社会工程学的应用与防范
1.引言
社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。
“社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN 病毒以及钓鱼攻击等。
2.社会工程学网络攻击对象
2.1基于计算机或者网络的攻击
社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。
在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱”,将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备,这种攻击方式极为隐蔽很难察觉,入侵成功的几率极大,安全风险非常高。
2.2基于人的攻击
最简单也是最流行的攻击就是基于人的攻击,计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节。社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。任何面对面,一对一的沟通方式都可能被利用;在这种攻击中,入侵者往往从一个地方获取的信息,通过获取的信息再次去获得新的信息,而且其中一些信息还用来验证,表明我是“真的”,从而获得被攻击者的信任,套取更多的信息。
3.网络攻击中的手段与方法
社会工程学采取直接观察、身体接触或侧面了解等手段进行信息收集。较典型的就是渗透到目标内部,通过各种方式获取情报,或者在网络上采取多种手段收集信息。从某种意义上讲,犯罪分子作案之前事先进行踩点也是利用社会工程学的一种形式。攻击者利用社会工程学的手段多种多样,总体上分为生活中的社会工程学和网络中的社会工程学,目前社会工程学已经将最新的一些网络技术应用到其中,尤其是结合未公开的应用程序漏洞(0day)进行攻击,在杀毒软件不能对其进行查杀前,攻击效果是100%,危害巨大。
3.1 生活中的社会工程学攻击
生活中的社会工程学主要有以下几种典型的形式。
(1)环境渗透
为了获得所需要的情报或敏感信息,对特定的环境进行渗透是常规手段之一。攻击者大多采取各种手段进入目标内部,然后利用各种便利条件进行观察或窃听,得到自己所需的信息;或者与相关人员进行侧面沟通,逐步取得信任,从而获取情报。
(2)身份伪造
身份伪造是指攻击者利用各种手段隐藏真实身份,以一种目标信任的身份出现来达到获取情报的目的。攻击者大多以能够自由出入目标内部的身份出现,获取情报和信息;或者采取更高明的手段,例如:伪造身份证、ID卡等,在没有专业人士或系统检测的情况下,要识别其真伪是有一定难度的。
(3)冒名电话
冒名电话是一种简单有效的攻击手段,攻击者也不必担当很大的风险。一般情况下,攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。相对来说,冒名上司或高级官员容易一些,因为迫于一种压力,目标就算有所怀疑也不敢加以追究。利用设备转换或者模拟“正常”上司或者其他人的声音来进行电话欺骗其成功率更高。
(4)信件伪造
随着计算机应用的普及,在很多场合动笔写信被计算机所取代,于是信件伪造变得容易起来。例如伪造“中奖”信件,“被授予某某荣誉”信件,伪造“邀请参加大型活动”信件,但都需要交纳相关费用和填写详细的个人信息;或伪造“敲诈勒索”信件骗取钱财或情报等等。
(5)个体配合
个体配合是对信息安全危害较大的一种社会工程学攻击方法,它要求目标内部人员与攻击者达成某种一致,为攻击提供各种便利条件。个人的说服力是一种使某人配合或顺从攻击者意图的有力手段,特别地,当目标的利益与攻击者的利益没有冲突,甚至与攻击者的
利益一致时,这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头,那么配和就很容易达成,他(她)甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。
(6)反向社会工程学
反向社会工程学(Reverse Social Engineering)[4]是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或者网络管理人员透露或者泄漏攻击者需要获取的信息。该方法比较隐蔽,很难发现,危害特别大,不容易防范。
3.2 网络中的社会工程学攻击
现代的网络纷繁复杂,病毒、木马、垃圾邮件接踵而至,给网络安全带来了很大的冲击。同时,利用社会工程学的攻击手段日趋成熟,其技术含量也越来越高。下面就一些典型的形式进行分析。
(1)地址欺骗
地址欺骗是指攻击者伪装或伪造各种URL地址、隐藏真实地址,以达到欺骗目标的目的。主要有以下四种形式。
域名欺骗:https://https://www.wendangku.net/doc/8e6924114.html,/icbc/perbank/regtip.jsp@https://www.wendangku.net/doc/8e6924114.html,,这种类型的网址对于经常上网的用户并不陌生,“@”之前的地址只是起到迷惑作用,其实真正的地址指向“https://www.wendangku.net/doc/8e6924114.html,”。如果把后面的地址更改为带有攻击性或感染病毒的网页就会对用户的数据安全产生危害。
IP地址欺骗:在网络协议中,IP地址能够转化为十进制数字来使用。例如主机“https://www.wendangku.net/doc/8e6924114.html,”的IP地址是66.102.7.147,采用66×256not;3+102×2562+7×256+147的方式计算得到1113982867,在命令行下输入“ping 1113982867”会发现有数据包回应。如果用十进制数字代替IP地址出现,就会具有很强的迷惑性。
