华夏联盟

如果你是一个初学者你也可以来我们这里,我们这里的电脑安全,防护是所有网络安全培训的门户站中最好的地方,我们有着各种教学方式,我们的技术不会隐藏起来,我们会把我们的所有都教给你们,让中国又多一位网络安全的人才。如果你是高手我们更加希望你的加入,因为我们需要你,因为我们华夏联盟的都是专业人士,没有任何会低于其他人,只要有你的加入,我们会更加强大,华夏联盟有你才会精彩,请永远记住我们-华夏联盟论坛。


您没有登录。 请登录注册

安软帮你防不住的威胁——社会工程学

向下  留言 [第1页/共1页]

1 安软帮你防不住的威胁——社会工程学 于 周六 十一月 26, 2011 8:28 am

Admin


Admin
文章作者:stuazt
前一阵就看到有人在网上转载关于不要加陌生人好友的日志,对于社会工程学,只说了其中一小方面。

那篇日志具体就是说,会有人用漂亮的姑娘作头像,然后申请加你人人网或者其他社交网站好友,以便获取个人信息,以及其他目的。

很对,据说淘宝里就有人专门帮人访问某个特定账号的主页,能查看所有好友能查看的东西,当然,手段就是,混进其中当好友了。

其实,这个只是社会工程学很小的一方面应用。

社会工程学,定义什么的,可以维基百科,当然,目前没有中文翻译,百度百科上有点劣质的介绍。

在黑客领域中,社会工程学是一种常用手段,并且,成功率很高且成本很低(相比暴力破解什么的来讲)。

最初,很多软件和应用都没有屏蔽暴力破解。

比如,qq,早些年的时候,就可以通过暴力破解手段破解。具体的就是,用一个字典文件(里面包含所有可能的字符排列组合)来反复尝试密码,直到成功。程序能以很快的速度尝试各种字符组合,通常较短的密码能在可以忍受的时间内被破解。

后来基本上都采取各种手段屏蔽暴力破解,比如,登陆多少次以后要输入验证码,或者有的程序会增长两次尝试之间的间隔时间,以及暂时冻结账号等。

但在这之前,黑客会首先把字典文件尽量缩小,比如,通过某种手段知道密码长度,知道其中包含的字段,是纯数字还是纯小写或者大小写混合,有没有标点符号等特殊字符以及其他一些特征,来使得排列组合数尽量小。这样就能极大缩短暴力破解的时间,比如,现代银行卡的六位纯数字密码,如果允许暴力破解,基本上也就是几秒钟甚至不到一秒钟的事儿。

在这之后,由于屏蔽了暴力破解,社会工程学显得更加重要了。通过搜集一个人的相关信息和习惯,可能会把密码精确到几十个甚至几个,然后通过手工尝试的方法进行破解。这就是为什么设置密码的时候要提示别用身份证号,生日等作为密码。

不过现在也不是所有程序都屏蔽了暴力破解,比如office,winrar,这些常用程序,都没有对其产生的文件屏蔽暴力破解。





以上是关于暴力破解方面的社会工程学应用。

再高级点的,就是利用了人们更容易忽视的一个问题。

看一下下面一个例子:

假设有一天,我做了个论坛,这个论坛不是很大,但也足以吸引一批人来注册,我要求用邮箱注册,并且必须是可用邮箱,因为要进行邮箱验证。

于是,我有了他们的账号和密码。

比如abc@gmail.com 密码xyz

我拿这个账号密码去试淘宝,支付宝,人人。。。。肯定有很多账号可以成功。

很多人都用一个通用用户名加一个通用密码,理由很简单,容易记。

但这是一个很可怕的习惯。想想就知道了。

当然,现在正规网站一般都不会明文存放你的密码,而是存放MD5散列。简单地说,就是你的密码经过一些列复杂的计算,生成一个32位的16进制的数,也就是说一个128位的散列(4位一组,就是一个16进制数,通常是用32位16进制数表示)。每次你输入密码的时候,他们把它换算成对应的MD5散列,然后比对他们存储的值。

