主要内容:
邱嵩松从知乎和百度知道上看到:
请不要说你们这些臭男人,就知道上黄网,遭报应了吧!
那么,什么是社工库?
“圈子”套“圈子”
QQ号是网络社交中的个人代码,一个现实中的朋友,可能换掉手机号就失去了联系,可一个网络上的朋友,不管他在哪,只要上QQ你就不愁找不到他。
陈明从记者的QQ好友中随便找出一个号码继续演示,他在笔记本键盘上敲下这个数字进行搜索,电脑屏幕上立刻显示出这个号码的网络关系图,他加入过哪些群,这个群里有什么人。围绕这个中心号码屏幕上显示着一圈一圈的企鹅,它们戴着红围脖密密麻麻站了一屏,每一个企鹅就是一个好友。
这些数据是从哪来的?陈明说,这个数据库就叫“社工库”,这里的“社工”不是社会工作者的简称,而是社会工程学的简称,某些别有用心的人利用人的相似特点或弱点进行攻击,而“社工库”就是运用社会工程学进行攻击的时候积累的各方面数据的结构化数据库。这个数据库里有大量信息,甚至可以找到每个人的各种行为记录,比如酒店开房记录、个人身份证、姓名和电话号码。
记者在百度上敲下“社工库”,找到相关结果约744000个,其中一个词条后面显示密码查看器,可以查看个人使用过的所有密码。
陈明说,QQ让个人交流变得天涯咫尺,又方便又迅捷,但同时QQ也包含一些隐患,别人知道了你的QQ号,就能通过这个号码找到你的社交圈,然后通过你的圈子找到其他人,以及他们的社交圈,一个一个隐私呈几何方式扩散。
“撞库”与“人肉”
“社工库”里搜集到的个人隐私是怎么被泄露出去的?陈明说,一方面是居民在做各种个人信息登记后,被这些单位的员工卖出去的,另一方面是某些数据网遭受攻击泄露出去的,而这种攻击方法就叫“撞库”,即攻击者通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户。他解释,很多用户在不同网站使用的是相同的账号密码,因此攻击者可以通过获取用户在A网站的账户从而尝试登陆B网址,这种攻击方式就是“撞库”。
陈明说,与“撞库”相关连的还有一个词,叫“人肉”。陈凯歌的电影《搜索》形象而直观讲了一个被“人肉”的姑娘的故事。“人肉”让人毫无隐私,那么“人肉”的信息又是从哪来的呢?“一方面是当事人的身边人提供的信息,另一方面就是网上的‘社工库’,比如被‘撞库’攻击后漏露出的家庭信息、电话号码、身份证号等等。”陈明说,谁都不想被“人肉”,可“人肉”的事情却从未在网上杜绝,一方面它让大家获得足够多的信息,另一方面它又严重侵犯个人隐私,好和不好都是互联网。
当隐私数据扩大化
上网买东西,服务器会留下你的数据,计算你的购买量及兴趣,然后店家据此信息对你有针对性地推送;去蛋糕店买蛋糕,服务器会留下你的数据,根据蛋糕的卖出量计算大众的口味和兴趣,店家以此信息为依据进行下一步改良;去有免费WiFi的地方上网,你的数据同样会被记录,下次再来时它会进行默认识别……互联网无处不在,它罩住了我们每一个人,让我们有意无意或多或少都在泄露自己的信息。陈明说,只要有互联网,想彻底防范个人信息泄露几乎不可能,但有些信息泄露并不影响个人生活,所以我们也不必过分忧虑。
互联网存在了那么长时间,隐私泄露这一点就没办法改变吗?对于这个提问,陈明说:“这主要是密码设置的问题,我们现在的密码输入方式由数字、字母和符号组成,这种密码认证方式不改就永远存在被破解的可能,虽然有些登录限制输入密码的次数,但那只是一定程度上的防御,并不能从根本上解决这个漏洞。”
而最安全的密码可以用硬件key或证书或发短信验证码,但无论怎样网络安全与网络攻击都是一对孪生兄弟,他们此消彼长会一直向前。
我们能做什么?
目前互联网条件下,既然身边隐患重重,那我们为自身安全又能做点什么?陈明说,在公共场所上网时应尽量用自己3G或4G流量,公共WiFi尽量不要连接;如果不得已非要连接也尽可能使用商家带密码的WiFi网络。对于手机的安全维护,可以加装安全软件,安卓手机不要ROOT,苹果手机不要越狱。
但公共场合,个人能做的毕竟有限,这就对提供免费WiFi的商家提出一个要求,也即商家提供这项服务时必须保证其安全。为此,商家要做的首先是ARP(内网嗅探地址解析协议)防护,在无线AP后面加装防火墙,做好内网隔离。WiFi对用户免费开放时做好用户登录认证;加装ARP防火墙,将MAC和IP地址绑定,做静态IP,这样基本上可以做到初级和中级层面防护。此外,商家提高硬件配置,让开放网络与办公网络隔离,在开放的外网上使每一个连到自己WiFi上的用户都处于一个独立的子网,也能一定程度上避免遭受攻击。商家一旦感觉到网络明显变慢,就很有可能是遭遇了会话劫持,此时应马上注销退出账号,并断开网络。陈明说,多加小心总没错。(陈明为化名)
记者 宫玉范
三,如果你是想测试数据泄漏情况,我觉得可以找一些比较靠谱的更新的地方查询,安全宝好像有这么一个查询,建议试试,数据也多,能查询的也就越多,个人习惯,也会造成撞库等。
邱嵩松点评:至于国家不管,这句话问的不对,国家一直在管。
但困难也有,首先,建立这种网站的人首先就把自己的个人信息隐藏的很好。在没有人举报受害的前提下,很难被主动发现,因此,大家看到坏的网站可以向公安举报。
也有一些白帽子做,虽然有这种站,但你查询出来的东西是部分隐藏的,也就是说,他们的本意是让你查自己的信息有未泄露,如果泄露了,提醒你赶快改掉相关密码。