非傳統(tǒng)信息安全下的搜索引擎

邢超 李喆 圖力古爾

中國(guó)人民公安大學(xué) 北京 100038

0 引言

截至2011年12月底，中國(guó)網(wǎng)民數(shù)量已經(jīng)突破5億，搜索引擎用戶規(guī)模達(dá)到 4.07億，在網(wǎng)民中的滲透率為79.4%，使用比例基本保持穩(wěn)定，是 2011 年僅次于即時(shí)通信的第二大網(wǎng)絡(luò)應(yīng)用。越來(lái)越多的人接觸并開(kāi)始使用互聯(lián)網(wǎng)，他們通過(guò)搜索引擎系統(tǒng)從互聯(lián)網(wǎng)上獲取自己所需要的信息，同時(shí)也被提供搜索引擎的服務(wù)商們記錄著自己的興趣愛(ài)好和行蹤。某些網(wǎng)站有意或者無(wú)意的對(duì)使用者的個(gè)人信息進(jìn)行收集、加工、整理和出售。越來(lái)越深的挖掘技術(shù)，使人們可能訪問(wèn)到受密碼保護(hù)的內(nèi)容，侵犯?jìng)€(gè)人隱私。我們的生活離不開(kāi)搜索引擎，同樣搜索引擎的使用與我們生活中的信息安全息息相關(guān)，所以我們有必要了解并且必須了解我們的信息是如何泄露出去的，從而防范個(gè)人隱私等生活信息不被收集。

1 非傳統(tǒng)信息安全下的社會(huì)工程學(xué)

1.1 社會(huì)工程學(xué)定義

社會(huì)工程學(xué)是通過(guò)自然的、社會(huì)的和制度上的途徑并特別強(qiáng)調(diào)根據(jù)現(xiàn)實(shí)的設(shè)計(jì)經(jīng)驗(yàn)來(lái)一步一步地解決各種社會(huì)問(wèn)題所建立起來(lái)的一種理論。

1.2 社會(huì)工程學(xué)在信息安全上的重要性

社會(huì)工程學(xué)定位在計(jì)算機(jī)安全工作路徑上的最脆弱的一個(gè)環(huán)節(jié)上。我們認(rèn)為最安全的計(jì)算機(jī)就是已經(jīng)拔去了插頭的那一臺(tái)，即進(jìn)行物理隔絕。事實(shí)上，你可以去說(shuō)服使用者把這臺(tái)非正常工作狀態(tài)下的，容易受到攻擊的機(jī)器接通電源并啟動(dòng)，然后連接上網(wǎng)絡(luò)。在這個(gè)過(guò)程中我們可以看出，“人”的因素在整個(gè)信息安全體系中是非常重要的。由此意味著這一點(diǎn)的信息安全脆弱性是普遍存在的，它不會(huì)因?yàn)橄到y(tǒng)平臺(tái)、軟件、網(wǎng)絡(luò)的不同而不同，也不會(huì)由于是設(shè)備的歷史等因素而有所差異。

無(wú)論是在物理的硬件上還是在虛擬的網(wǎng)絡(luò)生活中，任何一名可以訪問(wèn)系統(tǒng)服務(wù)的人都有構(gòu)成安全風(fēng)險(xiǎn)與威脅的潛在可能性。任何細(xì)微的信息都可能會(huì)被社會(huì)工程學(xué)者當(dāng)作很好的“參考資料”來(lái)運(yùn)用，以便使其得到其它有用的信息。這意味著如果沒(méi)有把使用者或者管理人員等參與者這個(gè)因素放進(jìn)系統(tǒng)服務(wù)安全管理策略中去的話，那將對(duì)系統(tǒng)的服務(wù)形成一個(gè)很大的安全“漏洞”。

社會(huì)工程學(xué)已成為對(duì)信息安全最容易被開(kāi)發(fā)利用且危險(xiǎn)性最大的一種威脅?！叭诵砸蛩亍背蔀樵谛畔踩I(lǐng)域中的一種無(wú)法通過(guò)技術(shù)方法進(jìn)行預(yù)先控制的信息安全隱患的毒瘤。

1.3 社會(huì)工程學(xué)對(duì)非傳統(tǒng)信息安全的意義

非傳統(tǒng)信息安全是在傳統(tǒng)信息安全上的延伸，它產(chǎn)生自傳統(tǒng)信息安全，但又有別于傳統(tǒng)信息安全，它提出了在信息安全防護(hù)中要采取“先發(fā)制人”的一種策略，改變以往傳統(tǒng)信息安全觀念上的總是出現(xiàn)漏洞補(bǔ)漏洞，出現(xiàn)病毒殺病毒的被動(dòng)局面，以積極主動(dòng)的態(tài)度去分析“人”這一關(guān)鍵因素的心理脆弱點(diǎn)，來(lái)提高人們對(duì)欺騙的警惕性，并且認(rèn)識(shí)到社會(huì)工程學(xué)對(duì)信息安全的危害以及攻擊方式，從而改進(jìn)系統(tǒng)的技術(shù)體系和管理體系中存在的不足和漏洞。

