按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
有时刻关注最新的系统远程安全漏洞,但丹尼关注了。
很快地,他就找到那些源代码文件,并把它们远远地发送到一个提供免费存储空间的商业站点。这样,即使这些文件被发现,也不会追查到丹尼。现在只剩下最后一步了:有条不紊的擦去他的痕迹。他在当晚的杰伊·里诺(译者注:Jay Leno,著名脱口秀节目主持人)的节目播完之前完成了这项工作。
丹尼极为得意他的这次杰作,在这次行动中,他从未把自己置于危险之中,这是一次令人陶醉的激情之旅,甚至比滑雪和跳伞都要过瘾。丹尼那天晚上喝醉了,不只是因为威士忌、杜松子、啤酒和清酒,在盗来的源代码文件中逐步地接近那绝密的无线软件时,他完全沉醉于自己的能力和成功感之中。
过程分析
在上面的故事中,骗局的成功归于那家企业的职员过于相信了打电话人表示身份的话语。这种帮助同事解决问题的热心一方面使工作顺利进展并获得更令人满意的合作认可,另一方面却是极易被社会工程师利用的重大漏洞。
在骗局中丹尼使用的一个小技巧值得注意:他在要求别人到他的办公桌上拿安全ID时,不断地说“拿回来”。这个用语经常做为让狗取东西的命令,没人会乐意为别人“拿回来”东西。由于这一点,丹尼更加的断定这个请求不会被接受,于是其他的解决方法便会自然而来,那正是他想要的结果。那个计算机操作员科瓦斯基,在丹尼随便的说出了一个自己碰巧认识的人名后便完全相信了他。但为什么科瓦斯基的经理(一个IT经理)竟然也同意让陌生人访问公司的内网?仅仅是因为这样的求助电话是社会工程师百宝囊中一个强大的说服工具么?
米特尼克信箱
这个故事表明时间令牌或是类似的认证方法并不能抵挡住一个诡计多端的社会工程师,真正有效的防范是一个尽职尽责职员,不仅严守公司的安全守则而且了解别有用心的人是如何影响他人的行为的。
预防措施
在上述所有的故事中有一点似乎经常提到,那就是攻击者从企业外部进入内部的计算机网络时,帮助他的工作人员都没有采取足够的措施来确认对方的合法身份,是否有权访问系统。为什么我会经常提及这一点呢?因为,这的确是许多社会工程师在攻击时所采用的手段。对于他们来说,这是达到目标最简单易用的方法。一个电话就能解决的事,还有必要再花上几个小时寻找技术上的漏洞么?
对于社会工程师来说,实施这种攻击最有力的手段就是假装需要帮助,这是攻击者经常采用的方法。既然我们不想禁止员工对同事或客户的帮助,因此特定详细的确认程序成为判断任何人是否有权使用计算机或接触机密信息的必要。这样,我们才可以帮助应该帮助的人,同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的各种不同的确认方法,第十七章提供这样的一个详细列表,但在这儿首先要考虑一些指南:一个确认对方的好办法就是拨打公司通讯录上的电话,如果对方实际上是个冒名顶替者,那么这个确认电话不是令你找到真正的人(被冒充者,而这时冒名顶替者还给你打着电话),就是可以听到被冒充者的语音信箱,从而你就可以与冒名顶替者的声音做比较。
如果企业使用员工号码确认身份,务必要把员工号当做企业的敏感信息,小心保护,不要泄露。此规则适用于所有的内部识别信息,如内部电话号码、部门单据,甚至电子邮件。在安全培训中应唤起每个人对陌生人的警惕,不要因为对方听起来熟悉内部或可信就认为他是真正的内部人员,仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认的理由。
安全管理人员和系统管理员不能只注意其他人员的安全意识,他们自己也需要提醒自己遵循守则、程序和操作规程。密码口令等信息绝不能共享,而对时间令牌或其他方式的认证来说,限制共用则更为重要。应该普遍认识到,这类事物的共享会危害到公司整个的系统布署。共享就意味着无责任,如果发生安全事件,或是其他问题时,就分不清是谁的责任了。
正如我在整本书中不断重申的,员工要熟悉社会工程师的策略和方法,仔细的分析对方的要求,考虑把角色扮演做为安全培训中的一个固定内容,以使员工能较好的理解社会工程师的手段。
第七章 假冒网站和危险附件
虽然有句老话说“不劳而获是不可能的”,但把免费当做幌子进行促销仍是许多商家愿意使用的方法,无所谓合理(“等一下,还有……,现在打电话,我们将免费奉送一套餐刀和一个长柄锅!”)或不太合理(“佛罗里达湿地,买一亩送一亩!”),而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心,出门不换”的警言,但在这里需要注意的是一另句话:“小心具有诱惑力的电子邮件附件和免费软件。”精明的攻击者会想方设法进入企业的网络,比如利用免费礼物对人们的吸引力。下面是几个例子:
你不想免费么?
