獻內容
,提出公安社工學概念。
手段
社會工程學的滲透技術所有社會工程學攻擊都建立在使人決斷產生認知偏差的基礎上。有時候這些偏差被稱為“人類硬體漏洞”,足以產生眾多攻擊方式,其中一些包括:
假託(pretexting),是一種製造虛假情形,以迫使針對受害人吐露平時不願泄露的信息的手段。該方法通常預含對特殊情景專用術語的研究,以建立合情合理的假象。
調虎離山(diversiontheft)
釣魚(phishing) 線上聊天/電話釣魚(IVR/phonephishing,IVR:interactivevoiceresponse)
下餌(Baiting)
等價交換(Quidproquo),攻擊者偽裝成公司內部技術人員或者問卷調查人員,要求對方給出密碼等關鍵信息。在2003年信息安全調查中,90%的辦公室人員答應給出自己的密碼以換取調查人員聲稱提供的一枝廉價鋼筆。後續的一些調查中也發現用朱古力和諸如其他一些小誘惑可以得到同樣的結果(得到的密碼有效性未檢驗)。攻擊者也可能偽裝成公司技術支持人員,“幫助”解決技術問題,悄悄植入惡意程式或盜取信息。
尾隨(Tailgating)
入侵詳解
大家一定知道超級黑客凱文·米特尼克吧,深為他的社會工程學所折服,美國國防部、五角大樓、中央情報局、北美防空系統……都是他閒庭信步的地方,沒有人懷疑他的真實身份,對於他所想獲得的信息如魚得水,這便是社會工程學的魅力。當然,社會工程學不是那么困難難以撐握,本文分為社會工程學—信息刺探、社會工程學—心理學的套用、社會工程學—反查技術等三部曲使大家走入社會工程學的神秘世界。 社會工程學師一般都幹了什麼呢?恐怕小菜們一定很想知道,是的,他們的目標或許是你的銀行賬戶、私人信息、或是對企業拿取一份商業秘密。不管如何,他們總會設法找到一個切入點,哪怕只需要你的一個名字,他就能越過你所裝的最好的防火牆或是防毒軟體,聽上去有點恐怖,但事實如此,如果他們開始精心設計一個的陷阱,一切皆有可能。因此社會工程學也給人蒙上一層神秘的面紗。
前言
在前幾期的>有介紹過一些社會工程學的技巧,但是,那是狹義的社會工程學,有的是與社會工程學沒有關係,比如利用dirshell掃描出大量的資料庫,一旦其中存在Email與QQ,便利用其密碼嘗試,運氣好便可成功獲得真實密碼,事實上這與心理學有關係,一般而言,18歲以下的人所擁有的密碼為1~2個,其它為1~3個。為什麼會出現這樣的呢?大部分人凡事講究方便自已,自信自已的信息一直處於安全狀態。小菜們一定看到,狹義的社會工程學給人的是不可信的。廣義的社會工程學是怎樣的呢?說白了便是空手套白狼。它要求的是你不僅知道目標的計算機信息,且必須通過信息收集了解目標弱點,即規則弱點、人為弱點,然後開始構造精心的陷阱讓目標交出攻擊者所想要的信息。
這裡說明一些社會工程學的誤區,有的並不能稱之為社會工程學,有的小菜別被誤導了。比如為了使用findpass找線上管理員的密碼,而關閉掉伺服器,迫使管理員登錄。請記著,這並不能稱之為社會工程學,而是一種蠢方法,雖然shutdown了伺服器,你能知曉管理員線上?明天或是後天,你有精力不停的等待么?菜鳥要知曉的是,社會工程學前提是離不開信息刺探,我們更好的方法是便是從篩選的信息將目標一步步引導入自已的控制範圍。
不可否認,社會工程學與生活的相關事物存在共通性,比如社交、商業、交易等都能看到社會工程學部分的影子,然而人們無法感覺。即使計算機與Internet相隔,配備高級入侵監測系統,而且也是專家人物維護,但不可忽視的是:每個人,都有弱點!而社會工程學師不但能善用這種弱點為他們服務,更危險的是,這種稍閃即逝的入侵難以察覺。這一部分簡而言之使小菜明白狹義的社會工程學與廣義的社會工程學的區別。下面將走進的第一部分便是信息刺探……
第一步:信息刺探
善用你身邊的信息
