第一章   什么是社会工程学
   
    第一节 社会工程的概念

　　首先，给大家讲一个真实的故事。几年前的一个早晨，一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先，他们在实地踩点的两天之前已经对该公司进行了研究了解。例如，通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后，他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演，这次他们丢失的是他们的身份标志，而一名员工面带微笑的为他们开了门。

　　这群陌生人知道该公司的CFO那时不在公司，所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个遍，找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO的声音，所以他们可以在电话中冒充CFO的身份装作很焦急的样子来询问网络密码。自此，他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。

　　在这个案例中这些陌生人所扮演的角色是CFO请来对自己的计算机进行安全检查的网络安全顾问，而公司的员工对此都不知情。他们可以在没有从CFO那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是Kapil Raina讲述的，他目前是Verisign的一名安全专家)

     以上的故事就是我们这一次培训的主题“欺骗的艺术——社会工程学”

     那么什么是社会工程学？
   
    社会工程学（Social Engineering），一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢？它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。

培训第三章贴子：
http://www.ixpub.net/thread-662884-1-1.html

培训第四章贴子：
http://www.ixpub.net/thread-663931-1-1.html

[ 本帖最后由 僵尸道长 于 2008-7-1 13:41 编辑 ]

好高深啊

第二节 为什么社会工程成为信息安全的软肋

     社会工程学 人为因素才是安全软肋

     美国著名黑客米特尼克强调了安全产品和技术并不代表安全， 安全更是人和管理的问题。

     正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜，屋主的安全仍然难以保障。为何？因为人为因素才是安全的软肋。”

　　“与这位屋主一样，有许多信息技术（IT）从业者都有着类似的错误观念。他们认为自己的公司固若金汤，因为他们配置了精良的安全设备——防火墙、入侵检测，或是更为保险的身份认证系统……”

　　“正如著名的安全顾问布鲁斯•施尼尔（Bruce Schneier）所说：‘安全不是一件产品，它是一个过程。’也就是说，安全不是技术问题，它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越发困难。于是，越来越多的人转向利用人为因素进行攻击。穿越人这道防火墙十分容易，只需拨打一个电话的成本、承担最小的风险。”

　　点出了安全因素中最薄弱的环节（即人的因素）之后，米特尼克举出了一个社会工程学史上的经典案例。

　　20世纪70年代末期，一个叫做斯坦利•马克•瑞夫金（Stanley Mark Rifkin）的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划，“甚至无需计算机的协助”，仅仅依靠一个进入电汇室的机会并打了三个电话，便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是，这一事件却以‘最大的计算机诈骗案’为名，收录在吉尼斯世界纪录中。斯坦利•瑞夫金利用的就是欺骗的艺术，这种技巧我们现在把它称为—社会工程学。”

　　这个案例证明安全的威胁不可避免，“类似的事件每天都在发生，你的资金可能正在流失，新产品方案正在被窃取，而你却一无所知。”

　　日益增长的安全事件给企业的资产带来威胁并导致越来越大的财务损失，米特尼克表示“大多数公司配置的安全产品只是应付业余入侵者，如被称为’脚本小子’的年轻人……”。实际上，“真正的损失和威胁，来自于经验丰富、目标清晰，受商业利益驱使的攻击者。业余黑客看重数量，而职业黑客在乎的是信息的质量和价值。”

　　“正如同罪恶的心无法抵制诱惑，黑客们一心要找出功能强大的安全系统的弱点。于是，在很多时候，他们把这种心思放在了人的身上……”

　　而人的弱点又在哪里？《欺骗的艺术》告诉你：那就是信任。

　　“攻击者正是利用人们的心理弱点，编出不会让人怀疑的且听上去十分合理的理由，充分利用了受骗者的信任。”

　　在上期，我们陈述了《欺骗的艺术》与其他相关信息安全书籍的区别和本书的主旨。

　　“而这本书的主要内容—第二和第三部分，则讲述了社会工程师如何实施欺骗的故事。在这两部分中，大家将会看到：

　　•电话盗打者早就发现的，一个从电话公司获得未刊登电话号码的方法；

　　•几个不同的社会工程学方法，甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令；

　　•信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息；

　　•隐私调查者是如何获得企业、个人的隐密信息的，也许真相会让你脊背发凉。”