隨著加密技術(shù)和計(jì)算機(jī)性能的顯著提升，傳統(tǒng)信息安全三大法寶：殺毒軟件、防火墻和入侵檢測(cè)系統(tǒng)已經(jīng)日趨完善，利用技術(shù)弱點(diǎn)進(jìn)行傳統(tǒng)的信息安全攻擊已經(jīng)越來(lái)越困難，于是攻擊者開(kāi)始轉(zhuǎn)向利用“人”——這一安全行為的直接參與者的疏忽和漏洞來(lái)尋求突破。社會(huì)工程學(xué)是傳統(tǒng)信息安全向非傳統(tǒng)信息安全轉(zhuǎn)變的一個(gè)橋梁。社會(huì)工程學(xué)是綜合利用社會(huì)科學(xué)、人文科學(xué)、自然科學(xué)和工程科學(xué)相關(guān)知識(shí)，通過(guò)重構(gòu)這些知識(shí)和技術(shù)，研究建構(gòu)社會(huì)發(fā)展具體模式過(guò)程中的一般規(guī)律和方法的一門科學(xué)。

2 利用QQ號(hào)通過(guò)搜索引擎泄密實(shí)例

2.1 搜索引擎和QQ號(hào)在現(xiàn)實(shí)生活的重要性

根據(jù)CNNIC (中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心)《第29次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》的調(diào)查顯示，搜索引擎用戶規(guī)模達(dá)到4.07億，在網(wǎng)民中的滲透率為79.4%，使用比例基本保持穩(wěn)定，是2011年僅次于即時(shí)通信的第二大網(wǎng)絡(luò)應(yīng)用。大到買車買房，小到做飯菜譜，人們總會(huì)上網(wǎng)“百度一下”，求助網(wǎng)友尋求結(jié)果，搜索引擎已經(jīng)逐漸成為我們?nèi)粘Ｉ钪胁豢扇鄙俚囊徊糠帧?/p>

根據(jù)騰訊2011年第三季度及中期業(yè)績(jī)所示，QQ的即時(shí)通信活躍賬戶數(shù)已經(jīng)達(dá)到7.117億，這說(shuō)明QQ已經(jīng)在繼手機(jī)、E-mail之后成為人們交流的又一種重要方式，它已經(jīng)融入我們的日常生活，有很多人上網(wǎng)便上QQ。擁有如此之大市場(chǎng)的QQ，想必大家每人都會(huì)有一個(gè)，有的甚至?xí)袃蓚€(gè)以上，但是對(duì)于里面隱含的巨大的安全隱患，大家就聞所未聞了。

2.2 具體例證步驟

首先需要確定查找對(duì)象，對(duì)于某好友的QQ號(hào)，我們這里假設(shè)其為12345678。利用百度、Google等常見(jiàn)搜索引擎的力量，這里以Google為例，在Google界面中輸入12345678，然后點(diǎn)擊Google一下，這時(shí)候會(huì)出現(xiàn)好多含有12345678的信息，里面會(huì)包括電話號(hào)碼，ID號(hào)，網(wǎng)址鏈接和數(shù)據(jù)等，忽略大部分雜亂信息，我們只選取其中有用的信息。例如：聯(lián)系我QQ：12345678，我的郵箱是12345678@qq.com之類的，留下此信息的一般多為在論壇、物物交換之處，這里留下的QQ信息只是用作聯(lián)系方式。此時(shí)我們只需記下發(fā)此信息的用戶名，例如ABC。再次回到Google，將剛才獲取的ABC輸入文本框進(jìn)行搜索，即可獲得此人用此用戶名在網(wǎng)絡(luò)上的注冊(cè)信息，進(jìn)而可以獲得其在互聯(lián)網(wǎng)上的瀏覽信息，同時(shí)可以獲取此人在網(wǎng)絡(luò)上發(fā)布的更詳細(xì)的個(gè)人資料，如：真實(shí)姓名，手機(jī)號(hào)，地址等。于是關(guān)于此人的個(gè)人資料，興趣愛(ài)好，網(wǎng)絡(luò)記錄都會(huì)被展示出來(lái)。

對(duì)于某些過(guò)期信息或已經(jīng)被刪除的信息，我們?nèi)耘f可以通過(guò)快照的方式獲取。搜索引擎收集信息行為是通過(guò)“蜘蛛”程序進(jìn)行的，在每隔一段時(shí)間(比如 Google的googlebot，一般是28天)，“蜘蛛”程序檢索一次互聯(lián)網(wǎng)上的信息，發(fā)現(xiàn)新的，即提交到服務(wù)器數(shù)據(jù)庫(kù)中，這時(shí)便形成了快照?？煺占礊橹┲肱老x(chóng)定期獲取到的信息在數(shù)據(jù)庫(kù)中的存儲(chǔ)信息。在存在這樣的一個(gè)時(shí)間差中，即使某些網(wǎng)站將某些新聞或者交易信息刪除，我們?nèi)耘f可以通過(guò)查看快照的方式找到之前的消息。如圖1所示。

