记者把问题看浅了,或者自己故意装傻。事情自有公论,不知道100年后,我们的后代如何评价现在。
 
   杭州的徐小姐是腾讯QQ的老用户了,不过,最近发生的一宗QQ号码被封事件,开始让徐小姐变得警觉、惊恐直至愤怒了。

  (一)事件——QQ号码被查封

  6月里的一天,徐小姐像平时一样打开电脑上网,登陆QQ时,突然弹出一个窗口,提示“禁止使用”,徐小姐试了几次,仍然是这样。徐小姐后来回忆说:“我先是通过电子邮件询问,没人理我,一个星期后,我终于忍不住打长途电话到深圳,问腾讯的客服,要她给我一个号码被封的理由。客服几分钟就查到了,说我下载了有关政治性的敏感文档,是有记录的,所以号码才会被查封。”

  记者在征得徐小姐的同意后,即以该QQ号码的使用者身份致电深圳腾讯公司,了解号码被查封的情况,在报出QQ号码和密码后,该客服人员让记者稍等,几分钟后,客服人员告诉记者,这个QQ号码在5月30日下载过敏感的信息,所以被查封,而且,“不可能要回来了”!

  按照徐小姐的回忆,她的确是曾经下载过一个文档,“如果不是腾讯有记录,我都想不起来了。可我连看都没有看全,又没有散布,这也要封号码?”更奇怪的是,徐小姐当时并没有使用腾讯的TE浏览器下载该文档。

  徐小姐怀疑,难道只要装了QQ就可以监视用户的电脑使用情况,并且可以把用户电脑中的资料回传到腾讯的服务器上?如果这是这样,那么,还有什么个人隐私可言?况且作为QQ会员的徐小姐,她本人的身份证号码、手机号码都是按照腾讯公司要求记录在案的。

  其实还不仅仅是涉及隐私问题这么简单,如果政府部门或者商业机构中有人在电脑中装有QQ,就有可能造成严重的信息外泄的安全隐患了。QQ捆绑的TE浏览器提供的“谁与我同在”的功能,就可以追踪和了解QQ用户访问了那些网站。

  (二)调查——用户信息被记录

  一位在软件安全问题方面颇有研究的业内人士向记者证实,通过Iris抓包软件,可以看到QQ在向服务器回传不明数据,并且这些数据是经过加密处理过的。

  《科学时报》刊登的一篇文章也表明,腾讯附加在QQ程序中的浏览器程序,提供的一项叫做“谁与我同在”的功能,能让任何用户都可以查到当前浏览的网页上有哪些其他的腾讯QQ用户,同时,也可以监控用户正在察看哪些页面,这些搜集来的用户浏览资料,是可以被商业化利用的。

  就在记者开始着手调查并要求对腾讯进行采访的当晚,徐小姐的QQ号码竟然自动解封,可以使用了。

  记者致电腾讯公司市场部,并通过电子邮件发送采访提纲要求采访。记者的主要问题是:

  1,QQ是否在监视每个用户的使用情况?包括访问那些网站、下载了什么文档?

  2,QQ在多大范围内监视这些信息,监视哪些信息?

  3,作为一家民营的商业性质的公司,用户的个人资讯和使用习惯如何保证不被他用?

  4,对于QQ的监视功能,如果被黑客或者其他情报机构利用,腾讯该负什么责任?

  5,对于政府部门或者商业公司的机密,腾讯是否也可以获知?

  (三)理由——企图染上政治色彩

  记者的采访提纲发出后,腾讯方面并未给予任何书面的文字答复,也没有做出正式的采访安排,而是通过北京的一家公关公司与记者联系沟通。

  该公关公司的人员按照记者留下的号码拨通了记者的电话,试图说服记者不要就此事进行追查和报道,她告诉记者,腾讯目前正处于强劲的上升趋势,而市面上各种即使通讯软件也是层出不穷,竞争十分激烈,如果因为记者的报道,引起腾讯QQ在商业上的损失,这是腾讯方面所不希望的。

  对于徐小姐QQ号码被封一事,该公关公司人士透露,是腾讯方面接到了上级有关部门的指令,才监视该用户的使用情况并封掉了她的号码,她不肯透露是是哪个部门要求腾讯这么做的,只是告诫记者,如果就此事进行报道,有可能会“牺牲”。显然是试图把商业问题蒙上一层政治色彩。而在听到这一消息后,徐小姐表示震惊和愤怒:“我怎么觉得阴森森的?把我当成国家的敌人了?”徐小姐还信誓旦旦地对记者保证,她绝没有通过QQ发布过任何不良信息,“如果有,让他们拿出证据来,发给谁了?”

  据记者调查了解到,对于网络公司及通讯软件公司,上级主管部门的确是提出过要求,对网络上有害的不良信息进行技术过滤和屏蔽,不得散布和传播,但却没有哪家公司接到过要求监视用户使用情况的指令,“真是要监视一个人,哪用得着他们呀”,一位曾作过情报工作的朋友这样告诉记者。

  (四)警惕——通讯软件安全有隐患

  一家通讯软件公司的技术人员告诉记者,在即时通讯软件中加进监控程序,在技术上不难实现,只要在用户本地机上加入几个关键词检索和过滤,就可以把关键信息传回服务器,而不用监视所有的聊天记录。

  有关人士介绍说,即时通讯软件都存在着安全隐患,作为消费者是有权知道这些的,而作为一家商业公司却没有权利监视跟踪用户操作记录的,尊重和保护用户的隐私及安全是国际上的通行商业准则。