链接文字欺骗:网页中的链接文字并不要求与实际网址相同,点击链接时,首先指向的网站地址是攻击者提供的伪地址,用户在访问攻击者提供的伪地址后再访问实际的网站网址。攻击者可以在用户访问伪地址时进行用户名和密码的劫持等,危害极大。
Unicode编码欺骗:对于Unicode编码,它本身就有一定的漏洞,同时它也给网址的识别带来了麻烦,例如“%20%30”这样的字符是很难识别其真正内容的。
(2)邮件欺骗
邮件欺骗是指攻击者通过发送垃圾邮件说服目标相信某一事件或引诱目标访问某一链接等,或者在替换邮件中的附件为木马程序,或者直接捆绑木马程序到附件中,诱使目
标运行,以达到某种不可告人的目的。利用应用程序漏洞捆绑木马程序进行邮件欺骗攻击,隐蔽性强,成功率高,危害性大,而且目前邮件欺骗攻击已经成为网络攻击的主要方式之一。
(3)消息欺骗
消息欺骗是指攻击者利用网络消息发送工具,向目标发送欺骗信息。最典型的就是利用一些IM(Instance Messaging)聊天工具例如QQ、泡泡、MSN等。用户接受到陌生人的消息可能会不予理睬,但如果接收到好友发来的,其信服度就大幅提升了。特别地,当目标正在使用聊天工具时,如果攻击者在某句话后“加入”或者“补充”与当前内容相关的消息,信息接收者看到信息与自己密切相关,无形中放松了警惕,攻击者会以发送文件、文字推荐等多种方式诱使目标访问网站或者执行木马程序,达到攻击的目的。
(4)软件欺骗
软件欺骗是指攻击者将附有恶意代码或病毒的软件发布到网上,一旦用户下载并安装了该软件,隐藏在其中的恶意软件就会发挥作用,由于用户是主动去执行,因此安全危害极高。
(5)窗口欺骗
窗口欺骗,主要是指网页弹出窗口欺骗。攻击者往往利用用户贪婪的心理,给出一个天上掉下来的“馅饼”,诱使用户按照攻击者预先指定的方式访问网页或者进行相关操作,达到入侵者预定的攻击目的。
(6)其它欺骗
这里主要介绍两种其它的欺骗,一种是hosts文件欺骗,如果将hosts文件更改为图1所示,会发现进入下面三个网站中的任何一个都会到Google网站去。如果攻击者将其更改为恶意网站,用户的信息就有泄漏的危险。另一种是域欺骗,也就是现在网络上和Phishing攻击齐名的Pharming攻击。这种方式主要是因为域名服务器(DNS)被劫而引起的,网络服务器将域名翻译成IP地址,黑客使DNS感染病毒,改变一个域的具体记录,使一些访问的站点变成IP指定的其它站点。4.防范措施
国外对社会工程学攻击防范方面有很多研究,也提出了很多防范措施,在防范技术上有着共性,主要是进行安全审核和教育培训[5][6][7][8],但由于国情不同,真正能够按其方法来进行实现不太现实,本文根据我国具体情况,提出了一些建议和防范措施。
4.1 教育培训
“人”是在整个网络安全体系中最薄弱的一个环节,按照木桶理论,网络安全的水平有最低的木块决定的。我国从事专业安全的技术人员不多,很多小型企业的网管等都是半途出家,对安全方面的知识本身懂的不多,加之安全教育以及安全防范措施都需要成本,对于国内企业来讲,注重技术技能的培训,而轻于网络安全方面的培训,只有在接受严重的损失以后,才会意识网络安全的重要性。网络安全的重要意义就在于积极防御,将风险降到最
低,网络安全重在意识,只有安全的意识,才能铸就安全的铜墙铁壁。在安全培训上面可以从以下两个方面着手:
(1)网络安全意识的培训。在进行安全培训时要注重社会工程学攻击以及反社会工程学攻击防范的培训,无论是老员工还是新员工都要进行网络安全意识的培训,培养员工的保密意识,增强其责任感。在进行培训时,结合一些身边的案例进行培训,例如QQ账号的盗取等,让普通员工意识到一些简单社会学攻击不但会给自己造成损失,而且还会影响到公司利益。
(2)网络安全技术的培训。虽然目前的网络入侵者很多,但对于有着安全防范意识的个人或者公司网络来说,入侵成功的几率很小。因此对员工要进行一些简单有效的网络安全技术培训,降低网络安全风险。网络安全技术培训主要从系统漏洞补丁、应用程序漏洞补丁、杀毒软件、防火墙、运行可执行应用程序等方面入手,让员工主动进行网络安全的防御。
只有提高了整体的防范意识和水平,在教育培训方面并不需要投入太多的精力就可以在降低网络安全风险方面取得很大的成效。
4.2 安全审核
安全审核工作是社会工程学攻击防范主要手段之一,对在安全教育培训后的有力保障措施。安全审核重在执行,发现一起问题处理一起问题。安全审核一般有以下几个方面。
(1)身份审核
身份审核是指在需要进出的关口核查身份,判断是否应该放行。身份审核一定要认真仔细,层层把关,只有在真正的核实身份之后并进行相关登记后才能给予放行。在某些重要安全部门,还应根据实际情况需要,采取指纹识别、视网膜识别等方式进行身份核定,以确保网络的安全运行。
(2)操作流程审核
操作流程审核要求在操作流程的各个环节进行认真的审查,杜绝违反操作规程的行为。一般情况下,遵守操作流程规范,进行安全操作,能够确保信息安全;但是如果个别人员违规操作就有可能泄漏敏感信息,危害网络安全。
(3)安全列表审核
针对公司的实际情况,做一个安全列表检查单(checklist),定期对公司个人电脑进行安全检查,这些安全检查主要包括计算机的物理安全检查和计算机操作系统安全检查。计算机物理安全是指计算机所处的周围环境或计算机设备能够确保计算机信息不被窃取或泄漏。计算机操作系统安全是指从操作系统层面着手,维护计算机信息安全,计算机操作系统安全的内容比较多,主要从杀毒软件定期升级、操作系统漏洞补丁及时升级、安装防火墙、U盘杀毒、不运行不明程序和禁止打开来历不明的附件等方面进行考虑。
(4)建立完善的安全响应应对措施
应当建立完善的安全响应措施,当员工受到了社会工程学的攻击或其它攻击,或者怀疑受到了社会工程学和反社会工程学的攻击,应当及时报告,相关人员按照安全响应应对措施进行相应的处理,降低安全风险。
4.3注重个人隐私保护
