社工与社工库的那些事
/ / 点击 / 阅读耗时 11 分钟估计看过我前面的《寻找初恋,一个黑客的故事》的同学还记得文章里有一个地方直接查询社工库获得QQ密码进入QQ空间的点。记得有好多同学问我啥是社工库,社工库有那么牛吗?今天跟大家聊的就是这个话题,谈谈社工库。
估计OpenSSL的漏洞又让许多同学的社工库添加了不少好东西,一些以前想着法子都破不了的站估计都搞到数据了,具体的就不多说了,来谈谈今天的话题。
社工
什么是社工?是不是经常听见说谁又被社工了,或者谁社工了谁?那么到底什么是社工?社工可与百度百科搜索社工得到的结果是不同的,可不是什么社会工作,或者社区工作,社工的全称是社会工程学。带上一个工程,再带上一个学字,然后觉得高端大气上档次了,哈哈。
开个玩笑,言归正传:
社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段;是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报;是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。所有社会工程学攻击都建立在使人决断产生认知偏差的基础上,熟练的社会工程师都是擅长进行信息收集的身体力行者。
有一本书很出名,估计很多同学都有听说过,叫做《欺骗的艺术》,其实社会工程学就是米特尼克在这本书中提出的,不过其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失,但是现在真正的应用似乎不是这样的。 听起来似乎跟人肉搜索好像一个概念,其实不能把人肉搜索跟社工对等,准确的说,人肉搜索可以算作社工的一种应用。
那么社工有什么危害?干吗用的?我记得我在蘑菇的《剖析隐私安全的奥秘》(http://zhuanlan.zhihu.com/Evi1m0/19721012)文章中概括社工为人性的问题,我一直秉承一句话,计算机的世界里没有不存在的漏洞,只是没发现而已。我虽然这样认为,不过也有一时半会找不着漏洞或者其他方法一时没有成效的时候,那么利用社工,往往就可以获得意向不到的收获。你可以想象下,你不用会任何的代码编写,不用了解任何的安全漏洞,不是一名黑客,结果你利用社工,却能让一个人"赤裸裸"的展现在你眼前,这是多么神奇的一件事。
其实,社工的利用,包含了很多东西,部分初学安全的同学别一看我这样介绍就想着马上去学社工,在百度百科中还是介绍了挺多的例子,这其中涉及了许多的"斗智斗勇"的过程,也绝非想象的那么简单(百度百科结果 社会工程学_百度百科)。
社工库
讲了那么多,想来大家大概明白了社工所谓何物了。那么社工库呢?跟社工相差一字。其实按照字面理解,库就是数据库的意思,组合起来就是社工数据库,其实已经基本是这个意思了。
上面的社工介绍大家明白了社工在信息收集方面的作用,这些信息中可能有个人信息有密码等等,那么,那么与其每次需要社工的时候再去搜集信息,当有某个网站或者某个应用等之类的数据库或者相关一些数据泄漏出来或者其他方式可以获得,那么为什么不提前收集起来,然后在需要的时候再来查询呢?这样不是更省事省时?
现在大家应该大概理解社工库了也明白社工库是怎么收集的了。其实社工库看似简单,当数据量足够大的时候,就容易查到自己想查的信息,但是其实也有许多的问题,比如不同的数据库如何处理后入库,不同数据之间如何关联,这么大量的数据如何做到快速的搜索。。。其实还是涉及到挺多问题,当然这些就是数据库处理方面的额问题了。
就社工库来说,应该很多组织及个人手里都有一个社工库,可能来源主要都是那些泄漏出来的数据库,比如之前的酒店登记数据,以前天涯、CSDN被脱的数据库等等。所以还记得我在文章开头为什么说这次OpenSSL漏洞又让许多社工库添加了许多记录了把?估计这次OpenSSL漏洞很多同学还是刷到了很多有用的数据,整理下,这部分数据就可以入到社工库。
至于不同的社工库量都有多少?内容都是什么,这个不尽相同。对于很多社工库来说,存储达到T,数据量达到亿级别都是小case。而内容方面,帐号密码、邮箱地址、个人信息等等,也看大家自己的处理方式,这个就不一定了。
再看看网上那些社工库,其实就是作了处理,对外提供了搜索服务。一个社工库,威力有多大,就看数据库的数量和质量了,理论上达到了一定的量,很多的东西都是可以查的出来的,特别是那些基本所有网站都一个密码的,只要一个社工库的收集的其中一个数据库有他的帐号密码,那么查出来的密码就可以直接登陆该用户的其他帐号了,所以安全方面的防范我其实不用多少大家都明白了,应该看过许多的防范措施之类的了。
结语
就像社工原本的提出,初衷是好的,技术都是如此的,包括社工或者社工库的使用,怎么用,都是看人的,双面刃,反正其实要讲的,大家都是懂的,我就不多说了。