  据赛迪网报道,6月14日,美国纽约州首席检察官办公室表示,AOL时代华纳旗下的Netscape将支付10万美元和解金,该公司因使用追踪用户下载情况的软件而遭投诉。

  另一方面,由于QQ本身的安全性能缺陷,针对QQ的各种黑客软件也在不断增长,在中国软件史上,QQ应该是受各种攻击最多的在线即时通讯软件。不少商业公司已经意识到QQ的安全问题,北京的一些单位和商业公司里,是严禁使用QQ软件的。

  在记者发稿前,腾讯方面通过电子邮件,给编辑发来了书面答复意见,而杭州的徐小姐却表示不会善罢甘休,她要“打电话问问看”。但无论如何,腾讯记录了该用户的使用信息,这不能不引起更多的使用者对网络通讯软件的安全问题引起重视。

  附录:腾讯公司的书面答复意见

  谷龙你好:

  关于就杭州用户号码被封一事所发来的提纲,腾讯公司的正式答复如下,希望你凭着客观公*正的态度去报道。

  首先需要严正申明的一点是,海量的信息之下,腾讯公司采取点对点的消息收发方式,决定了腾讯不能去监视用户在电脑上的操作情况。任何进行不实情况的报道的单位或个人,则需负相应责任。

  作为一种即时通信软件,腾讯QQ在技术上采用的原理是一种点对点的方式。也就是说,在大部分情况下,用户之间的沟通是从一个用户到另一个用户,不需要通过腾讯服务器的中转。只有在网络不稳,网络情况复杂或用户下线等特殊情况下,腾讯服务器才会帮助用户保存并中转留言。按照上级的网络安全信息处理的规定,通过服务器中转的留言,作为腾讯公司发出的消息,将会经过信息安全的过滤机制,该名用户正是因为通过腾讯服务器中转了含有敏感词汇的留言内容,因此腾讯做了封号处理。至于后来解封,是因为该用户的留言内容虽含有敏感内容,但还不属于有意传播非***法内容的情况。为了保障用户权益,我们对这个号码做了解封的处理。

  腾讯公司一向注重并保护用户隐私。关于该用户的留言内容,发送时间与对方号码,腾讯目前不能提供。

  如有需要,腾讯会在法律手续齐全的情况下提供。

  腾讯QQ为海量用户提供服务,每天有超过两千万用户上线沟通、聊天。发送消息量在10亿条/天左右,腾讯无必要也无能力保存每位用户的每条留言纪录,更谈不上监视一亿六千万用户的电脑使用行为。

  在主管部门的要求下,腾讯会配合主管部门对网络安全工作进行协助,并按主管部门要求做一些处理。一切行为均符合有关规定与要求。

  腾讯公司

  附:国内一资深程序员谈QQ和1984.

  从技术上来讲,象QQ这样安装在非常多的电脑里的软件内容: 非常合适拿来做监视软件。说穿了,就是非常合适在里面安装后门。

  “腾讯QQ为海量用户提供服务,每天有超过两千万用户上线沟通、聊天。发送消息量在10亿条/天左右,腾讯无必要也无能力保存每位用户的每条留言纪录,更谈不上监视一亿六千万用户的电脑使用行为。”

  这段话看起来似乎有道理。如果要拿一台大型服务器集中管理10亿条消息,那台服务器还真得投资巨大,运算速度巨大才行。

  但如果只在QQ软件本身对用户进行监视,利用每个用户自己的CPU运算资源,只发现“敏感”词汇的时候才将“敏感”消息传到特定的地方,需要用来监视的服务器就不需要太大型了。

  “作为一种即时通信软件,腾讯QQ在技术上采用的原理是一种点对点的方式。也就是说,在大部分情况下,用户之间的沟通是从一个用户到另一个用户,不需要通过腾讯服务器的中转。”

  如果QQ软件本身对使用这进行监视,点对点的消息也一样可以监视到。

  中国Internet的国际出口,每天多大的信息流量啊,在我们伟大的“长城”项目的科研成果管理下,如此巨大的信息流量,还不照样每条信息都过滤。

  没事多读几遍《1984》,学会夹着尾巴作人,不要乱说乱动,不要使用互联网,为人不做亏心事,就不怕半夜鬼敲门了。(华夏时报)

发现Opera比IE在载入Space的时候,明显快很多。顿时感觉我的老笔记本又焕发了活了。虽然Opera依然不能支持一些高级功能,比如RichTextEditor就无法显示。

墨尔本大学迎来了第九届挑战杯的参赛选手,一个济南大学的女生。
 
---

Challenge Cup winner starts at Melbourne

[ UniNews Vol. 15, No. 4  20 March – 3 April 2006 ]

A Chinese student who won a prestigious science and technology award for her work on public toilet access has started her studies at the University of Melbourne.

Ms Rui Zhang, 24, who studied at Jinan University in Shandong Province before coming to Melbourne, is beginning a Masters in Urban Planning in the University’s Faculty of Architecture, Building and Planning.

After winning the Challenge Cup in Shanghai last year, Ms Zhang was applauded for her paper, which looked at the trouble taxi drivers have accessing parking at public toilet sites.

She says the contrasts between Australia and China mean she will be looking at issues in her work at Melbourne that are very different to those China faces.

“In Australia there are so many open spaces and only 20 million people, in China there is a population of 1.4 billion so there are many different things influencing urban planning and sustainability,” says Ms Zhang.