第二章   欺骗的艺术（社会工程学攻击实例）
   
    第一节 密码习惯心理

   大家可以观看以下动画案例：
  
   http://www.ixpub.net/zhuanti/gongchengxue/donghua.html

     其实，这只是一个例子，但是还是比较常见的社会工程学的案例。
     大部人的密码习惯都和什么姓名、年龄、生日、电话等等有关，
     "我的爱人是？"
     "我的老婆/老公/男朋友叫什么？"
     "我是那里人？"等等...
     但是这样的也容易让人得到有用的相关的信息。

     还有大家看完这个动画之后要仔细想想是否也存在以上的习惯？
     还有是否图方便，密码设成了，1234567或者qwer
     这样弱的口令也是容易让黑客猜解的密码。

     虽然这个演示比较简单，但是希望能给大家提起注意。
     大家可以通过这个动画的例子，举一反三。
     还是那一句，安全是方方面面的，
     也许在你眼中一个微不足道的信息，也会给你带来严重的安全隐患。

大哥   太可怕了吧？？？？
你现在能猜我密码不？？？？？？

引用:

原帖由 totodudu 于 2007-6-28 00:27 发表
大哥   太可怕了吧？？？？
你现在能猜我密码不？？？？？？

呵。。黑客毕竟不是神仙。

这个培训只是为了让大家看清楚社会工程学的攻击手段以及为大家提出一些防范的方法。

5楼的献身精神，我是深表佩服

[ 本帖最后由 糊涂李 于 2007-6-28 01:03 编辑 ]

楼主能告诉一下，如何解决既能避免被“社会工程学”算计，又可以经常性的遗忘密码的难堪境地嘛:cool:

呵呵，看了道长的这帖想起一些以前一直很多人讨论的话题。

到底是windows安全还是linux安全，双方一直各执己见，针锋相对，都说自己是最安全的。

其实，在我看来，一个系统是否安全，在于他的管理者的安全意识和对于潜在威胁的预知能力。

又想起一句话“态度决定一切”，呵呵~~~~~

我们一旦被另一个人更加熟悉的了解我们，密码也就不能称之为密码了，所以呢，我一般重要的帐号信息都是随机生成的密码，然后强行记住他，不会重复使用。

QQ密码被盗的社会工程学分析

        呵呵，我在这里简单的向大家介绍两个防止社会工程学的小窍门哈，对于QQ的防范最主要的就是密码和密码保护的问题及答案。大家不要小看社会工程学哦，隐藏在身边的小偷总是让人防不胜防。要知道大部分的人的QQ密码都和什么姓名、年龄、生日、电话等等有关，毕竟这些和自己相关容易记忆嘛，密码保护的问题也是什么：“我的爱人是？”“我的老婆/老公/男朋友叫什么？”“我是那里人？”等等，可你想过没有，要是你身边的人通过社会工程学要得到这些资料是很容易的的，那你的QQ还能很安全吗？那是不是意味着我们就不能选用和自己有关的资料了呢，答案是否定的，毕竟这有利于我们记忆嘛。我下面就给大家介绍两个即可以使用自己熟悉的个人资料又很安全的小窍门。

　　 对于QQ密码我建议一定用特殊符号，在适当的地方使用特定的符号可以很好的防范社会工程学。比如你叫黎明81年9月10日出生，你的密码使用Lm810910，可能对你熟悉的人花不了多少时间就能破解你的密码。要是你将特殊符号加入密码，使用这样的密码：《Lm#81#09#10》我想对你再怎么熟悉的人也不会猜到你会在什么位置使用什么样的特殊符号吧。

　　 对于QQ密码保护的提示问题和答案怎样设置也是很重要的，这个我的窍门是“问非所答”“牛头不对马嘴”。怎么说呢，也就是你只要死记一个你的答案就行，问题乱添，最好是和答案越没关系越好。举个列子：你的QQ是123456，你就设置答案是123456，你的问题可以是“我的真名是？”那些通过社会工程学得到你的真名的人一定会回答：黎明，可能打死也想不到会是你的QQ号，当然你还可以使用更绝的答案和问题。如：答案是：？？？问题是：•￥##￥%￥#•？或46798等等，哈哈哈，够绝吧，那些盗窃者一定在看到问题是一串密码时就大脑当机了吧，呵呵，更不会想到你的答案会是三个问号，要事后知道是三个问号一定会吐血而死。

　　 好了我的小窍门就介绍到这了，相信对大家会有点帮助吧，其实这些不只在QQ，在其他的要求设置密码和密码提示问题的地方大家都可以这样用哦，所以以后大家看到乱码的提示问题别大脑当机哦。