摘要:提到网络安全就不得不提黑客。黑客,网络的最主要的玩家。有了网络,有了黑客,也就有了网络安全这个概念。社会工程学是黑客攻击网络的主要的手段之一。尤其是这几年社会工程学攻击越来越猖獗,所以了解社会工程学是很有必要的。知己知彼,百战不殆。本文主要介绍一下社会工程学的含义、起源,发展,其进攻手段以及防范社会工程学的攻击的方法与技术。
关键词:非传统信息安全,社会工程学师,网络钓鱼攻击,数据加密,数据隐写。 随着电子商务的不断发展,全球电子交易一体化将成为可能。信息成了越来越重要的财富。但是,开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,网络信息安全技术作为一个独特的领域越来越受到人们的关注。
那么什么是社会工程学攻击?提到社会工程学不得不提一个人。相信对网络有较深入的玩家都知道凯文·米特尼克。他是黑客中的王者。在他身上体现了什么是真正的社会工程学。他缔造了一个又一个神话。15岁侵入“北美空中防务指挥系统”的计算主机内。紧接着又侵入了“太平洋电话”公司,更改了数据库中的数据。这只是他辉煌历史的一个小小的片段。他的这一切的辉煌经济靠得不仅是传统系统的系统的入侵,更主要的是社会工程学。
社会工程学就是利用人的心理弱点(如人的本能反应、好奇心、信任、贪婪)、规章与制度的漏洞等进行诸如欺骗、伤害等手段,以期获得所需的信息(如计算机口令、银行帐号信息)。社会工程学有狭义与广义之分。广义与侠义社会工程学最明显的区别是会与受害者进行交互式行为。比如,你会设置一个陷阱使对方调入,或是你会伪造一封来自内部的虚假电子邮件,或者你会利用相关通信工具於他们交流获取敏感信息。广义的社会工程学师师不会乱去下载网站与论坛的数据库碰运气。而是清楚的知道自己需要什么信息,应该怎样去做,从收集的信息当中分析出应该与哪个关键人物交流。这就是真正的社会工程学师攻击的思想。社会工程学入侵与传统的黑客入侵有着本质的区别,是非传统的信息安全。它不是利用漏洞入侵,而是利用人为性的漏洞。它无法用硬件防火墙、入侵检测系统,虚拟专用网络,亦或是安全软件产品所能防御的。社会工程学不是单纯针对系统入侵与源代码窃取,本质上,它在黑客攻击边沿上独立并平衡着。它的威胁不仅仅是信息安全,更包括能源、经济、文化、恐怖主义等。国防大学卢凡博士曾经说过:“它(社会工程学攻击)并不能等同于一般的欺骗手法,,即使自认为最警惕最小小心的人,一样会受到高明的社会工程学手段的损害,因为社会工程学主导着非传统信息安全,所以通过对它的研究可以提高对非传统信息安全事件的能力。”
现在的大多数攻击的典型入侵手段既传统的系统攻击与脚本攻击,由于安全厂商不断提供完备的解决方案变得越来越难了。在这样的情况下社会工程学慢慢的成了主流入侵技术,他们通过信息搜集与拨打电话式的社交直接索取密码,使得入侵更加容易。但同时就网络安全提出了更高的要求。是不断完善的安全技术推动了社会工程学的进一步发展。因此,想确保网络信息安全,就必须了解其主要的进攻手段。
首先介绍一下网络钓鱼攻击。
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。其含义是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。案例:今年2月份发现的一种骗取美邦银行(Smith Barney)用户的帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。当用户点击链接时,实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面,而用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。 攻击者也在不断地进行技术创新和发展,目前新的网络钓鱼技术已经在使用中。例如,用户会受到一则即时通讯消息或一封电子邮件,消息或电子邮件自称是朋友想让用户看渡假或生日舞会的照片,其中包含有指向钓鱼式网站的链接。该网站能够记录用户的ID和密码,并将用户引导到真正的Yahoo Photos网站。
其次是传统的社交手段,如前面提到的通过打电话的方式,使用专业的术语,提出内部人员使用的ID,让一个系统管理员登陆系统,并将其传真过来便可搞定。
社会工程学的手段还有很多,但不是很常见。谨记以上欺骗手段便可以在一定程度上保护自己的信息。下面介绍如何一下防范社会工程学攻击。
社会工程学攻击窃取的是你的信息,所以你只需对你的信息做一些处理就能达到一定效果。黑客也许对你的电脑做了一些手段,来窃取你的机密信息。如果你的信息仅是几段字符串的话(例如系统、邮箱等的登录口令),利用COPY复制命令很容易完成简单的隐藏工作)。这个方法的原理是将两个不同类型的文件进行合并,如将记事本文件与图片文件合并成新的图像文件,记事本的信息只是追加在图片文件数据尾,且是明文显示的,要查看信息时只需要记事本打开。这只是一个小技术而已。下面介绍一下数据隐写技术。
数据隐写技术是用隐写软件在图片、音频、文本等文件钟隐藏了信息,当再次试图解码是仍然得使用该软件进行解码,所以将所有相关的东西都放到U盘中,才能保证你的数据安全。数字隐秘技术包括QR密文信息隐写,MP3音频文件信息隐写,BMP与GIF图片文件信息隐写,TEXT、HTM、PDF文件信息隐写,在线JPEG与PNG图片信息隐写以及反汇编技术信息隐写等。
数据加密技术是什么?是指将一个信息(或称明文,plain text)经过加密钥匙及加密函数转换,变成无意义的密文(ciphertext),而接收方则将次密文经过解密函数、解密钥匙还原成原文。加密的基本功能包括:
1. 防止不速之客查看机密的数据文件;
2. 防止机密数据被泄露或篡改;
3. 防止特权用户(如系统管理员)查看私人数据文件;
4. 使入侵者不能轻易地查找一个系统的文件。
数据加密是确保计算机网络安全的一种重要机制,虽然由于成本、技术和管理上的复杂性等原因,目前尚未在网络中普及,但数据加密的确是实现分布式系统和网络环境下数据安全的重要手段之一。
数据加密可在网络OSI七层协议的多层上实现、所以从加密技术应用的逻辑位置看,有三种方式:
①链路加密:通常把网络层以下的加密叫链路加密,主要用于保护通信节点间传输的数据,加解密由置于线路上的密码设备实现。根据传递的数据的同步方式又可分为同步通信加密和异步通信加密两种,同步通信加密又包含字节同步通信加密和位同步通信加密。
②节点加密:是对链路加密的改进。在协议传输层上进行加密,主要是对源节点和目标节点之间传输数据进行加密保护,与链路加密类似.只是加密算法要结合在依附于节点的加密模件中,克服了链路加密在节点处易遭非法存取的缺点。
③端对端加密:网络层以上的加密称为端对端加密。是面向网络层主体。对应用层的数据信息进行加密,易于用软件实现,且成本低,但密钥管理问题困难,主要适合大型网络系统中信息在多个发方和收方之间传输的情况。
在这个发展及其快的社会,信息变得越来越重要,因此如何利用社会工程学保护好个人的信息是网络信息安全的最重要的项目之一,也是致力于网络安全的工程师不得不考虑的问题。
