邢超 李喆 圖力古爾

中國人民公安大學 北京 100038

0 引言

截至2011年12月底，中國網(wǎng)民數(shù)量已經(jīng)突破5億，搜索引擎用戶規(guī)模達到 4.07億，在網(wǎng)民中的滲透率為79.4%，使用比例基本保持穩(wěn)定，是 2011 年僅次于即時通信的第二大網(wǎng)絡應用。越來越多的人接觸并開始使用互聯(lián)網(wǎng)，他們通過搜索引擎系統(tǒng)從互聯(lián)網(wǎng)上獲取自己所需要的信息，同時也被提供搜索引擎的服務商們記錄著自己的興趣愛好和行蹤。某些網(wǎng)站有意或者無意的對使用者的個人信息進行收集、加工、整理和出售。越來越深的挖掘技術，使人們可能訪問到受密碼保護的內(nèi)容，侵犯個人隱私。我們的生活離不開搜索引擎，同樣搜索引擎的使用與我們生活中的信息安全息息相關，所以我們有必要了解并且必須了解我們的信息是如何泄露出去的，從而防范個人隱私等生活信息不被收集。

1 非傳統(tǒng)信息安全下的社會工程學

1.1 社會工程學定義

社會工程學是通過自然的、社會的和制度上的途徑并特別強調(diào)根據(jù)現(xiàn)實的設計經(jīng)驗來一步一步地解決各種社會問題所建立起來的一種理論。

1.2 社會工程學在信息安全上的重要性

社會工程學定位在計算機安全工作路徑上的最脆弱的一個環(huán)節(jié)上。我們認為最安全的計算機就是已經(jīng)拔去了插頭的那一臺，即進行物理隔絕。事實上，你可以去說服使用者把這臺非正常工作狀態(tài)下的，容易受到攻擊的機器接通電源并啟動，然后連接上網(wǎng)絡。在這個過程中我們可以看出，“人”的因素在整個信息安全體系中是非常重要的。由此意味著這一點的信息安全脆弱性是普遍存在的，它不會因為系統(tǒng)平臺、軟件、網(wǎng)絡的不同而不同，也不會由于是設備的歷史等因素而有所差異。

無論是在物理的硬件上還是在虛擬的網(wǎng)絡生活中，任何一名可以訪問系統(tǒng)服務的人都有構(gòu)成安全風險與威脅的潛在可能性。任何細微的信息都可能會被社會工程學者當作很好的“參考資料”來運用，以便使其得到其它有用的信息。這意味著如果沒有把使用者或者管理人員等參與者這個因素放進系統(tǒng)服務安全管理策略中去的話，那將對系統(tǒng)的服務形成一個很大的安全“漏洞”。

社會工程學已成為對信息安全最容易被開發(fā)利用且危險性最大的一種威脅?！叭诵砸蛩亍背蔀樵谛畔踩I域中的一種無法通過技術方法進行預先控制的信息安全隱患的毒瘤。

1.3 社會工程學對非傳統(tǒng)信息安全的意義

非傳統(tǒng)信息安全是在傳統(tǒng)信息安全上的延伸，它產(chǎn)生自傳統(tǒng)信息安全，但又有別于傳統(tǒng)信息安全，它提出了在信息安全防護中要采取“先發(fā)制人”的一種策略，改變以往傳統(tǒng)信息安全觀念上的總是出現(xiàn)漏洞補漏洞，出現(xiàn)病毒殺病毒的被動局面，以積極主動的態(tài)度去分析“人”這一關鍵因素的心理脆弱點，來提高人們對欺騙的警惕性，并且認識到社會工程學對信息安全的危害以及攻擊方式，從而改進系統(tǒng)的技術體系和管理體系中存在的不足和漏洞。