Although she has not been in Melbourne for long, Ms Zhang said that she was already amazed by the city and the friendly people who are willing to help out.

Then there is the architecture: “There are such beautiful buildings and trees, and I am very interested in the heritage sites here.

“One area I am thinking about researching is how to best protect heritage sites, as I think conserving heritage is very important to both China and Australia,” she says.

Building a career: Ms Rui Zhang, studying Urban Planning at the University of Melbourne.

[ Photo: Paul Richiardi ]

 

济南大学

如此规范,急坏“的哥”“的姐”

 

一等奖

太阳能半导体制冷帽

曹梅

三等奖

双人行无动力电子导航观光车

闫允勇

三等奖

一等奖的,确实还是比较厉害~~~

有半个多学期没摸英语了,哈哈哈。耗时三天半,终于完成了Chinese version 0.1版。还有几处地方看不懂,没有翻译。翻译质量在后续版本中将会继续提升。
社会工程学在我国还没有正式的书介绍(可能因为这种知识较为敏感)。所以,这次凭着兴趣激情,将从网上精选出来的一段英文加以翻译。希望本文对你如何防范骗术能够有所启发。
感谢自由的百科全书en.wikipedia.org,太Cool了!

3 提早预防社会工程学攻击

策略

好的规定是安全项目中的重要基石。应该被写进听众的脑海中。换句话说,策略应该使用清晰的,简练的,无IT行话的文字书写。也应该说明在出现问题的时候应该问谁。

策略规定也有自己的生命周期,也应有一个评审日期,因为他们必须与时俱进。为了保持便于管理,作为一种凭经验制定的方法,应该至少每五年被全部审查一次,同时20%的内容应该每年评审。易变的规定,应该更频繁的审查,当问题出现,规定可能会被重写或修改来适应新的需求变更和新的技术。这样可以更新旧规定,清除过时的规定,新需求的加入,策略规定文件就更有活力了。更新后,带有版本号和日期的规定可以公布在企业内部网络中,这样,当前的版本总是易于获取的。

 

用于防范社会工程学攻击的规定可以落实在:

· 信息发布  安全规定应该明确谁可以在什么情况下发布信息。举个例子,好的规定指出所有的审查应该通过哪位指定的工作人员。

· 获得批准  安全规定应该决定:

u       在获得批准之前担保协议需要签字,

u       谁有权赋予访问系统的权限,他们能赋予何种级别的权限,

u       决定建立账户,终结账户所使用的方法,

u       制订具体的建立账户的流程,防止混乱,减少错误。

· 改变密码  规定应该允许使用特殊字符,数字,大小写字母来加强密码的强度。还应指出密码应该经常更换。要在易记性和密码牢固度上取得平衡,否则整个安全系统会因为雇员将密码写在纸上而前功尽弃。

· 调制解调器  规定应该清楚地指出不允许公司内部网络访问调制解调器,因为这将绕过公司设置的防火墙,留下后门。规定的附加条款应该允许IT安全部门员工能够经常地对调制解调器进行审查。

· 咨询台  应该有规定在没有首先核实雇员身份的情况下,禁止咨询台向其提供任何密码。通过以下方式核查:

u       回拨电话给职员验证地点;

u       在拨打电话时使用拨号身份号码;

u       雇员在电子邮件中使用数字签名;

u       雇员亲自来取信息。

4 参考资料

l         Social engineering (computer security)

http://en.wikipedia.org/wiki/Social_engineering_%28computer_security%29

www.wikipedia.org

 

l         A Proactive Defence to Social Engineering

Wendy Arthurs

August 2, 2001

http://www.sans.org/rr/papers/download.php?id=511&c=e6d84633591168825d37aa86392cfe87

 

l         Social Engineering Fundamentals

Sarah Granger

2001-12-18

http://www.securityfocus.com/infocus/1527

http://www.securityfocus.com/infocus/1533

第二部分:防范策略

完全进入

这是一共两章的社会工程学专题的第二部分。在第一部分里,我们定义了社会工程学是黑客用智慧,操纵人们相信他人的这一天性。黑客的目的是获取信息,利用这些信息来获得对有价值系统和系统中的信息的未经授权的访问。回顾一下:社会工程学最基本的目标与黑客活动一样,总的来说都是:为了制造欺诈,网络入侵,工业间谍,窃取身份或只是破坏系统和网络而去获得未经授权的到系统的访问。

 

我第一次尝试社会工程学是在了解这个术语的含义之前。在初中、高中时,我曾是我们学校所在区域的驾驶技术委员会学生代表。当我二年级的时候,这个行政区在准备组建跨越整个区的网络的前一年,想在我们学校测试这套计算机网络。他们招标并选择了建设网络的硬件和软件,我的工作是测试网络。一天,我注意到这些新机器和外围的设备都没有上锁,我就拿了一台显示器和一个鼠标,然后到楼下看有没有人注意到我。确实没人看到我。我决定把他们带出去。我成功的把东西带到了停车场的后面,后来我觉得这次试验已经成功,并把东西送还了回去。

 

事实上没有一个人注意到我,或者阻拦我。这让我重新思考网络安全到底意味着什么。我向负责人汇报了这次测试。第二年,在本区所有新电脑和设备都上了锁。我的经历说明,社会工程学攻击可以是如此的简单,直接而有效。至今,我都想知道因为没有防范社会工程学,学校和社区到底损失了多少计算机设备。接下来,本文会讨论一些帮助个人和组织机构防范社会工程学攻击的方法。我指的是反击社会工程学的策略。

