大數據時代的反社工的方法有哪些?
眾所周知,目前是一個大數據的時代,道哥在[這篇文章](25 ← 三月 ← 2013中國黑客傳說:遊走在黑暗中的精靈/)裡面提到曾有大神建立了13億去重的社工庫,我個人相信這是真實的故事。對於大部分涉及網路安全的人來說,社會工程學和社工庫都是個極大的威脅,大家都需要使用互聯網,也會註冊各種各樣的Id,自然也會有各種各樣的密碼,在大數據時代該怎麼保護好個人隱私,做到反社工呢?目前網路上關於反社工的知識還不是很多,歡迎各種網路安全專家以及匿名用戶(匿名用戶指的是誰你懂得)來回答。
首先推薦一下 @餘弦 的這篇文章幾乎所有互聯網重要隱私都泄露了,想黑你還真的躲不掉
已經說得非常詳細了,包括解決方案反社工這件事,不是大數據時才有的,有沒有大數據,都有人在社工我們,所謂的大數據的社工,其實大多也只是在做海量數據挖掘的事情,冠個好聽的名字罷了。在我的概念中,你要談大數據,首先問問能預測什麼——統計密碼規律肯定不算我個人不止一次在知乎傳達這個思想:上網這件事情,並不是一件私密的事情反社工,是能夠做到不被不必要的人窺測到的,但是很難完全隱匿自己,隱匿自己的代價是極高的,一個很近很好的例子是「中本聰」,可以在百度、知乎搜索一下相關信息
一方面,敏感信息要做好保護,比如不要交給那些沒監管的亂七八糟的小破網站收集處理[1],至少賬號不要用一樣的
一方面,網路可以是你建立維護自身形象的地方,不太推薦以匿名和自由為假想,做不方便放在陽光底下的事。也就是cos說的,「不做虧心事不怕鬼敲門」[1]除非法律規定,沒有行業有資格強制要求你實名註冊/認證(強制的意思是不實名就不提供服務,這是違法,有法律規定的行業除外)。在這些受到監管的行業中(政府機關、金融、電信、交通、教育、醫療等),客戶信息是絕密信息,泄露客戶信息將判刑,而且投訴有道。相關話題有人在應對保險電話推銷的問題中有一個精彩回答,精髓在於「你的工號是多少;我將投訴到保監會」。不過找不到原問了。我想說的是,大數據可以為企業找到下一個增長點,但是大數據無法為侵犯客戶隱私打開便利之門一般信息公開化,稀釋信息價值重要信息硬體化,比如網易的將軍令,銀行的u盾機密信息離網化,拒絕互聯網,拒絕電子設備絕密信息生物化,除了大腦,哪裡都不放
5.16添加:今日收到小道消息 by fenng的公共賬號文章推送,思路很好。推薦大家去看。微信公共號的鏈接我不會貼。。。
我來抖個激靈。為了防止大神們抽臉,我先匿個名。我不是從事安全工作的,也不是從事黑客產業的,總之我不是安全圈裡的人。我只是對這個有所關注。我只是介紹一下我的做法。
基於現在脫褲嚴重,先把能想起來的賬號密碼,全部修改,我個人是3個以上有規律密碼,相互之間沒有關聯性,每個密碼一個規律,比如鍵盤畫圖法,錯位法,無腦法,無意義法。然後可以隔半個月輪轉一次。
1、把最重要的賬號,做無意義處理,就是用相同郵箱註冊過別的ID的話,這個賬號以後不再登陸,跟重要賬戶密碼相同的,做無意義密碼處理。自己忘記這個賬號。
2、申請多個相近郵箱,密碼使用不同規則。
3、除去非常必要並且可信的網銀、密保手機等,手機號盡量少在網上登記。手機號盡量2個以上,可以買便宜的卡養著號。
4、可以修改資料的盡量修改,盡量減少各個社交賬號的關聯性。比如QQ空間和朋友網,可以選擇關閉。或把資料改到完全不相關。
5、在朋友圈,和群等需要實名的情況下,可以選擇錯別字作為自己的姓名。然後跟關係近的人約定一個驗證問題。
6、發表供求信息時,同一類型信息使用同一或不同的聯繫方式,以區隔信息來源。尤其是郵箱、QQ這類幾乎無法放棄的聯繫方式。
大概就是這樣了。我是不是有些迫害妄想症呢?
