社会学引导帖：There’s more than one way to skin an orange

一晴空

  当开始攻击一个系统,危及其中数据及/或资源,有几种不同的方法可供攻击者选择。更有效的方法之一,是利用一种可以理解的目标系统的漏洞。漏洞是指一个系统的一个特征使它容易受到某种形式的攻击。有点像一个弱点,但一个弱点,并不一定显示系统的设计问题。
  漏洞可存在于任何目标系统的组件。你可以有硬件上的支持系统的漏洞,或者系统运行中的软件漏洞,但也能有用户使用过程中的漏洞，或用户本身的一些行为，都能成为攻击者的软目标
  这种类型的攻击称为社会工程。从本质上讲，社会工程攻击者尝试利用人类行为中的漏洞，攻击者企图利用漏洞在人类行为中为了使受害者采取的方式被瞄准的攻击者所选的,尽管那是不大可能使受害者获得最佳利益。所以与其利用漏洞硬件或软件,社会工程试图利用漏洞的wetware”(即人)。
  社会工程技术的例子所使用的恶意软件分发或者其它目的范围可以从这个简单而有效的(“安装这个编解码器为了看这个有趣的视频”),到精细的和复杂的(流氓安全软件，即fakeav),目标(利用现有的信任关系妥协,采用特殊的帐户或服务)。
  所以，你可以升级你的硬件和软件（我们也完全推荐你去做），但是你怎么更新人们去制造更少易被攻击的漏洞？这是个在电脑安全领域经典的问题，但是这儿有一些可选措施来进行妥协。
  微软安全情报报告的最新一期（SIRv11）包含如何限制暴露于社会工程攻击的IT专业人士和组织的详细建议。“IT专业人员社交工程”（P42）的建议提供了一个可以采取的具体步骤，叙述如何从这个最恶劣的攻击建立一个机制
  高度建议任何组织的人群阅读
作者：
Heather Goudey
MMPC Melbourne
翻译者：一晴空
2011-10-22
SIR v11资料：http://blogs.technet.com/b/mmpc/ ... n-into-context.aspx

尘潇

学习一下

hx1997

这是神马？讲网络钓鱼的吗？

一晴空

hx1997 发表于 2011-10-22 15:49
这是神马？讲网络钓鱼的吗？

fakeav的

社会工程学～～曾在手机上种过招.....

面对多数人的攻击，或面对特定人群的定点攻击；无奈~~~

人气木有....后补/

hx1997

一晴空 发表于 2011-10-22 15:52
fakeav的

翻译这么短？我吓到了看不懂

Couphine

对于没有一定经验的电脑用户，社会工程学的攻击基本很难防御住～

carlcai

来学习了。好深奥。

一晴空

zgh8414 发表于 2011-10-22 16:11
对于没有一定经验的电脑用户，社会工程学的攻击基本很难防御住～

恩恩
不过其实从技术手段来说可以避免的

一晴空

hx1997 发表于 2011-10-22 15:55
翻译这么短？我吓到了看不懂

浓缩就是精华