社会工程学基础-5.doc

社会工程学基础 第一部分：黑客战术 一个真实的故事 几年前的一个早晨，一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的？是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先，他们在实地踩点的两天之前已经对该公司进行了研究了解。例如，通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后，他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演，这次他们丢失的是他们的身份标志，而一名员工面带微笑的为他们开了门。  这群陌生人知道该公司的CFO那时不在公司，所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个遍，找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO的声音，所以他们可以在电话中冒充CFO的身份装作很焦急的样子来询问网络密码。自此，他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。  在这个案例中这些陌生人所扮演的角色是CFO请来对自己的计算机进行安全检查的网络安全顾问，而公司的员工对此都不知情。他们可以在没有从CFO那里获得任何权利的情况下运用社会工程学让自己畅通无阻（这个故事是Kapil Raina讲述的，他目前是Verisign的一名安全专家，并且和别人合作了mCommerce Security: A Beginners Guide， 这本书也主要是他先前工作中的实际经验的总结。）定义。我所读到的大多数介绍社会工程学的文章都有类似这样的开头“一种让他人遵从自己意愿的科学或艺术” (Bernz 2)，“一个外来的黑客使用心理学手段来欺骗合法的计算机系统用户，以获得他所需要的信息来访问该系统” (Palumbo)，或者是“从他人那里获取需要的信息（例如密码）而不是通过闯入目标系统实现” (Berg)。实际上，这些对社会工程学的解释都可以说是对的，关键在于你所处的角度问题。但是至少有一点是可以达成共识的：那就是黑客对人类天性中更趋于信任的倾向的聪明利用。黑客的目标是获得信息让他/获得那些重要系统的未授权的访问路径来获取该系统中的某些信息。  信任是一切安全的基础。对于保护与审核的信任一般被认为是整个安全链中最薄弱的一环，人类那种天生愿意相信其他人的说辞的倾向让我们大多数都容易被这种手段所利用。这也是许多很有经验的安全专家所强调的。不论现在出版了多少关于网络安全漏洞，补丁和防火墙的刊物，它们对于安全所能起到的作用还是很有限的。  目标和攻击手段  社会工程学的基本目标和其他黑客手段基本相同：都是为了获得目标系统未授权访问路径或是对重要信息进行欺骗，网络入侵，工业情报盗取，身份盗取，或仅仅是扰乱系统或网络。常见的目标包括电话公司和应答服务机构，著名的大公司和金融组织，军事和政府机构以及医院。现在对那些网络公司的社会工程学攻击也开始出现了，但是仅限于那些较为出名的公司。  想找一个很好的社会工程学真实案例是很难的。一般成为攻击目标的机构都不愿意承认他们曾经是社会工程学攻击的受害者（不仅仅是因为承认机构基本安全设施存在缺陷是一件很尴尬的事，更重要的在于这会大大影响机构的形象）并且记载这类攻击的文档也很少见，所以没有人可以肯定他能够完全辨别出正在发生的社会工程学攻击。  为什么机构总是成为社会工程学的目标呢？这是因为相对于许多技术上的黑客手段非法获取帐号来说社会工程学是一种更简单的手段。即使对于那些技术很高的人，只是仅仅拿起电话向别人询问密码要比通过技术手段进入系统要容易。并且实际上这也是黑客所经常做的。  对于所发生的社会工程学类的攻击可以分为两个层次来进行分析：物理上的和心理上的。首先我们对攻击发生的物理地点进行讨论：工作区，电话，你公司的垃圾堆，甚至是在网上。对于工作区来说，黑客可以简单的只是走进来，就像电影上的那样，然后开始冒充被允许进入公司的维护人员或是顾问。入侵者悠闲的把整个办公室逛个遍直到他或是她找到了一些密码或是一些可以稍后在家里对公司的网络进行攻击，利用的资料之后就会从容的离开。另一种获得审核信息的手段就是简单的站在工作区那里观察公司雇员如何键入密码并偷偷的记住。  使用电话进行的社会工程学攻击  最流行的社会工程学手段是通过电话进行的。黑客可以冒充一个权利很大或是很重要的人物的身份打电话从其他用户那里获得信息。一般机构的咨询台容易成为这类攻击的目标。黑客可以伪装成是从该机构的内部打电话来欺骗PBX或是公司的管理员，所以说依赖于对打电话的人身份的确认并不是很安全的做法。以下就是一个Computer Security Institute曾经提到的典型PBX伎俩：“嗨，我是你的ATT维修员，我