儘量利用現有所知道的信息,這些信息將能處理好突發事件,此類信息指的是規章、制度、方法、約定。規章,指的是一個行業的規章,我們可以認為是行規,或是內部約定,比如,貨攤A為了搶掉貨攤B的生意,故意壓低價格來龔斷是不對,違反了不正當經營法了。所以我們要儘量了解各行各業的之間的此類信息,比如校園,只有領導層內的人員才會擁有一份全校的師生的聯繫名單,服務行業通常有這樣和那樣的內部約定,了解此類信息對我們非常有利。
除了我們必須知道那些方法外,還需要的是業內術語。看到這兒,小菜一定會問什麼是術語了,它主要有什麼用?嗯,業內術語即不同行業之間的”黑話”,比如,我們黑客界的網路釣魚術語,一般人會認為是到網上去釣魚。當然,業內術語用處大著了,社會工程學的身份都是經常變換的,假設我們要冒充銀行業務員,就必須知道一些壓縮貸款、反擔保、關聯企業……等等一些術語,否則當我們試圖撥通一個分行經理的電話,他們就會出現激警,即經理髮現你的攻擊行為,由此可見術語的重要性。
所以在一個攻擊的起始,我們得做一些準備,假設我們的目標是一個數據恢復的企業,我們可以去買一本關於數據恢復的書,熟悉一些術語的概念。順便偽裝成一個訪客看看一些員工辦室牆上或是桌上的規章制度,如果去他們的垃圾處理場所,總會有一堆廢紙什麼的,但這裡面包含了重要的信息,我們可以稱之為垃圾的價值,比如會有一些客戶書,員工身份號聯繫等。小菜們一定明白,任何的信息都有利用的價值。
學習偵探的偽裝
假設我們獲取了目標部分信息,但必須通過對話得到更加敏感的信息,我們不可能直接讓對方發現吧,所以我們得先完成身份的偽裝。假設一個小菜的目標是某電器分行的銷售部,那么我們最好偽裝成另一分行的銷售人員,而且我們知曉他們公司內部的銷售術語,或我們再帶一份分行銷售報告書,我想對方一定不會懷疑你不是內部人員的。
任何的社會工程學師都會使人認為他是可信任的,友好的,有禮貌的,然而,這都是他們偽裝出來的假象。如果要表現出文質彬彬,這會要求我們行為與語氣上偽裝。社會工程學師有一點比偵探更妙的地方是不需要去往自已嘴上貼鬍子,哈哈。所以說,如果小菜想讓MM喜歡的話,不妨去模仿她心目中的男孩。
再談一下偽裝的要點,任何情況不不要泄露自身的真實信息。或許我們會碰到一些意外事件,所以,在開始準備的時候,帶上一張沒有多少餘額的手機,用完後就別再用了,這樣可免遭懷疑。還有比如通訊賬號QQ,永別使用自已的QQ,最好為自已準備一個信封,目標信息拿到後,將對方拖入黑名單。
人性的弱點
每個人都有心理弱點,沒有人永遠沒有心理弱點。可以說,此部分是社會工程學重要的部分,他們能夠利用人們的信任、樂於助人的願望和同情心使你上當。那么,我們應該怎樣去發現這類弱點呢?很簡單,我們只要構造一個精心的問題,冒稱他們的同事,設計一個幫助他們解決一個問題,那么,對方便會信任我們了,我們會更輕鬆獲得想要的信息,而且更不容被發現。菜鳥們一定經常有很多問題吧,但他們總是茫目的去找一個人幫助,或是想認一個師父,我有個這樣的經驗,一個晚上我收了50個徒弟,然而只是開了一個玩笑,我的方法很簡單,直接在Google搜尋:本人找師父,或在qihoo搜尋:找師父。然後幫助他們解決一個問題,兩三句話便獲取了他們的信任,有的還打算花錢請我,但我告訴他,只是開了一個玩笑,這個實例利用了他們對幫助的人信任。
組織信息構造陷阱
假設我們通過目標的同事撐握了信息,比如目標的真實姓名、聯繫方式、作休時間…等等。這還不夠的,高明的社會工程學師會把前前後後的信息進行組織、歸類、篩選。以構造精心準備的陷阱,這樣,可使目標自行走入。我打個比方吧,聲明喔,這是我朋友的一個案例,
A:你現在打不開論壇對嗎?
B:是的,打開是一片空白
A:那是由於身份認證錯誤,我是XX論壇管理員,你要把論壇的用戶名與密碼傳送到XX,以免系統稍後會恢復你的訪問。
B:現在嗎?
