總體上來說,社會工程學就是使人們順從你的意願、滿足你的欲望的一門藝術與學問。它並不單純是一種控制意志的途徑,但它不能幫助你掌握人們在非正常意識以外的行為,且學習與運用這門學問一點也不容易。
它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候,在需要套取到所需要的信息之前,社會工程學的實施者都必須:掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似,社會工程學在實施以前都是要完成很多相關的准備工作的,這些工作甚至要比其本身還要更為繁重。
你也許會認為我們現在的論點只是集中在證明“怎樣利用這種技術也能進行入侵行為”的一個突破口上。好了,其實這樣夠公平的了。無論怎麼說,“知道這些方法是如何運用的”也是唯一能防范和抵御這類型的入侵攻擊的手段了。從這些技術中提取而得出的知識可以幫助你或者你的機構預防這類型的攻擊。在出現社會工程學攻擊這類型攻擊的情況下,像CERT發放的、略帶少量相關信息的警告是毫無意義的。它們通常都將簡單地歸結於:“有的人通過‘假裝某些東西是真的’的方式去嘗試訪問你的系統。不要讓他們得逞。”然而,這樣的現象卻常有發生。
那又如何呢?
社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。我們經常講:最安全的計算機就是已經拔去了插頭(注釋:網絡接口)的那一台(注釋:“物理隔離”)。真實上,你可以去說服某人(注釋:使用者)把這台非正常工作狀態下的、容易受到攻擊的(注釋:有漏洞的)機器接上插頭(注釋:連上網絡)並啟動(注釋:提供日常的服務)。
也可以看出,“人”這個環節在整個安全體系中是非常重要的。這不像地球上的計算機系統,不依賴他人手動干預(注釋:人有自己的主觀思維)。由此意味著這一點信息安全的脆弱性是普遍存在的,它不會因為系統平台、軟件、網絡又或者是設備的年齡等因素不相同而有所差異。
無論是在物理上還是在虛擬的電子信息上,任何一個可以訪問系統某個部分(注釋:某種服務)的人都有可能構成潛在的安全風險與威脅。任何細微的信息都可能會被社會工程學使用者用著“補給資料”來運用,使其得到其它的信息。這意味著沒有把“人”(注釋:這裡指的是使用者/管理人員等的參與者)這個因素放進企業安全管理策略中去的話將會構成一個很大的安全“裂縫”。
一個大問題?
安全專家常常會不經意地把安全的觀念講得非常的含糊,這樣會導致信息安全上的不牢固性。在這樣的情況下社會工程學就是導致不安全的根本之一了。我們不應該模糊人類使用計算機或者影響計算機系統運作這個事實,原因我在之前已經聲明過了,地球上的計算機系統不可能沒有“人”這個因素的。幾乎每個人都有途徑去嘗試進行社會工程學“攻擊”的,唯一的不同之處在於使用這些途徑時的技巧高低而已。
方法
試圖驅使某人遵循你的意願去完成你想要完成的任務是可以有很多種方法的。第一種方法也是最簡單明了的方法,就是目標個體被問到要完成你的目的時給予其一個直接的“指引”了。毫無疑問這是最容易成功的,也是最簡單與最直觀的方法了。當然,被指引的個體也會清楚地知道你想他們干些什麼。
第二種就是為某個個體度身訂造一個人為的(注釋:通過捏造的手段)特定情形/環境。這種方法比你僅僅需要考慮到了某個個體的相關信息狀況附帶更多的因素,例如如何說服你的對象,你可以設定(注釋:刻意安排)某個理由/動機去迫使其為你完成某個非其本身意願的行為結果。這包括了遠至於為某個特定的個體創造一個有說服力的企圖而進行的工作,與大量你想得到的“目標”的相關知識。這意味著那些特定的情況/環境必須建立在客觀事實的基礎上。少量的謊言會使效果更好一些。
社會工程學中最精煉的手段之一就是針對現實事物的良好記憶能力。在這個問題上黑客與系統管理員會更為側重一點,特別是在某種事物與他們的領域有所關聯的情況下。為了說明上述的方法,我准備列舉一個小型的范例.......