[毕业论文]网络个人信息安全问题研究 - 图文(5)

哈尔滨工业大学远程教育本科毕业设计（论文） 3.1.1 iCloud概念 iCloud是苹果公司所提供的云端服务，让用户可以免费储存5GB的资料。

iCloud将苹果音乐服务、系统备份、文件传输、笔记本及平板设备等有机地结合在了一起，而且联系非常紧密。在乔布斯看来，iCloud是一个与以往云计算不同的服务平台，苹果提供的服务器不应该只是一个简单的存储介质，它还应该带给用户更多。

简而言之，iCloud平台可以将你的个人信息存储到苹果的服务器，通过连接无线网络，这些信息会自动推送到你手中的每个设备上，这些设备包括iPhone、iPod Touch、iPad，甚至是Mac电脑。

3.1.2 黑客攻击iCloud的手段

手段一：攻击Find My Phone功能漏洞。

利用安全研究专家Alexey Troshichev开发的开源免费工具iLoot，这个工具以其成功在Find My iPhone软件中发现漏洞而闻名。黑客此前使用的破解软件是在网上出售的，而iLoot则可在社交编程及代码托管网站GitHub上免费获取。在iLoot于9月上线以后，黑客开始使用这个工具来入侵iCloud账号。iLoot使用“命令行界面”，这意味着黑客只需敲入几行代码命令即可操纵这个工具。如图3.3所示：

图3.3 Python脚本

13

哈尔滨工业大学远程教育本科毕业设计（论文） 据悉，采用这种攻击手段来“暴力穷举”账号的话，不仅不会被封锁，还不会向用户发出警告。

据The Next Web报道，该脚本被放到了GitHub上，并且严重归咎于Find My Phone服务竟然没有对密码尝试次数做出限制。一旦账号密码被破除，黑客就能够肆意访问苹果所提供的全部服务。不过，苹果已紧急将尝试上限设定为五次，脚本作者也证实苹果已封堵上这一漏洞。

据脚本作者（Twitter用户）Hackapp所述，该漏洞“在所有提供很多认证接口的服务中普遍存在”，而攻击者只需掌握简单的嗅探知识和反向技巧就能得逞。

但是，尽管该脚本的出现时间与女星隐私照的泄露时间相同，目前仍没有任何直接证据表明两件事之间的必然联系，苹果公司也尚未对此事发表言论。

手段二：撞库。

所谓“撞库”就是指黑客通过收集网络上已经泄露的用户名及密码信息，生成对应的“字典表”，到其它网站尝试批量登录，得到一批可以登录的用户名及密码。

“照片泄露的根本原因或在于云服务的账号被盗。”360安全专家安扬对《第一财经日报》记者表示，黑客可以利用“撞库”的方式进行盗号，此外，网络运营商的用户数据库泄露也可能导致所有用户都面临盗号风险。

一些安全性较差的非关键业务网站，曾因管理不善或安全漏洞而泄露大量用户账户数据，其中密码字段未做加密处理，或者仅做简单加密而易被离线破解。部分用户为图省事，在各网站使用相同的用户名和密码，一个账号泄露，就意味着所有相同账号都被泄露，其中可能包括网上银行密码或iCloud等敏感服务密码。黑客入侵一些安全性较差的网站，窃取用户注册邮箱和密码后，在iCloud等重要网站或服务上尝试登录，从而导致了iCloud中个人隐私泄露。

手段三：社会工程攻击。

社会工程攻击，是一种利用“社会工程学”来实施的网络攻击行为。 社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当

14

哈尔滨工业大学远程教育本科毕业设计（论文）

的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点，如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。

近年来，更多的黑客转向利用人的弱点，即社会工程学方法来实施网络攻击。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。

Gartner集团信息安全与风险研究主任Rich Mogull认为：“社会工程学是未来10年最大的安全风险，许多破坏力最大的行为是由于社会工程学，而不是黑客或破坏行为造成的。”一些信息安全专家预言，社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。

Kevin Mitnick出版的《欺骗的艺术》(The Art of Deception)堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法，这些方法并不需要太多的技术基础，但可怕的是，一旦懂得如何利用人的弱点，如轻信、健忘、胆小、贪便宜等，就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致，像变魔术一样，不知不觉地进入了包括美国国防部、IBM等几乎不可能潜入的网络系统，并获取了管理员特权。

最近流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的代表应用。

社会工程攻击不是传统的信息安全的范畴，也被称为 “非传统信息安全”(Nontraditional Information Security)。

传统信息安全办法解决不了非传统信息安全的威胁。一般认为，解决非传统信息安全威胁也要运用社会工程学来反制社会工程攻击。中网S3主机安全系统，利用社会工程学来反制社会工程攻击。具体的方法就是向用户提供充分的反馈信息，让用户能够做出准确的判断，避免上当，并且增加更多的控制机制，即使在错误决策的情况下，也能防止社会工程攻击的发生。

3.1.3 针对iCloud的防范措施

措施一：苹果官方已及时补漏，设置了密码输入次数上限；同时自2014年10月9日（美国当地时间）起，iCloud登录将启用两步验证机制。如图3.4所示：

15

哈尔滨工业大学远程教育本科毕业设计（论文）

图3.4 苹果向用户发出的邮件通知

措施二：为了防范“撞库”攻击，网民应避免给自己配“万能钥匙”，区分各方账号和密码。

措施三：针对社会工程攻击，若不想成为受害者，请牢记以下几点： （1） 当心从个人发出的询问员工，或其它内部资料来路不明的电话、访 问或者电子邮件信息。如果一个陌生人声称来自某合法机构，请设法直接向该机构确认他的身份。除非你能够确定某人有权得到此类资料，否则不要提供任何个人信息或者你所在机构的信息给他。

（2） 不要在电子邮件中泄露个人隐私或财务方面的信息，不要回应征求

16

哈尔滨工业大学远程教育本科毕业设计（论文） 此类信息的邮件，也不要点击此类邮件中的链接。 （3） 在确认某网站的安全性之前不要在网络上发送机密信息。注意网站 的URL地址，恶意网站可以看起来和合法网站一样，但是它的URL地址可能使用了修改过的拼写或域名（例如：将.com变为.net）。

措施四（根本解决办法）：增强个人保护意识，杜绝在有联网功能的设备上拍摄私密照，保护个人隐私。

17

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库[毕业论文]网络个人信息安全问题研究 - 图文(5)在线全文阅读。