按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
扑慊⒓彝ゼ扑慊⑸踔潦怯首驶挠没涂诹钣胄孤禔TM卡的个人身份识别码一样危险。
有时,在非常偶然的情况下,在有限的环境下,把机密信息透露给别人是必要,甚至可能是十分重要的。为此,制定“永远不要”的绝对规则是不合适的。然而,为特定环境制定相应的安全策略和规程十分必要,员工在非常时期可以把口令透露给别人,但对方必须被授权。
注意对方身份
在大多数机构中,安全规则要囊括所有可能给企业或工作人员带来损失的信息,只能是亲自认识的人,或是十分熟悉对方声音的情况下才能将信息透露。在高度防范的情况下,只有人员亲自在场的要求才被许可,或是通过一个强有力的认证模式,比如通过两个单独的检验条件,像共享密码和时间令牌。数据分类措施也必须指明公司敏感工作部门的信息不要透露给不认识的人或以某种形式担保的人。
注:很难让人相信,即使在企业员工数据库中查询打电话人的名字和电话号码并拨打回去,也不足已保证对方的身份。社会工程师懂得如何把名字放入数据库中和把电话转拨的方法。
那你又该如何处理公司的另外一名工作人员听起来十分合理的要求呢?比如,他需要你们部门的名单和电子邮件列表。实际上,对这种仅供内部使用,且明显没什么价值(这与新产品说明书的价值不可同日而语)的信息,很难对其提升安全意识。一个主要的解决方法就是,为每个部门指派一个负责处理对外发布信息的人,并给他们安排相应的培训,以使其明白应该遵循的确认程序。
勿有遗漏
任何人都可以对企业哪里需要高级别的安全防护以杜绝恶意攻击的事情夸夸其谈,可我们却经常忽略其它地方,这些地方并不明显,但极易受攻击。在上述的故事中,发传真到公司内部的一个号码似乎比较安全,没什么害处,但攻击者却利用了这一点。从这个例子中应该吸取如下教训:
公司的每一个人,从秘书、行政助理到执行人员和高层管理者都需要进行专门的安全培训,以使他们面对类似的欺骗手段时保持警醒。而且,别忘了看好前门——接线员,通常也是社会工程师的首要目标,必须让他们了解某些来访者和打电话人的骗术。企业安全部门应该建立一个单一的联系点,类似于情报中心,为那些认为自己可能成为社会工程师的攻击目标的员工汇报情况时所用。这样的一个情报中心会提供有效的预警系统,清晰化悄然发生的攻击,从而令任何破坏行动得到及时的控制。
第六章 你能帮我吗?
大家在前面已经看到社会工程师如何通过提供帮助来使人上当,他们的另一个惯用伎俩是假装需要别人的帮助,因为我们都会对处于困境的人施与同情,社会工程师便经常的利用这一方法来达到他的目的。
外地人
第三章中有个故事显示了攻击者如何通过对话令对方说出他的员工号码,下面的故事则运用不同的方法得到了相同的结果,并且这个故事还将展示攻击者如何利用这个号码。
硅谷有一家不太知名的全球企业,散落在世界各地的所有销售处和现场基站都是通过WAN――广域网,连接到公司总部。入侵者,一个叫布瑞恩·亚特拜(Brian Atterby)的狡猾的活跃分子,他知道入侵一个远程站点的网络总是要比总部的网络容易的多,由于前者的保护措施较为薄弱。
我找琼斯
他打电话到这家公司的芝加哥办公室,找琼斯(Jones)先生讲话,接线员问他是否知道琼斯先生的名字。
“我有他的名字,我正在找,你们那儿有几个叫琼斯的?”
“三个,你找的琼斯在哪个部门?”
“如果把他们的名字念一下,可能我就会想起来了。”
“拜瑞(Barry)、约瑟夫(Joseph)和格丹(Gordon)。”
“是乔(Joe,约瑟夫的昵称),肯定是他,他在,哪个部门?”
“商务拓展部。”
“很好,请帮我转过去好么?”
接线员将电话接通,琼斯接起电话,攻击者说:“琼斯先生?嗨,我是托尼,薪金发放专员(译者注:相当于管理工资发放的会计),我们刚刚依据你的要求,把薪金支票存入到你的信联账户上。”
“什么???你在开玩笑吧!我从来没这样要求过,我甚至在信联都没有账户!”
“哦,见鬼,我已经转过去了。”
一想到到薪金支票可能转到了别人的账户上,琼斯十分的心烦意乱,并开始怀疑电话另一端的小子是不是有些智力低下。他不知道该说些什么,这时攻击者说:“我得看看是怎么回事,薪金发放时要输入员工号码,你的号码是多少?”琼斯告诉了他。
“哦,不,你说得没错,发出请求的人不是你。”攻击者说。他们越来越蠢了,琼斯想。
“这样,我看一下谁负责此事,然后把错误马上改过来。请别担心,下次不会这样了。”
对方向他保证。
一次商务旅行
不久之后,这家公司在得克萨斯首府奥斯丁销售处的系统管理员接到了一个电话。
“我是约瑟夫·琼斯,商务拓展部的。这星期我要入住德斯基(Driskill Hotel)饭店, 我想让你帮我建立一个临时帐号,以免除远程拨号才能访问我的电子邮箱。”
“让我再确认一下你的名字,告诉我你的员工号码,”系统管理员说。假琼斯告诉了他,并说:“有没有速度很快的上网拨号?”
