2008年3月19日 星期三

無孔不入的社交工程(All-Pervasive Social Engineering)

先前我曾提到一些有關社交網路的議題《社交網路的風險》《網路服務的膠著度》,其實,這些服務的底層,都有一個屬於它應用範圍的技術,這部份有人稱它是「社交工程(Social Engineering)」。

以前大多是經由資訊的吸收來瞭解這部份,最近剛好有機會接觸到相關技術的應用,著實讓我覺得社交工程的威力真強大,真的很難不讓人擔憂,如果有人想要透過這樣子的技術來收集有效名單,一般使用者有什麼能力去防範這種東西呢?

除了社交網路服務(SNS)外,社交工程的技術早已經融入了我們生活之中,只是大多數人都不自知,就跟那些宣稱手中握有大量有效名單的人一樣,難道它們是逐一拜訪徵求你的同意後,再把你列入它們的有效名單之中嗎?(想太多...)

其實,現在有愈來愈多的軟體,要求你上網啟動後才能開始使用(或是電話啟動),跟錯誤回報相同,一定會再三聲明,不會挾帶使用者的個人資料。(至於傳出去了什麼,有多少人看得懂?)這些有事先告知的軟體商還算有良心一點,如果是地下的行銷公司,你絕對不會看見它們保證些什麼?

其實現在的部落格服務平台(BSP),也有很多利用這些技術的服務,例:「Mybloglog」、「xx朋友」、「誰來我家」...等,這些都算是社交工程下的產物,至於是否有個資收集的問題
,我想見仁見智(有興趣的人請自行參考電腦處理個人資料保護法,起初你可能是基於好奇方便或是其它原因採用這一類的服務。

如果你在查資料時,不慎點進了一個情色網站,結果你的頭像,就高高地掛在它們的Mybloglog上,是否會引起你的困擾?甚至會有種隱私權被侵犯的不好感受。

至於這一類的社交工程使用的手法有那些呢?除了Cookies、連上特定網頁的LOG檔之外,其中最常見的應該是電子郵件的社交工程。白話一點說:
1.XXX在幾點幾分看了那封電子郵件。(預覽也算...)
2.點擊了那些連結
3.如果把那封信轉寄給其它人(好東西和好朋友分享)。
...族繁不及備載。
這些是以不植入木馬的狀況下,就能做到的社交工程,若真的挾帶木馬請君入甕,能夠收集到的資料,可就不只這些社交上的互動而已,嚴重一點,你就有機會在網路上看見自己的「個人珍藏(直覺會想到xx照)」。

除此之外,這些使用者行為模式的資料收集,對於正派經營的大型公司來說,它們會非常有興趣,不過有興趣歸有興趣,能不能這麼做又是另外一件事,畢竟這牽涉到個人資料取得的合法性(雖然現在的合約,怎麼看都是對使用者不利)。

有人或許會開始想,那該怎麼防範自己落入社交工程的圈套呢?

說穿了...其實就跟一般聽見的資安宣導一樣,不要預覽點擊不知名的郵件,就算是看起來認識的信件來源,也不要輕易信任,畢竟要偽造信件來源名稱很簡單。(例:《廣告郵件的手法》)或者是執行附加檔案的危險動作,更應該要禁止。其它的就去翻貴公司的資安政策吧!(如果有...)。

除此之外,其它的防範方法都需要藉由網路架構政策面下手,不然以社交工程的破壞力,要在短時間內收集到大量使用者的操作習慣資安概念,其實一點都不難,如果再把這些資料加以分析,要找到弱點入侵,應該就不算是件難事,我想這一種社交工程的應用,用在滲透上頗有成效。(如果沒有法律的疑慮的話...)

如果你心存僥倖地想:「這種手法一定是高手才會!我才不會這麼倒楣呢...」,那麼你就了!其實這方面的技術,只差在你有沒有接觸過類似的東西(很多時候只是見不得光),不見得要高手才會使用(笨一點的人,就算土法鍊鋼一樣也能弄出個堪用的東西),頂多只是時間應用層面上的差別,真要說高手才會的部份,應該是對「人性」的掌控瞭解吧!

無論如何,這次讓我更加瞭解了它的原貌,與之前只靠片面資訊來拼湊出的知識不同,雖然這陣子爆肝的程度直逼臨界點,但是回頭來看,這仍算是一次難得的學習,當然也要多謝一起爆肝的人,多謝你們給了我這次機會,下次...。(還有多的肝可以爆嗎?)

最後,還是要提醒大家,社交工程對於個資的收集能力資安的破壞力有多大而已,不想讓自己的照片或個資上頭版的話,還是謹慎為上!