什么是社会工程学?
社会工程学是欺骗他人以获得自己需要的信息?社会工程学就是教你怎么做一个好演员?社会工程学是教你怎么样获得免费的东西???
有很多的人对社会工程学产生了极大的误解。虽然常被人冠以恶名从“免费披萨”、“免费咖啡”以及“把妹”等等就可见一斑。任何东西都有双面性的,只是看用在什么人的身上。社会工程学也是如此。社会工程学触及生活中的很多方面。
韦氏字典对社会的定义是“社区中属于或与生活、福利以及人际关系有关的”
很容易发现,社会工程学是一门艺术或者说的更好听点社会工程学是一门科学,它有技巧的操纵人们在生活中的默写方面采取某种行动。
这个定义将社会工程人员的活动范围扩大到生活的各个方面。小孩使用社会工程从父母哪儿得到他们想要的东西;老师们采用社会工程学与学生互动,医生、律师、心理学家运用社会工程学从病人和客户那里得到治愈他们的信息。当然,司法部门也在使用,人们约会时也时常使用。事实上,从婴儿到政治家,每个人在生活交往中都在运用社会工程学。
小编自己对社会工程学这门科学的看法是“一种操纵他人采取特定行动的行为,该行动不一定符合“目标人的”最佳利益,但是能够从中得到许许多多的有用的信息或让目标采取特定的行动。
举个栗子,心理学家和临床医学家经常用社会工程学让病人做出对自己的疾病有益的行动。
社会工程学不能仅仅定义为欺骗、撒谎、或者角色扮演。《老虎小组》中的知名社会工程人员-克里斯·尼克森说过“真正的社会工程不仅是以为自己在扮演某种角色,而是在此刻,你自己就是这个角色,你的生活就是那样的”
同样也蕴涵了各式各样的灵活的构思与变化着的因素。
无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。
与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。
你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。
好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。
在出现社会工程学攻击这类型攻击的情况下,像CERT发放的、略带少量相关信息的警告是毫无意义的。
它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”
然而,这样的现象却常有发生。
那又如何呢?
社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。
我们经常讲:最安全的计算机就是已经拔去了网线的那一台(“物理隔离”)。
真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。
这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。
由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。
任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。
这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
-----未完待续
閱讀更多 視界TheWorld 的文章