A:是的,我得馬上給你恢復,不然我作廢賬戶了。
不一會兒,朋友很順利得到他在某論論的VIP賬戶,論壇為什麼打不開了,被DDOS了,從這個例子我們可以看出組織信息的重要性,如果B能正確回答第一個問題,A可能會考慮換種方式,這個案例非常的簡單,那就是B對計算機方面不了解,害怕賬戶丟失,一點也不懷疑A就給了密碼,而這個密碼已乎通用了,大多數網民的密碼幾乎都為通用的,這樣會造成非常大的損失,例如一個黑客,他拖走了這個論壇的庫(資料庫),也許他的目標就是你,將其論壇的加密的密碼進行破解,那么的你密碼就已經泄漏了,這並不重要!要命的是如何你的密碼被發現是通用的(通常社工者拿到一個密碼之後會先測試一下你的信箱密碼是不是也是同樣的),如何被確認為是通用的,那么就將會發生損失最大的“一個密碼引發的'血案'”!所以小菜明白前輩們總告訴你不要使用同一個密碼,永別把密碼告訴第三者。
第二步:心理學的套用
從前面所說,我們知道人性的弱點在社會工程學中是重要的一部分,實際上,這是一種心理學的套用,是社會工程學的一個分支,本文從心理學角度分析社會工程學師凱文.米特尼克所著《欺騙的藝術》三個典型攻擊案例,為大家揭開心理學在社會工程學中的套用。
信譽支票
攻擊者需要從國家銀行查詢一個用戶的交易記錄,然而,銀行不可能答應這樣的要求,所以攻擊者開始他的動作。第一個電話,攻擊者撥通了國家銀行的電話,以私人問題順利從吉姆.安德魯斯獲知內部專業術語。第二個電話,攻擊者以信譽支票的客服代表撥通銀行開戶處,以調查方式獲取了他想要的信息。第三個電話,攻擊者以國家銀行職員撥通信譽支票處,最終知道目標的用戶的賬戶交易記錄。以下標有雙引號的文字,均為引用凱文.米特尼克的分析與總結。
"我給銀行打電話時,第一位年輕的小姐,吉姆,在我詢問他們如何向信譽支票確定自己身份時就有所遲疑,她猶豫著,不知道是否應該告訴我"。猶豫給我們傳遞了一個有效的信號,可以說此時的心理想法完全在於她左腦的判斷。左腦主管言語活動(聽、說、讀、寫)、數學.運算、邏輯推理等具有連續性、有序性、分析等功能,是進行抽象思維的中樞,所以這個時候我們需要給對方一個可信的理由。我想你一定有過在外借錢的經驗,當你試圖詢問一個陌生的小姐時,她會有點兒猶豫,而如果你告訴她,你是一名導演,在外迷路了,並給她一張導演名片,我想陌生的小姐都不會拒絕,因為小姐確信他是一名導演,名片使她無從懷疑。
"你必須依靠自己的感覺,仔細的傾聽馬克[受騙者]的說話內容和說話方式"。我們每個人的人生是奠基於兩種形式的信息傳送上。第一種是內在的傳送,那是在內心裡的描繪、細語和感受;第二種是外在的傳送、包括言詞、語氣、表情、舉止、行為等來與外界接觸,這決定了社會工程學是否成功。社會工程學師必須通過外在的傳送來篩選最有用的信息,來判斷對方的性格,感覺類型,心理特點。各種情緒的反應過程和導演的工作很像。不錯,他們為了確實達到戲劇效果,就得掌握住觀眾的視覺及聽覺。如果他要你害怕,就會提高音調,並出其不意地在銀幕上跳出意想不到的畫面;如果他要你興奮,他會利用音樂、燈光,以及會有那種效果的的畫面。即使是一個素材,導演也可以弄出一部喜劇或悲劇來,全看他是打算如何在銀幕上呈現。如果我們要控制一個人的心智活動,產生生理的行動,我們完全可以模仿斯皮爾博格導演一樣靈巧。
"獲得公司職員認為無關緊要的信息(實際上它是有用的)"。人人都有一種心理,那就是自已無關緊要的信息隨處放著,或許,他們認為很方便。我曾住在校外時,總有一些人讓我幫他們去取錢,然而,他們總把密碼寫在存拆卡上,他們似乎認為別人沒有卡就不能取錢,便如果我拿著他的身份證去掛失呢?你經常一定看到QQ上某人的個人資料吧,通常是站點、一段數字、手機、郵件、個性簽名,QQ-Zone,這給攻擊者很大便利,他們會很快判斷你的事業,心理弱點。某天一個陌生人說,我與你是同一個學校(公司),我知道你的名字,請別懷疑,快去更改你的資料吧,最好不要泄露你真實的聯繫方式,社會工程學師都精於此道。
一美分的手機
無線通訊公司發起了一個大規模的促銷活動,只要你登記接受一種資費方式,便可以得到一部全新的手機,只收一美分,然而精明的人知道有很多問題要問清楚。然而攻擊者討厭捆綁資費方式,他開始行動......第一個電話撥往西吉拉德電器連鎖店的泰德,謊稱是顧客很順利套取到另一職員姓名威廉.哈德利。第二個電話撥往北廣街連鎖店的凱蒂,冒稱威廉.哈德利使凱蒂信任他是連鎖店內部人員,並遵從他的要求將一美分的手機售給泰得.岩西(攻擊者)。
"人們會很自然地相信熟悉公司內部的業務流程和專業用語,並聲稱自己是公司同事的人"。在這一部分,我試圖以心理學中的NLP神經語言學來解釋,簡單說NLP就是研究語言,不論是有聲或是無聲,對神經的影響。我們的能力是奠基於自我控制神經系統的能力,凱文.米特尼克就是透過神經系統傳送特別的信息。你知道社會工程學經常使用的技法便是冒稱身份,使對方認可為內部人員。然而以NLP來說,這種技法稱之為模仿,NLP的三種形式:信念系統、心智序列、生理狀態,這三種形式你並不用花過多時間理解。事實上,NLP是強調行為、內心儲憶、生理狀態模仿,而社會工程學師冒稱身份以及使用專業術語,那是行為上的模仿。如果在行為的模仿無誤,別人便不會對你產生絲毫懷疑,由於公司強調的是團隊與協作精神,這成為每個職員左右銘,對於同事的請求與幫助都不會懷疑其可信,否則便與公司的團隊精神背道而馳,除非對方細心確認。
