存档

文章标签 ‘社会工程学’

社工案例: 谁泄漏的防火墙源代码?

2009年10月15日 Chinadu 没有评论

前景分析:
22岁的刘昉在高中辍学后,先后做过食品销售、商场员工、电子设备维护员等,这些经历使得他精于与各式各样的人打交道。但在接下来的5年,他疯狂的迷上了计算机,尤其对黑客技术感兴趣,并涉足了地下黑客经济。他接的业务很多,如对私服的DDOS、编写针对性的网银键盘记录工具、游戏装备盗取洗钱等。
但刘昉对重复性攻击感到厌倦,显然,有刺激的事物往往令人更感兴趣。这次,他盯上了一套防火墙,由北京中关村恒天公司研发。据说这套防火墙一公布便在业界大受好评,刘昉则不以为然,在他看来,防火墙的源代码才能说服他。

一、销售部门的后门
刘昉从对外公布的防火墙软件中的菜单栏“帮助”处找到了恒天公司销售部与市场部的联系电话,接着他

便以某公司采购部经理的身份拨通了恒天公司销售部的电话。

恒天公司(以下简称恒):“您好,这里是恒天公司销售部”
刘漂阳(以下简称刘):“嗯,我是北京亚太机电股份有限公司采购部经理刘漂阳,我们公司需要500份防火墙软件产品,我参考了网上的防火墙横向评测,再三考虑后决定选择你们的产品,现在我想知道你们给我的价格是否令人满意。”
恒:“刘经理,我们的防火墙有三种不同的版本,分别为个人版、专业版和企业版。如果你选择企业版,它的单价是88元,总价为4.4万;如果你批发购买、那么价格相对优惠,仅3.2万。”
刘:“嗯,没有高于我们公司原始估价,不过我们公司网络环境相当复杂,你们公司是否可以定制一套,实现封堵公司员工聊天与下载的功能?”
恒:“这个……请让我问问软件开发部,请稍等。”
刘:“好的”
阅读全文...

分类: 技术文章 标签:

社会工程学在网络攻击中的应用与防范

2008年11月4日 Chinadu 没有评论

1.引言

社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。

“社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等。

2.社会工程学网络攻击对象

2.1基于计算机或者网络的攻击

社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。

在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱”,将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备,这种攻击方式极为隐蔽很难察觉,入侵成功的几率极大,安全风险非常高。
阅读全文...

分类: 技术文章 标签:

社会工程学 信息安全对抗新领域

2006年10月18日 Chinadu 没有评论

信息安全的脆弱性是普遍存在的,任何一个系统都具有潜在的安全风险。近年来,利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势,成为信息安全保密工作中最脆弱的一个环节。
社会的与风险的

  社会工程学(Social Engineering)是一种利用人的弱点:如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段,获取自身利益的手法。

  近年来,由于信息安全厂商不断开发出更先进的安全产品,系统安全防范在技术上越来越严密,使得攻击者利用技术上的漏洞变得越来越困难。于是,更多的人转向利用人为因素的手段----社会工程学来进行攻击。

  许多信息技术从业者都普遍存在着类似的一种观念:他们认为自己的系统部署了先进、周密的安全设备----防火墙、IDS、IPS、漏洞扫描、防病毒网关、内容过滤、安全审计、身份认证和访问控制系统,甚至于最新的UTM和防水墙,以为靠这些安全设施即可保证系统的安全。

  事实上,很多安全行为出现在骗取内部人员(信息系统管理、使用、维护人员等)的信任,从而轻松绕过所有技术上的保护。信任是一切安全的基础,对于保护与审核的信任,通常被认为是整个安全链条中最薄弱的一环。为规避安全风险,技术专家精心设计的安全解决方案,却很少重视和解决最大的安全漏洞----人为因素。

  无论是在现实世界还是在虚拟的网络空间,任何一个可以访问系统的人,都有可能构成潜在的安全风险与威胁。很多最敏感的信息存在于人的头脑当中,各种安全设施要由人来掌控,这意味着如果没有把“人”这个因素放进整体安全管理策略中去,仅仅热衷于技术层面的所谓全面解决方案,仍将会存在一个很大的安全“裂缝”,或者说是整个安全“木桶”存在着最短的一块木板。

  缺乏对社会工程学防范的信息系统,不管其安全技术多么先进完善,很可能会成为一种自我安慰的摆设,其投入大笔资金购置的最先进的安全设备,很可能成为一种浪费。

  Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年最大的安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破解行为造成的”。一些信息安全专家预言,社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。

