按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧?”帮助人们是这个数据库管理员要做的事的一部分,所以他特别耐心地告诉迈克尔一步一步的操作过程。
当他们挂断电话时,迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟,查找到了两个迈克尔·帕克,在他们中选择了一个,获得了这个人的社会保险号码和其它在数据库里的相关信息。
他就成了“迈克尔·帕克,B。S(译者注:Bachelor of Science 理科学士),计算机科学,光荣毕业,1998”。在这里,“B。S”是唯一恰当的。
过程分析
这次攻击使用了一个我之前没有谈到过的策略:攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格相当于请求商店的所有者帮你搬运包含了消息的盒子,你只需要从他的架子上偷来放到你的车里就可以了。
米特尼克信箱
当电脑用户遇到社会工程学相关的威胁和攻击时,他们显得有些无能为力,那些技术存在于我们的世界中。他们有权使用信息,但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标,所以目标通常会答应陌生人的请求。
预防措施
同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制,这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢?
保护数据
这一章的一些故事强调了发送一份文件给你不认识的人有多么危险,即使当这个人是(或者表面上是)一名员工,这份文件是被发送到一个公司的电子邮件地址或传真机上。
需要制定非常详细的公司安全方针保护贵重的数据不被发送给任何不是亲自认识的人。需要制定严格的程序来传送有敏感信息的文件。当请求来自不是亲自认识的人时,必须有清晰的查证,要有依赖于敏感信息的不同的等级证明。
这里有一些可以考虑的方法:
建立知道需求(要求获得指定信息所有者的授权)。
保持一个处理这些事情的个人或者部门日志。
维持一张人员表,那些临时传送的程序和可信的被批准发送敏感信息的人。要求只有这些人被允许发送信息给任何工作组外部的人。
如果数据请求需要写入(电子邮件,传真,邮件),则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。
关于密码
所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员——需要了解一些简单的操作如修改你的密码,即使是一小会儿都能导致一个主安全漏洞。
安全训练需要包含密码主题,关注什么时候和怎么样改变你的密码,什么是合法的密码,和将任何其他人卷入程序的危险性。训练尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们的密码的请求。
表面上看起来这是一条简单的传给员工们的信息,但不是,因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”,但是在这个小孩明白为什么那是重要的以前,你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。
注意:
密码是社会工程学攻击关注的中心,那是我们致力于第16章的单独的部分,那里你可以找到详细的管理密码的推荐方针。
中心报告点
你的安全方针应该指定一个人或组为报告可疑行为(企图渗透你的机构)的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的,报告这些的电话号码应该始终放置在眼前,这样当员工们怀疑发生了攻击时就不需要去发掘它。
保护你的网络
员工们需要了解电脑服务器或者网络的名称不是无价值的信息,它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。
特别的,像是数据库管理员之类的使用软件工作的人属于专业技术类别,他们需要在特殊的和非常限制性的规则下操作,验证打电话给他们请求信息的人的身份。
经常提供各种电脑帮助的人需要很好的被训练识别哪些请求属于红色标记,暗示打电话的人可能试图进行社会工程学攻击。
这是有价值的笔记,可是来自这一章最后故事里的数据库管理员的观点,打电话的人是符合标准的:他是在校内打来的电话,并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证(对任何请求信息的人)程序的重要性,尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。
所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了,也不要惊讶于学生档案——有时候是全体教员档案,同样的——是一个诱人的目标。这一陋习如此的泛滥,一些公司甚至考虑把大学加入敌对的外界环境,创建防火墙规则阻止以。edu结尾的教育机构地址访问。
我已经说清楚了,所有学生和职员的任何类型的档案都会是攻击的主要目标,应该得到很好的保护就像敏感信息一样。
训练技巧
大部分社会工程学攻击都可笑地能轻易的被任何知道自己看守的是什么的人防范。
从公司的观点出发,有一些优秀培训的基本原则,但是同样需要另一些东西:多种途径提醒人们他们在学习什么。
使用屏幕溅射(splash screen,也叫程序启动画面的制作),当用户电脑启动时每天出现一个不同的安全消息。这条消息可以被设计为不能自动消失,要求用户点击这些消息确认他或她已经读过它了。
另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要,一个提示程序必须正在运行并且不能结束。在陈述的内容里,不应该在每一种情况里使用同样的措词。当他们变化措词或者使用不同的例子时,学习显示的这些消息更为有效。
一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏,虽然一个安全专栏的确有价值。代替的,设计一个两或三栏宽的插入块,有些像是你们本地报纸的小型陈列广告。在每一次的时事通讯出版时,通过这个简短的抓取注意力的途径呈现一个新的安全提示。
第九章 逆向骗局
刺激,在这本书的其它地方提到过(在我看来或许最好的电影永远是关于实施入侵的),迷人的叙说里安排了它巧妙的情节。在电影中刺激作用的一个准确的描述是顶级骗子运用的“金属丝”,这是提到的三种主要骗局之一的“重要的过程”。如果你想要知道一个专业的团队怎样只用一个晚上去实现一个骗局而迅速获得大量的金钱,这里没有更好的教材。
但是传统的入侵,凡是他们的特殊花招,都依照一个模式。有时候一个诡计会被反向应用,这称为逆向骗局。这是一个迷人的手段,攻击者设定情况让受害人向他寻求帮助,或者一位同事正好发出了攻击者响应的请求。
这些是怎样实现的?你正打算发现它。
专业术语
逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。
友好的说服艺术
当一般人想象电脑黑客的样子时,通常会联想到阴暗的一面,一个孤独、内向、讨厌的人,他最好的朋友是一台除即时信息以外很难交流的电脑。社会工程师常常拥有黑客的技能,也有普通人的技能——在对立的光之尽头——使用得到良好发展的能力操纵人们谈论他们获取信息的方法,通过你从未想过可能性的途径。
安吉拉(Angela)的电话
地点:工业联邦银行,流域分行。
时间:上午11:27。
安吉拉·维斯露斯基(Angela Wisnowski)接到了一个电话,那个人说他刚刚得到了一大笔遗产,想要了解一些信息,关于不同类型的储蓄存款账户、存款单和任何她推荐的安全的可以正当获利的投资。她解释说有相当多的选择,问他是否可以过来坐下和她一起讨论它们。他说他一拿到钱就要去旅游,还有很多事情要安排。所以当她设法约束他的投资目标时,她开