有必要單獨介紹一下NLP內心儲記作用,它經由五類感覺器官而測得的,換句話說,我們對周遭的認識,是透過視覺、聽覺、觸覺、嗅覺、味覺而傳送的訊息。所傳至腦子的信息就稱之為感元,其中以視、聽、觸感元為主。不同的人感元不同,有些人覺得圖畫對他們會有較大誘力,另外一些人都具種感覺傾向,內心儲記很少在社會工程學中利用,因為這種攻擊來去匆匆以保證免遭發現,若想一個星期使人信任你,未為失一個很好的方法。很多人一定有過追女生的經驗,你們一定會問她:你喜歡看電影還是聽歌?或是喜歡小飾物?假設她說喜歡看電影(視覺型),你可以夜晚放煙花,或是在一堆氣球寫上我愛你,那么,對方會開始對你產生信任感。你現在一定明白一些家庭不合,假設男的是聽覺型,女的視覺型,女的若是問,你愛我嗎?若男的說我愛你,女的說我無法感覺你愛我,很顯然,他們存在信任的危機,如果男的開著車去她公司送一束鮮花,結果顯而易見。
網路故障
鮑比的任務:對斯達伯德造船長辦公室電腦進後木馬植入。第一個電話,鮑比冒稱服務中心艾迪.馬丁,謊稱網路問題的出現,並套取到計算機連線埠號。第二個電話,鮑比冒稱鮑勃請求廠技術支持封掉連線埠號。第三個電話,湯姆.狄雷的求助掉入艾迪的陷阱,第四個電話,湯姆完全信任艾迪了,運行了鮑比的木馬程式。
米特尼克"這一次由於幫他解決了問題,令對方心存感激,於是湯姆同意下載一個軟體到他的計算機上"。這種心理很多人都存在,因為我們無法質疑對方誠意的幫助,而鬆懈對攻擊者的信任,若不能識別這種偽造的幫助的話。正如凱文.米特尼克所說:那很令人驚訝,基於那些精心構造的請求社會工程師可以輕易地讓人們幫他做事。前提是引起基於心理作用的自動回應,依賴於當他們覺得這個打電話的人是盟友時人們心理的捷徑。人們建立信任有多種途徑,然而他們都是無惡意的有意或是無意地通過交談與幫助建立信任關係。可社會工程師才不這樣想,他可以調查你暫時遇到哪些問題?如果你不經意在論壇或Google討論組進行求助,他會很輕鬆幫你解決,否則他可以自行給你製造問題,以期建立信任關係。對於偽幫助式的攻擊,中國人或是大部人心理都存在這樣的弱點,人是善良的,不可能時刻對攻擊者保持警惕性,除非個人進行細心驗證。
第三步:反查技術
什麼是反查技術?即反偵查技術。在黑客攻擊中,最重要的一部分不是成功侵入主機,而是清除痕跡,不要讓管理者發現被侵入及數據被偽造。同理,社會工程學也有這樣的概念,那么,我們得清除哪些痕跡以免遭網路0察(以下稱之為網警)的發現?這一部分我們從網警角度來看問題,看看他們如何來能否找到社會工程師的蛛絲馬跡。或者一句玩笑話:他們無法那么輕鬆找到一點痕跡。這裡以案例來講解,請注意,這是虛擬案例,不當之處,敬請指正。
現場
>數據存儲服務部小張
小張正忙著登記取出數據的客戶,這時內線突然響起。
小張:你好,數據存儲服務部。
小王:我是數據存儲後期服務部小王,我們前台計算機出現故障,呃,我需要你們的幫助。
小張:我可以知道你的員工ID嗎?
小王:嗯,ID是97845。
小張:我能幫助你什麼?
小王:我們網路出現故障,我需要你把XX企業數據複印一份,然後放在二樓客戶接待櫃檯,我們的人會取的。
小張:好的,身旁還有一大批的事,我馬上給你送去。
一如攻擊者所想,他很如願拿到某企業內部數據,並將其公布到網上。這使該企業受到嚴重經濟損失,他們開始向網警報案。然而,沒有一切線索,電話是企業的內線,而那個所謂的小王根本不存在,數據存儲伺服器更是完好無損,迫不得已,他們開始設法從網上流傳的企業數據追查IP來源,然而數據是經過多重路由傳輸,且經過了加密,案件陷入了絕境。相信小菜們一定有三個疑點:1.攻擊者如何知道內線號碼?2.攻擊者為何有某員工ID?3.攻擊者使用什麼方法隱藏了IP?這很簡單,如果你去醫院看過病,一定會注意牆上的主治醫師名單,上面標有ID,聯繫方式,及所在樓層房號,醫院的目的在於更佳完善為患者提供服務。同樣,數據存儲公司也設了這樣的名單。然而,這個案例里的小王沒有進入數據存儲服務公司,而是付了一部分費用給垃圾處理公司,允許他從中尋找一些東西,而攻擊者尋找的是一份舊的員工聯繫名單,旁邊也附了內線號碼。
IP如何隱藏的呢?我們看看四種方式傳輸日誌:1.直接IP,2.ADSL撥號,3.代理,4,隨機路由傳輸。這裡給小菜講解下,直接IP即擁有公網IP,發表的日誌也顯示真實的IP,我不推薦這種做法。ADSL上網,ISP會記錄下這個IP位址是在哪個特定時間由哪個電話號碼上線,你認為這仍然安全嗎?代理上網安全么?如果提供代理的主人或是代理服務商與網警妥協,關鍵是在於網警們有耐心與代理服務商協商。隨機路由傳輸,每次請求傳輸信息都會透過隨機路由進行的每一連串步驟都是經過加密的。此外,在這一連串傳輸線上的每部電腦都只會知道最鄰近的的幾台電腦地址,換言之,路由器B只知道路由器A經過它傳輸網頁,而這個傳輸請求可能又經過路由器C代轉。所以,你認為網警能從中找到一絲頭緒么?