社会工程学攻击中核心的东西就是信息,尤其是个人信息。在网络普通的今天,很多论坛、博客、电子信箱等都包含了个人大量私人信息,这些信息对社会工程学攻击有用的信息主要有生日、年龄、email邮件地址、手机号码、家庭电话号码等,入侵者根据这些信息再次进行信息挖掘,将提高入侵成功的几率。因此在提供注册的地方尽量不使用真实的信息,如果需要提供真实信息的,需要查看这些网站是否提供了对个人隐私信息的保护,是否采取了一些安全措施。对于提供论坛等需要用户注册服务的公司需要从保护个人隐私的角度出发,从程序上采取一些安全措施保护个人信息资料不被泄露。
5.结论
表面上,社会工程学看似只是简单的欺骗,但是在网络安全中,它的攻击效果往往是最显著的。究其原因是它包含了极其复杂的心理学因素,所以危害性比其它入侵更加难以防范。只要我们时刻提醒自己攻击随时有可能在身边发生,全面了解社会工程学的攻击方法或手段,具备一定的安全防范知识和防范措施,在面对社会工程学攻击的时候就能识别其真面目,处于主动地位,将攻击的风险性降至最低
社会工程学案例
1、李先生打电话给一家主题乐园,冒充是一名软件销售员。他推销的是一种新的PDF阅读软件,希望这家主题乐园通过免费试用版来试用一下。他询问对方目前在使用哪个版本的阅读软件,轻而易举就获得了信息,于是准备着手第二步。 下一个阶段需要到现场进行社会工程学攻击,为了确保能够得手,李先生拉上了其家人。他带着妻子和儿子直奔其中一个售票窗口,问其中一名员工是不是可以用他们的计算机打开他的电子邮件收到的一个文件。电子邮件含有一篇PDF附件,里面的优惠券可以在买门票时享受折扣。 李先生解释:"要是她说'不行,对不起,不可以这么做',那我的整个计划就泡汤了。但是看我那个样子,孩子又急于入园,对方就相信了我。" 那名员工同意了,主题乐园的计算机系统很快被李先生的恶意PDF文档闯入了。短短几分钟内,李先生的合作伙伴发来了短信,告诉他已"进入系统",并且"在收集报告所需的信息。" 2、首先SpiderLabs收集了目标公司员工名单信息,包含姓名、住址等,然后决定使用让用户更新自己的杀毒软件的方法进行攻击。 SpiderLabs提供了一个社工中攻击的经典模板,并与U盘或CD光盘一起寄送给目标用户,模板内容如下: 亲爱的员工XX(直呼其名): 在公司最近的一次安全风险评估中,我们在您的电脑上发现杀毒软件已经过期了。对公司造成了一定的潜在风险,通过网络我们查到了您的住址(真实住址),我们需要您合作,一起降低该风险。 您收到的这个U盘中包含了杀毒软件更新程序,请将U盘连接到您的计算机,并按照下面的说明来安装更新: 1:双击图标“我的电脑”。 2:双击可移动磁图标上对应的U盘驱动器。 3:双击“防病毒更新”程序。 如果更新程序执行成功,你会看到以下信息:“杀毒软件更新成功”,一旦您执行这些步骤,能将您的杀毒软件更新到最新版本,并能保护您的计算机免受病毒威胁。 我们非常感谢您对(公司名称)的帮助 在此类攻击中,SpiderLabs表示通常使用的U盘,这些“防病毒更新”程序都是特殊定制的木马软件。在本次实验中总共寄出去15个包,其中1个用户中标。 在另外一个实验中,SpiderLabs在目标公司的停车场扔了两个U盘,在大楼前的人行道上又扔了一个U盘。几天后,该公司的某管理人员就在计算机上插入了该U盘,通过用户名得知该用户为看门老大爷,虽然没有权限接入到该公司的核心系统,但是SpiderLabs可以通过该计算机来控制一些出入口、摄像头等。 SpiderLabs使用“Named Pipe Impersonation”方法提升到本地管理员权限,并能查找到注册表中存储的WPA密码,加入到无线内网中去,而且还可以穷举或字典破解无线网络密码。
社会工程学
社会工程学 什么是社会工程学? 定义:社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了,其实这样够公平的了。无论怎么说,“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下,像CERT 发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于:“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而,这样的现象却常有发生。 那又如何呢? 社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲:最安全的计算机就是已经拔去了插头(注释:网络接口)的那一台(注释:“物理隔离”)。真实上,你可以去说服某人(注释:使用者)把这台非正常工作状态下的、容易受到攻击的(注释:有漏洞的)机器接上插头(注释:连上网络)并启动(注释:提供日常的服务)。
13.从电影《防火墙》看黑客的社会工程学
《防火墙》Firewall简介:哈里森-福特饰演一位国际银行保安主管,掌控银行的安全系统。犯罪份子绑架了他的家人,走投无路的福特,发誓要救回妻子和孩子……“防火墙”就是这场正邪大战的关键…… 名词解释:黑客的社会工程 什么是社会工程?在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。 以下是正文: 我这个人比较落伍,经常在电影热放很久以后才会去看,比如这次的firewall。 因为是自己的本行,所以对这部电影有很高的兴趣,对整个过程也看的比较仔细。看完以后
不仅慨叹,这是多么经典的一次暴力社会工程呀,只可惜精明的劫匪犯了一系列低级错误,造成最后的功亏一篑。真的应该好好总结一下这次的经验教训,以为后来者鉴。(叮咚!警察叔叔,找我有事吗?什么请我去喝茶?好呀好呀,我知道一个不错的茶馆。诶?去茶馆干嘛还带手铐呀?) 嗯!嗯!嗯!郑重声明,以下评论仅做技术性 讨论,并不代表本人支持任何类似的行为,或为其出谋划策。任何人利用本评论做任何事情都与本人无关。简而言之,我最多就是一个磨菜刀的(连卖菜刀的都不算),持菜刀抢劫的行为与本人无关。 ok,言归正传。首先来名词解释一下,什么是社会工程。在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。这里介绍一个著名的针对Microsoft的社会工程案例,一个黑客给Microsoft的网管发了一封邮件,
社会工程学的应用与防范