这个是目前很通用的方法。要通过MD5散列恢复原来的信息,按照设计,是不可逆的。

但是,山东大学一个女教授研究出了攻击MD5的方法。这个,暂且不说。她的方法是比较通用的和高级的,实现起来,也有一定难度。

通常攻击MD5散列还有更方便的方法:

复制你得到的MD5散列,然后输入一个网站,点击查询。

他们的方法很爽:

做一个足够大的字典文件,这个文件里几乎包含了所有常用的密码组合,然后把这些密码组合分别生成MD5散列,存储在数据库中。当你提交查询时,他们只不过查找一下你需要的MD5值,然后把查询结果发给你。
因此,让黑客知道MD5散列也是一件很危险的事儿。

说了这么多,就是想说,小网站,即使采用了MD5的密码验证方式,也不安全,因为他们依然可以看到MD5散列。

也就是说,用通用密码的人,无论如何都处于危险中。

最保险的方法,当然是采用不同的密码了。

有人要说,这么多账号,谁记得住。

解决方法是:把它们做到一个文件里,然后,只需要妥善保管这个文件即可。比如,上传到Gmail中。

另外还有一种专门的软件,用来存储密码,他们的做法就是把你所有密码储存在特定格式的文件中,而这个文件是加密的,只有知道密码的人才能访问,并且,这类软件一般都是开源的,否则,没人会放心地把如此重要的数据交给它保管。



其他社工手段:

你的朋友,在QQ上给你发消息,说手机换号,于是你记下了。

过来几天他给你发短信,闲聊,都是以朋友的口吻。

聊了几天,管你借钱。

ok,你懂了。



另一种,你的朋友,跟你视频,而且是你非常好的一个朋友,视频中,你看到他在电脑前坐着。

然后管你借钱。

你看到的视频中的人,是黑客事先录制好的视频录像而已。

视频了,都看见人了,又是很好的朋友,借钱嘛,借呗。



这俩例子,都是建立在黑客事先掌握了两人关系,以及对被盗号人有足够了解的情况下的,这样,才能模仿口吻和语气什么的。所以,个人隐私是很重要的东西,并不像很多人想的那样发发广告那么简单。个人资料是诈骗的基础。



曾有统计数据显示,虽然企业大多有很多安全措施,比如防火墙和访问控制,但对雇员的社工攻击却使得黑客能轻松获取用户口令,每年造成的经济损失数额庞大。并且,几乎所有大公司都有雇员被社工攻击的经历。





最后一个,关于密码保护。

你点一下自己的密保,看看那些问题,有没有可能除了你以外还有人可以全部回答正确。如果有,你就是给人留下了一个超级后门。

这是一个非常严重的问题,很多人为了防止自己忘记密保答案,会填真实信息。有了众多信息收集手段,再看这种方法,绝对危险。很多人的问题甚至不需要很亲密的人就能很容易获取答案。

几条建议:

1,可以有通用密码的存在,但只在一些不重要的场合应用,比如一些小网站,小论坛,或者三国杀什么的。

2,使用大小写字母加数字,如果允许,加标点符号混合,这样的密码,且长度保持在10位以上。

3,如果别人有时借用你的电脑,windows密码要坚决与其他密码区别开。

4,清理下社交网站的好友,如果根本不知道这个人的任何信息,删了吧,数量惊人的好友只会让你的个人资料暴露无遗。

5,关于密保,设置无意义的答案并记录之并妥善保管;或者采用这种方法:比如你的出生地?你父亲的名字?密保答案设置为:好吧出生地。好吧父亲的名字。当然,前面的前缀设置就很关键了。

6,小网站填资料要谨慎。

7,保护好自己的账号密码,也是对朋友负责。

查阅用户资料 http://hxhack.6d7d.net

返回页首  留言 [第1页/共1页]

您在这个论坛的权限:
不能在这个论坛回复主题