按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
,这个赌注很安全。
科瓦斯基不想对一个需要帮助的人说“不”,当然他也不想擅自做主张而让自己陷入到麻烦中,于是他做了个折中的决定。“我得请示一下,稍等。”他放下电话,丹尼能听到他拿起另一个电话拨打并解释这件事。科瓦斯基这时做出了让人难以理解的陈述(他实际上已经认定了丹尼就是鲍伯·比林斯)。“我认识他,”他对他的主管说:“他的上司是埃德·特伦顿。我们能让他用一下计算机中心的安全ID吗?”
丹尼惊奇地偷听着科瓦斯基对他意乎寻常、意料之外的支持,他简直无法相信自己的耳朵。
又过了一会儿,科瓦斯基拿起丹尼的电话说:“我们经理想亲自跟你说话。”然后告诉丹尼经理的名字和手机号码。丹尼打过去又把整个故事重复了一遍,同时又添加了一些工作细节和他的工作为什么有一个最后期限。“如果有人拿回来我的安全ID就方便多了,”丹尼说:“我想桌子应该没锁住,它就在左上方的抽屉里。”
“嗯,正好是周末,”经理说:“我想你可以用计算机中心的ID,我让值班人员在你拨入的时候给你读一下随机访问码。”然后他把相应的PIN码告诉了丹尼。整个周末,丹尼只需打电话给计算机中心让有关人员念一下安全ID上的六位数字,便随时都可以进入这家企业的计算机系统。
内部任务
当丹尼进入这家企业的计算机系统后,又该怎么办?他如何找到那台放有他想要的加密软件的服务器呢?对此,他已有所准备。许多计算机用户都知道电子公告板形式的新闻组,人们可以把问题贴上来或者回答别人的问题,也有人用它来寻找拥有共同兴趣的虚拟伙伴,如音乐、计算机,或者是其他成百上千的主题。在新闻组站点上发布信息的时候,很少有人会想到这些信息会在网上保留数年之久。比如Google,目前保留着7亿条信息量的存档,某些信息已经有了二十年的历史。丹尼首先访问了groups。google这个网址,用“无线加密通讯”和那家企业的名称做为关健词进行搜索,结果发现了一条数年前某个职员贴出的信息,是在这家公司刚开始开发这个产品的时候贴出的,很可能是在警察部门和联邦机构考虑使用加密无线信号很久以前的事了。
这条信息包含了发送者的签名档,其中不仅有他的名字――斯科特·普瑞斯(Scott Press),还有他的电话号码,甚至他的工作组名称――安全通讯小组。丹尼发现这个电话后打了过去,这个机会似乎很渺茫。多年后他仍然还在这家公司么?在这个暴风雪的周末他还会在工作么?电话铃在响,一声、二声、三声,一个声音从电话另一端传来,“我是斯科特,”对方说。
丹尼介绍自己是公司IT部门的,从而操纵着普瑞斯(用前几章中大家已熟悉的方法)透露出研发部门所使用服务器的名称,这些服务器的上面可能存有这家企业无线安全产品固件和独有加密算法的源代码。
丹尼越来越接近目标,也越来越兴奋。他期待着那种快感,那种当他完成只有很少人才能达到的目标时所感到的狂喜。然而,他现在还不能放松。虽然由于计算机中心经理的支持,可以随时进入这家企业网络系统,同时也知道了需要访问的服务器。但是,在他拨入时他登录的终端服务器却不能连接到安全通讯小组的系统。一定是有内部防火墙或是路由器保护着研发组的计算机系统,丹尼必须找到其他的办法进入。
接下来的情况需要些胆量,丹尼再次给计算机中心的科瓦斯基打电话抱怨:“我的服务器不让连接,我需要你帮我建一个账号来telnet(远程登录)系统。”
既然部门经理已经同意告诉他时间令牌上的访问码,当然这个新的请求似乎也没什么不合理。科瓦斯基在计算机中心的计算机上建立了一个临时账号,然后告诉丹尼不再需要这个账号时通知他,好把它删除。有了这个临时账号,丹尼便可以连接到安全通讯小组的系统了。经过了一个小时的查找,丹尼中了个头彩,他找到了访问研发服务器的漏洞。很明显,系统管理员并没有时刻关注最新的系统远程安全漏洞,但丹尼关注了。
很快地,他就找到那些源代码文件,并把它们远远地发送到一个提供免费存储空间的商业站点。这样,即使这些文件被发现,也不会追查到丹尼。现在只剩下最后一步了:有条不紊的擦去他的痕迹。他在当晚的杰伊·里诺(译者注:Jay Leno,著名脱口秀节目主持人)的节目播完之前完成了这项工作。
丹尼极为得意他的这次杰作,在这次行动中,他从未把自己置于危险之中,这是一次令人陶醉的激情之旅,甚至比滑雪和跳伞都要过瘾。丹尼那天晚上喝醉了,不只是因为威士忌、杜松子、啤酒和清酒,在盗来的源代码文件中逐步地接近那绝密的无线软件时,他完全沉醉于自己的能力和成功感之中。
过程分析
在上面的故事中,骗局的成功归于那家企业的职员过于相信了打电话人表示身份的话语。这种帮助同事解决问题的热心一方面使工作顺利进展并获得更令人满意的合作认可,另一方面却是极易被社会工程师利用的重大漏洞。
在骗局中丹尼使用的一个小技巧值得注意:他在要求别人到他的办公桌上拿安全ID时,不断地说“拿回来”。这个用语经常做为让狗取东西的命令,没人会乐意为别人“拿回来”东西。由于这一点,丹尼更加的断定这个请求不会被接受,于是其他的解决方法便会自然而来,那正是他想要的结果。那个计算机操作员科瓦斯基,在丹尼随便的说出了一个自己碰巧认识的人名后便完全相信了他。但为什么科瓦斯基的经理(一个IT经理)竟然也同意让陌生人访问公司的内网?仅仅是因为这样的求助电话是社会工程师百宝囊中一个强大的说服工具么?
