通过社会工程来改变健康行为
发布时间:2010/8/30 17:42:05 来源:城市学习网 编辑:ziteng
社会工程学
为某些非容易的获取讯息,利用社会科学(此指其中的社会常识)尤其心理学,语言学,欺诈学将其进行综合,有效的利用(如人性的弱点),并最终获得信息为最终目的学科称为“社会工程学”
社会工程行为
黑客将此(社会工程)定义为非计算机(泛指机械)非BUG,转而使用其他(如:人际关系)以至(欺骗、欺诈、威胁,恐吓)。甚至实施物理上的盗窃。等手段获取信息的手段。
可能为社会学名词。但在计算机入侵中此词条被经常使用和广泛定义。
总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
黑客是如何利用的
它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候,在需要套取到所需要的信息之前,社会工程学的实施者都必须:掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似,社会工程学在实施以前都是要完成很多相关的准备工作的,这些工作甚至要比其本身还要更为繁重。
社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。
我们经常讲:最安全的计算机就是已经拔去了插头(网络接口)的那一台(“物理隔离”)。
真实上,你可以去说服某人(使用者)把这台非正常工作状态下的、容易受到攻击的有漏洞的机器连上网络并启动提供日常的服务。
也可以看出,“人”这个环节在整个安全体系中是非常重要的。
这不像地球上的计算机系统,不依赖他人手动干预、人有自己的主观思维。
由此意味着这一点信息安全的脆弱性是普遍存在的,它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
无论是在物理上还是在虚拟的电子信息上,任何一个可以访问系统某个部分(某种服务)的人都有可能构成潜在的安全风险与威胁。
任何细微的信息都可能会被社会工程师用着“补给资料”来运用,使其得到其它的信息。
这意味着没有把“人”(这里指的是使用者/管理人员等的参与者)这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
一个大问题?
安全专家常常会不经意地把安全的观念讲得非常的含糊,这样会导致信息安全上的不牢固性。
在这样的情况下社会工程学就是导致不安全的根本之一了。
我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实,原因我在之前已经声明过了。
地球上的计算机系统不可能没有“人”这个因素的。
几乎每个人都有途径去尝试进行社会工程学“攻击”的,唯一的不同之处在于使用这些途径时的技巧高低而已。
方法
试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。
第一种方法也是最简单明了的方法,就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。
毫无疑问这是最容易成功的,也是最简单与最直观的方法了。
当然,被指引的个体也会清楚地知道你想他们干些什么。
第二种就是为某个个体度身订造一个人为的(通过捏造的手段)特定情形和环境。
这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素。
例如如何说服你的对象,你可以设定(刻意安排)某个理由和动机去迫使其为你完成某个非其本身意愿的行为结果。
这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作,与大量你想得到的“目标”的相关知识。
这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。
社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。
在这个问题上黑客与系统管理员会更为侧重一点,特别是在某种事物与他们的领域有所关联的情况下。