1.引言 社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的方法。 “社会工程学攻击”就是利用人们的心理特征,骗取用户的信任,获取机密信息、系统设置等不公开资料,为黑客攻击和病毒感染创造有利条件。网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人和管理。网络安全往往容易被入侵者从内部攻破,而利用社会工程学进行网络攻击,有点像电影或者小说中的“卧底”,在获取足够有用的信息后,成功攻破网络。由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加之人具有贪婪、自私、好奇、信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需信息。一旦掌握了社会工程学理论,可以获取正常的访问权限,再结合一些网络攻击手段,可以很容易的攻破一个网络,而不管系统的软件和硬件的配置有多高。近年来社会工程学攻击已成迅速上升甚至滥用的趋势,在病毒的扩展和传播过程中发挥了巨大的作用。例如QQ尾巴病毒、爱虫蠕虫病毒、MSN病毒以及钓鱼攻击等。 2.社会工程学网络攻击对象 2.1基于计算机或者网络的攻击 社会工程学中基于计算机或者网络的攻击主要依赖于“诱骗”的技术,诱导被攻击的计算机或者网络的个体提供支持信息或者直接信息,而入侵者利用这些信息来进一步的获取访问该网络或计算机的信息。社会工程学基于计算机或者网络攻击对技术要求较高,往往以技术为主,借助获取的有用信息实施攻击。 在这种模型中,有一种叫反社会工程学的攻击方式尤为实用,它建立在已有场景之中,入侵者利用自己的技术创造某一种真实的环境,例如网络故障,访问不了打印机等等,需要网管人员或者系统管理员或者其它授权人员提供技术支持或者解决方案,在解决过程中会掉入入侵者事先设计好的“陷阱”,将用户账号和密码等信息泄露出来。入侵者事先进行了很多精心的准备,这种攻击方式极为隐蔽很难察觉,入侵成功的几率极大,安全风险非常高。 2.2基于人的攻击 最简单也是最流行的攻击就是基于人的攻击,计算机和网络都不能脱离人的操作,在网络安全中,人是最薄弱的环节。社会工程学中基于人的攻击主要利用复杂的人际关系来进行欺骗。利用对人的奉承、威胁、权威等心理因素来获取访问网络等信息。任何面对面,一对一的沟通方式都可能被利用;在这种攻击中,入侵者往往从一个地方获取的信息,通过获取的信息再次去获得新的信息,而且其中一些信息还用来验证,表明我是“真的”,从而获得被攻击者的信任,套取更多的信息。 3.网络攻击中的手段与方法 社会工程学采取直接观察、身体接触或侧面了解等手段进行信息收集。较典型的就是渗
8社会工程学攻击
社会工程学入侵 目前网络网络中最常用的攻击手段主要有以下几种: 1、社会工程学攻击 2、物理攻击 3、暴力攻击 4、利用Unicode漏洞攻击 5、利用缓冲区溢出漏洞进行攻击等技术。 在今天这篇文章中我将结合实际,介绍一些常用的的攻击工具的使用以及部分工具的代码实现。 下面首先给大家介绍一下社会工程学攻击,社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。 一、社会工程学攻击 目前社会工程学攻击主要包括两种方式:打电话请求密码和伪造E-mail 1、打电话请求密码 尽管不像前面讨论的策略那样聪明,打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。 2、伪造E-mail 使用telnet一个黑客可以截取任何一个身份证发送E-mail的全部信息,这样的Email消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。
二、物理攻击之获取管理员密码 物理安全是保护一些比较重要的设备不被接触。物理安全比较难防,因为攻击者往往是来自能够接触到物理设备的用户。下面一案例来说明如何获得用户的管理员帐号。 如果你的电脑经常被别人接触,别人就有可能利用一些工具软件来获得你的管理员帐号,这样一来下次他就可以成功的登录你的计算机了。 一般来说我们自己使用的计算机的时候我们都是采用管理员登录的,而管理员帐号在登录后,所有的用户信息都存储在系统的一个进程中,这个进程是:“winlogon.exe”,物理攻击者就可以利用程序将当前登录用户的密码解码出来。 在这种情况下,如果你的计算机给别人使用的话,你虽然不安告诉别人你的计算机密码是多少,别人仍然可以使用软件解码出你的管理员的帐号和密码。比如说使用FindPass.exe如果是Windows Server 2003环境的话,还可以使用FindPass2003.exe等工具就可以对该进程进行解码,然后将当前用户的密码显示出来。具体使用的方法就是将FindPass.exe或者FindPass2003.exe拷贝到C盘根目录,在cmd下执行该程序,就可以获得当前用户得登录名。 所以在此告诫大家如果你的计算机中有非常重要的信息的话也不要轻易给别人使用,这也是很危险的。 三、物理攻击之提升用户权限 有时候,管理员为了安全,给其他用户建立一个普通用户帐号,认为这样就安全了。其实不然,用普通用户帐号登录后,可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。例如利用Hacker帐户登录系统,在系统中执行程序GetAdmin.exe,这样一来程序就会自动读取所有用户列表,在对话框中点击按钮“New”,在框中输入要新建的管理员组的用户名。 输入一个用户名“IAMHacker”,点击按钮“确定”以后,然后点击主窗口的按钮“OK”,出现添加成功的窗口。 黑客社会工程学攻击的八种常用伎俩 著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益.此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩.
