换个角度谈数据防泄密 社会工程学与加密软件

      当我们谈论黑客攻击时，尤其是在如今这个时代，我们经常能够从媒体那里听到黑客是如何入侵数据库并窃取信息等等相关的新闻消息，我们总是喜欢谈论这些故事。有关黑客以及黑客技术的报道，总是环绕在我们耳边。比如Stuxnet蠕虫和Flame、攻击系统的恶意代码、信息丢失和宕机故障等等。但是在这些社会报道中很少能听到关于社会工程学这类的攻击事件，但社会工程学在黑客攻击当中却起到了巨大的作用。在这篇文章中，我们将着眼于社会工程学攻击，其操作形式比较简单，而且一般人都可以预防这种类型的攻击。

      面对数据防泄密最大的正面敌手——黑客，竟然与这个看似陌生却又是专业的学科有着千丝万缕的关系。如此关心数据安全的我们自然要好好了解这门学科到底是什么，它又怎么成为“黑客”的帮凶呢？

      社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。

      而黑客的渗入正好和社会工程学所强大的理论不谋而合，这使得许多“入侵”的案例都有社会工程学的影子。

      都是利用漏洞

      借由世界著名黑客Kevin Mitnick在其著作《网线里的幽灵》的内容，我们可以了解到社会工程学。全书都贯穿着Mitnick先生是如何利用社会工程学的。Mitnick先生通过扮演不同的角色，给一些公司致电，并要求访问他们的网络，最后都能毫不费力地得到访问权。甚至当他是个孩子时，问了公交车司机哪里能买到用于给公交换乘票检票的打孔机。随后，他买了一个那种打孔机，并在垃圾箱内发现了部分使用过的空白公交换乘票存根，然后免费到达了圣费尔南多谷，这是另一种形式的社会工程学。当Mitnick先生还是个孩子被抓获时，他就已经是个专业的社会工程师了。

      电信诈骗的缩影

      人们说：我不会遇上这种事的，它永远不会发生在我身上。然而可怕的是，技术越来越复杂，可能我们都来不及考虑，那些钱就没了。例如，我从一位女士那里遇到过一个情况，有人打电话给Shelly，并谎称为是她在巴西的孙子Ralph，他告诉她需要钱从监狱保释。Shelly说那个声音听起来跟Ralph一样，所以她就取出了一些钱，准备将这些钱转到他的账户上用于保释。当她到达当地的杂货店准备完成转账的时候，在交易前她被业务员阻止了，并被询问了一些问题。碰巧的是，还有个别的客户正在准备为她的爱人进行一个与Shelly类似的转账交易。Shelly简直不敢相信，那个客户接的电话内容与她的一模一样。Shelly觉得非常心烦意乱，她打电话给她的儿子Ben，询问Ralph在哪里，而得到的答案是他正坐在我的旁边。Shelly松了一口气，但仍然无法相信她几乎就要上当受骗了。

      钓鱼网站的实例

      另一个社会工程学案例是关于从一封电子邮件中收到的账户凭据，其来源（美国银行）看起来是合法的。其内容称国家电子邮件需要您为您的账户验证凭据并要点击链接，这个链接会把用户带到一个与他们有业务往来的银行完全相同的网站。但是，如果仔细看，这并不是真正的银行网站，只是极其相似。有些地方几乎一样，比如www.bankof america.com实际上可能是www.bank0famerica.com。两个网址之间唯一区别就是第二个URL的零（0）和原来网址中的。而现实情况是，人们并不会看URL，更不会发现其中的蹊跷，好吧，我不会因为这个怪他们的。然而，他们不应该不去多想一想，他们应该尝试给银行机构或是个人打电话，以验证他们是否真的需要通过邮件获得这种信息。

      在一些企业中，员工会被要求佩戴能表示身份的徽章证件，如果有封闭开发的机密信息，可能还需要个人身份识别码（PIN）。在这种情况下，如果社会工程师知道有人在门后面，他们可以随时等待具有访问权限的人在使用他们的证件的时候说：你好，我是Jane Doe。我和Sam Smith正在做生意，但是我今天忘带我的证件了，能让我通过一下吗？就这一次。我亲眼所见，大多数人都会帮助他们，绝没有第二个想法。他们甚至都不会跟随Jane Doe到她想去的目的地，确保Sam Smith是知道Jane Doe，也不会验证这到底是不是个错误。当然，如果在Jane Doe呆着的地方，没有人质疑她，也不会有个聪明人让她去约她的生意的。但是，如果是真的有证件而忘记带的人会说：我知道Sam Smith坐在哪，只要让我找到他，他能告诉你我的身份。这种情况下，我们都要三思而后行，当Sam Smith想知道谁在门口等他时，Jane Doe是绝对不会等在那的。

      权限盗用，管理的疏漏

      在Mitnick先生书中另一个关于身份证件的例子是他在为一个公司做渗透测试时，他现在网上进行了一番搜索，然后找到了该公司的网站。Mitnick复制了该公司的标志，并制作了一个非常逼真的身份证件伪装成了一名员工。利用这个身份证件，Mitnick跟一些休息中的吸烟员工打了招呼，并随着最后一个吸烟者进入到大厦中，并出示了他的证件。检查证件的人并没有近距离仔细看他的证件，如果那个检查人员近距离看了他的证件，相信Mitnick先生是绝不可能进入大厦的。

      外设漏洞，好奇害死猫

      社会工程师可以通过USB闪存这种很好的方式来获得潜在的且有价值的信息。我曾经听说过一个人想要获得某个公司信息的事情。他假意刚刚离开，并且将USB闪存遗漏在其停车场附近。为什么呢？不可避免的，那个公司中幼稚的员工会捡起这个USB闪存，想知道里面有什么内容，这个是谁的USB闪存？因此，他们决定将其插到公司的电脑上看看。瞧！如果没有HIDS和HIPS或防病毒检测什么的，恶意代码就这样植入了。而且不仅仅只影响一台电脑，还有可能会波及更多的人！这些受感染的电脑，他们就会有一个自己的网络！如果在员工身上发生这种情况，他们应该将这些USB设备交给安保人员并报告发生了什么事情。

      而这些一个个社会工程学的实例正反应这当今数据安全面临的最难解决的问题——人。对于人的疏漏，误操作导致的数据泄漏往往最难防御，也最难管理。要真正做到有效的保护，只有从数据本源出发，利用加密软件保护数据本身，使其即使被泄漏出去了，别人也无法得到他想要的信息，从而变相的保护了数据的安全。而当今领先的加密软件为了适应多变的加密环境，采用的都是多模加密技术。

      多模加密技术是采用国际成熟的对称密钥和非对称密钥相结合的技术。同时多模加密本身是一种能提供满足多种使用场景，采用多种加密策略的数据透明加密技术。在多模加密模式中，用户创建秘文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式（但需要可以修改和查看别人的密文即高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文即阅读者模式）、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。

      而山丽的防水墙数据防泄漏系统正是使用这种先进的加密技术的典型代表。

      随着技术的发展，相信未来会有更多数据安全的新技术被采用，但是往往最直接的，最主观的问题是最难解决的，那就是人的问题，而社会工程学又正好反映了这一点。而信息安全作为这个信息时代的重要课题，我们必须适时的改变数据防泄密思路，利用加密软件对数据本源进行有效的防护，相信“人”的问题也能得到有效的处理和保护！

      关键词：数据防泄密  加密软件  数据安全   信息安全