一、知识点梳理与总结
本周在课上主要学习了一些基础的知识点,课下自学了网络攻防技术与实践的第一章的内容。主要介绍了蠕虫,黑客,网络攻防技术,物理攻击和社会工程学等等,下面来具体说一下。
课内学习简记:
1、网络安全的属性:保密性(有权才能看,只能看自己;通过旁路方式,对通信无影响);完整性(不能被修改,采取摘要和签名来保证;通过串联方式);不可抵赖性(认证/签名);可用性(网络不能崩溃);可控性(权限内的资源是可查的)。
2、安全威胁:恶意代码(在存储介质和网络传播,包括计算机病毒、蠕虫、特洛伊木马等);远程入侵;拒绝服务;身份假冒(IP地址假冒,用户假冒);信息窃取和篡改。
课后自学第一章简记:
1、黛蛇蠕虫的案例分析
这是黛蛇蠕虫传播的原理方式。
2、黑客与骇客
黑客(hacker)与骇客(cracker)在本质上是不同的,黑客其实是那些能力特别强,不断改进完善计算机,没有存过有害之心的那些人,而骇客是那些恶意攻击者,能力并不是很强。
3、网络攻防技术
网络攻防主要包括系统安全攻防、网络安全攻防、物理攻击与社会工程学三部分。
- 系统安全攻防是网络攻防技术的核心组成部分,它的底层基础是软件程序中存在的安全漏洞,可以使攻击者在未授权的情况下访问或破坏系统,导致系统面临安全风险。
- 网络安全攻击是利用网络协议在设计时存在的一些不安全因素,包括被sniffer窃听,SYN Flooding拒绝服务攻击等,网络检测与防御包括网络嗅探与协议分析、入侵检测、防火墙等等。
- 物理攻击与社会工程学是利用信息系统所处物理环境、使用的硬件以及所涉及的人存在的安全弱点,达到攻击信息系统目标的攻击方法。
二、电影中的物理攻击和社会工程学
- 首先我想先记录一下什么是物理攻击什么是社会工程学。
所谓物理攻击,就是攻击者通过各种技术手段绕开物理安全防护体系,真正进入到那个物理空间里,通过武力强行破坏进入或者在守卫不知情的情况下秘密获取或破坏信息都算物理攻击。日常生活中开锁或者窥视到密码或在ATM机上装摄像头和读卡器等行为都算物理攻击。
何谓社会工程学呢,它的攻击对象是人,从别人那里骗取信息,根据不同情形设计不同的攻击手法,这些社会工程师人际交往能力极强,有着强大而细腻的信息获取能力。 - 接下来就来聊一聊电影中以及现实生活中真实出现的例子吧。
碟中谍系列电影是我特别喜欢的电影之一,汤姆克鲁斯饰演的伊森简直就是又帅又有超凡的能力,他最擅长的部分之一就是物理攻击了。比如第一部里悬在半空潜入中情局窃取情报;以及迪拜那部里徒手爬迪拜塔,最后破窗而入;某部里为了使同伴顺利进入,从水阀纵身一跃深入水底换芯片等等,我认为都属于物理攻击的范围。这中间令我印象最深的要属第四部里在潜入克里姆林宫的过程中用一个机器还原了真实背景的那一场景,不知道大家有没有印象,先来看几张电影截图回忆一下。
 在仪器后面移动 |
 渲染 |
 守卫看到的画面 |
 成功潜入资料室 |
这个就算物理攻击的一种,神不知鬼不觉地潜入,虽然最后因为被人捷足先登,没有获取信息成功,但确实成功潜入了资料室。
还有一部根据真实事件改编的电影《Catch me if you can》,社会工程学原理在这中间体现的淋漓尽致。主人公弗兰克,一个17岁的未成年人,成功冒充飞行员,医生,律师等职业获取了几百万的美金。其中令我印象最深刻的场景是在宾馆被FBI的卡尔追到时候的场景,这一金蝉脱壳简直绝了。让我们看几个图片回忆一下。