  新的攻击手段

  社会工程学攻击基本上可以分为两个层次:物理的和心理的。与以往的入侵行为相类似,社会工程学在实施之前要完成很多相关的前期工作的,这些工作甚至要比后续的入侵行为本身更为繁重和更具技巧,或者说更为“艺术”。

  这些工作包括:社会工程学的实施者(一般称为社会工程师)必须掌握心理学、人际关系学、行为学等知识与技能,以便收集和掌握实施入侵行为所需要的相关资料与信息。通常为了达到预期目的,社会工程学攻击都要将心理的和行为的攻击两者结合运用。其常见形式包括了:

  第一,伪装。从早期的求职信病毒、爱虫病毒、圣诞节贺卡到目前流行的网络钓鱼,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。攻击者越来越喜欢玩弄社会工程学的手段,把恶件、间谍软件、勒索软件(ransom- ware)、流氓软件等网络陷阱伪装起来欺骗被害者。

  第二,引诱。社会工程学是现在多数蠕虫病毒进行传播时所使用的技术,它使计算机用户本能地去打开邮件,执行具有诱惑性同时具有危害的附件。例如,用一些关于某些型号的处理器存在运算瑕疵的“瑕疵声明”或更能引起人的兴趣的“幸运中奖”、“最新反病毒软件”等说辞,并给出一个页面连接,诱惑你进入该页面运行下载程序或在线注册个人相关信息,利用人们疏于防范的心理引诱你上钩。

  第三,恐吓。利用人们对安全、漏洞、病毒、木马、黑客等内容会特别敏感,以权威机构的面目出现,散布诸如安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,声称如果不及时按照他们的要求去做就会造成致命的危害或遭受严重损失。

  第四,说服。社会工程师说服目标的目的是增强他们主动完成所指派的任务的顺从意识,从而变为一个可以被信任并由此获得敏感信息的人。大多数企业咨询帮助台人员一般接受的训练都是要求他(她)们热情待人并尽可能地为来人来电提供帮助,所以这里就成了社会工程学实施者获取有价值信息的“金矿”。

  第五,恭维。社会工程师通常十分友善,很讲究说话的艺术,知道如何借助机会去迎合人,投其所好,使多数人会友善地作出回应,恭维和虚荣心的对接会让目标乐意继续合作。

  第六,渗透。通常社会工程学攻击者都擅长刺探信息,很多表面上看起来豪无用处的信息都会被他们利用来进行系统渗透。通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID、电话号码、管理员的IP地址、邮箱等都可能被利用起来,通过这些收集信息来判断目标的网络架构或系统密码的大致内容,从而用口令心理学来分析口令,而不仅仅是使用暴力破解。

  除了以上的攻击手段,一些比较另类的行为也开始在社会工程学中出现,其中包括像翻垃圾(dumpster diving)、背后偷窥(shoulder surfing)、反向社会工程学等都是窃取信息的捷径办法。

  催生新型防御手段

  俗话说道高一尺,魔高一丈,面对社会工程学带来的安全挑战,企业必须适应新的防御方法,主要包括了:

  第一,增加网站被假冒的难度。据国际反网络诈骗组织2005年的报告显示,中国已经成为世界上第二大拥有仿冒域名及网站的国家,占全球的12%。银行界人士分析,域名过长是假冒的根源。据悉,为预防不法分子用假域名进行网络钓鱼,截至今年上半年国内已有14家银行更改了网银域名,包括更多地使用.CN域名。如建设银行网银域名从ccb.com.cn升级为ccb.cn,中国银行域名由bank-of-china.com变更为boc.cn。同时,企业需要定期对DNS进行扫描,以检查是否存在与公司已注册的相类似的域名。此外,一般来说,在网页设计技术上不使用弹出式广告、不隐藏地址栏及框架的企业网站被假冒的可能性较小。

  第二,加强内部安全管理。尽可能把系统管理工作职责时进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中。为防止外部人员混入内部,员工应佩戴胸卡标示,设置门禁和视频监控系统;严格办公垃圾和设备维修报废处理程序;杜绝为贪图方便,将密码粘贴或通过QQ等方式进行系统维护工作的日常联系。

  第三,开展安全防范训练。安全意识比安全措施重要的多。防范社会工程学攻击,指导和教育是关键。直接明确地给予容易受到攻击的员工一些案例教育和警示,让他们知道这些方法是如何运用和得逞的,学会辨认社会工程攻击。在这方面,要注意培养和训练企

分类: 技术文章 标签: