۱۳۸۶-۱۲-۷

مقدمه ای بر مهندسی اجتماعی

* گاهی اوقات درگیر پروژه هایی میشم که به نظر میاد من عمله* نرم افزار هم نیستم چه برسه به مهندس نرم افزار!
وقتی کاری دستم میاد بیشتر از اونچه باید کار کنم چند روز وقتم صرف تحقیق میشه تا اصطلاحات جدید و ارتباطات اونها رو یاد بگیرم!!! دارم فکر می کنم چقدر فاصله بین چیزی که میخونیم و باز کار در ایران زیاده! حالا اینو در نظر بگیرید که من توی همچین دانشگاهی درس خوندم و اینقدر گله دارم! باقی رو که دیگه خدا میدونه!!!
* این کلمه عمله رو از دکتر یاوری نقل کردم. یادش به خیر من این سریال رقص پرواز رو بیشتر به خاطر متلک های اون نگاه میکردم.

* چند روز پیش یه ماموریتی رفته بودیم به یه مرکز انفورماتیکی متعلق به ناجا. باورتون میشه فاصله بین ما و جاپی که مرکز اصلی صدور کارت سوخت بود فقط در حد چند متر بود؟ از وقتی که به داداشم گفتم هی هر شب میگه تو چقدر بی عرضه ای :دی باید میرفتی با یکیشون دوست می شدی چند تا کارت سوخت ازش می گرفتی!!!!!

* جدای از شوخی به روش بالا میگن مهندسی اجتماعی (Social Engineering)! حتما میدونین که یکی از ساده ترین و پرکاربردترین متدهای سرقت اطلاعات در حال حاضر دنیا مهندسی اجتماعی است؟ روش ارزانی هم هست. مثلا به جای اینکه انرژی و ابزارهای زیادی صرف کنید تا اطلاعات یک سرور و یا شخصی رو سرقت کنید (اطلاعات ارزشمند منظورم هست مثلا اطلاعات هویتی فرد، اطلاعات کارت اعتباری اطلاعات حساس مراکز نظامی و اطلاعاتی و …) براحتی میتونید باهاش دوست شید و یا اینکه مدتی اون فرد رو زیر نظر بگیرید و با دوستانش ارتباط برقرار کنید و از نقطه ضعفاش سوء استفاده کنید.
همین الان هم در سایت Ebay بیشتر هکرها با نگاه کردن به صفحات شخصی افراد و اطلاعات مربوط به تاریخ تولد و ازدواج و نام فرزندان و همسران اونها براحتی اکثر رمزهای عبور رو در میارن. می بینین که خیلی مسئله پیچیده ایه هم نیست. نیاز زیادی هم به تکنولوژی ندارید:-)
الان در دنیا بیشتر از اونچه که روشهای جمع آوری اطلاعات رو به جاسوسان یاد بدن بهشون مهندسی اجتماعی یاد میدن که خودشون شیوه های جمع آوری اطلاعات رو از طرق مختلف و با توجه به شخصیتهای اطلاعاتی در بیارن:-) برای مثال شما فرض کنید شما یک هکر چینی هستید و میخواهید وارد شبکه اطلاعاتی وزارت دفاع آمریکا بشید! مسلما شما هیچ وقت قادر نخواهید بود به راحتی با وزیر دفاع آمریکا روبرو شید اما با نزدیکانش چرا. با مامور حراست و نگهبانی اونجا چرا. (این اتفاق اخیرا در چین رخ داده ها) به هر حال در هر مجموعه ای عده از افراد ضعیف وجود دارند که بتونید با استفاده از اونها اهداف بلند مدت خودتون رو پیش ببرید.
در مورد افراد طراز بالا هم همین طور. شما نمی تونید فردی رو پیدا کنید که در عین حالی که حسابدار شعبه مرکزی فلان بانک هست، آخر امنیت هم باشه! ممکنه حسابداریش خوب باشه ولی ممکنه روانشناسیش خوب نباشه یا اصلا ندونه به چی میگن رمزنگاری و چطور ممکنه اطلاعاتش از طریق یک ایمیل و یا یک صفحه و یا یک ضعف امنیتی در کامپیوتر خانگیش لو بره. در ضمن اصلا ممکنه شما رو به عنوان یک دوست صمیمی بپذیره و حتی متوجه نباشه که سابقه شما چیه و چه نیتی از دوستی باهاش دارید؟
حالا این مسئله رو تعمیم بدید به مراکز حساس کشوری و جهانی. به هر حال کارمندای اینجاهام ممکنه افراد خیلی هوشمندی باشن ولی باهوشترین آدمها هم نفوذپذیرند.
اگه مهندسی اجتماعی تون خوب باشه توی روابطتون با شریک/نامزد و یا همسرتون هم موفقتر خواهید بود. جدی میگم.
پ.ن: حالا اصلا حسش نیست وگرنه مهندسی اجتماعی یکی از مباحث مورد علاقه منه. شاید بعدا سر فرصت بیشتر درباره اش نوشتم. فعلا برای شروع این مقاله سکیوریتی فوکوس رو بخونید. به خصوص آغاز مقاله رو که یک داستان واقعی از هک به شیوه مهندسی اجتماعی رو نوشته به نظرم خیلی جالبه.