我又想起一些來,不放自己的照片,即使放了也要用完全不相關的ID放,這個ID應該是孤立的。
看到各位的回答,我突然想起來了。我幾乎錯過了所有的畢業合影。有故意的和非故意的。
最好的反社工方式就是不斷壯大自己,比要社你的人牛逼。這樣一來,技術渣的沒有威脅,技術牛不一定有能力跨省,能跨省不一定能砍得過你。
我只能說你對社會工程學的理解有點片面,所以會和大數據理想起來。數據收集和分析的確是社會工程學攻擊中不可或缺、經常利用到的東西,但他是俠義的。如果要利用社會工程學來攻擊目標,是要結合各種綜合技術的,簡單的一句話就是:建立一定的基礎理論,去計劃一個方案,去確定一個目標,然後周密的去部署和實施,利用自己所有學習到的技術、經驗,直到達到你的目的。而你說的撞庫攻擊只是社會工程學中一種泛濫的攻擊手段,也是可以防禦的。從泄密的源頭上講,網路信息安全的基本原則:進不去、看不見、拿不走、看不懂、賴不掉,我們無法保證黑客黑不進伺服器,因為風險存在於各個方面,包括社會工程學,高級社工滲透等商業間諜攻擊,但我們可以保證在源頭上對重要數據進行複雜的加密使入侵者無法輕易的看懂,解密重要數據(現在的大多數網站的密碼加密都太普通了,一些公開的加密演算法形同虛設)。從用戶自身安全意識上講,現在大多數人的自身安全意識並不高,設置的密碼都有規律或者太過於簡單(據中國社會工程學聯盟CnSeu統計,2013年所有泄密的網站數據6億明文中有1.2%的人使用國際通用弱口令密碼:123456),人的習慣性或者惰性導致自身沒有被受到侵害之前永遠不會長記性,每每聽著重大信息安全泄露事件都感覺依然事不關己,該用弱密碼的人還是在用,這就是意識問題。最大的安全漏洞永遠來自人類本身。
電子網路相關出身。社工愛好者
看到這個問題沒人提出可行建議。跑出來做個答=================================說些實際方便的吧初階:
1.輸入數字的時候用O代替0用I代替1,這樣可以避免你的信息直接被百度到。(最簡單的社工就是百度了。)而且非常好使2.定期自我社工,然後去清除痕迹。中階:3.使用多身份上網,比如現在我設置了好幾個角色用來上網。每個都有不同的姓名,生日,QQ,人人。。不同需求用不同的號。。基本只有網銀和一小部分社交用的真實身份。高階:4.放出大量假信息淹沒真實的自己。讓真實信息變得撲朔迷離不知道是什麼階:5.搞個大新聞,然後國家會幫你的。=================================啊。。其實這方面還是干過不少實事兒的。。贊多了就更新點別的知識吧╮(╯▽╰)╭
如果能過百贊就寫寫干過的好玩的社工故事~以前網上找盜版書的時候發現了一個現象:如果某本書在發行前先在各大網盤、論壇放出了試讀本,後來通過搜索找全本的就會很困難。(當然還是有辦法找到篩選出來)。 所以給我的啟發就是,既然藏不住,不如就類似於曹操設72疑冢來魚目混珠。比如,用戶名用多個,而不是一兩個。每個用戶名對應的註冊資料都是不同的。避免多個賬號間產生聯繫。 這樣被社工也是社工到部分信息,要定義到真身要花費的精力就會很多。 非圈內人 ,比較不成熟的想法。
技術上,可以降低風險。一般服務端被加密的只有密碼,沒節操的連密碼都不加密或者乾脆有個decode(),有節操的一般會套個md5(),更有節操的會md5(md5(md5(pass+salt))),對於這種特別有節操的,即使被脫了庫,密碼目前來講基本不太容易暴露。但是從技術上來講完全避免很難,作為用戶,因為你不知道服務端都保存了什麼、到底是如何保存的、服務端的安全性如何,你可能明明知道學校的網站一個s2就能秒了資料庫不加密你也得用(如果你厲害可以幫人家把洞補了,報到某雲?開玩笑,學校從來不會理這些),這個時候就盡量對你可以控制的數據進行修改。比如密碼,不要把你自己那一套經常用而且足夠複雜的密碼用上去,這樣如果配合字典跑加密的庫你就傻了,隨便弄一個簡單的就ok。做人低調,當你沒有別黑的價值的時候,你在那幾百G的社工庫里跟不存在一樣。
我在面試一個高校社工教師職位時被問及「如何吸引學生努力學習社工知識」,我不假思索就回答「做個有人格魅力的社工教師,生命影響生命」。對方一笑而之,說「學生對社工不感興趣,是因為他們不覺得學社工知識有什麼用。最重要是讓他們認識到社工是科學的,有技術含量」。
我非常認同,雖說「社工是科學的,也是藝術的」,但又有幾個學生感知自己的藝術細胞?坦白說,大家幾乎都是慕名科學的、技術流的東西。並且,從教學的效率角度來講,科學顯得更為實在、充實。