隨著加密技術和計算機性能的顯著提升，傳統(tǒng)信息安全三大法寶：殺毒軟件、防火墻和入侵檢測系統(tǒng)已經(jīng)日趨完善，利用技術弱點進行傳統(tǒng)的信息安全攻擊已經(jīng)越來越困難，于是攻擊者開始轉(zhuǎn)向利用“人”——這一安全行為的直接參與者的疏忽和漏洞來尋求突破。社會工程學是傳統(tǒng)信息安全向非傳統(tǒng)信息安全轉(zhuǎn)變的一個橋梁。社會工程學是綜合利用社會科學、人文科學、自然科學和工程科學相關知識，通過重構(gòu)這些知識和技術，研究建構(gòu)社會發(fā)展具體模式過程中的一般規(guī)律和方法的一門科學。

2 利用QQ號通過搜索引擎泄密實例

2.1 搜索引擎和QQ號在現(xiàn)實生活的重要性

根據(jù)CNNIC (中國互聯(lián)網(wǎng)絡信息中心)《第29次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》的調(diào)查顯示，搜索引擎用戶規(guī)模達到4.07億，在網(wǎng)民中的滲透率為79.4%，使用比例基本保持穩(wěn)定，是2011年僅次于即時通信的第二大網(wǎng)絡應用。大到買車買房，小到做飯菜譜，人們總會上網(wǎng)“百度一下”，求助網(wǎng)友尋求結(jié)果，搜索引擎已經(jīng)逐漸成為我們?nèi)粘Ｉ钪胁豢扇鄙俚囊徊糠帧?/p>

根據(jù)騰訊2011年第三季度及中期業(yè)績所示，QQ的即時通信活躍賬戶數(shù)已經(jīng)達到7.117億，這說明QQ已經(jīng)在繼手機、E-mail之后成為人們交流的又一種重要方式，它已經(jīng)融入我們的日常生活，有很多人上網(wǎng)便上QQ。擁有如此之大市場的QQ，想必大家每人都會有一個，有的甚至會有兩個以上，但是對于里面隱含的巨大的安全隱患，大家就聞所未聞了。

2.2 具體例證步驟

首先需要確定查找對象，對于某好友的QQ號，我們這里假設其為12345678。利用百度、Google等常見搜索引擎的力量，這里以Google為例，在Google界面中輸入12345678，然后點擊Google一下，這時候會出現(xiàn)好多含有12345678的信息，里面會包括電話號碼，ID號，網(wǎng)址鏈接和數(shù)據(jù)等，忽略大部分雜亂信息，我們只選取其中有用的信息。例如：聯(lián)系我QQ：12345678，我的郵箱是12345678@qq.com之類的，留下此信息的一般多為在論壇、物物交換之處，這里留下的QQ信息只是用作聯(lián)系方式。此時我們只需記下發(fā)此信息的用戶名，例如ABC。再次回到Google，將剛才獲取的ABC輸入文本框進行搜索，即可獲得此人用此用戶名在網(wǎng)絡上的注冊信息，進而可以獲得其在互聯(lián)網(wǎng)上的瀏覽信息，同時可以獲取此人在網(wǎng)絡上發(fā)布的更詳細的個人資料，如：真實姓名，手機號，地址等。于是關于此人的個人資料，興趣愛好，網(wǎng)絡記錄都會被展示出來。

對于某些過期信息或已經(jīng)被刪除的信息，我們?nèi)耘f可以通過快照的方式獲取。搜索引擎收集信息行為是通過“蜘蛛”程序進行的，在每隔一段時間(比如 Google的googlebot，一般是28天)，“蜘蛛”程序檢索一次互聯(lián)網(wǎng)上的信息，發(fā)現(xiàn)新的，即提交到服務器數(shù)據(jù)庫中，這時便形成了快照。快照即為蜘蛛爬蟲定期獲取到的信息在數(shù)據(jù)庫中的存儲信息。在存在這樣的一個時間差中，即使某些網(wǎng)站將某些新聞或者交易信息刪除，我們?nèi)耘f可以通過查看快照的方式找到之前的消息。如圖1所示。

