浅谈社会工程学与信息安全
2011-05-14石明珠
石明珠
摘 要:在如今这个充满利益诱惑的信息社会中,信息已经成为一种资源,一种可以带来利益和财富的数字化资源。无数双眼睛紧盯信息系统的漏洞,无数黑客手持一把把“矛”刺向信息系统的防火墙,而社会工程攻击则是其中最锋利的一把“矛”。有“矛”刺就有“盾”来挡,于是以社会工程来反制社会工程攻击以保证信息安全的机制被日益重视起来。
关键词:信息安全;社会工程攻击;社会工程学;反制
引言
信息安全分为“硬安全”和“软安全”两个部分。 所谓“硬安全”主要包括具体的 IT 安全技术(比如防火墙、入侵检测、漏洞扫描、拒绝服务攻击、缓冲区溢出攻击等等);而“软安全”主要涉及管理、心理学、文化、人际等方面, 与具体的IT技术无关[1]。今天所说的社会工程学,实际上就是“软安全”的范畴。
1 社会工程攻击案例分析
下面是一个典型的运用社会工程学的案例:
主要人物介绍:某社会工程攻击者,简称小黑。某公司客服人员,简称小白。
背景介绍:小黑想打探这家公司某客户(张三)的银行帐号。小黑先进行了一些初步的信息收集(通过 Google),了解到如下信息:1、公司内部有一个商业客户资料系统,里面包含有客户的银行帐号;2、该系统简称BCIS; 3、该公司的客户服务人员有 BCIS 的查询权限。准备妥当之后,小黑打电话到该公司客户服务部。
对话过程:
小白:你好,哪位?
小黑:我是客户资料部的,我的电脑中了该死的病毒,没法启动了。偏偏有个总裁办的秘书让我查一个客户的资料,还催得很急。听说你们客服部也能登录到 BCIS,麻烦你帮我查一下吧。谢谢啦!
小白:哦。你要查什么资料?
小黑:我需要一个客户的银行帐号。
小白:这个客户的 ID 是多少?
小黑:客户 ID 在我电脑里,可是我的电脑打不开了。根据姓名进行模糊查找,应该能找到的。这个客户叫“张三”。
小白:稍等,我查询一下。
......
小白:找到了,你拿笔记一下,他的银行帐号是 XXXXXXXXX。
小黑:好的,我记下了。你可帮了我大忙啦!太谢谢你了!
小白:不客气。
案例分析:首先,攻击者通过信息收集中打听到“商业客户资料系统”,该系统简称BCIS。另外,攻击者还了解到“客服部门”有 BCIS 的查询权。当小黑很自然地说出这两个信息,就会让小白相信自己是公司内的人员。接着,小黑通过谎称自己的电脑中毒,来进行示弱并博取小白的同情。如果再辅助一些特定的嗓音和语调,并且在言谈中流露出焦急的心情,那基本上就大功告成了。
2 社会工程学的概念及在信息安全领域的提出
社会工程学( SocialEngineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法[2]。准确来说,社会工程学不是一门科学,而是一门艺术和窍门的学问。社会工程学是利用人的弱点,以顺从你的意愿、满足你的欲望等方式,让你上当的一些方法、一门艺术与学问。说它不是科学,因为它不是总能重复和成功,而且在受害者信息充分多的情况下,会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。
最近几年,信息安全方面的问题日益严重,许多网民深受其害(比如QQ诈骗、网络钓鱼、盗用银行卡、蠕虫木马泛滥、僵尸网络盛行等等)。这其中便不乏社会工程攻击的案例。社会工程攻击已不是传统的信息安全的范畴,而被称为“非传统信息安全”(Nontraditional Information Security)。传统信息安全办法解决不了非传统信息安全的威胁。与此同时,社会工程学是信息安全中一个经常被忽视的偏僻角落。即便很多IT 安全领域的从业人员,往往也缺少社会工程学的相关常识。很多人都知道什么是防火墙、杀毒软件,但是却从来没有听说过社会工程学。大部分的安全厂商都把注意力集中在“硬安全”方面,很少有安全厂商把社会工程挂在嘴边。相反的是:现有的信息安全攻击,大都以“软安全”作为攻击者的突破口,只有一小部分是纯粹通过“硬安全”来进行的。
3 社会工程学的运用
现实中运用社会工程学的犯罪很多。短信诈骗、电信诈骗、QQ视频诈骗、钓鱼网站诈骗等等都运用了社会工程学的方法。近年来,更多的黑客利用社会工程学手段,突破信息安全防御措施,转向利用人的弱点来实施网络攻击的事件,已经呈现出上升甚至泛滥的趋势。Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年最大的安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的。”一些信息安全专家预言,社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域[3]。最近流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是社会工程学的代表应用。
3.1 社会工程攻击的三个步骤。
