第一章 什么是社会工程学 第一节 社会工程的概念 首先,给大家讲一个真实的故事。几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先,他们在实地踩点的两天之前已经对该公司进行了研究了解。例如,通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后,他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员工面带微笑的为他们开了门。 这群陌生人知道该公司的 CFO 那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个遍,找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO 的声音,所以他们可以在电话中冒充 CFO 的身份装作很焦急的样子来询问网络密码。自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。 在这个案例中这些陌生人所扮演的角色是 CFO 请来对自己的计算机进行安全检查的网络安全顾问,而公司的员工对此都不知情。他们可以在没有从 CFO 那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是 Kapil Raina 讲述的,他目前是 Verisign 的一名安全专家) 以上的故事就是我们这一次培训的主题“欺骗的艺术——社会工程学” 那么什么是社会工程学? 社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 第二节 为什么社会工程成为信息安全的软肋 社会工程学 人为因素才是安全软肋 美国著名黑客米特尼克强调了安全产品和技术并不代表安全, 安全更是人和管理的问题。 正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜,屋主的安全仍然难以保障。为何?因为人为因素才是安全的软肋。” “与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为他们配置...
