首先,这里基于社会工程学的攻击该怎么理解?这将是一个讨论的前提。
——————————————————————
我想利用社工进行的攻击就是基于对人性的分析理解而展开的攻击,而不再是基于对机器对编码的理解而进行的解密、规则突破等。
据我所知,很多很多能提权也就是能黑掉小至个人账户大到企业内网的黑客是不需要就编码进行过多分析的,甚至有些人并不具备编码能力。然而,事实是,他们真的把你黑了,把你眼中高大上的企业黑了。
所以基于社会工程学的攻击到了什么程度?
——————————————————————
答案是,已经到了理论上可以黑掉任何网站/企业的程度。
这里强调「理论」上,因为这个过程可能需要漫长的时间和精力去寻找突破口。不排除中途攻击者累了就放弃了的情况。
那么我再说说社会工程学攻击通常是怎么进行的。
——————————————————————
也许痴迷于高精尖技术的你或者我都会表示不平,为什么?企业花了那么多财力购置防御设备或系统,雇佣优秀的开发人员、运维人员、安全人员,怎么可能被你一社工手段突破。
这就源于攻防双方的不对等。
对于攻击者来说,只需要找到任何一个无论多么微不足道的弱点,防御方看似坚不可摧的防御体系就可能彻底溃败。
然而对于防御者来说,就算花了巨额投入和人才资源用于防御技术层面的研究,防火墙、WAF 一个又一个,产品代码审计一遍又一遍,测试一遍又一遍。你依然可能因为某一天你司一位几乎与技术沾不上边的员工防线被突破,进而导致你司安全防线全线崩溃,然而技术人员可能都一时「猜不透是哪里出了错~」。
而且现在看来很多防御者力量用错了地方,准确地说是过于局限在了某些地方,而遗忘了一些地方,你辛辛苦苦想通过技术手段做防御,殊不知攻击者根本不需要去绕你家设置的严密规则,人家根本不要撬锁,直接拿你家大门钥匙就堂而皇之进门了!
所以对于防御者,就算努力拿到 99 分都不算数,少了 1 分就注定与安全无缘,很多情况下少了那 1 分,你的企业安全不是 99 分,而是 0 分了!
那么我想说说哪些地方让你丢了那 1 分!
——————————————————————
用一个字来说就是,人!
因为攻击的对象(个人、企业、系统、网站)都是由人来运营、维护、管理的,只要有人参与的活动就不可能万无一失、无懈可击,就会有很多由于人的惰性 or 一时疏忽 or 意识薄弱 or 纪律散漫 or 狗血一点 just 我失恋了精神有点恍惚……带来的问题。
比如经典的花式弱口令!
很多、巨多看起来影响巨大的漏洞不过是一个弱口令导致的。
SNS 帐号弱口令、个人通讯软件弱口令、员工邮箱弱口令、WiFi 密码弱口令、各种带权限的管理系统帐号、数据库权限帐号弱口令、代码托管库弱口令…………任何一个入口被逮着就可能被黑。
以上只是科普性质的列举一些,业内这种字典应该很常见吧,有心情时手动输手动猜,大多数情况下,可以自动挨个规则跑一遍,遇到验证码怎么办,以国内的状况看大多验证码算法太容易识别绕过了好吗,几乎等于没有。
还有种我也将其列入弱口令,就是不同帐号重复使用同一个密码的。
这正为攻击者提供了撞库、爆破的机会。
除了弱口令,我们人类还能有什么弱点?
——————————————————————
如果说弱口令是因为懒惰,那么各种运维不当、敏感信息暴露就属于粗心大意,意识薄弱啦~
密码,或者敏感信息写在
结果是我 Google 一下 intext:password pwd 竟然搜到了你的密码, filetype 搜到了你司员工信息名单,inurl 搜到或者扫描器扫到了你的后台地址,或者暴露在外的 cms 地址或是敏感端口,最后在你的文档或者日志或者配置文件或者代码里直接记录密码等敏感信息,我打开某 Wi-Fi 密码共享软件看到你司有可爱的员工竟然跟大家分享了你司 Wi-Fi 密码,然后连上 Wi-Fi 顺利入侵……
通过包括但不限于以上的手段,如果拿到密码便是直接提权,如果拿到的是隐私信息,那么就可以逐一发挥视奸狂魔的特质去一一观察分析每一个人的帐号、习惯喜好、人际关系进而通过上文中的弱口令寻找突破口,或者针对某个人和某小部分人进行有针对性的利用和攻击,比如定向钓鱼!利用你没有不太懂技术最重要的是没有安全意识,然后伪造一封钓鱼邮件或者私信给你,然后你信了你就上钩了!你的组织、单位和拥有权限的系统就全给你卖了!
然而
——————————————————————
以上只是冰山一角,由于过往安全状况的混乱,各种安全基础设施的薄弱,导致攻击者们早已通过各种途径收集到了大量个人的隐私信息。这就意味着现在的社工攻击,已经不需要花太多时间在视奸谁上了,基本是 select 查查想要的某个人或者 id 的信息,就能找到那个人过往的密码、手机号、邮箱、甚至是单位、住址等隐私信息,这都有助于攻击者进行上文中的弱口令分析或者对其所在企业进行攻击。
更有人已经把这个过程写成了傻瓜式操作的查询系统。
把猜密码,寻找敏感端口、信息、配置文件的过程写成了从个人「玩具」到专业化商用级别不等的自动化系统。
所以,你要怎么防?
——————————————————————
就个人而言,老生常谈了……
所以对于企业,就显得更头疼了。用技术是解决不了的,这是个管理问题!
——————————————————————
所以你们能理解了吧,为什么有的黑客总是那么自信满满,能黑遍所有企业~
但是我觉得,正是因为如此,才需要渗透测试这种职业来动态地为企业检测来自于人这种不确定因素带来的疏漏,企业完全不必因为一个漏洞而觉得惶恐感觉药丸,马上危机公关逃避责任,其实坦诚透明的应急态度,及时的漏洞修复,就是最好的公关。看客们在了解攻防双方的状况后也会多一分理解和学习态度,而不是一味谴责讽刺,这样国内互联网行业、传统企业和安全行业才能朝着更多合作而不是对立,也就是更健康更进步的方向发展。