刍议网络攻防的心理学手段.pdfVIP

中国电子学会电子对抗分会第十三届学术年会论文集 ——————————————————————————————————————————————————————————————————————————————————一一 刍议网络攻防的心理学手段 李海龙曹耀钦 (解放军二炮工程学院) 摘 要 本文针对黑客攻击手段“社会工程学”的危害，从被攻击者的角度，详细分析 了其心理学原理。从而有针对地提出了防范措施。 关键词黑客社会工程学诈骗敏感信息防护 I．引言 通常谈到网络攻防，主要指针对网络系统的漏洞所进行的技术性攻防手段。而事实上，分 析攻防案例，可以发现，许多攻击其实并不是利用技术手段所达到。更多的，是一种被称为社 会工程学的方法。近年来，该方法被黑客们倍加推崇。其实质，是黑客综合利用社交等心理学 手段达到进攻目的一种方法。 2．黑客与社会工程学 美国著名黑客Kevin Mitnick，在Gig研究基础机构组织的电子商务安全会议上说，培训员 工良好的安全操作技能比其他任何技术手段的成效都好。带有恶意的黑客不需要用不光：彩的 计算机技术手段实施入侵。他们通常是向知情人骗取口令和其他信息。这就是黑客所谓“社 会工程学”。这就意味着，不论讨论多少关于网络安全漏洞，补丁和防火墙的问题，它们对于安 全所能起到的作用，还是很有限的。一般说来，社会工程学类的攻击可分为两个层次：物理的 和心理的。物理的主要是指地点，包括：工作区，电话，垃圾堆，甚至在网上等。这些内容勿庸 赘述。本文主要针对后者进行分析。 获得非法信息更为高级的手段被称为“反向社会工程学”。黑客会扮演一个不存在的但权 利很大的角色让企业雇员主动的向他询问信息。如果深入研究，细心计划加以实施，反向：}土会 工程学攻击手段可以让黑客获得更多更好的机会来从雇员那里获得有价值的信息。但这需要 大量的时间来准备，研究以及进行一些前期的黑客工作。 3． 被攻击者的心理分析 笔者对曾遭受攻击者作了一个调查，分析其心理过程，发现有许多共同点，针对不同的人 员群体，又有其区别。详细说来，主要有： 3．1被攻击管理员的心理分析 3．1．1信任心理 对于保护与审核的信任一般被认为是整个安全链中最薄弱的一环，人类天生一种愿：蘸相 信他人说辞的倾向，使得许多管理员都容易被这种手段所利用。某些管理员认为，拥有了防火 墙、IDS等安全措施就高枕无忧了。事实上，这种对生产商过度的信任和依赖，往往使管理员 丧失了应有的安全意识。一方面疏漏了网络系统的漏洞修补，别一方面，想当然地认为，内部 一1094— 李海龙等：刍议网络攻防的心理学手段 人员及维修、顾问人员是安全的。甚至，想当然地低估了黑客的能力。 许多黑客都是从这种疏于系统维护的管理员人手的。常冒充维修或顾问人员，骗取系统 的敏感信息。有的则是从其它内部人员那里骗取这些信息。比如，有的值班人员的安全知识 比较薄弱，黑客就可以冒充硬件制造商的维护人员或ISP来骗取信任，进而诈取敏感信息。甚 至有这样的情况：只要能够解决系统故障，管理员会提供任何密码与权限，这是极度危险的。 3．1．2自信心理 部分管理员，对安全知识有一定的认识，具有一定程度的防护能力和管理经验。但是，由 于职业原因，经常会处理一些重复性的工作。在许多情况下，更多的则是依据以往的经验进行 判断和处理。黑客利用这种心理，利用其自信心理，麻痹管理员的警惕心理，同样可以达到其 欺骗效果。 3．1．3求教心理 这种管理员比较有责任心，遇到许多疑难不能解决时，就通过各种途径进行学习。这本来 是件好事，但是，这种心理也常常被黑客所利用。例如，当管理员向别人求教时，说者无意．听 者有心，同样会窃取许多系统信息。甚至在类似BBS之类的网络环境中也是如此，有些管理 员在BBS上留言请教问题，说的过于详细，黑客就会知道，在某地某单位的某个管理员，安全 知识和经验很少。容易进行攻击和入侵。这就相当于泄露了安全底线，暴露了目标。 3．2其它人员的心理分析 以上分析的是被攻击网络管理员的心理状况，而衡量一个网络系统的安全标准，应该是本 单位系统内部，最薄弱的环节。因为整个网络系统的安全是由单位内部全