 进入frank的房间 |
 临危不乱,面不改色心不跳地编造身份及情景 |
 要证件时给了他钱包 |
 甚至问需不需要给他手枪 |
 反问FBI要证件 |
 临走时为了让他相信他还会回来没有要回钱包 |
弗兰克利用临时编造的身份骗过了FBI,临场反应能力极强。他在临出门前被FBI叫住时的表情还是能看出他内心其实是很紧张的,但完全没有表现出来,给人特别可信的感觉。
历史上还有一位传奇骗子,曾卖了两次埃菲尔铁塔,他名叫Victor Lustig。他智商很高,举止优雅,与人交往谦虚礼貌,精通多国语言,还擅长各种赌博游戏。某天他从报纸看到巴黎政府打算翻修埃菲尔铁塔但财政资金不足的消息,于是他伪造了法国政府的印章和文件,给自己造了一个邮电部副部长的身份。然后他联系了法国最大的几个金属废料经销商,邀请他们到巴黎瑰丽酒店开会,告诉他们法国政府决定偷偷拆除埃菲尔铁塔,拆除之后的6万吨钢材将会以金属废料卖掉。这个大订单由在座的几位有实力的大老板来竞标。然后Lustig让大家跟着他坐上两辆他租来的豪华轿车,去埃菲尔铁塔实地考察。在埃菲尔铁塔下面,Lustig侃侃而谈,自信地给老板们讲解拆解的过程,时长,钢铁废料的搜集等细节。接着他又进一步发挥他的学识优势,深入浅出地讲解了埃菲尔铁塔和巴黎城市风格的种种不和谐。
豪华轿车,豪华酒店,加上眼前这位风度翩翩,学识渊博,无比绅士的法国邮电部副部长,5个人丝毫没有怀疑这是个骗局。一位名叫Andre Possion的老板对这个项目兴趣最大。他很快向Lustig提出了报价,但这时Possion的妻子总觉得哪里不对。当时法国官员办事从来没有这么利索的,她觉得这背后很可能有猫腻。Lustig多聪明啊,马上察觉到了Possion的犹豫。他不慌不忙,将计就计,向Possion表示因为自己得不到实质性的好处,需要重新考虑是否将项目交给Possion。这种明目张胆的索贿,反而让Possion放心了。回去后,Possion马上准备了一笔贿赂款给了Lustig。不久,他又交割好了埃菲尔铁塔6万吨钢铁的废料款。Lustig不但赚了6万吨废铁的钱,还收了一大笔贿赂,拿到钱之后连夜离开了法国。
最有意思的是骗局败露后,上当的老板Possion觉得太丢人,坚决不肯报警,这件事只能不了了之。这就是Lustig所说的攻心为上的骗局套路,被骗的人损失了钱财,还选择自认倒霉,不愿声张。Lustig没有就此罢手,等到风平浪静后,他回法国决定按照这个套路,把埃菲尔铁塔再卖一次。不过这次没有成功,有人报警了,但Lustig消息无比灵通,第一时间逃往美国。
不论是Frank还是Lustig,他们都极其擅长与人沟通,心思细腻,有魅力讨人喜欢,这种个人修养和说服力使他们更容易获得信任。同时他们还会根据不同的情境、不同的目标采取不同的攻击手法。他们都是非常高水平的社会工程师熟练运用社会工程学的各种手段。当然,我们要是有意识地学习社会工程学技巧,提高自己的安全意识,就可以提高防御能力。
三、通过社会工程学手段尝试获取其他同学的个人信息
 |
 |
 |
跟我一个比较熟的同学聊天的时候,套出了她的身份证号和家庭住址,虽然中间有过怀疑但还是告诉我了,告诉她真相之后骂了我一通。。利用信任骗取信息还是比较容易的,不过建立信任的过程可能比较长,,唉以后对我信任崩塌了可咋整。。
来源:https://www.cnblogs.com/hyyoooh/p/12383174.html