运用社会工程学实施网络攻击,一般会有三个步骤:“信息收集”、“假冒身份”和“施加影响”,而这三个手法不是孤立存在的,而是有机结合的。攻击者在攻击的时候,总会混用这三个手法以达到最终目的。
攻击手法之信息收集:信息收集就是通过各种手段去获取机构、组织、公司的一些不敏感信息。信息不敏感,就不会有特别严格的访问限制,攻击者也就容易得手。而且在获取这种信息的过程中,不易引起别人注意,降低了攻击者自身的风险。收集的不敏感信息,诸如某些关键人物的资料;机构内部某些操作流程的步骤;机构内部的组织结构关系;机构内部常用的一些术语和行话。收集不敏感信息的渠道也是多种多样:通过网站和搜索引擎;通过离职员工;通过垃圾分析;通过电话问讯等等。信息收集往往不是攻击者的最终目的,仅仅是攻击者进入下一个阶段的前期准备工作。
攻击手法之假冒身份:假冒身份说白了就是“包装”。一般来说,攻击者会根据面对的目标来选取马甲。选好马甲之后,还要在某些细节上稍微粉饰一下,让人觉得更加逼真。因为大部分人都是感性的,所以包装的效果,就是要充分利用和挖掘人感性的弱点,通过博取信任、博取好感、博取同情和树立权威性等技巧达到逼真的包装效果。总而言之,包装要为后续的“施加影响”埋下伏笔,打好基础。
攻击手法之施加影响:通过前期的种种准备,就是要达到最后的施加影响的目的。施加影响的技巧主要有以下几种:通过外在特征的“光环效应”、通过相似性来博取好感、通过互惠原理来骗取好处、通过社会认同来施加影响和通过权威来施加压力。
社会工程攻击的三部曲能够使攻击者拿到他们想要的任何东西。或许是银行账户、私人信息;或是一份商业秘密。不管如何,他们总会设法找到一个切入点,哪怕只需要一个名字,就能越过所装的最好的防火墙或杀毒软件,只要他们精心设计好一个个的陷阱,一切皆有可能。
4 防范社会工程攻击,人是最坚固的防火墙
一般认为,解决非传统信息安全威胁也要运用社会工程学来反制社会工程攻击。具体的方法就是应该向用户提供充分的反馈信息,让用户能做出准确的判断,避免上当,并且增加更多的控制机制,即使在错误决策的情况下,也能防止社会工程攻击的发生。腾讯公司在这一方面可以为我们提供最好的佐证。不法分子盗取QQ密码,冒充QQ号码主人,向父母或朋友借钱,骗取大量钱财。不法分子使用的是典型的社会工程学攻击,这类攻击使用传统的技术防范措施是不奏效的,只有使用社会工程学来反制此类攻击才会起作用。腾讯公司通过不定时弹窗的形式提示防范此类诈骗,并且在聊天内容中凡是涉及财产的操作都会提示:如果聊天中有涉及财产的操作,请一定先核实好友身份,发送验证问题或点击举报。如图:
为了对抗社会工程攻击,必须组建“由人组成的防火墙”,同时抛弃网络架构刀枪不入之类的幻想。 这是更具普通意义的防范社会工程攻击的根本道理。具体有以下几个方面的内容:
(1)普及教育培训。对员工进行教育培训,使一部分企业能够预防和识别社会工程攻击的企图。这比对员工进行防火墙系统培训要更起作用。因此,只要组织措施得当,“人”将不再成为信息安全链中最薄弱的一环,而是成为最安全的后盾。
(2)建立事故响应小组。从信息安全的观点,任何外部威胁的处理(包括社会工程)将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是,事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成,他们要经过良好培训并随时准备对社会工程攻击做出反应,有效的分析出入侵的目的与方式。
(3)严格的认证。认证(Authentication)是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁?由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。
(4)严格的授权。授权(Authorization)和认证一样,也是一个常用的信息安全术语。通俗地说,授权就是解决某人到底能干啥?对于组织机构来说,授权要尽量细化、尽量最小化。例如在某软件公司中,所有的程序员都可以访问源代码,那源代码泄漏的风险就很大。
(5)信息分类。在组织机构中,最好要有信息分类的制度。根据信息的重要程度,定出若干级别。越是机密的信息,知道的人越少。比如源代码的敏感度高于软件安装包。
(6)保持理性。社会工程学的手法不外乎都是利用人感性的弱点,然后施加影响。所以,保持理性的思维,有助于减少被攻击者忽悠的概率。
5 结语
本文提供的关于社会工程攻击的实施步骤具有普遍性,实践表明,防范社会工程攻击最有效的防火墙是“人”。只要按照一定的原则和规章将“人”的工作做好,这道坚固的“人墙”对维护信息系统的安全是行之有效的。
参考文献
[1] 黄明祥,信息与网络安全概论.(第三版). 清华大学出版社,2010年1月.
[2] 罗伯特·西奥迪尼(美),影响力.Influence: The Psychology of Persuasion.
[3] 凯文·米特尼克,欺骗的艺术.
