剖析隐私安全的奥秘

01 May 2013 - evi1m0

互联网的万千世界中什么最重要? 个人隐私、安全、秘密最不为过。谈及到隐私和数据安全,可以分为很多很多种,今天我们主要来探索社会工程学的奥秘。我个人是对Web安全和社会工程学有着浓厚兴趣的,后者也是最近一段时间才慢慢升温。那么,究竟什么是社会工程学?

社会工程学是一门深奥且复杂的学问,可以写成一篇文章甚至一本书,凯文·米特尼克 《欺骗的艺术》 就是其中一个典例,非常经典,值得品读。

星尘(前邪红色信息安全组织成员)说 : 社工是一门大学问,面很广,很难写。但我觉得可试,目的是为了科普给某些刚接触这个圈子的朋友以及身边的挚友,去给大家讲解隐私安全方面的危害性和保护隐私的重要性,尤其是在今天日益发展的互联网上。

什么是社会工程学?

社会工程学也算是中国的本土说法,据说还是Helen开创的名词,真正是称之为社交工程学,也是如今汉译国外黑客社工的常用说法。黑客们口中长谈到的社工便是社会工程学,它是臭名昭著的黑客米特尼克悔改后在《欺骗的艺术》中所提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。但在我国黑客集体中还在不断使用其手段欺骗无知网民制造违法行为,社会影响恶劣,一直受到公安机关的严厉打击。一切通过各种渠道散布、传播、教授黑客技术的行为都构成传授犯罪方法罪,如目前出版的《黑客社会工程学攻击2》已被公安机关网安部门所关注,予以打击;

他是一种通过基础工具或黑客工具的运用,合法或非法,基于网络或者收集人们在因特网中泄露或做以安全校验的个人资料的手段;他也是一种与普通的欺骗和诈骗不同层次的手法。因为社工需要搜集大量的信息并针对对方的实际情况,进行心理战。

社会工程学简单可划分为两种:

  1. 基于计算机或网络实施的攻击
  2. 基于实体对象的攻击

意思已经描述的很清楚,前者利用Internet攻击,往往有些时候需要一定的技术含量,后者直接实地接触活生生的人进行欺骗诱惑等攻击。鉴于文章的全面性,后面都会进行简单叙述案例与防范。

我们拿社会工程学鼻祖凯文米特尼克的某次社工案例来举个例子:

通过获取中间人信息,伪造中间人,成功直入受害者获取个人密码。也许你会觉得很扯淡,对!他确实很扯淡,扯淡到你自己受害后并没有发现隐私等安全问题的发生。

科普的也差不多了,直接进入主题,让我来看看社会工程学到底有多么的恐怖?在日益发展的今天,我们一起来看看我们的数据隐私究竟有多不安全?被社会工程学攻击的危害?照片泄露、手机号码泄露、密码泄露、甚至你的支付宝等财产口令泄露!通常我们都知道一个情况,一个人的密码不会在各个网站及个人口令中超过五个。

超过五个的大脑密码存储量会陷入浑浑噩噩的状态,我深有体会,很早很早以前我在各网站的密码都不同并且难度很复杂:

于是导致的结果就是,每次登陆一个网站都要点击忘记密码->找回,谈到社会工程学和用多少个密码有什么关系?关系大了!

我们依旧来举个例子,你的A网站密码泄露了,后面会讲如何得知你泄露的密码以及如何泄露:

  • A网站/PassWord: ff0000team
  • B网站/PassWord: woaievi1m0

基本上通过得到以上两个网站的密码,完全可以沦陷受害者90%的ID ,为何?因为通常得知某网站或几个网站的不同密码,完全可以推测出其他,或根本就都是一样密码的某网站口令!

常见的社会工程学攻击手法:

  1. 搜索引擎资料收集
  2. 人性弱点攻击
  3. 中间人伪造攻击
  4. 数据库索引攻击
详细介绍:
  1. 搜索引擎是最普遍最常用的一种资料收集获取方式,通过搜索受害人QQ号码 邮箱等关键字,进行资料的获取,通常使用Google搜索,为何不用百度? 原因你懂得 :) 获取的资料有何用? 你想要的资料也许可以直接搜索到或者进行密码猜解?

  2. 人性弱点的攻击也是常见的一种社工手法,黑客们把这种手法通常用于域名劫持,比如常见的社工IDC客服 证明自己是域名拥有人 然后伪造一张收集到的域名注册人的身份证,进行域名劫持。小伟(社工爱好者)经常用于此手法进行劫持,很荣幸,我也是:)

  3. 中间人伪造攻击普遍用于重要资料的获取,如:手机号码直接索取,密码的直接索取等。 但前提需要社工师拥有中间人的详细信息进行完美的伪装,从而让受害者信任。前面说过,社会工程学是利用受害者的贪婪、信任等人性弱点进行的攻击手法。

  4. 数据库索引攻击(Data Indexs Attack)是笔者感觉最有杀伤力并一针见血的攻击,甚至不需要收集太多的资料以及前面3种攻击伪造,直入要害!