从哪里开始呢?安全策略

社会工程学攻击包括两个不同的方面:一个是物理方面,即攻击地点,例如工作场所,通过电话,垃圾搜寻,网上;一个是心理方面,指的是实施攻击的方法,例如说服,模仿,迎合,从众和友善。因此,防范策略需要在物理和心理两个层面上都有所动作。雇员培训是必须的。很多公司犯的错误是只为物理层面的攻击作了应对计划。而从社会心理学角度来看,确实门洞大开。所以在最初,管理层必须了解开发、实施完善的安全策略和规程的必要性。管理层必须认识到如果没有足够的防范社会工程学和反向社会工程学攻击,那么他们在软件升级,安全设备和审计上花的钱只是浪费 (Nelson) 。策略的一个优势是,它消除了雇员回应黑客要求的职责。如果黑客的要求是被策略禁止的,那么雇员除了拒绝黑客的请求,没有别的选择。

 

坚固的策略可以概括,也可以具体,而我建议最好不要太概括也不要太具体。这样,策略的实施者在未来的规程修改中就有更大的灵活性,同时限制全体雇员,在每日的工作中不能过于放松(见安全焦点的《安全策略导论》系列)。安全策略应该讲述信息访问控制,建立账号,获得批准和密码修改。永远也不要让公司内部网络获得到调制解调器访问。应该配置锁具,身份认证以及碎纸机。违反安全策略的人应该被曝光并强制改正。

防止物理攻击

理论上,优良的物理安全似乎就像一个木头人,但是为了真正防止商业机密离开公司大楼,额外的谨慎还是需要的。任何进入大楼的人的身份都应该被检查、核实。无一例外。一些文档需要被放在上锁的文件抽屉里或者安全的存储地点(同时,抽屉等的钥匙不要放在显而易见的地方)。其它文档可能需要切碎——特别是那些放在垃圾筒旁边的。同样的,所有的磁存储媒体都应该分别消磁,因为“数据可以从被格式化的磁盘或硬盘中找回来。” (Berg)。将锁好的垃圾箱存放在有保安监控的安全地方。

 

回到大楼内,应该说,在网络上所有的机器(包括远程系统)都要切实落实好密码保护。(你可以在安全聚焦的文章《密码黑客——确保你的密码安全中找到一些有用的提示》)推荐使用屏幕保护密码,可以用PGP和其他加密程序来加密硬盘上的文件以提供额外的保护。

电话和电话网络

一种常见的犯罪是通过机构的电话交换机,或者私人交换分机,机构内部的专用电话网非法拨打长途电话。黑客们可以拨入电话然后假扮成某人,要求电话转接到外线,花这个机构的钱,打电话到世界各地。可以通过制定不允许转接电话,控制海外和长途电话,以及跟踪可以电话的策略来预防。如果遇见谁打电话过来,说他们是电话技术员,需要获得密码,那他或她肯定在说谎。就拿Verizon通讯公司的资料来说,电话技术员开展测试不需要用户的协助,因此应该怀疑要求密码或其他认证的事情 (Verizon)。所有的员工都应注意这点,他们就不会再上当了。

 

就像第一部分所讲的那样,咨询台是社会工程学攻击的主要目标,因为他们的工作就是告诉客户有用的信息。保护咨询台免受社会工程学攻击的最好方法就是培训。没有授权时,咨询台应该完全的拒绝泄露密码。(实际上,他应该是组织策略绝不能通过电话或者电子邮件泄露密码;相反,它们只应该透露给信任的人,有授权的人)回拨电话,个人身份号码和密码也可以增加安全性。如果有疑问,应鼓励咨询台工作人员“当感觉电话有问题时,停止服务” (Berg)。换句话说,只需要说不。

培训,培训,再培训

培训员工的重要性延伸到咨询台之外,横跨整个机构。根据企业机密信息专家,Pro-Tec Data公司总裁兼首席行政官Naomi Fine的资料,员工必须接受“如何鉴别应被考虑为机密的信息,并对自己保护它们安全的职责有清醒的认识” (Pro-Tec Data)。为了成功,机构必须将计算机安全作为所有工作的一部分,不管员工是否使用计算机(Harl)。机构里的每一个人都要明确的知道为什么这些指定的机密信息至关重要;因此,机构因为有了保护网络安全的责任感而获益。(Stevens)

 

所有的员工都应该接受如何安全的保存机密信息方面的培训。让他们参与安全策略(Harl)。请所有新员工参加安全讲座。每年为员工提供最新的资料。另一种被Fine女士推荐的方式是通过发行月刊增加员工的参与。就拿Pro-Tec Data公司来说,月刊包含真实的安全事故案例,以及这些事故可以如何防范。这使员工认识到放松安全意识潜藏着风险。根据SANS的记录,机构使用“下面的一些组合:视频,杂志,手册,标记,海报,咖啡杯,钢笔和铅笔,印有字的鼠标垫,屏幕保护,登陆横幅,记事本,桌面物品,T恤和不干胶” (Arthurs)。哇啊,我能生动的描述呆伯特在他的小卧室里的所有东西。然而,重要的是,这些观点经常变更,雇员们会忽略他们的意思,把它当作耳边风。。