社会工程学入门简介
社会工程学入门简介 Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
社会工程学入门简介 一、什么是社会工程学 社会工程学(Social Engineering) 一种通过对受害者心理弱点、、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段。 取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 因为社会工程学需要搜集大量的信息针对对方的实际情况,进行的一种手法。 系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。 借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。 比如说一个电话号码,一个人的名字。或者工作的ID号码,都可能会被社会工程师所利用。 社会工程学是一种方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社会工程学通常和进行联系起来,但实际上人肉搜索并不等于社会工程学。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。 它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。 无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。 与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 我们可以总结一下:社会工程学就是利用心理学和电脑技术达到欺骗他人信任和达到入侵目的的一种方法,也是黑客里面最常用的最有力的方法。 二、如何学习社会工程学 首先要牢记不能用社会工程学来做一些违法和侵害他人利益的事情,这是原则。 学习社会工程学要多多熟练搜索引擎的搜索方法,个人建议google搜索引擎较好,尽管谷歌在国内有很多搜索限制,但其全球第一的搜索技术不是虚名。 除了搜索引擎,还有就是心理学,为什么要学心理学,那是因为社会工程学又叫社交工程,社交肯定要有交流方式,而根据对方的心理来交流,无异于会更快取得信任,这也是学习心理学的必要,因为你能更快了解别人,就能更快的取得别人的信任,甚至你可以通过这种方法不会吹灰之力就取得对方的管理员密码。
社会工程学
黑客还是间谍?让你惊出一身冷汗的10个社会工程学黑客攻击手段 世界第一黑客凯文?米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。你可能想象不到,对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的方法。一种无需电脑网络,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学攻击。 社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段有效,而且效率很高。事实上,社会工程学已是企业安全最大的威胁之一。如下列出十种会的社会工程学伎俩,看完后一定让你出一身冷汗。 1、熟人好说话 这是社会工程学攻击者中使用最为广泛的方法. 原理大致是这样的. 黑客首先通过各种手段成为你经常接触到的熟人,然后逐渐被你公司的其他同事认可,他们
时常造访你的公司,并最终赢得信赖,可以在公司中获得很多权限来实施计划,例如访问那些本不应该允许的区域或者下班后还能进入办公室等。 2、伪造相似的信息背景 当你接触到一些人,他们看起来很熟悉组织内部,拥有一些未公开的信息时,你很容易把他们当做自己人。所以当有陌生人以公司或员工的名义进入办公室时,也很容易获得许可。但在现在这个社会,从各种社交网络针对性获得个人信息太容易不过了。所以下次,再有陌生人声称对某位同事非常熟悉,可以让该员工在指定区域接待。 3、伪装成新人打入内部 如果希望非常确定地获取公司信息,黑客还可以专门去应聘,从而成为真正的自己人。这也是每个新员工应聘都必须经过彻底审查阶段的原因之一。当然,还是有些黑客可以瞒天过海,所以新员工的环境也应有所限制,这听起来有些严酷,但必须给新员工一段时间来证明,他们对宝贵的公司核心资产来说是值得信任的。即使如此,优秀的黑客都通晓这套工作流程,在完全获得信任后才展开攻击。 4、利用面试机会 同样,很多重要信息在面试时的交流中也可能泄露出去,精通社会工程学的黑客会利用这点,无需费心去上一天班,就可以通过参加面试获得重要信息。公司需要确保面试过程中给出的信息没有机密资料,尽量浅白标准。 5、恶人无禁忌 这可能听起来有些违背直觉, 但确实奏效. 普通人一般对表现出愤怒和凶恶的人 避而远之,当看到前面有人手持手机大声争吵, 或愤怒地咒骂不停, 你一般会避开他们. 事实上, 大多数人都会这样选择, 从而为他让出了一条通向公司内部和数据的通道. 不要被种伎俩骗了. 一旦你看到类似的事情发生, 通知保安就好。
社会工程学攻击方法总
社会工程学攻击方法总结时间:2010-08-24 14:00来源:未知作者:编辑A 点击:228次 著名黑客Kevin Mitnick在上世纪90年代让黑客社会工程学这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 著名黑客Kevin Mitnick在上世纪90年代让"黑客社会工程学"这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了。专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。 此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩。 1. 十度分隔法 利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员)。但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X。 在社会心理学中,六度分隔的古老游戏是由很多分隔层的。纽约市警察局的一位老资格探员Sal Lifrieri,如今正定期举办一个叫做"防范性运营"的企业培训课程,教授如何识别黑客穿透某个组织的社会工程学攻击手段。他说,黑客在一个组织中开始接触的人可能会与他所瞄准的目标或人隔着十层之远。 "我讲课时不断地在告诫人们,多少得具备一些放人之心,因为你不知道某人到底想从你这儿获得什么,"Lifrieri说。渗透进入组织的起点"可能是前台或门卫。所以企业必须培训员工彼此相识。而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远。" Lifrieri说,犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息。 "他们常用的技巧就是伪装友好,"Lifrieri说。"其言辞有曰:‘我很想跟您认识一下。我很想知道在您的生活中哪些东西是最有用的。'然后他们很快就会从你那里获得很多你原本根本不会透露的信息。" 2. 学会说行话 每个行业都有自己的缩写术语。而社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感。 "这其实就是一种环境提示,"Lifrieri说,"假如我跟你讲话,用你熟悉的话语来讲,
人体工程学设计与应用
人体工程学设计与应用 授课老师:汪海波 XX工业大学机械工程学院 艺术设计 082班 王宇田 089054483
第一部分:网页分析色彩分析: 主要页面的背景色为白色,大体都是白色调。白色给人的心里感受有积极的也有消极的。积极方面;纯洁、干净、新鲜、未来派 消极方面;医院的、冷冰冰的、无生趣的、中性的 能与海军蓝、黑色或者红色等暗色调构成强烈的对比色,这种对比能产生权威感能紧紧吸引人的注意力,树立发展进步的形象 页面的主体颜色为白色,根据人体工程学颜色的匹配的清晰程度很高。相对于白底黑字在视觉上还有一定保护视力的作用。此种搭配让访问者能集中注意力阅读观看主体文字。
板式分析: 淘宝网是著名的大型交易,信息量大,内容比较繁多。制作者将每个版块都进行分类,可以在类型中寻找需要的相关信息,运用不同颜色的字体来区分各个种类,运用方块来区别类型。
二级菜单分栏较首页更简洁,基本风格相同,图片穿插文字编排合理,色彩轮廓明显。考虑到除自身的宣传外还有买卖交易的的基本服务,整体分为四大块,各个内容之间条理清晰,虽然信息量很大,但是可读性依然很高。
从整体形势上看,比较活泼,更具内容的变化性、实用性更强一些。商业伴随商业的利益,因此会有一些广告窗口的出现或者浮于表面,让人觉得有点乱。 最下面有合作的还有附加的一些 字体分析: 主要字体为标准的宋体,高度为4mm,高宽比是1:1,字体成正方形。字的笔画与字高的比例是1:10符合人体工程学字符大小形状和设计规划。
其他辅助字体为西黑体,高度为4mm,高宽比是1:1,字体成正方形。字的笔画与字高的比例是1:10符合人体工程学字符大小形状和设计规划。配上暗色调的底色和醒目的字符颜色。能引起访问者的注意,方便访问者的浏览。 活动窗口的艺术个性字,增加了该窗口的注意力,同事也协调了网页的气息。
警惕“社会工程学”攻击!