如前段时间刺总(Axsi)在道哥黑板报写到的《中国黑客传说:游走在黑暗中的精灵》 文中写到的“他最大的成就,是积累了一个去重后有13亿条数据的数据库。每条记录,都包含了用户名、密码、身份证号(社保ID)、手机号、邮箱、登录IP等信息。对于V来说,想知道谁的密码,只需要在库中简单的查询一下,马上就得到了。有时候密码经过了哈希算法的处理,需要经过彩虹表的反查,或者V会拿到一个云计算中心去用分布式计算框架破解。所以V能够直接查到女孩的邮箱密码。”

文章中上面这一段无不令人咋舌,13E的数据究竟有多大的杀伤力?那么我们究竟如何防御上面这几种攻击?

  1. 防御搜索引擎攻击

尽量在网上不要使用真实的信息以及公布自己的资料 , 其实防御这类社工很简单,可以使用逆向社工手法 如现在网上散播出各种自己的虚假信息以及照片,进行资料假造 爬虫爬过后, 各大搜索引擎收录后,以后自己偶尔不小心泄露了某个资料也能逃避某黑的眼球

  1. 防御人性弱点

这一点是最难防的,因为代码是死的,但人是活的。 人有七情六欲,没有则无意。 个人认为防御这一类攻击首先要对 对方的一些涉及自己隐私的问题进行慎重考虑以及确定,然后做出明确的判断。 不要感情用事,这是目前很多青年人易犯的错误。 总认为和他是有感情的,殊不知,社工就是利用了这点。

  1. 防御中间人伪造

这类攻击很普遍同样很容易被疏忽,为何?因为当社工师使用这种手法计谋的时候,通常已经掌握了中间人的大部分信息,从而能够自信的让你相信社工师就是那个他,那么如何去防御? 确认身份是防御这种攻击最直接的办法,如何确认那就要分场景来看了,比如打个电话? 问问他没有某事件的事情看他如何回答?

  1. 防御DIA攻击

写到这里,我的确头疼了。 防御DIA攻击,你不能确保你所登录的网站没有被Hacker脱裤(意指被入侵后拖库)的风险。 所以我们做最坏的打算,你所处网站A被脱,裤子到了Evi1m0手里,他现在可以查看一切用户的密码。

怎么办?

网站通常保存密码由加密和非加密两种方式,谈到后者不的不说: CSDN数据库公布,明文存储! 我对CSDN事件也不在这里多说什么,因为实在时隔已久。 且当时也写过小小的点评 :)

那么加密方式存储的密码到了黑客手中就无法查看明文了吗? 非也,CMD5等各种解密网站不是吃干饭的,当然如果你密码设置的实在变态的话,也好。

这里就要提醒各位朋友,设置密码时一定要设置高强度密码且与个人身份无关最好:) 黑客进行DTA攻击的时候,是要从数据库进行关键字搜索的,如QQ号码: 7777777

然后获取自己手里拥有数据库的关键字密码,进行攻击方法.1的信息收集,从而登陆各个站点及目的性。 这里,我建议大家注册1个企鹅的小号以及邮箱,以后注册时信息尽量填写小号,小号并无好友,也就是说当你接受DIA攻击的时候,裤子里面并未存储于你号码的信息,这一点和防止.1攻击手法有点相似,尽最大量少泄露自己信息,让黑阔无路可走。

甩尾:简单总结上面几点
  1. 注重自己的隐私!
  2. 请勿泄露个人隐私!
  3. 密码请定期更换!
  4. 密码要设置高难度!
  5. 随时提高自己的警惕!
  6. ——More——

最后,我荣幸的邀请了几名安全研究者来进行点评及保护隐私安全方面的建议:

孤独雪狼:

首先很感谢邪红色信息安全组织的Evi1m0为大家所写的《剖析隐私安全的奥秘》,从文章中可以看出个人信息安全在如今的网络世界里是越来越受到大家的重视。

针对《剖析隐私安全的奥秘》文中所谈到的保护隐私安全方面,我有以下几点建议:

  1. 养成良好的上网习惯。凡是来自于网上的东西都要有持谨慎的态度,下载软件等其他应 尽量从知名软件开发商的站点下载,打开之前最好用正版最新的杀毒软件进行病毒查杀下。