识别社会工程学攻击

显然,为了对付攻击,能够分辨出攻击是很有用的。计算机安全研究院记录有许多可以用于分辨社会工程学攻击的征兆:拒绝提供联系资料,急匆匆地,借他人名声,胁迫,犯小错误(拼写错误,用词不当,古怪的问题),以及询问禁止泄漏的资料。“不能自圆其说。”试着想象你就是一名黑客。Bernz建议人们去熟悉一下这些作品,比如夏洛克.福尔摩斯故事系列,如何交朋友和影响他人,心理学书籍,甚至《宋飞传》(宋飞和乔治确实在编造故事方面很有一套)(Bernz)。要想了解敌人,就要学会换位思考。

 

公司可以不断地开展一些有关安全意识的活动来确保安全。公司的内部网络是实施这些方法的宝贵资源,特别是如果包含有在线通讯,电子邮件提醒,游戏训练,和严格的密码修改需求。最大的问题是,员工也许会变得得意洋洋而忘记安全。获得持续不断的保护的关键是在整个机构中不断地提醒注意安全——有些机构甚至创造了一些安全意识的节目,如上述发给员工的小玩意儿。

反击社会工程学攻击

如果员工察觉有可疑事情,他或她需要按程序报案。应有一个人负责追踪这个事情——最好是事故应急小组的成员,如果机构中有这个部门。同时,这位员工应该给其他相同职位的同事通报,因为他们也可能受到攻击。事故应急小组或者管理追踪此事的人(安全小组的成员和/或系统管理员)可以调整对事件做出适当的回应。

 

凯文·米特尼克曾在他的文章“我参加的第一次密码学会议”记录了一个有趣的事。米特尼克说,会议组织者决定不召开社会工程学会议是一个错误,他说:“你可以在这次展会,演说者和赞助商处花大价钱购买技术和服务,但是你的网络基础设施依然很容易受到过时的骗术的攻击。”这事是很重要的。提高认识,更多的安全机构应该在他们的程序和会议中优先考虑社会工程学。同时,机构、公司应该经常开展安全审计,这样他们的安全就不会变味。

 

下表列出了一些常见的入侵伎俩和防范策略:

危险区

黑客的伎俩

防治策略

电话(咨询台)

模仿和说服

培训雇员,咨询台永远不要在电话上泄露密码或任何机密信息

大楼入口

未经授权进入

严格的胸牌检查,员工培训,安全人员坐镇、

办公室

偷看

不要在有其他人在的情况下键入密码(如果必须,那就快速击键)

电话(咨询台)

模仿打到咨询台的电话

所有员工都应该分配有个人身份号码已获得服务台的支持

办公室

在大厅里徘徊寻找打开的办公室

所有的访客都应该有公司职员陪同

收发室

插入伪造的备忘录

监视,锁上收发室

机房/电话柜

尝试进入,偷走设备,附加协议分析器来夺取机密信息

保证电话柜、存放服务器的房间等地方是锁上的,并随时更新设备清单

电话和专用电话交换机

窃取电话费

控制海外和长途电话,跟踪电话,拒绝转接

垃圾箱

垃圾搜寻

保证所有垃圾都放在手监视的安全区域,对此记录媒体消磁。

企业内部网和互联网

在企业内部网和互联网上创造、安插间谍软件偷取密码

持续关注系统和网络的变化,对密码使用进行培训

办公室

偷取机密文档

在文档上标记机密的符号,而且应该对这些文档上锁

心理

模仿和说服

通过持续不断的提高员工的意识和培训

切实的防御

是的,现实中的防御是一项是人畏缩的任务。让我们现实一点,大多数公司没有财力和人力来完成以上列表中的所有项目。然而,有些用于防堵网络漏洞的钱可以调整一下。虽然不像网络漏洞般明显,但威胁是现实存在的;不过,我们也不希望制造一些草木皆兵的咨询台工作人员。只需要聪明和合理。保持士气高昂,并在不牺牲安全的条件下有一个宽松的企业文化是有可能的。对游戏规则稍作修改,入侵者就没有机会了。

1 社会工程学的定义

       社会工程学是通过操纵合法用户获取机密信息的一种方法。一个社会工程学工程师通常使用电话、互联网来欺骗,让人们暴露敏感的信息或让他们做一些违反某些规定的事情。社会工程学工程师利用人们的自然倾向,信任他或她的话,通过这种方法,胜于利用计算机的安全漏洞。人们普遍同意,“用户是脆弱的一环”的说法,用户的脆弱使得社会工程学成为可能。

 

一个现代社会工程学攻击的例子是利用包含恶意程序(比如,利用被害者的计算机发送大量垃圾邮件)的电子邮件。恶意邮件的泛滥,使软件提供商关闭了自动执行邮件附件的功能。现在,用户必须明确,才能激活附件。然而许多用户,依然无视他们收到的是什么附件,而直接打开,因此攻击奏效了。

 

或许最简单,但依然有效的攻击是欺骗用户,让用户以为是管理员,并且询问用户的密码来达到不同的目的。互联网用户经常收到一些信息,询问密码或信用卡信息,谎称是为了“设立他们的账户”或者“恢复操作”或者一些其他的良性操作。这叫做钓鱼攻击。应该尽早的、经常的提醒用户不要泄露敏感信息,密码等给声称是管理员的人。实际上,计算机系统的管理员很少需要知道用户的密码来完成管理任务。尽管如此,根据一个信息安全调查,仍有90%的办公人员用密码和一支笔作交换。

 

       社会工程也同样适用于面对面的实际接触,来获取接近计算机系统的机会。

 

培训用户学习安全策略规定并确保他们遵守之,是防范社会工程学攻击的主要办法。

 