圖1 搜索引擎網(wǎng)頁上的快照功能

實驗證明此種方法簡單、可行、容易操作，能夠快速準確地收集到目標人的相關網(wǎng)絡痕跡。這種方法還可以利用手機號、郵箱、常用用戶名等其它相關信息進行搜索，多種方式結(jié)合，達到獲取信息的目的。

2.3 方法的總結(jié)和防范策略

本方法原理是利用用戶在網(wǎng)上普遍采用一個ID號的心理，且各大網(wǎng)站及論壇不屏蔽搜索引擎所致。由此可見利用社會工程學原理在非傳統(tǒng)信息安全下的使用，可以獲取用戶在網(wǎng)絡留下的痕跡。不過目前淘寶網(wǎng)已將百度屏蔽，最受大學生喜歡的SNS網(wǎng)站——人人網(wǎng)也已屏蔽所有搜索引擎，從而能夠更有效的保護注冊用戶的個人信息不被外界搜索引擎收錄。

搜索引擎既有方便之益，也有可怕之處，正像高懸在網(wǎng)民頭上的一把“達摩利克斯之劍”，使網(wǎng)民在得到便捷的同時，也深感不安，如何解決這一問題，只有從網(wǎng)站，搜索引擎，用戶個人三方面入手。對網(wǎng)站來說，對于涉及個人隱私的信息，將進行技術屏蔽，要特別注意對諸如百度快照之類存儲歷史記錄的技術進行屏蔽；對搜索引擎公司來說，要加強行業(yè)自律，不能成為某些別有用心之人的“嗅探”工具；對于個人用戶來說，要加強防范意識，在網(wǎng)絡上不要亂留QQ，郵箱，必要時多申請幾個號進行區(qū)分，例如對外公開一個，熟人聊天一個，對于個人真實信息的發(fā)布，應該慎之又慎，不可掉以輕心。

3 結(jié)論

在信息爆炸的當今社會，互聯(lián)網(wǎng)已經(jīng)逐漸走進我們的生活，并占據(jù)了生活的大部分。人們在技術和管理的核心上都是圍繞那些不斷發(fā)展的物理因素和外在的環(huán)境因素，過分的強調(diào)增強科學技術水平來加強對系統(tǒng)的硬件和軟件防護，而忽視了人的主觀意念這一處于核心地位的內(nèi)在因素，于是對人性的本能和弱點沒有引起足夠的重視來進行防范?！暗栏咭怀?，魔高一丈”，隨著技術的不斷進步，人類在信息安全防護上不斷提高，但是將人作為攻擊對象的社會工程學將會是并且一直會是信息安全領域中的最主要威脅。

為了適應信息化發(fā)展要求，社會工程學不斷汲取網(wǎng)絡對抗和電子對抗等諸多領域的技術精華，再加上針對人自身存在的弱點，以人攻擊人，以技術對抗人。在現(xiàn)實世界和虛擬世界，社會學范疇和心理學范疇，由社會工程學所帶來的信息安全問題必將成為專家們新的研究焦點和難點。

[1] 第29次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告.中國互聯(lián)網(wǎng)絡信息中心(CNNIC).

[2] 陳華,黃東軍.搜索引擎與個人信息安全.電腦知識與技術.2010.

[3] Kevin Mitnick. The Art of Deception[M]. 2002.

[4] 朱云鵬.基于社會工程學的信息對抗技術研究.網(wǎng)絡安全技術與應用.2009.

[5] 靳慧云.黑客入侵技術和方式變異論析.中國人民公安大學學報.2007.

[6] 騰訊公布2011年第三季度業(yè)績. http：//www.tencent.com.

[7] 倪新雨,周學廣.非傳統(tǒng)信息安全與傳統(tǒng)信息安全比較研究.計算機與數(shù)字工程.2007.