红客社会工程学

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

工程学是一门应用学科,是用数学和其他自然科学的原理来设计有用物体的进程。实践工程学的人叫做工程师。与其它专业的比较科学家经常要问“为什么?”,他们关心了解人类不懂的知识,工程师则要利用科学家发现的知识,制造对人类有用的物体或工具。从经济的角度来说,科学家不必关心经济问题,他们想法获得必要的经费(如政府拨款、企业投资、私人赞助等),然后专心去研究,把这些经费花光,如果得到的是和原先设想的完全相反的结果,经费也没有白花。工程师则相反,他们必须使制造出来的物体,在经济上是可行的,否则没有任何用处,如果一件产品的成本高于其市场价值,使的无人光顾,这种产品就无法生产,所以对工程师来说,经济观念是必备的。例如像科幻小说所描写的“按12个按钮,再拉下三个把手,就可以给面包片抹上黄油”一类的机器,在理论上是完全可以制造出来的,但工程师决不会制造这种机器。从相互包含的角度来说,科学家可能也需要完成某些工程作业(比如设计试验仪器,制造原型),工程师经常也要做研究。从目的的先后顺序来说,可以说科学家为了学习而制造,而工程师为了制造而学习。从工程和科学都要做的研究来说,工程学上的研究与科学研究也有不同之处。它经常涉及到的领域,基本物理化学已经很好的被了解了,而这些问题却很难被精确的解决。工程学的研究便是要寻找可能近似方案。解决问题工程师运用他/她们科学和数学方面的知识、以及他们的经验知识,以寻找问题的合适解决方案。他们对问题创造合适的数学模型、来分析它,并检验可能的解决方案。通常存在多个合理的答案,因此工程师必须根据它们的本质评估不同的设计方案、并选择能达到要求的最佳方案。折中存在于是各种工程设计的核心之中,最佳设计意味着能达到尽可能多的要求。工程师一般在全面生产过程前,就尝试预测他们的设计如何达到规格。他们使用:原型、比例模型、模拟、破坏性试验、非破坏性试验、强度测试。测试保证产品按期望值运行。工程师作为专业人员十分严肃的履行他们的职责,让生产设计达到期望值,和不危害大多数人。限制某些工程作业,比如设计桥梁、电厂、化工厂,必须被专业工程师所批准。保护公众健康和安全的法律强制专业人员必须提供指导,这些指导是从教育和经验中获得的。即使有了严格的检测和许可证发给,工程灾难还是会发生。因此专业工程师严守伦理学标准。每个工程学科和专业组织,都持有论理学标准,成员发誓遵守维护。工程学的基础学科工程数学工程控制论工程力学工程物理学工程地质学工程水文学工程仿生学工程心理学工程概算标准化学计量学工程图学工业工程学可拓工程第二篇:社会工程学入侵三部曲大家一定知道超级黑客凯文·米特尼克吧,深为他的社会工程学所折服,美国国防部、五角大楼、中央情报局、北美防空系统……都是他闲庭信步的地方,没有人怀疑他的真实身份,对于他所想获得的信息如鱼得水,这便是社会工程学的魅力。当然,社会工程学不是那么困难难以撑握,本文分为社会工程学—信息刺探、社会工程学—心理学的应用、社会工程学—反查技术等三部曲使大家走入社会工程学的神秘世界。社会工程学师一般都干了什么呢?恐怕小菜们一定很想知道,是的,他们的目标或许是你的银行账户、私人信息、或是对企业拿取一份商业秘密。不管如何,他们总会设法找到一个切入点,哪怕只需要你的一个名字,他就能越过你所装的最好的防火墙或是杀毒软件,听上去有点恐怖,但事实如此,如果他们开始精心设计一个的陷阱,一切皆有可能。前言在前几期的黑客X档案有介绍过一些社会工程学的技巧,但是,那是狭义的社会工程学,有的是与社会工程学没有关系,比如利用dirshell扫描出大量的数据库,一旦其中存在Email与QQ,便利用其密码尝试,运气好便可成功获得真实密码,事实上这与心理学有关系,一般而言,18岁以下的人所拥有的密码为1~2个,其它为1~3个。为什么会出现这样的呢?大部分人凡事讲究方便自已,自信自已的信息一直处于安全状态。小菜们一定看到,狭义的社会工程学给人的是不可信的。广义的社会工程学是怎样的呢?