警惕“社会工程学”攻击! 信息产业数字化进程逐步深入,各行业与信息化的结合越来越密不可分――数字化油田、数字电网、物联网、数字化家庭、数字云⋯⋯信息化的快捷和便利已成为社会发展和进步不可缺少的催化剂。然而,信息化的“双刃剑”效应也随着信息化的普及和发展逐步凸显。 随着安全防护技术的日益完善,利用技术弱点对信息系统进行攻击变得越来越困难,攻击者开始更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵防御和桌面安全、行为审计、身份认证、数据加密等先进的产品技术解决方案,使得信息安全在一定程度上取决于技术完备性。企业希望通过采购大量的安全产品,并通过安全防护产品的组合,来保护公司及员工的信息资产安全。但是,花费大量资金打造的传统安全防护体系往往会被很多低成本、低科技含量的非技术因素――“社会工程学”攻击轻松绕过。 非技术弱点 美国黑客凯文•米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定
义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。” 现实社会利用社会工程学进行攻击的手段多种多样,其中一个代表应用是“网络钓鱼”。社会工程师利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。 其次,攻击者也通常会利用“垃圾桶”来收集有效信息,一些公司对打印过的文档不进行粉碎处理,攻击者就会在公司垃圾中找到诸如标书标底等商业信息。 上述两个案例都存在一个共性:并没有利用任何高技术含量的攻击手段,并且企业花巨资建造的信息安全系统对于上述“攻击”并没有任何干预,可是,社会工程攻击者已经拿到他们需要的足够的个人及企业信息了。 社会工程学攻击者的主要攻击手段,是选择“非技术弱点”进行攻击。这些非技术弱点通常体现在对人性及人格特质的利用,例如:逃避责任、义气、愧疚、轻信、野心等。“人”是攻击者最主要的突破口。从某种意义上讲,突破“人”这道防线通常比通过技术手段攻破防火墙更容易,甚至不需要很多投资和成本,冒的风险也很小。
浅谈人体工程学在生活中的应用
浅谈人体工程学在生活中的应用 学号:1409020123 班级:A1421 姓名;盛凤良人体工程学,诞生于第二次世界大战之后,起源于欧美,原先是在工业社会中,开始大量生产和使用机械的情况下,探求人与机械之间的协调关系而产生的学科,作为独立科学有40年左右的历史。 最开始,在第二次世界大战期间,设计者们为了能让人在坦克、飞机等器械的驾驶舱内更加有效地操作和战斗,开始使用了人体工程学的原理。二战结束之后,这项原理开始被更多地运用到了生活中,来使得人们的衣食住行更加地方便,舒适。 现在,人体工程学也不光是要符合物理上的规则,同时也要满足一定的心理上的规则,这样也就涉及到了人的心理学。所以说,人体工程学并不是一门简单普通的理论科学,更是一项与生活紧密联系的科学体系。 随着科技发展,社会开始向“以人为本”发展。如今,我们的生活与人体工程学的联系也越来越紧密。 人们日常生活中的衣、食、住、行,无处不在体现着人体工程学在应用中给我们带来的便利与舒适。如舒适的人体工程学沙发,握法舒适的人体工程学鼠标、键盘,甚至是符合人体工程学设计的刀叉、筷子等餐具,在商场中厨房中的明亮的贴砖,这些都是人体工程学的应用。而从中我们可以发现,人体工程学对于人的影响是两个方面进行的:一个是物理方面,一个是心理方面。物理方面,就是影响以人体构造、人体尺度以及人体的动作域等有关数据为基本确定的人体活动时的舒适度;而心理方面,则是通过视觉,嗅觉等人的感官以及人的其所涉及的主观意识对人的心理活动作出影响。下面就看一看这些影响在实际生活中的具体体现。 首先是与人们日常生活密切相关的起居方面——室内设计。在室内设计中,室内环境的布局布置,不光要求美观,现在来说更重的是使用上的舒适,这就要求在室内设计中加入人体工程学的应用了。例如家具,家具本身是为人所使用的,所以家具设计中的尺度、造型、色彩以及布置都要符合使用者的生理、心理尺度以及人体各个部分的活动规律。在卧室中,符合卧室主人心理的颜色的墙漆,最适合卧室主人身体的床、凳、书桌等,能够让卧室主人心情放松的家具格调与摆
社会工程学利用的人性弱点包括
社会工程学利用的人性弱点包括(ABCD)。 A . 信任权威 B . 信任共同爱好 C . 期望守信 D . 期望社会认可 社会工程学是利用人性弱点体察、获取有价值信息的实践方法,它是一种欺骗的艺术。 社会工程学(Social Engineering)一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法。 接下来给大家讲一个案例 一名社会工程师进入了一家公司工作,依靠他伪装出来的开朗活泼的性格,很快和员工打成一片,和老板也是熟人熟事 不久,他很快得到公司和公司员工的认可,赢得了员工们及老板的信赖 陈明是公司的监事人,那么他便是工程师的目标,通过不久时间的人际交往,工程师成功取得陈明的信任 公司的商业机密在老板的电脑中,要打开需要密码,而密码只有陈明和老板知道 这天,陈明刚打开电脑就收到工程师的信息“陈明,老板发给我一个文件叫我明天去复印一下,可是打开的密码我忘记了,快告诉我我有紧急的安全设置要做呢”
因为陈明和工程师很熟了陈明就把密码发了过去了。 工程师成功地拿到了密码,进入公司电脑取得商业机密 这是社会工程学一个极为简单的案例,也是工程师们使用最为广泛的方法,原理大致是这样的 社会工程师首先通过各种手段伪装成一个良好的形象,他所扮演的这个身份,被你的公司和同事们认可了 这样,社会工程师在人际方面就有较大优势,并赢得了任何人的信赖。于是,社会工程师可以在公司中获得 很多权限来实施他们的某些计划。例如访问那些本不应该允许的办公区域或机密区域 先跟大家说第一种攻击手段 假托(pretexting) 是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专业术语的研究,以建立合情合理的假象 跟大家说说一个案例吧,以更好理解 攻击目标:取得一名异性的手机号码,姓名,地址,身份证 首先,一名社会工程师伪装成移动营业厅服务员,首先,锁定了一个目标,一位被扣费错误的异性 她问工程师“我的话费明明有一百多,明明没有怎么打电话怎么扣我那么多钱” 工程师“请问您的电话号码是?” 女士“**********”
社会工程学典型案例
