區塊鏈黑客:信息泄露可以有多恐怖?
白帽子黑客花無涯談:信息泄露可以有多恐怖?
現在,我們生活在信息時代,網購,微博,貼吧,論壇等等的網路平台,都留下了我們的個人信息。現在有些不法分子喪心病狂到進行信息交易。信息泄露帶來了許多負面新聞,比如徐玉玉學費被騙事件。那麼,你身邊出現過信息泄露事件嗎?給生活帶來的影響可以恐怖到什麼程度?
但實際上在物聯網共享經濟時代,因為要鏈接人和人,人和物,物與物,基本上這個系統
的不安全熵(信息熵)相較於以前是極大增加的,相互鏈接的系統相對孤立的系統一般來說
是更不安全的,所以被利用和被黑的概率也是增加的,此為前提,也是最根本的原因。
舉個簡單的例子,十幾年前的互聯網公司,開個web新聞服務(所謂門戶網站),再加個郵箱服務,這就是當時主流互聯網公司標配。
區塊鏈花無涯再看看現而今的互聯網公司提供的服務,從遊戲到視頻到SNS,從電商到社交到本地生活服務,從業務的複雜度來看,和之前就不是一個量級。
白帽子黑客花無涯:這背後意味著:提供底層軟體服務架構的複雜度的提高和運行在軟體服務之上的個人信息的全面度的提高
簡單說就是一來基礎架構的複雜度提高了很多,比如原來你家裝潢只開一個窗戶一個門,而現在卻需要開四個窗戶四個門,還有樓上樓下前庭後院,這就是底層軟體服務架構的複雜度的提高
原來的個人信息無非包含個人郵箱,訂閱媒體列表,個人閱讀喜好這些,而現如今可以包含個人信息和生活的方方面面,出行日常,常駐地點GPS信息,購買偏好和具體產品,電話門牌號,職業信息等等一系列信息,這就是運行在軟體服務之上的個人信息的全面度的提高。
白帽子黑客花無涯談:信息泄露可以有多恐怖?
談及信息泄露的恐怖之處不得不提「社工庫」,這個詞可能很多人比較陌生,但已有越來越多的新聞開始提及社工庫,
比如: 1. 2016年3月,江蘇淮安公安機關網路安全保衛部門成功偵破一起侵犯公民個人信息案,抓獲犯罪嫌疑人8名,搗毀國內最大的網路社工庫「K8社工庫」,查獲公民個人信息20億條。 2. 2016年12月,南都記者700元就買到同事行蹤,包括乘機、開房、上網吧等11項記錄,很多數據源自社工庫。 社工庫這個產業鏈一直很火爆,不過國家也在打擊,搜索「社工庫」,你會發現它是個敏感詞。
社工庫價值 一說到社工庫、信息泄露,大家都會比較頭疼,比如千萬級酒店開房數據泄露,導致了一些家庭矛盾、甚至離婚。 某個大型社工庫網站進行過PV的調查,有個有趣的數據,僅供參考,不做任何結論: 寶強離婚案期間,社工庫搜索量是平時的5倍之多。
紅客聯盟創始人花無涯:過年前後,社工庫搜索量是每年最少的時候。 國家的一些固定會議期間,網站遭受攻擊的次數會明顯居多。 社工庫的查詢信息,是大家最常見的使用方式,所以很多黑產做了收費的查詢系統。除了信息查詢,其實社工庫還可以被用來做其它有價值的事情,比如對於一些被曝出的社工庫,我們可以做數據分析。我們可以做很多有價值、有趣的事情。
對於千萬級別開房數據,很多都記錄了地址,經過採樣分析很多大學生開房,登記的地址都是自己的學校名字: 上海市邯鄲路220號復旦大學躍進樓 上海市邯鄲路220號復旦大學生命科學學院 上海市武川路78弄(復旦大學北區學生公寓) 上海市邯鄲路220號復旦大學物理樓。
主要python工具: pandas:數據收集,分析/清洗,內存處理,千萬級以內的數據。 matploylib,seaborn:用作可視化分析。 bokeh:地圖,熱力圖,處理大數據量。 再比如,每年都會有權威機構對常見密碼進行統計,國外最大約炮網站國家分布圖,等等,這些也都是從社工庫調研而來的。甚至有人調侃,
「社工庫推進了基於社會的大數據分析」。 對於社工庫的數據分析,有一點需要注意,就是學會清洗數據,比如星座分布這種一般就不靠譜,因為大部分網站如果用戶不填寫數據,默認都是1月1日,如果盲目統計,你會發現摩羯座佔比最多。
社會工程學 在談社工庫危害之前,我們先說說什麼是社工(即社會工程學),有幾個社會工程學的概念需要了解: 社會工程學攻擊都建立在使人決斷產生認知偏差的基礎上,熟練的社會工程師都是擅長進行信息收集的身體力行者。 社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。
社會工程學是一種黑客攻擊方法,利用欺騙等手段騙取對方信任,獲取機密情報。 社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。 社會工程學本來是一門學問,但是因為所做的事情大都是不好的,所以這個詞慢慢變成了貶義詞,甚至被認為「違背了人性的道德」。
我認為,高尚了說,社工是一門藝術,操縱人的藝術。如果說「違背了人性的道德」,那麼很多家長哄騙小孩,利誘小孩,未嘗不是一種「操縱人心」。社工無罪,問題在於攻擊本身,如果是愛國、為了保護國家利益而使用社工進行攻擊,社工肯定會被認為「高大上」。
TAG:白帽子黑客 |