接下來我們來了解網警的在乾什麼?他們的技術能否對抗社會工程學師。如果讀者尋找一些關於計算機取證技術方法及工具研究,我想你會找到最主要的信息,那就是他們重心在於入侵監測系統、數據恢復、加密破解、反向工程技術以及計算機取證軟體工具的使用。然而,他們忽略了人為的因素,社會工程學師的奇妙之處在於從人、規章尋找致命的漏洞。在面對社會工程學師的攻擊防護仍然是網路安全課程的一片空白,當這種攻擊趨入嚴重的狀態,這成了網路安全專家首要考慮的問題。然而更令人吃驚的是,網警偶而會發現攻擊源來自於他們內部。有一些媒體神化了網警,比如一次行動網警現場在網咖抓獲攻擊者,這並沒有什麼特別之處,而在於那位攻擊者沒有隱藏IP,使用的是公用電腦,這對於網警來說更容易確定IP源。
行為
你相信測謊儀么?不,我拒絕相信!說出這類話的只有兩類人,一類是心理學家,另一類便是社會工程學師。
這裡,我們開始從典型案例說起,那就是廣為人知的警'察抓小偷的故事。我們比較關注的是,警,察依靠什麼條件來分析誰最像小偷呢?人群中的小偷如何讓自已化為一縷空氣?這很簡單,一旦監控器里的人符合兩個明顯特徵:賊眉賊眼、東張西望,他們以此來判斷。小菜們一定碰到過所謂的算命師,他們有種不凡的能力便是,從你的衣著、行為、言語判斷你從事何種工作,遇到哪種煩惱。不錯,小菜們一定能猜到我想說的:行為能反映人的狀態。
OK,我們來談談現實與網路里的人的行為。從前面說知,行為能反映人,一旦我們將行為改變呢?北方人操起南方人的口氣,不僅衣著舉止投足都是一個活生生的南方人,你認為可能嗎?當然能,小菜們一定也會列舉一些劉德華、張學友等等N多演員,社會工程學裡的“偽裝”在明星的眼中是“演技”的說法,“演技”人人都會,一旦經過簡單的培訓,所表現的行為能躲過人的眼睛,小菜們一定認為不可思議,下面給你們一個作業,很簡單,和家裡人開一個玩笑。模仿你父親的說話方式給你的媽媽打一個電話,至於目的是什麼便自已想了。是的,這稍微會有些難度,那就是口音偽裝,社會工程學師才不會在意,隨便在網上下載一種變聲軟體,將所說的話經過變聲軟體轉換輸出。嗯?社會工程學師常用的軟體或是道具是什麼呢?小菜一定這樣問,這很簡單,只要社會工程學師手上有某物體,他們便會設法利用。
最後一個要求便是心理素質,測謊議依據你的說話聲音音調以及生理狀態作為判斷條件,當我們以測謊儀程式的漏洞來測試時,便會出現錯誤的結果,為什麼殺人犯偶爾無法通過測謊儀呢?他們的心情處於極度緊張狀態,每一次的回答絕對會打亂他們的心境。社會工程學師在這一方面具有較強的心理素質,若網警找不到一絲證據,主動權仍在於他的手上。
運用方法
它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候,在需要套取到所需要的信息之前,社會工程學的實施者都必須掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似,社會工程學在實施以前都是要完成很多相關的準備工作的,這些工作甚至要比其本身還要更為繁重。
你也許會認為我們的論點只是集中在證明“怎樣利用這種技術也能進行入侵行為”的一個突破口上。好了,其實這樣夠公平的了。無論怎么說,“知道這些方法是如何運用的”也是唯一能防範和抵禦這類型的入侵攻擊的手段了。從這些技術中提取而得出的知識可以幫助你或者你的機構預防這類型的攻擊。在出現社會工程學攻擊這類型攻擊的情況下,像CERT發放的、略帶少量相關信息的警告是毫無意義的。它們通常都將簡單地歸結於:“有的人通過‘假裝某些東西是真的’的方式去嘗試訪問你的系統。不要讓他們得逞。”然而,這樣的現象卻常有發生。
最脆弱的環節
社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。我們經常講:最安全的計算機就是已經拔去了插頭(注釋:網路接口)的那一台(注釋:“物理隔離”)。真實上,你可以去說服某人(注釋:使用者)把這台非正常工作狀態下的、容易受到攻擊的(注釋:有漏洞的)機器接上插頭(注釋:連上網路)並啟動(注釋:提供日常的服務)。
也可以看出,“人”這個環節在整個安全體系中是非常重要的。這不像地球上的計算機系統,不依賴他人手動干預(注釋:人有自己的主觀思維)。由此意味著這一點信息安全的脆弱性是普遍存在的,它不會因為系統平台、軟體、網路又或者是設備的年齡等因素不相同而有所差異。