现在我们来演示一个真实的攻击实例。 我假设我的目标的名字是一个“受害者先生”(Mr.Victim 不是真名),我们将通过一个非常简单的搜索方法—将他的名字放入google来看看我们能得到什么结果。
从上面的结果我们可以看到,很多信息都可以通过google来收集。你可以找到目标的Facebook的主页链接甚至是Linkedln和Twitter,还有同名的网站和相关的照片。 当然我们也可以通过使用社交网络来收集尽可能多的信息。我们都知道社交网络如Facebook、Twitter、Orkut、Linkedln这种每个人都在使用的社交网络上,我们可以和陌生人交朋友,与他们聊天或分享一些东西。人们通常会认为这些社交网络正在帮助他们让自己加入一个庞大的人际关系网中。而我的观点不是这样,我意识到,这些社交网络是世界上最大的人类信息识别数据库。假设你要收集一个特定的人的信息,现在你可以通过Facebook找到这个人的照片以及他的个人信息,如他的地址、教育背景、家庭成员等。不仅如此,你可以通过这些信息来猜测这个人的性格,并进一步通过他/她更新的状态来了解潜在受害人的个人生活近况。
在找到目标精确的信息之后,我们要将视线转向他的好友列表,这会在你的社会工程学攻击中提供帮助。你也可以通过下载所有的图片和他所有的个人信息然后伪造一个假的“他”,然后向他的好友发送请求,并开始与他们沟通。这样一来,你可以得到他更多的信息甚至知道了哪位是他的女友。有时很难真正的目标会隐藏在众多虚假目标里,我发现当我在Facebook的搜索栏中搜索目标的名字,Facebook 并没有抓取包含有用户真实姓名的数据库,而是用户名,比如: https://www.wendangku.net/doc/8e6924114.html,/victim,这里的“victim”就是目标的用户名。
人体工程学
一、 二、人体工程学由来及发展 人体工程学(Ergonomics)是40年代后期发展起来一门技术科学。叙述人体工程学的定义可有和种不同的表达方法,故其名称较多。按其来源说,其名称有应用实验心理学(Applied Experimental Psychology),应用心理物理学(Applied Psychosis),工业心理技术学,心理工艺学(Psy-chotechology),工程心理学(Engineering Psychology),生物工艺学(Biotechnology);按其研究目的来说;其名称有人类工效学(Human Factors),功量学,工力学,宜人学;按其研究内容来说,有人体工程学,人类工程学,人机工程学,机械设备利用学,人机控制学等。目前世界上普遍采用的人采工效学(日本称人间工学,美国称人的因素)。Ergonomics一词在1857年由波兰教授雅斯特莱鲍夫斯基提出的,它来源于希腊文,基中Ergos是工作,nomes是规律,整个词是工作之意。在我国应用的名称有人类工准效学,工效学,人类工程学,人体工程学,人机工程学,工程心理学。国际工效学会(International Ergonmics Association,简称IEA)的会章中把工效学定义为:“这门学科是研究人在工作环境中的解部学、生理学、心理学等诸方面的因素,研究人一机器一环境系统中的交互作用着的各组成部分(效率、健康、安全、舒适等)在工作条件下,在家庭中,在休假的环境里,,如何达到最优化的总是。”考虑室内设计的特点,本书习用人体工程学名称,并简称“人体工程学是研究人与工程式系统及其环境相关的科学”。 自从工业革命以为,健康、安全、舒适的工作条件已成为人们共同关注的问题。据文献记载,波兰教育家;科学家雅斯特莱鲍夫斯基大约在120年前就把人类工效学这一术语写入文献中。远在20世纪初,英国泰罗设计了一套研究工人操作的方法。研究怎样操作能省力、高效、并订出相应的操作制度,人称泰罗制,这是人类工效学的始祖。 在第一次世纪大战期间,由于生产任务紧张,工厂加班生产。于是英国成立了工业疲劳研究所,研究如何减轻疲劳,提高工效。当时人类工效学研究还很不普遍,凡在第二次世界大战期间,有些国家正在大力发展高效能和威力大的武器装备,但由于忽视了对操作人员的效能和维修能力的训练,以及设计时没有考虑人员的心理和生理特征,因而明显地降低效能,以致出现操作失误。因为这是属于工程式和行为方面的问题,因此心理学定、工程师、人类学家和生理学家聚集在一起,试图解决设计和训练方面的问题,这时,人类工效学才受到重视。首先在美英两面三刀国,继而欧洲许多国家开展人类工效学的研究。 美国的研究工作首先在军事和航天领域得到迅速发展,继而在工其它工业产品、工作环境设计,以及关于家庭和娱乐等到问题,也都考虑了人的因素。随着人们对人类工效学的重视,研究这个领域的专业学会也得到发展。1950年英国成立了世界上第一个人类工效学学会,其名称为《英国人类工效学协会》。1957年9月美国政府创办了《人的因素学会》。1961年建立了《日本人间工学会》。德国早在40年代就重视人类工效学研究,前苏联在60年代就研究工程心理学,并大力发展人类工效学标准化方面的研究。 我国关于人类工效学的研究起步较晚,目前正处在发展阶段。1989年成立了《中国人类工准备学学会》,下设安全与环境等专业会,1991年1月成为《国际人类效学协会》的正式成员。 早期的人体工程学主要研究人和工程式机械的关系,即人一机关系。其内容有有体结构尺寸和功能尺寸、操纵装置、控制盘的视觉显示,这就涉及到生理学、人体解剖学和人体测量学等;继而研究人和环境的相互作用,即人—环境生态系统,这又涉及到生理学、环境心理学等。至今,人体工程学的研究内容仍在发展,并不统一。由于各学科的研究领域不同,故差异较大,但概括起来,主要有下列几个方面: (1)生量学研究人的感觉到系统、血液循环系统、运动系统等基本知识。 (2)心理学研究感觉、知觉、注意、警觉、拥挤、领域、私密性、向光性等
7.一个社会工程学的案例
看见鱼发的帖子,突然想起以前看到的一个关于社会工程学的案例!贴出来大家一起欣赏: 1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。 电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。 瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克汉森。那次对话大概是这样的:“喂,我是国际部的麦克汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司贷一千零二十万美元到瑞士苏黎士某银行,他已经建立好的账户上。对方