Kevin Mitnick是当今最有名的社会工程学工程师之一。


2 社会工程学基础

第一部分:黑客的战术

一个真实的故事

几年前的一天早晨,一群陌生人步入一个大型船舶公司,然后拿着可以访问整个公司网络的密码走了出来。他们是如何做到的呢?他们只与少量的人有接触,从公司里不同员工那里一点一滴的获取信息。首先,他们在打算踏进公司大门之前,研究了这个公司两天。比如,他们打电话给人事部门,了解到了关键职员的名字。然后,他们装作丢失了钥匙来到正门,招待让他们进入。接着,他们进入第三层安全管制区,又“丢失”了身份牌,一个友善的员工为他们开了门。

 

这些陌生人知道,首席财政官出差了,他们因此能够进入他的办公室并从未上锁的计算机上获得财务数据。他们叫看门人搬了个垃圾桶过来,把所有文档放了进去,带着满满一垃圾桶数据离开了办公大楼。陌生人曾研究过了首席财政官的声音,所以他们能够打电话,假装首席财政官,说自己急需他接通网络的密码。至此,陌生人就可以使用通常的技术和黑客工具来获得访问系统的超级用户权限。

 

在这个例子中,陌生人是网络顾问公司的,他们进行的是其他员工不知道的,针对首席财政官的安全审计。在这之前,首席财政官没有给他们任何特别的信息,但他们却能通过社会工程学获得所有他们想要的访问权限。(这个故事是真实工作中的一个经历,是由Kapil Raina讲述的。他现在是Verisign的安全专家、《商业安全:初学者指南》的作者之一,)

定义

我所阅读的大多数讲社会工程学的书大多以对社会工程学的定义开始,比如“是一种让别人顺从你意愿的艺术和方法” (Bernz 2),“一个外部的黑客,为了得到他需要的信息来访问系统,而对计算机系统的合法用户使用心理骗局的方法” (Palumbo),或者是“从人那里获取需要信息(比如密码)胜过破解系统” (Berg)。实际上,根据你的观点,社会工程学可以是这些定义中的任何一个或者包含所有这些定义。有一件事大家似乎都同意,社会工程学是,黑客用智慧,操纵人们相信他人的这一天性。黑客的目的是获取信息,利用这些信息来获得对有价值系统和系统中的信息的未经授权的访问。

 

安全在于信任。信赖在于保护和真实性。一般大家对用户是安全链上最薄弱环节的看法一致,人天性相信别人的话,让我们易收到攻击。许多有经验的安全专家强调这个事实。不管有多少关于网络漏洞、补丁和防火墙的论文发布,我们只能减少一点点威胁。然后,在清算帐目时却由Maggie或者她的朋友作主。and then it’s up to Maggie in accounting or her friend, Will, dialing in from a remote site, to keep the corporate network secured.

目标和攻击

总的来说,社会工程学基本的目标和黑客技术是一样的:获得未经授权的到系统或者信息的访问,来欺诈,网络入侵、工业间谍、盗取客户身份资料或者只是破坏系统和网络。典型的目标包括电话公司、待客接电话服务、大型知名企业、金融机构、军事和政府部门,以及医院。互联网的爆炸发展The Internet boom had its share of industrial engineering attacks in start-ups as well, but attacks generally focus on larger entities.

 

找到合适的,现实的社会工程学攻击的例子很困难。目标机构,不是拒绝承认他们是牺牲品(毕竟,承认违背了基本的安全原则不仅仅是令人为难,还可能损害机构的名声)就是没有文件记录攻击,所以没有人能够真的确定是否曾遭到过社会工程学攻击。

 

至于为什么通过这种方式攻击目标机构,因为用社会工程学方法来获得违法访问往往比通过各种形式的技术破解更简单。既然是技术人员,事情就变得更简单了,常常只是拿起电话然后直接问某个人的密码。大多数情况下,这就是黑客们将做的。

 

社会工程学攻击发生在两个层面上:物理上的和精神上的。第一,我们要注意那些物理环境易受攻击:工作场所,电话,你的垃圾箱还有网络。在工作场所,黑客可以径直走进门,就像电影里的一样,并装作一个进入机构的维修工人或者顾问。然后,这个入侵者大摇大摆的穿过办公室直到他或她找到一些放在桌面上的密码,随后带着充足的信息离开这个办公大楼。晚上在家,黑客就可以开始探索这个公司的网络了。另一个方法更简单,只要站在那里,看一个健忘的职员如何输入他的密码就行了。

通过电话进行社会工程学攻击

最流行的社会工程学攻击方式是通过电话实施的。黑客会模仿某位领导或相关人员打电话,慢慢的将信息从用户口中套出来。咨询台特别易于受到这种攻击。黑客们可以假装是从公司内部电话交换网络上打来的玩笑电话或者是公司的电话接线员,所以来电者身份不并不一定是最好的防御措施。这里有一个由计算机安全研究院提供的经典电话交换网络欺诈:“嘿,我是美国电报电话公司业务推销,我在做一个调查。我需要你按一些键。”

 

这有一个更好的例子:“他们在午夜给你打电话,说:‘你在过去六小时之内打过电话到埃及吗?’‘没有啊。’然后他们会说:‘这个电话现在还在打,是从你的电话卡里打往埃及的,有人用你的卡消费了大约2000美元。你要对这2000美元负责,你必须付款……’他们继续说,‘我的工作就是在电话上为您取消这2000美元的费用。但是你需要读出你美国电报电话公司的卡号和个人身份号码,然后我会帮你取消这些收费。’接着,这个人中计。”。

 