就像病毒从一开始就给人类带来祸害,给医生带来麻烦一样,计算机病毒给其使用者带来同样的苦难。如今,计算机病毒以其巨大的破坏力受到很多人的关注,它们是由计算机破坏者制造出来的。计算机痴迷者逐渐存心不良,计算机破坏者在卖力的炫耀他们是多么的聪明过人。有时他们的行为像是入门仪式,为了给具有老资格和经验丰富的黑客前辈留下印象,他们攒着劲的制造出会带来危害的蠕虫或病毒。一旦这些“成果”破坏了文件,毁掉整个硬盘,并把自身发给成千上万的毫无防备的人,破坏者便会因此而沾沾自喜。如果这些病毒带来的危害足以成为报纸的新闻和网络上的病毒警告,他们便更加得意洋洋了。
有很多文章来描写这些破坏者和他们制造的病毒,还有防病毒的软件程序和专门的安全企业,但我们在这里并不想过多的讨论如何在技术上防范他们的攻击,以及他们的破坏行为,我们的话题将更多的关注他们的远亲――社会工程师。
来自电子邮件
你也许每天都能接到不请自来的邮件,有广告还有提供免费品之类的邮件,这些东西你既不需要也不想要。你知道那无非是些投资建议、电器、维生素或旅游打折之类的东西,还有你并不需要的信用卡、可以免费观看收费电视频道的设备、增进健康或改进性生活的方法,等等等等。
但每当这样的邮件从你的电子邮箱弹出来的时候都会引起你的注目,也许是一个免费游戏、一副你喜欢的名星的照片、一个免费日历软件或是用来保护你的计算机免受病毒侵害的便宜的共享软件。无论是什么,它都会引导你去下载你想去尝试的文件。
所有的这些行为,包括下载从广告邮件中得知的软件、点击一个你从未听说过的网站链接、打开陌生人发过来的附件,都可能会惹来麻烦。当然,很多时候你得到的也正是你想要的,或者运气很差,令你失望和生气,但至少无害。可有些时候,你会碰到计算机破坏者制造的程序。发送恶意代码到你的计算机上只是攻击的一小步,攻击者会诱导你下载完成攻击所需的附件。
注:
有一种在计算机上悄悄运行的程序叫RAT(Remote Access Trojan)――远程访问控制木马,它给予攻击者充分访问你的计算机的权限,如同坐在你的键盘前。最具有破坏力的恶意代码病毒,像爱虫(Love Letter)、SirCam和Kournikiva等等,都依赖于社会工程师欺骗的艺术,并利用人们不劳而获的心理传播。它时常作为一个具有引诱力的邮件附件而出现,像机密信息、免费色情资料,或者一个更加诡诈的方法――一条你可能定购了某昂贵物品的信息。最后这种方法,利用你害怕信用卡可能被消费的心理,令你打开这些危险的附件。
令人震惊的是,有太多的人因此而上当,即使在一次又一次的被告知打开附件的危险性之后。随着时间的过去,逐渐削弱的危险意识,让我们每一个人都易受攻击。
识别恶意软件
另一种恶意软件在你不知道或未认可的情况下进入你的计算机运行,这种软件伪装的很好,甚至有时它会表现为一个word文档或是powerPoint文件,或含有