超级会员免费看
社会工程学中的法律与框架解析
1. 相关法律规定
在社会工程学和渗透测试领域,有一些重要的法律规定需要我们关注。
1.1 1998 年英国《人权法案》
该法案于 2000 年在英国生效,在渗透测试和社会工程学方面,其范围主要涉及个人数据隐私。其中,第 8 条是我们关注的重点:
- 人人有权尊重自己的私人和家庭生活、住宅和通信。
- 公共当局不得干涉此项权利的行使,但符合法律规定且出于国家安全、公共安全、国家经济福祉、防止混乱或犯罪、保护健康或道德、保护他人权利和自由等民主社会利益的情况除外。
在渗透测试中,雇主在员工合同或员工手册中有明确说明的情况下,有权通过各种方式监控员工行为,如使用闭路电视、阅读员工电子邮件或进行行李检查等。不过,员工几乎在所有情况下都应被告知这种监控行为,且雇主必须有合理的监控理由。
在社会工程学的渗透测试部分,风险主要集中在意外拦截个人通信方面。例如,通过 ARP 中毒进行中间人(MITM)攻击时可能会出现这种情况。但 ARP 中毒可能会造成严重干扰,导致客户网络中断,因此在物理渗透测试中应尽量避免使用。
替代 ARP 中毒的方法是进行 Karma 无线攻击。攻击者/渗透测试人员监听正在搜索已知无线网络的客户端,然后冒充接入点进行响应,客户端连接后,攻击者可以捕获密码和其他数据,并将流量转发到互联网。这种攻击在组织为访客部署开放无线网络的情况下特别有效。
总的来说,因《人权法案》而陷入法律问题的可能性很小,通常是由于无差别 MITM 攻击捕获或超出测试范围导致的。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