因为咨询台的本职工作就是提供帮助,这一点可能被那些设法获得违法信息的人发现、利用,所以咨询台特别容易受到攻击。咨询台工作人员被训练成友善的,并且是毫无保留的告诉自己知道的,这简直就是社会工程学的金矿。大多数咨询台工作人员受过的安全方面教育极少,所以他们往往只是不断地回答问题,然后接听下一个电话。这会造成巨大的安全漏洞。

 

计算机安全研究院的主持人作了一个现场示范,演示咨询台是如何的易受攻击,他打电话到电话公司,经过转接,到达咨询台。“谁是今晚当班的?”“哦,是贝蒂。”“请贝蒂听电话。”[他的电话被转接给贝蒂]“你好贝蒂。倒霉的一天对不对?”“没有啊,为什么?”“你的系统崩溃了。”她说:“我的系统没有崩溃,我们一切正常。”他说:“你最好注销看看。”贝蒂注销了系统。他说,“现在登陆。”贝蒂再一次登陆了系统。他说,“我们这里一点显示都没有,我没看到你的状态有任何变化。再注销。”贝蒂又再一次的注销。“贝蒂,我必须用你的账号登陆,看看你的账号出了什么问题。把账号和密码告诉我。”接着,这个咨询台高级主管把账号和密码都告诉了他。

 

这个电话题材的变型是公用电话和自动取款机。黑客们确实是越过肩膀偷看,最后获得信用卡号和密码。(我的一个朋友在美国的一个大型机场就遇上了。)人们总是在机场里围着电话亭站成一圈,所以这个地方一定要倍加小心。

垃圾搜寻

垃圾搜寻也叫捡废品,是另一种流行的社会工程学攻击方式。从公司的垃圾袋里可以搜集到大量的信息。LAN Times列出了下面的这些东西,在我们的垃圾中他们是潜在的安全隐患:“公司电话簿,组织图,备忘录,公司保险手册,会议日历,时间和节假日,系统手册,打印出的敏感数据或者登陆名和密码,打印出的源代码,磁盘,磁带,公司信签,备忘录表,还有淘汰的硬件。”

 

对黑客来说,这些资源是提供丰富信息的宝藏。黑客可以从电话簿上了解到人的名字和电话号码,来确定目标或模仿对象。组织图包含在组织内谁是当权者的信息。备忘录里有增加可信度的小信息。规定手册向黑客展示该公司真正的有多安全(或者不安全)。日历就更好了,他们或许可以给黑客提供某一雇员在那个特殊的时间出差的信息。系统手册,敏感数据或者其他技术信息资源也许能够给黑客提供打开公司网络的准确秘匙。最后,淘汰的硬件,特别是硬盘,能够通过技术恢复数据并提供各种各样的有用信息。(我们将会在第二部分讨论如何处理所有这些东西;从碎纸机开始讲是最好的)

网上社会工程学

互联网对社会工程学工程师来说是一片收获密码的沃土。主要的弱点是许多用户常常是在某一个账户上重复使用相同的简单密码:雅虎,Travelocity Gap.com什么的。所以一旦黑客获得一个密码,他或她或许可以进入多个账号。其中黑客获取密码的一种方式是通过在线表格:他们可以发送一些有关你独得赌金的信息,并要求用户输入名字(包含电子邮件地址,她或许还能同时获得那个人的公司账户密码)和密码。这些表格可以通过电子邮件或者美国邮政发送。美国邮政从表面上看感觉更好,让你觉得发送邮件的像是大型企业。

 

在网上,黑客用来获取信息的另一个办法是假装成网络管理员,通过网络给用户发送邮件询问密码。这种社会工程学攻击一般不能成功,因为用户上网的时候更小心黑客,但是用户依然要注意。此外,黑客可以给用户安装程序,来弹出窗口。这些弹出窗口貌似网络的一部分,要求用户重新输入他的用户名或密码来修复某一问题。在这个时候,大多数用户应该知道不要以明文发送密码,但是系统管理员偶尔发出一些简单的安全措施,提醒用户还是应该的。要做得更好点,系统管理员可以警告他们的用户不管任何时候都不要泄露密码,除非是当面,与经授权的,可信赖的员工交谈。

 

电子邮件可以被用来以更直接的手段进入系统。举个例子,发送包含有病毒,蠕虫或者密码的邮件。一个很好的例子是VIGILANTe记录的攻破美国在线的案子:“在那个案子里,黑客打电话到美国在线,寻求技术支持,他和支持工程师攀谈了一个多小时。在谈话中,黑客提到他的汽车要低价出售。这位技术支持对此非常感兴趣,于是黑客发送了一个带有‘汽车图片’附件的邮件。‘图片’附件执行,打开一个后门,并绕过美国在线的防火墙建立了一个连接。”

说服技巧

黑客们从心理学的观点学习社会工程学,强调如何创造利于攻击的完美心理环境。获得说服力包括下面的一些方法:模仿,迎合,从众,分散责任,还有老用户。不管使用哪种方法,主要目的是使用户相信这个社会工程学工程师是他们可以信赖的,并将敏感信息泄露给他。另一个诀窍是,永远不要一次询问过多的信息,同时为了保持表面上良好的关系,应从不同的人身上获得一点点信息。

 

