防不住的威胁——社会工程学

楼主^#

更多发布于：2011-11-27 20:26

[] 1


	前一阵就看到有人在网上转载关于不要加陌生人好友的日志，对于社会工程学，只说了其中一小方面。那篇日志具体就是说，会有人用漂亮的姑娘作头像，然后申请加你人人网或者其他社交网站好友，以便获取个人信息，以及其他目的。很对，据说淘宝里就有人专门帮人访问某个特定账号的主页，能查看所有好友能查看的东西，当然，手段就是，混进其中当好友了。其实，这个只是社会工程学很小的一方面应用。社会工程学，定义什么的，可以维基百科，当然，目前没有中文翻译，百度百科上有点劣质的介绍。在黑客领域中，社会工程学是一种常用手段，并且，成功率很高且成本很低（相比暴力破解什么的来讲）。最初，很多软件和应用都没有屏蔽暴力破解。比如，qq，早些年的时候，就可以通过暴力破解手段破解。具体的就是，用一个字典文件（里面包含所有可能的字符排列组合）来反复尝试密码，直到成功。程序能以很快的速度尝试各种字符组合，通常较短的密码能在可以忍受的时间内被破解。后来基本上都采取各种手段屏蔽暴力破解，比如，登陆多少次以后要输入验证码，或者有的程序会增长两次尝试之间的间隔时间，以及暂时冻结账号等。但在这之前，黑客会首先把字典文件尽量缩小，比如，通过某种手段知道密码长度，知道其中包含的字段，是纯数字还是纯小写或者大小写混合，有没有标点符号等特殊字符以及其他一些特征，来使得排列组合数尽量小。这样就能极大缩短暴力破解的时间，比如，现代银行卡的六位纯数字密码，如果允许暴力破解，基本上也就是几秒钟甚至不到一秒钟的事儿。在这之后，由于屏蔽了暴力破解，社会工程学显得更加重要了。通过搜集一个人的相关信息和习惯，可能会把密码精确到几十个甚至几个，然后通过手工尝试的方法进行破解。这就是为什么设置密码的时候要提示别用身份证号，生日等作为密码。不过现在也不是所有程序都屏蔽了暴力破解，比如office，winrar，这些常用程序，都没有对其产生的文件屏蔽暴力破解。以上是关于暴力破解方面的社会工程学应用。再高级点的，就是利用了人们更容易忽视的一个问题。看一下下面一个例子：假设有一天，我做了个论坛，这个论坛不是很大，但也足以吸引一批人来注册，我要求用邮箱注册，并且必须是可用邮箱，因为要进行邮箱验证。于是，我有了他们的账号和密码。比如abc@gmail.com 密码xyz 我拿这个账号密码去试淘宝，支付宝，人人。。。。肯定有很多账号可以成功。很多人都用一个通用用户名加一个通用密码，理由很简单，容易记。但这是一个很可怕的习惯。想想就知道了。当然，现在正规网站一般都不会明文存放你的密码，而是存放MD5散列。简单地说，就是你的密码经过一些列复杂的计算，生成一个32位的16进制的数，也就是说一个128位的散列（4位一组，就是一个16进制数，通常是用32位16进制数表示）。每次你输入密码的时候，他们把它换算成对应的MD5散列，然后比对他们存储的值。这个是目前很通用的方法。要通过MD5散列恢复原来的信息，按照设计，是不可逆的。但是，山东大学一个女教授研究出了攻击MD5的方法。这个，暂且不说。她的方法是比较通用的和高级的，实现起来，也有一定难度。通常攻击MD5散列还有更方便的方法：复制你得到的MD5散列，然后输入一个网站，点击查询。他们的方法很爽：做一个足够大的字典文件，这个文件里几乎包含了所有常用的密码组合，然后把这些密码组合分别生成MD5散列，存储在数据库中。当你提交查询时，他们只不过查找一下你需要的MD5值，然后把查询结果发给你。因此，让黑客知道MD5散列也是一件很危险的事儿。说了这么多，就是想说，小网站，即使采用了MD5的密码验证方式，也不安全，因为他们依然可以看到MD5散列。也就是说，用通用密码的人，无论如何都处于危险中。最保险的方法，当然是采用不同的密码了。有人要说，这么多账号，谁记得住。解决方法是：把它们做到一个文件里，然后，只需要妥善保管这个文件即可。比如，上传到Gmail中。另外还有一种专门的软件，用来存储密码，他们的做法就是把你所有密码储存在特定格式的文件中，而这个文件是加密的，只有知道密码的人才能访问，并且，这类软件一般都是开源的，否则，没人会放心地把如此重要的数据交给它保管。其他社工手段：你的朋友，在QQ上给你发消息，说手机换号，于是你记下了。过来几天他给你发短信，闲聊，都是以朋友的口吻。聊了几天，管你借钱。 ok，你懂了。另一种，你的朋友，跟你视频，而且是你非常好的一个朋友，视频中，你看到他在电脑前坐着。然后管你借钱。你看到的视频中的人，是黑客事先录制好的视频录像而已。视频了，都看见人了，又是很好的朋友，借钱嘛，借呗。这俩例子，都是建立在黑客事先掌握了两人关系，以及对被盗号人有足够了解的情况下的，这样，才能模仿口吻和语气什么的。所以，个人隐私是很重要的东西，并不像很多人想的那样发发广告那么简单。个人资料是诈骗的基础。曾有统计数据显示，虽然企业大多有很多安全措施，比如防火墙和访问控制，但对雇员的社工攻击却使得黑客能轻松获取用户口令，每年造成的经济损失数额庞大。并且，几乎所有大公司都有雇员被社工攻击的经历。最后一个，关于密码保护。你点一下自己的密保，看看那些问题，有没有可能除了你以外还有人可以全部回答正确。如果有，你就是给人留下了一个超级后门。这是一个非常严重的问题，很多人为了防止自己忘记密保答案，会填真实信息。有了众多信息收集手段，再看这种方法，绝对危险。很多人的问题甚至不需要很亲密的人就能很容易获取答案。几条建议： 1，可以有通用密码的存在，但只在一些不重要的场合应用，比如一些小网站，小论坛，或者三国杀什么的。 2，使用大小写字母加数字，如果允许，加标点符号混合，这样的密码，且长度保持在10位以上。 3，如果别人有时借用你的电脑，windows密码要坚决与其他密码区别开。 4，清理下社交网站的好友，如果根本不知道这个人的任何信息，删了吧，数量惊人的好友只会让你的个人资料暴露无遗。 5，关于密保，设置无意义的答案并记录之并妥善保管；或者采用这种方法：比如你的出生地？你父亲的名字？密保答案设置为：好吧出生地。好吧父亲的名字。当然，前面的前缀设置就很关键了。 6，小网站填资料要谨慎。 7，保护好自己的账号密码，也是对朋友负责。