原谅我的见识太少,居然是上计算机安全保密才第一次听说社会工程学。
《入侵的艺术》是老师上课时推荐的,回来后惯例开浏览器,上csdn download搞下来看。
利用闲暇时间两周才看完了本书(花闲暇太多时间发呆去了),前边没空,今天补读书的笔记和一些感想。
图书信息:http://book.csdn.net/bookfiles/244/
入侵的艺术
作者:(美)米特尼克(Mitnick, K. D.),(美)西蒙(Simon, W. L.);
********************************************************************************
一些感想:
********************************************************************************
1、 毫无疑问,社会工程学跟黑客有某种联系,不过这里的“工程师”不纯粹是技术上的牛,也不同于大家对“黑客”的认识。应该说社会工程是一门交叉学科,作为社会工程师,他综合利用社会学、心理学、信息技术等精心地“获取他们想要的信息”。
2、 按照书中的示例所指,社会工程攻击随处可见。按我的理解,社会工程师基本上就是骗子中的一种——只不过他们所骗的基本是信息,但是大多数利用这些信息牟利。
3、 社会工程师利用人们的信任、乐于助人的愿望和同情心使你上当受骗,从而获得他们想要的信息。由于社会工程师在骗取信息时大多数时候不违反法律,但是徘徊在违法的边缘。(其实骗子也差不多,如果骗子不是骗取你的财物或其它重要东西的话,按法律也不违法。因为很多人有很多时候都在不自觉地“骗人”——说假话,造假)
4、按照本书的结论,而且我也相信,技术上的漏洞虽然存在,但是已经越来越难以攻破,这提高了黑客的门槛,一般的利用网络上的黑客工具的“脚本小子”将越来越难成功,但是人的防线相对却是容易攻破的,“因为人为因素才是安全的软肋”,一个没有安全意识甚至安全意识不强的人都很容易被社会工程师“引导”。
5、个人想法:现在的网络将有助于社会工程的实施,通过队网上信息的提取将很容易得到一些社会工程的辅助信息。而且网络也是实施社会工程的绝佳媒介。
6、信息安全技术只是加强了我们的技术防线,“任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中”,由于人的因素,要保证绝对安全几乎是不可能的。
7、“安全不是技术问题,它是人和管理的问题。”
8、本书论述的重点就如7所说。我们用信息安全技术的进步来弥补安全的漏洞,但是技术上的进步造成了心理上的轻视,安全的重点又反过来落于人的身上。防来防去,还是“人防”比较重要,攻来攻取,不如从人入手较快。
9、技术的进步让我们自大。本书中有一个例子是指某公司的程序员们设计了一个被认为绝对安全的程序,结果却被三个年轻人所破(有一个就是作者),该系统确实安全,但是被破的原因居然是作者通过跟程序员们的另一半聊天,去另外的机器上看了源代码。
10、人人都在使用社会工程,但不是每个人都是社会工程师。下面摘录一长段:
“我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着,他们有办法(比如:“这是为了你好”)让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法,巧妙的编出看似有理的故事、理由以及借口,来达到他们的目的。是的,我们都被我们的父母所引导——那些乐善好施的(偶尔也不完全如此)社会工程师们。
”由于这种生长环境,导致我们软弱而容易被操纵。可总是对他人怀有戒心,担心上当受骗,会活得很累。在理想的世界里我们应对他人给予绝对信任,每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中,我们必须锻炼我们的防欺诈能力以对付我们的敌人。“
11、无害信息也能成为入侵的钥匙。本书论述了多种情况下通过组合某人的社会保险号、父母、职位、上司、……等等看似无关,而且很容易得到的信息,成功地骗得了很多人的信任,从而获得所需信息/物品。
12、看似很安全的部门也有漏洞。很多社会工程师就是利用了一些漏洞和一些特定专业的特定知识而敲开了诸如警察局、安全局等部门。毫无疑问,银行是”最安全“的部门,因为她最频繁被社会工程师攻击和攻破。
13、社会工程的实施最重要的是获取信任。信任来自何处,自然利用人性的弱点——乐善好施啊、对领导言听计从、对”熟人“毫无戒心、作为”新人”对环境不熟悉……(“你能帮我吗?”“我能帮你”)
14、其实安全行业有很多"小白“。由于社会工程师的漏洞是如此之多,一个没有懈怠的专业人员是不容易被攻击的,社会工程师一般会绕开,不过”小白“是如此之多,所以攻击总会成功。
15、根据本书,我们可以得出一个结论,那就是一定要专业!无论攻击还是反攻击。
361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