说白了便是空手套白狼。它要求的是你不仅知道目标的计算机信息,且必须通过信息收集了解目标弱点,即规则弱点、人为弱点,然后开始构造精心的陷阱让目标交出攻击者所想要的信息。这里说明一些社会工程学的误区,有的并不能称之为社会工程学,有的小菜别被误导了。比如为了使用findpass找在线管理员的密码,而shutdown掉服务器,迫使管理员登录。请记着,这并不能称之为社会工程学,而是一种蠢方法,虽然shutdown了服务器,你能知晓管理员在线?明天或是后天,你有精力不停的等待么?菜鸟要知晓的是,社会工程学前提是离不开信息刺探,我们更好的方法是便是从筛选的信息将目标一步步引导入自已的控制范围。不可否认,社会工程学与生活的相关事物存在共通性,比如社交、商业、交易等都能看到社会工程学部分的影子,然而人们无法感觉。即使计算机与Internet相隔,配备高级入侵监测系统,而且也是专家人物维护,但不可忽视的是:每个人,都有弱点!而社会工程学师不但能善用这种弱点为他们服务,更危险的是,这种稍闪即逝的入侵难以察觉。这一部分简而言之使小菜明白狭义的社会工程学与广义的社会工程学的区别。下面将走进的第一部分便是信息刺探……第一部分:社会工程学—信息刺探一、善用你身边的信息尽量利用现有所知道的信息,这些信息将能处理好突发事件,此类信息指的是规章、制度、方法、约定。规章,指的是一个行业的规章,我们可以认为是行规,或是内部约定,比如,货摊A为了抢掉货摊B的生意,故意低压低价格来龚断是不对,违反了不正当经营法了。所以我们要尽量了解各行各业的之间的此类信息,比如校园,只有领导层内的人员才会拥有一份全校的师生的联系名单,服务行业通常有这样和那样的内部约定,了解此类信息对我们非常有利。除了我们必须知道那些方法外,还需要的是业内术语。看到这儿,小菜一定会问什么是术语了,它主要有什么用?嗯,业内术语即不同行业之间的”黑话”,比如,我们黑客界的网络钓鱼术语,一般人会认为是到网上去钓鱼。当然,业内术语用处大着了,社会工程学的身份都是经常变换的,假设我们要冒充银行业务员,就必须知道一些压缩贷款、反担保、关联企业……等等一些术语,否则当我们试图拨通一个分行经理的电话,他们就会出现激警,即经理发现你的攻击行为,由此可见术语的重要性。所以在一个攻击的起始,我们得做一些准备,假设我们的目标是一个数据恢复的企业,我们可以去买一本关于数据恢复的书,熟悉一些术语的概念。顺便伪装成一个访客看看一些员工办室墙上或是桌上的规章制度,如果去他们的垃圾处理场所,总会有一堆废纸什么的,但这里面包含了重要的信息,我们可以称之为垃圾的价值,比如会有一些客户书,员工身份号联系等。现在,小菜们一定明白,任何的信息都有利用的价值。二、学习侦探的伪装假设我们获取了目标部分信息,但必须通过对话得到更加敏感的信息,我们不可能直接让对方发现吧,所以我们得先完成身份的伪装。假设一个小菜的目标是某电器分行的销售部,那么我们最好伪装成另一分行的销售人员,而且我们知晓他们公司内部的销售术语,或我们再带一份分行销售报告书,我想对方一定不会怀疑你不是内部人员的。任何的社会工程学师都会使人认为他是可信任的,友好的,有礼貌的,然而,这都是他们伪装出来的假象。如果要表现出文质彬彬,这会要求我们行为与语气上伪装。社会工程学师有一点比侦探更妙的地方是不需要去往自已嘴上贴胡子,哈哈。所以说,如果小菜想让MM喜欢的话,不妨去模仿她心目中的男孩。再谈一下伪装的要点,任何情况不不要泄露自身的真实信息。或许我们会碰到一些意外事件,所以,在开始准备的时候,带上一张没有多少余额的手机,用完后就别再用了,这样可免遭怀疑。还有比如通讯账号QQ,永别使用自已的QQ,最好为自已准备一个信封,目标信息拿到后,将对方拖入黑名单。三、人性的弱点每个人都有心理弱点,没有人永远没有心理弱点。可以说,此部分是社会工程学重要的部分,他们能够利用人们的信任、乐于助人的愿望和同情心使你上当。那么,我们应该怎样去发现这类弱点呢?很简单,我们只要构造一个精心的问题,冒称他们的同事,设计一个帮助他们解决一个问题,那么,对方便会信任我们了,我们会更轻松获得想要的信息,而且更不容被发现。