圖1 搜索引擎網(wǎng)頁(yè)上的快照功能

實(shí)驗(yàn)證明此種方法簡(jiǎn)單、可行、容易操作，能夠快速準(zhǔn)確地收集到目標(biāo)人的相關(guān)網(wǎng)絡(luò)痕跡。這種方法還可以利用手機(jī)號(hào)、郵箱、常用用戶名等其它相關(guān)信息進(jìn)行搜索，多種方式結(jié)合，達(dá)到獲取信息的目的。

2.3 方法的總結(jié)和防范策略

本方法原理是利用用戶在網(wǎng)上普遍采用一個(gè)ID號(hào)的心理，且各大網(wǎng)站及論壇不屏蔽搜索引擎所致。由此可見(jiàn)利用社會(huì)工程學(xué)原理在非傳統(tǒng)信息安全下的使用，可以獲取用戶在網(wǎng)絡(luò)留下的痕跡。不過(guò)目前淘寶網(wǎng)已將百度屏蔽，最受大學(xué)生喜歡的SNS網(wǎng)站——人人網(wǎng)也已屏蔽所有搜索引擎，從而能夠更有效的保護(hù)注冊(cè)用戶的個(gè)人信息不被外界搜索引擎收錄。

搜索引擎既有方便之益，也有可怕之處，正像高懸在網(wǎng)民頭上的一把“達(dá)摩利克斯之劍”，使網(wǎng)民在得到便捷的同時(shí)，也深感不安，如何解決這一問(wèn)題，只有從網(wǎng)站，搜索引擎，用戶個(gè)人三方面入手。對(duì)網(wǎng)站來(lái)說(shuō)，對(duì)于涉及個(gè)人隱私的信息，將進(jìn)行技術(shù)屏蔽，要特別注意對(duì)諸如百度快照之類存儲(chǔ)歷史記錄的技術(shù)進(jìn)行屏蔽；對(duì)搜索引擎公司來(lái)說(shuō)，要加強(qiáng)行業(yè)自律，不能成為某些別有用心之人的“嗅探”工具；對(duì)于個(gè)人用戶來(lái)說(shuō)，要加強(qiáng)防范意識(shí)，在網(wǎng)絡(luò)上不要亂留QQ，郵箱，必要時(shí)多申請(qǐng)幾個(gè)號(hào)進(jìn)行區(qū)分，例如對(duì)外公開(kāi)一個(gè)，熟人聊天一個(gè)，對(duì)于個(gè)人真實(shí)信息的發(fā)布，應(yīng)該慎之又慎，不可掉以輕心。

3 結(jié)論

在信息爆炸的當(dāng)今社會(huì)，互聯(lián)網(wǎng)已經(jīng)逐漸走進(jìn)我們的生活，并占據(jù)了生活的大部分。人們?cè)诩夹g(shù)和管理的核心上都是圍繞那些不斷發(fā)展的物理因素和外在的環(huán)境因素，過(guò)分的強(qiáng)調(diào)增強(qiáng)科學(xué)技術(shù)水平來(lái)加強(qiáng)對(duì)系統(tǒng)的硬件和軟件防護(hù)，而忽視了人的主觀意念這一處于核心地位的內(nèi)在因素，于是對(duì)人性的本能和弱點(diǎn)沒(méi)有引起足夠的重視來(lái)進(jìn)行防范?！暗栏咭怀?，魔高一丈”，隨著技術(shù)的不斷進(jìn)步，人類在信息安全防護(hù)上不斷提高，但是將人作為攻擊對(duì)象的社會(huì)工程學(xué)將會(huì)是并且一直會(huì)是信息安全領(lǐng)域中的最主要威脅。

為了適應(yīng)信息化發(fā)展要求，社會(huì)工程學(xué)不斷汲取網(wǎng)絡(luò)對(duì)抗和電子對(duì)抗等諸多領(lǐng)域的技術(shù)精華，再加上針對(duì)人自身存在的弱點(diǎn)，以人攻擊人，以技術(shù)對(duì)抗人。在現(xiàn)實(shí)世界和虛擬世界，社會(huì)學(xué)范疇和心理學(xué)范疇，由社會(huì)工程學(xué)所帶來(lái)的信息安全問(wèn)題必將成為專家們新的研究焦點(diǎn)和難點(diǎn)。

[1] 第29次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告.中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC).

[2] 陳華,黃東軍.搜索引擎與個(gè)人信息安全.電腦知識(shí)與技術(shù).2010.

[3] Kevin Mitnick. The Art of Deception[M]. 2002.

[4] 朱云鵬.基于社會(huì)工程學(xué)的信息對(duì)抗技術(shù)研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009.

[5] 靳慧云.黑客入侵技術(shù)和方式變異論析.中國(guó)人民公安大學(xué)學(xué)報(bào).2007.

[6] 騰訊公布2011年第三季度業(yè)績(jī). http：//www.tencent.com.

[7] 倪新雨,周學(xué)廣.非傳統(tǒng)信息安全與傳統(tǒng)信息安全比較研究.計(jì)算機(jī)與數(shù)字工程.2007.