تحت دسته اجتماعي, فناوری اطلاعات | دنبالک | RSS نظرات | نظر شما

قبلی: شماره درسته ولی اشتباه گرفتید!!!
بعدی: زنده باد زن کچل :-)

۲۳ نظر

  1. سمیه ۱۳۸۶-۱۲-۷، ۵:۵۸ ب.ظ

    مهندس یادت نیست مدیر جانت چی گفت کمتر آمار بده آخر می ترسم کارت با کرام الکاتبین بیفته همونایی که ازشون می ترسی جریان ۳۷ هم که یادت هست پس هوای خودت رو داشته باش:p

  2. زهرا ۱۳۸۶-۱۲-۷، ۶:۰۰ ب.ظ

    خوب سمیه جان به همین دلیل انتظار دارم تو هوای منو سر جریان ۳۷ داشته باشی :-)

    اگه نمی شناختمت و دستان مبارکت رو حین تایپ این سطوم نمی دیدم بدون شک می ترسیدم و فکر می کردم حتمن یکی از و.ا واسم کامنتیده :-)

  3. تقویم صبورا ۱۳۸۶-۱۲-۷، ۶:۰۳ ب.ظ

    سلام خانومی……..دور از جونت ولی چقدر نزدیک بودیا……..امممم…..اطلاعات جالبی دادی ……و منتظر بقیه اطلاعات.م…..

  4. تقویم صبورا ۱۳۸۶-۱۲-۷، ۶:۰۷ ب.ظ

    مقاله باز نشد

  5. زهرا ۱۳۸۶-۱۲-۷، ۶:۰۸ ب.ظ

    واقعا مقاله باز نشد؟ چه پیغامی داد؟

  6. زهرا ۱۳۸۶-۱۲-۷، ۶:۱۴ ب.ظ

    صبورا جان اگه میخوای سرچ کنی اسم کامل مقاله اینه:
    Social Engineering Fundamentals, Part I: Hacker Tactics

    نوشته شده توسط Sarah Granger

  7. شکوفه سیب ۱۳۸۶-۱۲-۷، ۶:۲۱ ب.ظ

    اتفاقا در مدل های نوین بازاریابی جهانی این مسئله به صورتی آبرومند و موجه آموزش داده می شود ! ” بازاریابی هوشمندانه ” ((:

  8. ماهو ۱۳۸۶-۱۲-۷، ۱۱:۰۰ ب.ظ

    جالبه و هنوز خیلی جوان

  9. DeVERDA ۱۳۸۶-۱۲-۷، ۱۱:۰۲ ب.ظ

    .

  10. fAtie ۱۳۸۶-۱۲-۷، ۱۱:۰۵ ب.ظ

    اووووووووووووووم!

  11. Jamileh ۱۳۸۶-۱۲-۷، ۱۱:۱۱ ب.ظ

    Salaam , Thank you so much for the link of “ Fundamentals of Social Engineering”. It contains so much useful and basic information about Social Engineering, by the way it is a 2001 paper of this subject , suppose what may be the current situation of it! Thank you again .

  12. سعید ۱۳۸۶-۱۲-۷، ۱۱:۳۲ ب.ظ

    مراقب باشید مراقب باشید

    برای کلیه خوانندگان، هرگونه آدرس وبی را که دیدید باز نکنید در نظر سنجی که مربوط به (زنده باد ….)فردی به نام gizmo باگذاشتن آدرس وبی به نام ۷tir….قصد داشته به کامپیوتر های شما راه پیدا کند کار بسیار کثیفی بود وقتی این آدرس را باز میکنیداولین علامت این است که صفحه اصلی اینترنتتان تبدیل میشه به همین آدرس وبعد ویروس و….کار بسیار کثیفی بود.به امید روزی که فرهنگ استفاده درست از هر چیزی را پیداکنیم.

  13. زهرا ۱۳۸۶-۱۲-۸، ۷:۵۵ ق.ظ

    به سعید:
    فکر نمی کنم اینطوری باشه
    من اون لینک رو بارها دیدیم ممکنه مشکل از خود وب سایت باشه. منظورم لینک عکس رضا عظاران و خاطره خاتمیه

    در ثانی فکر می کنم باید آنتی ویروستون رو آپدیت کنید.