说:“好的,我知道了,现在请告诉我转账号。” 瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。) 几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为—社会工程学。
人体工程学的应用领域
人体工程学的应用领域 由于人体工程学是一门新兴的学科,人体工程学在室内环境设计中应用的深度和广度,有待于进一步认真开发,目前色有开展的应用方面如下: 1、确定人和人际在室内活动所需空间的主要依据 根据人体工程学中的有关计测数据,从人的尺度、动作域、心理空间以及人际交往的空间等,以确定空间范围。 2、确定家具、设施的形体、尺度及其使用范围的主要依据 家具设施为人所使用,因此它们的形体、尺度必须以人体尺度为主要依据;同时,人 们为了使用这些家具和设施,其周围必须留有活动和使用的最小余地,这些要求都由人体工程科学地予以解决。室内空间越小,停留时间越长,对这方面内容测试的要求也越高, 例如车厢、船舱、机舱等交通工具内部空间的设计。 3、提供适应人体的室内物理环境的最佳参数 室内物理环境主要有室内热环境、声环境、光环境、重力环境、辐射环境等,室内设计时有了上述要求的科学的参数后,在设计日时就有可能有正确的决策。 4、对视觉要素的计测为室内视觉环境设计提供科学依据 人眼的视力、视野、光觉、色觉是视觉的要素,人体工程学通过计测得到的数据,对室内光照设计、室内色采彩设计、视觉最佳区域等提供了科学的依据。 人体工程学在室内设计中起到了不可缺少的作用,现代的室内设计日益注重以人为本”的根本原则,注重人与人、人与社会相协调,也就是当当前所强调的人性化"设计。从人体工程学键盘、鼠标,到人体工程学桌椅,到更完善的无障碍设计,无一不是将”以人为本”放在根本位置,将人体工程学应用到每一个设计环节,运用人体计测、生理、心理计等方式方法,研究人体的结构功能、心理、力学等方面与室内环境中的视觉环境物理环境、生理环境以及心理环境的合理协调关系,在研究和设计中给予以高度重视,并开始运用到设计实践中去,以适合人的身心活动要求,获得最佳的使用效能,以达到安全、健康、高 效能和舒适的目标。 就以居家室内设计为例,标准入户门洞为900*2000mm,房房间门洞为900米2000mm,厨房门洞为800米2000mmy,卫生间间门007米2000mm。在厨房,吊柜和操作台之间的距离应该是600mm.这样,不仅方便烹饪,同时还可以在吊柜里放一些小型家用电器。灶台的宽度一般650-700mm,锅架离火口40mm为宜,抽油烟机离灶台700mm为宜,无论使用平底锅还是尖底锅,都应用锅架把锅撑起,以保证最大限度地利用火力。在厨房两面相对的墙边都摆放各种家具和电器的情况下,中间应该留1200mm的距离才不会影响在厨房里徴家务,而为了能够方便人们打开两边家具的柜门,就一定要保证至少留出1500mm的距离,这样可以保证在两边柜门都打开的情况下,中间还可以再站一人。吊柜应该装在1450至1500mm的地方,这个高度人们不用垫起脚尖就能打开吊柜的门在餐厅,一般会放置六个人就餐的餐桌,如果是?形餐桌,对直径的要就应该达到1200mm,而长方形和椭形,应该达到1400*700mnmy,桌子的标准高度应该是720mmy,椅子的标准高度则为450mm。而这时,餐厅
社会工程学入门简介
社会工程学入门简介 一、什么是社会工程学 社会工程学(Social Engineering) 一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。 取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢? 它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。 社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。 社会工程学是一种与普通的欺骗和诈骗不同层次的手法。 因为社会工程学需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。 系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。 社会工程学往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。 借此我们从现有的社会工程学攻击的手法来进行分析,借用分析来提高我们对于社会工程学的一些防范方法。 熟练的社会工程师都是擅长进行信息收集的身体力行者。 很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。 比如说一个电话号码,一个人的名字。或者工作的ID号码,都可能会被社会工程师所利用。 社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报。国内的社
会工程学通常和人肉搜索进行联系起来,但实际上人肉搜索并不等于社会工程学。 总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。 它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。 它同样也蕴涵了各式各样的灵活的构思与变化着的因素。 无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关基础知识、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。 与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。 我们可以总结一下:社会工程学就是利用心理学和电脑技术达到欺骗他人信任和达到入侵目的的一种方法,也是黑客里面最常用的最有力的方法。 二、如何学习社会工程学 首先要牢记不能用社会工程学来做一些违法和侵害他人利益的事情,这是原则。 学习社会工程学要多多熟练搜索引擎的搜索方法,个人建议google搜索引擎较好,尽管谷歌在国内有很多搜索限制,但其全球第一的搜索技术不是虚名。 除了搜索引擎,还有就是心理学,为什么要学心理学,那是因为社会工程学又叫社交工程,社交肯定要有交流方式,而根据对方的心理来交流,无异于会更快取得信任,这也是学习