米特尼克信箱
这个故事表明时间令牌或是类似的认证方法并不能抵挡住一个诡计多端的社会工程师,真正有效的防范是一个尽职尽责职员,不仅严守公司的安全守则而且了解别有用心的人是如何影响他人的行为的。
预防措施
在上述所有的故事中有一点似乎经常提到,那就是攻击者从企业外部进入内部的计算机网络时,帮助他的工作人员都没有采取足够的措施来确认对方的合法身份,是否有权访问系统。为什么我会经常提及这一点呢?因为,这的确是许多社会工程师在攻击时所采用的手段。对于他们来说,这是达到目标最简单易用的方法。一个电话就能解决的事,还有必要再花上几个小时寻找技术上的漏洞么?
对于社会工程师来说,实施这种攻击最有力的手段就是假装需要帮助,这是攻击者经常采用的方法。既然我们不想禁止员工对同事或客户的帮助,因此特定详细的确认程序成为判断任何人是否有权使用计算机或接触机密信息的必要。这样,我们才可以帮助应该帮助的人,同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的各种不同的确认方法,第十七章提供这样的一个详细列表,但在这儿首先要考虑一些指南:一个确认对方的好办法就是拨打公司通讯录上的电话,如果对方实际上是个冒名顶替者,那么这个确认电话不是令你找到真正的人(被冒充者,而这时冒名顶替者还给你打着电话),就是可以听到被冒充者的语音信箱,从而你就可以与冒名顶替者的声音做比较。
如果企业使用员工号码确认身份,务必要把员工号当做企业的敏感信息,小心保护,不要泄露。此规则适用于所有的内部识别信息,如内部电话号码、部门单据,甚至电子邮件。在安全培训中应唤起每个人对陌生人的警惕,不要因为对方听起来熟悉内部或可信就认为他是真正的内部人员,仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认的理由。
安全管理人员和系统管理员不能只注意其他人员的安全意识,他们自己也需要提醒自己遵循守则、程序和操作规程。密码口令等信息绝不能共享,而对时间令牌或其他方式的认证来说,限制共用则更为重要。应该普遍认识到,这类事物的共享会危害到公司整个的系统布署。共享就意味着无责任,如果发生安全事件,或是其他问题时,就分不清是谁的责任了。
正如我在整本书中不断重申的,员工要熟悉社会工程师的策略和方法,仔细的分析对方的要求,考虑把角色扮演做为安全培训中的一个固定内容,以使员工能较好的理解社会工程师的手段。
第七章 假冒网站和危险附件
虽然有句老话说“不劳而获是不可能的”,但把免费当做幌子进行促销仍是许多商家愿意使用的方法,无所谓合理(“等一下,还有……,现在打电话,我们将免费奉送一套餐刀和一个长柄锅!”)或不太合理(“佛罗里达湿地,买一亩送一亩!”),而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心,出门不换”的警言,但在这里需要注意的是一另句话:“小心具有诱惑力的电子邮件附件和免费软件。”精明的攻击者会想方设法进入企业的网络,比如利用免费礼物对人们的吸引力。下面是几个例子:
你不想免费么?
就像病毒从一开始就给人类带来祸害,给医生带来麻烦一样,计算机病毒给其使用者带来同样的苦难。如今,计算机病毒以其巨大的破坏力受到很多人的关注,它们是由计算机破坏者制造出来的。计算机痴迷者逐渐存心不良,计算机破坏者在卖力的炫耀他们是多么的聪明过人。有时他们的行为像是入门仪式,为了给具有老资格和经验丰富的黑客前辈留下印象,他们攒着劲的制造出会带来危