菜鸟们一定经常有很多问题吧,但他们总是茫目的去找一个人帮助,或是想认一个师父,我有个这样的经验,一个晚上我收了50个徒弟,然而只是开了一个玩笑,我的方法很简单,直接在Google搜索:本人找师父,或在qihoo搜索:找师父。然后帮助他们解决一个问题,两三句话便获取了他们的信任,有的还打算花钱请我,但我告诉他,只是开了一个玩笑,这个实例利用了他们对帮助的人信任。此部分最具危害性,所以我进行分开来讲,请参照社会工程学--心理学应用。四、组织信息构造陷阱假设现在我们通过目标的同事撑握了信息,比如目标的真实姓名、联系方式、作休时间…等等。这还不够的,高明的社会工程学师会把前前后后的信息进行组织、归类、筛选。以构造精心准备的陷阱,这样,可使目标自行走入。我打个比方吧,声明哦,这是我朋友的一个案例,A:你现在打不开论坛对吗?B:是的,打开是一片空白A:那是由于身份认证错误,我是XX论坛管理员,你要把论坛的用户名与密码发送到XX@263.com,以免系统稍后会恢复你的访问。B:现在吗?A:是的,我得马上给你恢复,不然我作废账户了。不一会儿,朋友很顺利得到他在某论论的VIP账户,论坛为什么打不开了,被DDOS了,从这个例子我们可以看出组织信息的重要性,如果B能正确回答第一个问题,A可能会考虑换种方式,这个案例非常的简单,那就是B对计算机方面不了解,害怕账户丢失,一点也不怀疑A就给了密码,而这个密码已乎通用了,所以现在小菜明白前辈们总告诉你不要使用同一个密码,永别把密码告诉第三者。第二部分:社会工程学—心理学的应用从前面所说,我们知道人性的弱点在社会工程学中是重要的一部分,实际上,这是一种心理学的应用,是社会工程学的一个分支,本文从心理学角度分析社会工程学师凯文.米特尼克所著《欺骗的艺术》三个典型攻击案例,为大家揭开心理学在社会工程学中的应用。为节省篇幅,我不打算将案例拷贝过来,所以请参照光盘附带的《欺骗的艺术》文档进行阅读。信誉支票攻击者需要从国家银行查询一个用户的交易记录,然而,银行不可能答应这样的要求,所以攻击者开始他的动作。第一个电话,攻击者拨通了国家银行的电话,以私人问题顺利从吉姆.安德鲁斯获知内部专业术语。第二个电话,攻击者以信誉支票的客服代表拨通银行开户处,以调查方式获取了他想要的信息。第三个电话,攻击者以国家银行职员拨通信誉支票处,最终知道目标的用户的账户交易记录。以下标有双引号的文字,均为引用凯文.米特尼克的分析与总结。我给银行打电话时,第一位年轻的小姐,吉姆,在我询问他们如何向信誉支票确定自己身份时就有所迟疑,她犹豫着,不知道是否应该告诉我。犹豫给我们传递了一个有效的信号,可以说此时的心理想法完全在于她左脑的判断。左脑主管言语活动(听、说、读、写)、数学运算、逻辑推理等具有连续性、有序性、分析等功能,是进行抽象思维的中枢,所以这个时候我们需要给对方一个可信的理由。我想你一定有过在外借钱的经验,当你试图询问一个陌生的小姐时,她会有点儿犹豫,而如果你告诉她,你是一名导演,在外迷路了,并给她一张导演名片,我想陌生的小姐都不会拒绝,因为小姐确信他是一名导演,名片使她无从怀疑。1.jpg(18.56KB)2009-8-1715:09你必须依靠自己的感觉,仔细的倾听马克[受骗者]的说话内容和说话方式。我们每个人的人生是奠基于两种形式的信息传送上。第一种是内在的传送,那是在内心里的描绘、细语和感受;第二种是外在的传送、包括言词、语气、表情、举止、行为等来与外界接触,这决定了社会工程学是否成功。社会工程学师必须通过外在的传送来筛选最有用的信息,来判断对方的性格,感觉类型,心理特点。各种情绪的反应过程和导演的工作很像。不错,他们为了确实达到戏剧效果,就得掌握住观众的视觉及听觉。如果他要你害怕,就会提高音调,并出奇不意地在银幕上跳出意想不到的画面;如果他要你兴奋,他会利用音

1 / 96
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功