無論是在物理上還是在虛擬的電子信息上,任何一個可以訪問系統某個部分(注釋:某種服務)的人都有可能構成潛在的安全風險與威脅。任何細微的信息都可能會被社會工程學使用者用著“補給資料”來運用,使其得到其它的信息。這意味著沒有把“人”(注釋:這裡指的是使用者/管理人員等的參與者)這個因素放進企業安全管理策略中去的話將會構成一個很大的安全“裂縫”。
一個大問題
安全專家常常會不經意地把安全的觀念講得非常的含糊,這樣會導致信息安全上的不牢固性。在這樣的情況下社會工程學就是導致不安全的根本之一了。我們不應該模糊人類使用計算機或者影響計算機系統運作這個事實,原因我在之前已經聲明過了,地球上的計算機系統不可能沒有“人”這個因素的。幾乎每個人都有途徑去嘗試進行社會工程學“攻擊”的,唯一的不同之處在於使用這些途徑時的技巧高低而已。
方法
試圖驅使某人遵循你的意願去完成你想要完成的任務是可以有很多種方法的。第一種方法也是最簡單明了的方法,就是目標個體被問到要完成你的目的時給予其一個直接的“指引”了。毫無疑問這是最容易成功的,也是最簡單與最直觀的方法了。當然,被指引的個體也會清楚地知道你想他們幹些什麼。
第二種就是為某個個體度身訂造一個人為的(注釋:通過捏造的手段)特定情形/環境。這種方法比你僅僅需要考慮到了某個個體的相關信息狀況附帶更多的因素,例如如何說服你的對象,你可以設定(注釋:刻意安排)某個理由/動機去迫使其為你完成某個非其本身意願的行為結果。這包括了遠至於為某個特定的個體創造一個有說服力的企圖而進行的工作,與大量你想得到的“目標”的相關知識。這意味著那些特定的情況/環境必須建立在客觀事實的基礎上。少量的謊言會使效果更好一些。
社會工程學中最精煉的手段之一就是針對現實事物的良好記憶能力。在這個問題上黑客與系統管理員會更為側重一點,特別是在某種事物與他們的領域有所關聯的情況下。為了說明上述的方法,我準備列舉一個小型的範例.......
[範例如下,當你把某個個體“置於”群體/社會壓力(注釋:其類型如輿論壓力等)下的處境/形勢時,個體很有可能會做出符合群體決定的行為,儘管這個決定很明顯是錯誤的。
一致性
若在某些情況下有人堅信他們群體的決定是對的話,那么這將有可能導致他們做出不同於往常的判斷/行為。比方說如果我曾發表過某個結論,論點的理由非常充分(注釋:這裡指的是符合群體中多數人的意願),那么往後無論我花多大的精力去嘗試說服他們,都不可能令他們再改變自己的決定了。
另外,一個群體是由不同位置/層次的成員組成的。這個位置/層次問題被心理學者稱之為“demand charac-teristics”(注釋:“意願的特徵性”),這個位置/層次問題在參與者的行為上受其濃厚的社會約束性所影響。不希望得罪其他的成員的、不想被其他人看出自己在會議中想睡覺的、不想破壞與自身關係良好的夥伴的觀點等的心態最終都會成為“隨波逐流”現象的形成因素。這種運用到特徵的處理方式是引導人們行為的一種有效途徑。
情形
無論怎么說,大多數的社會工程學行為都是被一些單獨的個體所運用的,因此諸如社會壓力與其它的一些影響因素都必須建立在和目標有一定的可信關係的情況下進行的。
如果處於這樣的情形下,當有了真實或者虛構出來的固有特徵時目標個體就很可能會遵循你的意願而工作了。這些固有特徵包括:
·目標個體以外的壓力問題。如讓個體相信某個行為的後果並不是他一個人的責任。
·藉助機會去迎合某人。這些行為更多取決於此個體是否認為某個決定能為某人帶來“好處”。這樣的行為可以使你與老闆的關係更為融洽。
·道德上的責任。個體會遵從你是因為他們覺得自己(注釋:在道德上)有義務這么做。這就是利用了內疚感。人們比較願意逃避內疚感,因此如果有一個“可能”會讓他們覺得有內疚感的話他們都會儘可能地去避免這個“可能”。
個人的說服力
個人的聲望/說服能力是一種常被用於促使某人配合/順從你的有利手段。使用個人說服力的目的並不是要別人強行接受你所指派的“任務”,而是增強他們對完成你所指派的任務的主動順從意識。
其實這是有些矛盾的。基本上,目標只是被我們簡單地引導到一個已經設定好的、特定的(注釋:故意安排的)思維模式上去。目標會認為他們可以控制住局面,在此同時他們也通過他們的力量幫助了你。