  14. علی ۱۳۸۶-۱۲-۸، ۱۰:۱۳ ق.ظ

    مطلب جالبی بود مخصوصا اون کلمه “عمله” رو خیلی باحال به کار بردی
    منم سریال رقص پرواز رو فقط به خاطر دکتر یاوری می دیدم

  15. علی ۱۳۸۶-۱۲-۸، ۱۰:۱۸ ق.ظ

    در ضمن رنگی که برای وبلاگت انتخاب کردی خیلی قشنگه

  16. مهران ۱۳۸۶-۱۲-۸، ۱۱:۱۲ ق.ظ

    سلام

    به قول خواهرزادم جالب دار بود

    اسم محترمانه ای به یه عمل غیر محترمانه دادند.تازه این مسئله در مورد شخصه.در مورد یه کشور می تونند با آمارگیری در مورد سایت هایی که افراد یه کشوربیشتر ازش بازدید می کنند خیلی راحت شخصیت حاکم بر اون جامعه را هم تشخیص بدن.و اونهارو هر جا می خوان ببرن.

    در مورد نامزد یا همسر هم بیشتر ترجیح می دم این چیزارو از خودش
    بپرسم تا اینکه با جاسوسی در موردش بفهمم.اگه به حرف اون اعتماد نداشته باشم چرا باهاش ارتباط داشته باشم؟

    به هر حال جالب بود

  17. زهرا ۱۳۸۶-۱۲-۸، ۱۱:۱۹ ق.ظ

    به مهران:
    دقیقا به نکته درستی اشاره کردید دارید غیر مستقیم نظر منو تائید می کنید
    شما اگه مهندسی اجتماعی تون قوی باشه بهتر بلدید که چی از همسر و یا نامزدتون بپرسید و همین طور اینکه با توجه به جوابهای اون اون رو بهتر خواهید شناخت و بهتر نتیجه گیری خواهید کرد
    همین طور هم بهتر بلد خواهید شد که با توجه به جوابهاش سناریوی مورد نظرتون رو پیاده کنید تا به جوابهای واقعی تری از اون برسید:-)

  18. مهران ۱۳۸۶-۱۲-۸، ۶:۴۸ ب.ظ

    سلام

    هر آدمی چیزهایی داره (مسائلی)که شاید دوست نداشته باشه کسی بدونه.جستجو در مورد اونها به هر طریقی درست نیست.
    چه با سناریو یا با….
    بخصوص در مورد روابط همسری هر سئوالی باید مستقیما پرسیده بشه و جوابش باید-باید-باور بشه.نه اینکه تجسس کنیم که درست گفته یا نه.این یعنی عدم اعتماد.(البته اینا فقط نظر منه)حتی شک به درست نبودن جواب هم باید گفته بشه.

    از اینکه از موضوع خارج شدم معذرت می خوام.

  19. مهدی ۱۳۸۶-۱۲-۸، ۷:۱۵ ب.ظ

    سلام
    راستش یک شخصیت مهم در این بحث رو جا انداختی. اونم مقام محترم آبدارچی هستش که توی سازمان های دولتی خیلی وقت ها کارایی میکنه که وزیر هم نمیتونه انجام بده.
    ضمن اینکه تنها کسی هم هست که بدون هیچ محدودیتی به همه پرونده ها دسترسی داره. خلاصه ایندفعه که کارتون توی یک اداره دولتی گیر کرد یه چایی با آّدارچی بخورید … (چشمک)

  20. action ۱۳۸۶-۱۲-۸، ۹:۲۱ ب.ظ

    شما وارد مساله هک نشو به کاره خودت برسه سال پیش که یادته !!!!!
    دوست داری سایتت تکرار بشه با اون پسورد amir123 سایتت !!!!

  21. م.پ.جاوید ۱۳۸۶-۱۲-۸، ۹:۳۲ ب.ظ

    سلام زهرا - به مطلب توهین آمیز سایت تابناک به شعور سیاسی مردمان شرق گیلان در http://www.lahijaniha.ir پاسخ دادم

  22. سیدعلی ۱۳۸۶-۱۲-۹، ۱۲:۴۸ ق.ظ

    مقاله مفیدی بود. یعنی اولش که حال داشتم بخونم، مورد جالبی رو نشون می داد.
    من یک بار در ۱۵ سالگی از مهندسی اجتماعی!! استفاده کردم و رمز مدیر رو توی یک شبکه که با ناول کار می کرد، کش رفتم. منتها چون بچه بودم نمی دونستم که نباید رمز مدیر!! را داشته باشم. لذا وقتی فهمیدن و رمز رو عوض کردن، مثل بچه ادم رفتم پیش ادمین شبکه و گفتم ببخشید کی این رمز مدیر رو عوض کرده؟ من داشتم باهاش کار می کردم.
    و این چنین شد که من رو از اون دوره خاص که هدفش برنامه نویس ساختن از بچه های دبیرستانی بود، بیرون کردن و دیگه هیچ وقت ++C یاد نگرفتم!

  23. میثاق بنی مهد ۱۳۸۶-۱۲-۹، ۴:۵۰ ق.ظ

    اعلان :: خانه ی میثاق با اندکی ” من خوردگی ” به روز شد ::
    نهیب درد جنینی / زن وغریو حزین
    صدای رعشه زدنهای لاشه ای بر مین
    صدای هق هق نوزاد بی هوا خوانده
    صدای تف شدن بچه ای به روی زمین

نظر شما