模仿通常意味创造某个人并扮演这个角色。角色越简单越好。有时候,可能仅仅是打个电话,说:“嗨,我是管理信息系统的乔,我需要你的密码。”但并不是每次都能成功。有些时候,黑客会研究一个机构里真实存在的一个人,等待他出差,然后在电话上假扮他。据Bernz的书上说,一个黑客曾经曾仅写了很多关于黑客的事情,他们用一些小盒子来伪装自己的声音并学习被害人的语音模式和组织结构图。我认为,这种模仿攻击极少出现,因为需要大量的准备工作,但它确实发生。

 

在模仿攻击中使用的常见角色有:维修工,IT技术人员,经理,受信赖的第三方(比如,总裁执行秘书,他说总裁授权他来取某个文件),或是同事。在一个大公司里,这并不难做到。因为你没有办法认识所有人,而身份标志可以是假的。黑客扮演的这些角色大多属于那些我们想去讨好的那类人,比如领导。大多数雇员希望给老板留下深刻的印象,所以他们会拼命提供领导需要的信息。

 

       从众是基于群体的行为,但有时可以用在对个人用户,告诉他其它每个人都已将现在讯问他的这些信息提供给了黑客来让用户信服,例如如果黑客假扮IT经理。当黑客用这种方式攻击,降低员工的压力,分散给出密码时员工的责任感。

 

当对方产生怀疑的时候,在社会工程学攻击中最好的方法就是友善。这个观点基于一般用户都会信任电话里的这位同事并希望提供帮助,所以黑客真的只需要做得让人觉得基本可信就行了。另外,大多数职员都会礼貌的回应,特别是对女性。稍微奉承一下,或者一句玩笑话对软化目标雇员使之合作可能会有帮助,然而,聪明的黑客知道在雇员产生怀疑之前的什么时候,停止追问信息。如果面对面时,一个微笑或简单的一句“谢谢你”都能奏效。如果还不够,新用户常做的也经常奏效:“我好烦啊,(眨巴眼睛)你能帮我吗?”

逆向社会工程

最后,更高级的获取非法信息的方法叫做“反向社会工程”。这种方法是黑客创造一个在某方面是权威的角色,雇员会主动来问他问题,而不是相反。如果研究,安排并执行得很好,反向社会工程学攻击可能提供给黑客更好的机会从雇员那里获得有价值的信息;可是,这需要大量的准备,研究和攻击之前的踩点。

 

根据Rick Nelson写的《黑客方法:社会工程学》这本书:反向社会工程学攻击的三部分是破坏,宣告,协助。黑客破坏一个网络,引起一些故障。然后那个黑客宣称他是联系来修复问题的,然后,当他过来修复网络故障时,从雇员那里要走一些信息并达到他此行的真正目的。雇员们永远不会认为他是一个黑客,因为他们的网络故障排除了,每个人都很高兴。

结论

当然,如果一本讲社会工程学的书不提到凯文·米特尼克,那肯定不完整。所以,我会引用《安全焦点》这本书中的他的一篇文章来总结:“你可以花费大量的金钱来购置技术和服务……你的网络体系在过时的手段面前依然脆弱。”第二部分讲:防范策略,要讨论如何通过使用确认攻击,预防技术,培训和策略来防范。

前几天回了一趟家,主要是生活费没有了,回家拿点钱。顺便买了个D-Link的无线网卡,配上华为的AP,稳健得很!

                     

把家里的台式机也好生处理了一下,我爸爸妈妈上网就更方便了。集中培训了一天,他们已经可以和我Skype,检查电子邮件,从数码相机导出照片了。
 
感谢一下野人,又把他的DVD刻录机借走了,实在不好意思。给你带来这么多麻烦,一定给你补上。

摘自英文Wikipedia.org

Social engineering is the practice of obtaining confidential information by manipulation of legitimate users. A social engineer will commonly use the telephone or Internet to trick people into revealing sensitive information or getting them to do something that is against typical policies. By this method, social engineers exploit the natural tendency of a person to trust his or her word, rather than exploiting computer security holes. It is generally agreed upon that “users are the weak link” in security and this principle is what makes social engineering possible.

A contemporary example of a social engineering attack is the use of e-mail attachments that contain malicious payloads (that, for instance, use the victim’s machine to send massive quantities of spam). After earlier malicious e-mails led software vendors to disable automatic execution of attachments, users now have to explicitly activate attachments for this to occur. Many users, however, will blindly click on any attachments they receive, thus allowing the attack to work.

Perhaps the simplest, but a still effective attack is tricking a user into thinking one is an administrator and requesting a password for various purposes. Users of Internet systems frequently receive messages that request password or credit card information in order to "set up their account" or "reactivate settings" or some other benign operation in what are called phishing attacks. Users of these systems must be warned early and frequently not to divulge sensitive information, passwords or otherwise, to people claiming to be administrators. In reality, administrators of computer systems rarely, if ever, need to know the user’s password to perform administrative tasks. However, even this might not be necessary — in an Infosecurity survey, 90% of office workers gave away their password in exchange for a cheap pen. [1]

Social engineering also applies to the act of face-to-face manipulation to gain physical access to computer systems.

Training users about security policies and ensuring that they are followed is the primary defense against social engineering.

One of the most famous social engineers in recent history is Kevin Mitnick.

References
John Leyden, April 18, 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
Kevin D. Mitnick, William L. Simon, Steve Wozniak. The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons, 2002. ISBN 0471237124.
SirRoss, January 20, 2005. A Guide to Social Engineering, Volume 1 A Guide to Social Engineering, Volume 2. Astalavista.

External links
Social Engineering Fundamentals
Social Engineering
Retrieved from "http://en.wikipedia.org/wiki/Social_engineering_%28computer_security%29"