事實上,目標所得到的利益與他間接幫助你得到的利益此兩者是沒有衝突的。社會工程學使用者的目的是說服目標,使其有充分的理由去相信只需花費小量的時間與精力就可以“換取”得到利益了。
機會
存在著多個因素可以促使一個社會工程學使用者增加與目標“合作”的機會。
儘量少與目標發生衝突。使用平和的態度去面對對方可以提高達成目的成功幾率。拉攏關係或者發展新的關係,共同的煩惱又或者是一些比較特殊的任務都可以有效地迫使目標與你合作。
在這裡‘走向成功’的因素往往集中在你是否有能力去掌握與處理好你的說服力。這是非常重要的,這一點常被“騙子”(注釋:常常使用欺騙手段的人)認為是萬試萬靈的手段。心理學研究指出如果人們曾經遵照過某個極小的指引而工作(注釋:並獲得成功)時他/她就更可能會去遵照一個更大的(注釋:指引)了。在這裡如果曾有過合作的前科的話,那么這次再合作,達成的機會就很大了。
更好的方法是讓社會工程學者給予合作對象一些比較敏感的信息。尤其是一些非常逼真的視聽感觀,目標能夠現場看到或聽到你給他們的信息要比他們僅僅可以通過電話聽到你的聲音更能令他們信服。這個觀點一點也不稀奇,以書寫形式或電子方式進行交流的信息是很難讓人信服的。這就如同拒絕某人進行某個IRC風格的通信一樣。
關聯
不管怎么說,社會工程學.運用是否能成功也有取決於目標個體與你的目的有多大關聯的因素的。我們可以說系統管理員、計算機安全執行官、技術研究人員、那些依靠計算機/網路進行工作又或者通過其進行通信的人與大多數黑客使用社會工程學進行攻擊的目標都是有莫大的關聯的。
有高度關聯性的個體大多會被強而有利的論據所說服。事實上你可以給予他們更多強而有利的論據來支持你的觀點。當然,那些觀點也有薄弱的一面。你是否將論點薄弱的一面展現給有高度關聯的人知道將極大可能地決定你是否能說服此人。當某人有可能直接被社會工程學攻擊所影響,若此時出現薄弱的論據將有可能會導致其思想上產生“相反”的意識。所以面對與你的目的有關聯的人時你必須給予強而有力的論據,而避免出現理由薄弱的論據。
相對於對你的指引或你想得到的結果並不敢興趣的人,你可以把他們列入“低關聯的人”這個類別中去。相關的例子如:一個網路系統機構中的保全人員、清潔工人、又或者是前台接待小姐等。因為低關聯類別的個體並不會直接對你的目的/結果造成影響,而且他們往往不會去分析你用來說服他們的論點的雙面性問題。他們的決策往往會遵循你的意願又或者是完全不受其它的“意識”所影響。這些的“意識”如:社會工程學所提供的理由、表面形勢上的迫急性又或者是在某人強烈的說服下。憑經驗而論,在這樣的情況下我們只能儘可能地給予其更多的論據與理由了,估計這樣的效果會更好一些。基本上,對於那些與你的意識不一致的人,試圖用大量的論據和指引去說服他們更勝於他們與你的目的的關聯程度。
有一點是需要注意的:在進行某些工作的時候,能力低的個體更多會去仿效能力高的個體的行為模式。在計算機系統管理方面,“能力低的個體”大多是指上文所提到的“低關聯的人”。站在上述的觀點上考慮,不要試圖對系統管理員這類別的個體進行社會工程學攻擊,除非其能力不及你,不過這樣的可能性非常的低。
防禦他人的攻擊
合上述的資料能否讓讀者更好地保障他們整個計算機系統的安全呢?其實踏出“美好的”第一步就是要視乎員工們能否在自己的工作崗位上保障自己的計算機系統的信息安全。這不但需要你無條件地增強他們的安全防範意識,而且你自身也必須具備更高的警惕性。打個比方,如果你讓某人專門負責保護你的計算機系統安全的話,那么就有便利於那個人在沒有正常許可的情況下訪問你系統的可能了。
無論如何,對付與防禦這類型攻擊的最有效手段,也作為最常見的手段,就是“教育/培訓”了。第一步是教育你的雇員與那些有可能被利用作為社會工程學實施目標的人關於計算機/信息安全的重要性。直接給予容易攻擊的人們一些預先的警告已經足以讓他們去辨認社會工程攻擊了。不過要記著,在教育他們計算機信息安全的時候可以使用一些故事及其“雙面性”來作為例子。這並不是我自己的個人喜好喔。當個體明白了這個焦點的“雙面性”以後他們基本上就不會動搖他們所處的立場了。而且如果他們是專注於計算機安全技術的話,那么他們更有可能會站在維護你的數據安全的立場上。