  2. 安装杀毒软件与个人防火墙,打开实时监控,及时升级。对于个人来说,最大的网络安全隐患往往发生在访问网页的时候。

  3. 正确使用移动存储设备(如U盘,移动硬盘,MP3等)。

  4. 关闭或删除系统中不需要的服务。

  5. 进行安全操作时需谨慎。特别注意在使用网银等安全操作时更需要谨慎对待。

总之,如今中国的网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免的存在一些漏洞, 因此,进行网络安全防范要不断追踪新技术的应用情况,及时升级完善自身的防御措施。对于个人电脑用户来说,提高安全防范意识,养成良好的安全习惯是解决安全问题的根本。小菜有幸在去年的2月份在网易微博跟几位朋友参加了一个交流会,交流会的主题就是“你的网络安全吗?”在交流会中,小菜跟几位朋友也提到了对于个人信息的安全防范提了很多建议,大家可以去看下 交流会地址为:http://t.163.com/chat/wangluo

Fooying (知道创宇安全研究成员)

社会工程学是一种”很好玩”的技术,在很多技术上攻克不了的入侵,通过社工也许就能取得意想不到的想过,因为环节里存在了人。我把社工总结成一个原因,人性。任何环节,只有有人参加,就能有利用的地方,没有一个人是真的无懈可击的。

就个人而言,挺喜欢Evi1m0的写文章风格,这篇文章也是同样的风格,简单的语言让你了解社工。不是长篇的大道理,而是实实在在的语言,把自己想说的内容说的清楚,文章的一些链接,题外阅读也是精彩的推荐。

通过搜索引擎搜索相关资料,利用人天然缺少的安全警惕性,随意的将个人资料提交,导致资料得以出现在互联网而被搜索;同时也是对与目标网站的过分相信,其实对于任何网站都应该保持一份警惕。而数据库索引,更能说明对网站警惕性的重要,同时也利用了人的惰性,不同的网站,为了方便,使用相同的帐号和密码;而人性脆弱就更不用说了。

人性,不能完全的避免,如果能的话,除非非人。 但是尽量的避免社工还是可以做到的。针对性的对社工的利用方式进行处理就ok,比如帐号方面,如果不是什么重要帐号,倒是可以无所谓不一样,但是对那种临时登陆就可以临时取个密码,当然最好,每个站都设置不同密码和帐号,怕忘记,可以借助一些密码管理工具;对任何人,任何事,多一些怀疑。多一步确认!

RedRain

写给Evi1m0基友:社会工程学攻击永远是一个最吸引人的话题,他的神秘性和对所有资源、知识的恰当利用都让所有黑客和安全研究人员神往不已,我一直相信一点,社会工程学攻击这样的社会关联活动是获取目标最真实信息的最牛方法,想想你不费一兵一卒,便对目标了如指掌,任何人或事件对于你来说都是透明的,这是多么想开了上帝模式啊

本屌也对社会工程学攻击神往已久,也做过一些实验性的攻击,Evi1m0基友将社会工程学的攻击方式都写得很详细,本屌也有一些小技法介绍给大家,也是我常用的

0x01 十度分隔法

这是我从大黑客凯文米特尼克学来的,在社会心理学中,六度分隔的古老游戏是由很多分隔层的,而当黑客进行攻击时,通常会从与目标任务或时间间隔十层(不一定是十层,视情况而定)的关系目标开始渗透,

如:我要入侵公司内网,那我会先选择一台连入内网的主机——机主——机主的妻子——其妻子的高中同学

这样的好处是不会让你暴露很强的目的性,有一定的隐蔽作用(做APT是经常使用)

0x02 社交信任认证欺骗(社交网络钓鱼)

钓鱼大家都很熟悉了,当我的目标是个SNS(社交型网络服务)迷时,我通常会发送伪造邮件(fake email)进行邮件欺骗,将目标劫持到我做的钓鱼页面

如:邮件内容大概为本站正在进行维护,请在此输入信息以便升级之用。然后用户点入连接即被劫持到钓鱼页面最后,感谢Evi1m0的文章!

相守(京东商城信息安全工程师)

社会工程学给人的感觉是一种很神秘的技术,社会工程学看似简单的欺骗而已,却又包含了复杂的心理学因素,其可怕程度要比直接的技术入侵大得多,对于技术入侵我们可以防范,但是心理漏洞谁又能时刻警惕呢?

社工就好比一场没有硝烟的战争,社工的危害远远大于入侵渗透,因为在你不知道的情况下,就中招了,,它利用人的心理弱点、规章与制度的漏洞来攻击,以期获取攻击者所想要的信息。

至于社会工程学如何防御,楼上几位大牛已经提到相关的防御方法 最主要是一点不要轻易把自己的信息给暴漏在互联网上面。

评论插件使用 Disqus ,需翻墙才能查看及留言。