我自己一直在追蹤社工的科學性,拿著心理書籍狂背防衛機制然後盯著別人說話對號入座的事幹得不少,琢磨那些很有經驗的香港社工說的每一句話和每一個活動鋪排也是相當經常的。於是,輪到自己搞服務時,那是相當的流程標準化,每一步都計劃得非常仔細,連對方可能的反應都預判了好幾種,盡量做到精準、科學、有技術。當然,這很難,而且很累,尤其遇到陌生的情境時會手足無措,於是又積累經驗,回到技術問題上尋求答案。一邊羨慕那些技術熟練的社工,一邊修鍊自身。好像嗜武如命的江湖人士。我自問為什麼熱衷於技術?為什麼遇到阻難就自然而然地理解為因為技術不夠?答案可能是,技術是看得見、摸得著的外在實物。這種實物化足以讓我有自信和存在感,也容易獲得他人信任。其實,我也曾懷疑那些看起來很技術的社工是否真的很技術。剛入行時,那些長輩們就經常跟我說「手中無劍、心中有劍」,可是我想,武林高手入道之初也是拿著刀劍拼殺的只是後來才領悟到無劍的境界。那麼,社工也需要經歷一個技術嫻熟的階段,才會逐漸內化價值理念,得以舉手投足都是「技術」嗎?如果是這樣,那就別跟我說什麼技術不重要,價值理念才重要。如果不是這樣,那麼價值理念如何內化呢?不容置疑的是,技術是有跡可循的,可以一步一步學習和演練,而價值理念卻沒有必然公式,什麼生命影響生命,恐怕在很多年輕社工口中純粹只是一個口號。藝術的東西,要麼有天賦,要麼後天大量學習。寫到這裡,我又有一個想法,價值理念難道不是技術嗎?假如,我們說,看不見的才是真正的技術呢?降龍十八掌的厲害離不開一股純厚的內力。技術和價值理念是否涇渭分明呢,這個值得質疑。問題的關鍵不在密碼,在於賬號,郵件,手機號。
現在的平台動不動要求提供郵箱和手機號,我們很難保證不一致。
這是線上的個人隱私問題,還有線下活動留下的信息:購房,購車,辦信用卡,任職記錄,保險等,都很容易買到。
兩者結合,還能睡得著覺不?
竊以為只能靠法律,當然我們不指望約束官方,對普通人來說,只要能約束非官方就夠了。
關掉電腦,拔掉網線,然後,去非洲。
del~
小隱隱於野,大隱隱於市。
防止撞庫的方案
1.各網站使用不相同網站的密碼(難記)
2.每用一次帳號,找回一次密碼3.根據網站類型來設置(比如說知乎這個賬戶 我就會使用SNS+密鑰+特殊字元)
不作死就不會死。
不顯擺就不會被人關注。所以,最好的辦法是讓自己成為不受壞人關注的人,這樣你的密碼即便只是12345,也不會有問題。
子曰:不怕賊偷就怕賊惦記。我確信,人是保密工作的最薄弱環節。
在大數據時代,如果一個人有心想社工,他一定能獲得一些信息。完全保護隱私是不可能的。以我個人經驗來看,反社工的最好辦法是——同時使用多個身份。比如,我是吉林大學(這點信息估計不會暴漏)的,我還有一個東北師大的虛擬身份,在互聯網上同時使用。可以混淆很多人的視野,
即使被社工了,可能也只是一個假身份。(非常適合貼吧)QQ、郵箱等都申請兩個以上。對內、對外要分明。核心信息永遠不要留在網上。匿名用戶:為什麼新浪微博上的我的足跡的我贊過的足跡里取消點贊了之後這些地址還是會顯示在我贊過的足跡里?
你好,移民到非洲經濟網路落後的國家
我是安全圈兒里的,話說一般不會有事兒,除非對方惡意攻擊你。。。
密碼全部設置為不一樣 1password人類的救星?
不上網
重要信息不在網上交流,只和本人溝通將網路上的信息和現實中的信息分離,不要過多涉及現實。幾個互不相關的身份其實並無所謂,擅長分析的人能從你的每個身份分析出一些信息。最好不要暴露現實信息(比如各類圖片)看過就刪,相信大腦,非必要不會用自白劑,大腦最安全自己學習滲透,web安全,加密解密等等技術,必要時刻從擁有能危害到自己的信息的地方刪掉信息的能力我相信每個人都有自己的隱私,既然現在的互聯網不會刪除已儲存的信息,那麼就自己動手好了最後賣個萌吧,不知道有沒人會這麼做,把財產不要放在自己的賬戶了,分散在大量用戶的賬戶裡面,這樣即使泄露你也無需擔心,需要資金的時候從每個人賬戶里把那部分取出來(但是我也沒有實踐過這件事,我準備等我技術再成熟一點的時候嘗試一下)
推薦閱讀:
※有哪些比較好用的不用註冊的社工庫?
※如何讓已經知道你wifi密碼的鄰居主動另外購買房東的網路?
※你經歷過或你知道的最牛的人肉搜索的過程是怎樣的?
※如何看待人肉搜索這一社會現象?
※目前黑客的社會工程學攻擊到達了什麼程度?如何應對社工攻擊?