也有不會遵從人們的說服力傾向而作出行動的思維因素的。在這裡你必須有清晰的思維、高度的創造力、可以應付和處理壓力的能力與適當的自信。壓力的處理能力與自信可以通過後天培養。至於自身的主張和見解常常被用於對員工的管理方面,訓練它可以減少某些個體被施行社會工程學攻擊的機會,也有助於其他方面的工作。
了解各種使人們的信息安全意識降低與威脅你的安全策略的因素。其實這方面只需要投入小量的精力就可以在降低安全風險方面產生很大的成效了。
結論
與普遍的思想觀念相反,運用社會工程學捕捉人們的心理狀態的技巧要比入侵一個sendmail容易得多。但如果你想讓你的員工去預防與檢測社會工程學攻擊的話,其效果絕對不會比你讓他們去維護UNIX系統安全的效果明顯。
站在系統管理員的立場上,不要讓“人之間的關係”問題介入你的信息安全鏈路之中,以至於讓你的努力前功盡棄。站在黑客的立場上呢,當系統管理員的“工作鏈”上存放有你所需要的數據時,千萬不要讓他“擺脫”自身的脆弱環節。
全新理論
公安社會工程學,簡稱公安社工學(PSE),英文Police social engineering,縮寫為PSE,它是當代必然的產物,它是巨觀把握各警種的整體合力,運用一切可用資源,尋找快速有效的方法加強公安各項工作的長效運作,建立平安全國、平安全球智慧防衛體系,保障國家安全、社會穩定的戰略。
提出背景
公安機關打擊刑事犯罪是一項艱巨複雜和充滿挑戰性的工作。實踐中為成功偵破案件並追捕逃犯,需要付出巨大的人力、物力和財力,特別是在追逃工作中,公安機關依靠有限的資源和基本的線索,往往是付出了巨大的努力,但成效甚微。本戰法結合在湖北警官學院政法幹警培訓的學習和研究,通過發掘和利用社會工程學(SocialEngineering)原理的精髓,將其套用到公安追逃實踐,並初步探索出一套實用技戰法,稱之為公安社會工程學(簡稱公安社工學)。
不戰而屈人之兵。—孫子兵法
穩定是硬任務,是第一責任。 —十七屆四中全會指示精神
開拓創新,摸索前進。 —曾欣廳長在禁毒工作中的批示
戰略推廣
(一)全國戰略。公安社工學在發展過程中,遇到過諸多的挫折,摸爬滾打中公安社工學團隊總結出了立體戰略、人才戰略、夢想戰略、真心戰略等四大戰略,並作為推動全國戰略核心馬達。“四架馬車”齊頭並進,為實現公安夢、中國夢而努力奮鬥!公安社工學立體戰略,公安社工學在推廣過程中,為首先實現全國戰略,對於立體戰略的定位、思考、分析放在重中之重的首要位置,是統領全局的核心。公安社工學人才戰略,公安社工學為實現全國戰略目標,把人才作為一種戰略資源,對人才吸引、合作作出的重大的、巨觀的、全局性構想與安排。公安社工學夢想戰略,公安社工學將夢想作為全面推廣全國戰略的種子,公安社工學的夢想就是改變世界,推動警務改革,尋求高效的警務機制,保障國家安全、社會穩定,為人民服務。公安社工學真心戰略,真心戰略是公安社工學的特色戰略,把每一次推進都落到實處,不搞花架子,通過對老百姓、同事、領導的真心,不斷解決公安實際工作的短板,實現全國推廣戰略。
(二)全球戰略。公安社工學全球戰略是與全國戰略同等高度的舉措,與全國戰略一樣,以構建平安中國、平安全球智慧防衛體系為目的,高效打擊犯罪,維護社會穩定。打防結合一直是公安機關的兩大法寶,將公安工作真正做到為國家、人民保駕護航上。
區別
| 對比項 | 一般社會工程學 | 公安社工學 | |
| 主體 | 黑客 | 執法者 | |
| 客體 | 受害者 | 罪犯 | |
| 運用學術的途徑 | 掌握大量的相關知識基礎,花時間去從事資料的收集與進行必要的如交談性質的溝通行為 | ||
| 使用學術的目的 | 套取資料為所欲為 | 偵查及取證 | |
| 最薄弱的環節 | 人是整個系統里最薄弱的環節,所謂“攻城為下,攻心為上” | ||
| 最終結果 | 套取隱私,實施犯罪 | 將罪犯繩之以法 | |
卡通形象卡通人物
公安社工學卡通形象誕生於2013年4月16日。公安社工學提出於2012年3月,作者余星辰、張俊,其運用價值得到充分展現。公安社工學五個卡通形象,由牛(原名:社槍神,特長槍法、格鬥等)、啄木鳥(原名:安柯男,特長公文、計算機等)、熊貓(原名:公警長,特長指揮領導、組織協調等)、海豚(原名:工學警,特長智商高的出奇達二百八十多)、犬(原名:學摩斯,特長現場勘驗、發現蛛絲馬跡、偵查辦案等)五個形象組成,分別代表人民公僕、懲惡鋤奸、中國特色、智慧、忠誠。