“请等一下,老兄。我得在数据库中确认一下。”不一会儿,系统管理员说:“好的,乔,你的楼牌号是多少?”攻击者对此早有准备,报上了备好的答案。
“好的,”系统管理员对他说:“验证通过。”
如此简单,系统管理员确认了约瑟夫·琼斯的名字,部门,还有员工号码,针对他的测试问题,“乔”也给出了正确的答案。
“你将使用的用户名与你在公司的一个用户名相同,jbjones,”系统管理告诉他说,“并且我将你的口令初设为changeme”。
米特尼克信箱
不要指望网络安全装置和防火墙来保护你的信息,要注意最薄弱的环节。通常,那就是你的员工。
过程分析
拨几个电话用上15分钟的时间,攻击者就可以访问这家企业的广域网了。有很多这样的企业,都属于我要提及的“软心糖安全”,这个概念最早是由贝尔实验室的两位研究人员提出的,斯蒂夫·贝劳文(Steve Bellovin)和斯蒂文·切斯威克(Steven Cheswick)。他们用这样的词语来描述这种安全防护:“坚硬生脆的外壳,核心却很柔软”,如同M&M巧克力糖(一种驰名的糖果品牌),两位研究人员说,外壳即防火墙并不足以保证安全,因为一旦入侵者绕开它,内部的计算机系统便不堪一击。大部分情况下,这种保护措施是不够的。
上面的故事符合这个定义,利用得到的拨号和账户,攻击者甚至不用费力去攻击防火墙。而且,一旦他进入内部,内网的大部分系统就十分危险了。由于我我的经历,我知道这种骗局曾在世界最大的软件生产商身上起过作用。依据我的经验,在一个聪明的具有说服力的社会工程师面前,没有人是绝对安全的。
专业术语
软心糖安全:贝尔实验室的贝劳文和切斯威克提出的说法,用以描述一种安全状况。外部防御十分强壮,如防火墙,但其后面的设施却十分脆弱。这个说法来自于M&M巧克力,这种糖果有着坚硬的外壳和柔软的糖心。
地下酒吧式的安全:知道自己想要的信息在哪里,并且使用一个词或是名称来获得对此信息或计算机系统的访问权的一种安全形式。
地下酒吧式的安全
对于早期的地下酒吧——那些在禁酒令时期提供自酿酒的夜总会,一个顾客需要走到门前敲门,然后门上会打开一个小口,伸出一张冷冰冰的脸。如果来人熟悉情况,他就会说出此地的老主顾(一句“乔让我来的”就可以了),看门的护卫就会打开门让他进来。
这个事情的关健在于知道地下酒吧的位置,门上没有标志,而酒吧老板也不会挂一盏霓虹灯在门口来表示这儿有个酒吧。通常,只要能找到地方就基本可以进入。很不幸,同样的安全措施在企业中广泛存在,这种没有任何保护的安全级别我称之为地下酒吧式的安全。
我在影片中见到过它
这儿有一个例子,来自一部许多人都会想起来的电影。《英雄不流泪》(Three Days of the Condor)中的主角,特纳(罗伯特·瑞德福特饰演)为一家与中央情报局签约的小调查公司工作。一天,他吃完午饭后回来发现他的同事们都被枪杀了,他决定找出凶手和真相,同时那些坏人也一直在找他。故事的后面部分,特纳(Turner)设法得到了其中一个坏人的电话号码,但这个人是谁?特纳又如何确定他的在哪儿呢?他很幸运。编剧大卫·瑞菲尔轻松的给了特纳一个美国陆军通讯兵的受训背景,使他在电话方面有着丰富的知识和经验。特纳当然知道该如何利用手中的电话号码,在剧本中,那幕场景是这样的:
特纳重新拿起电话拨出另一个号码
叮呤!
女性的声音从电话中传来:CNA,我是科尔曼(Coleman)夫人。
特纳:科尔曼夫人,我是哈罗德·托马斯,客户服务CNA202…555…7389,谢谢。
科尔曼夫人:请稍等。(几乎是同时)兰纳德·亚特伍德,马里兰州切维柴斯区麦克肯色街765号。
虽然编剧错误地把华盛顿特区的电话区号用到了马里兰州,但我们没必要注意这个细节。关健是弄明白刚才的对话是怎么一回事。
特纳由于有通讯兵的受训背景,他知道如何给电话公司的CNA部门(Customer Name and Address-客户名称与地址)打电话。CNA是为了方便电话安装员和其他得到授权的电话公司职员而成立的部门,电话安装员拨打CNA并提供一个电话号码时,CNA的服务人员就会报出电话所有者的名字和地址。
愚弄电话公司
在现实世界中,CNA的电话号码保护的十分严密。尽管当今的电话公司最终明白这一点,并不再轻易的泄露此类信息,但在当时他们却实行着地下酒吧式的安全,那时的安全专家们管这种安全叫做隐晦安全。他们假定任何给CAN打电话并知道其专业用语(如,客户服务CNA555…1234)的人都已被授权得到相应信息。
专业术语
隐晦安全:一种效率低下的计算机安全手段,通过对系统运转细节(协议、算法和内部系统)的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统,因此这种安全并不可靠。
米特尼克信箱
隐晦安全在社会工程师的面前毫无用处。在这个世界上,每一个计算机系统至少有一个人在使用。因此,如果社会工程师能够操纵这个使用系统的人,系统的隐晦就没有意义。不用亲自验证或确认,不用提供员工号码,也不用每天改变口令,只要你知道正确的电话号码并听起来可以信任,你就有权得到相关信息。对于电话公司来说,情况并不总是这样,他们还会定期的(至少一年一次)改变电话号码做为仅有的安全举措。即便这样,某个特定时期的号码还是在电话盗打者的圈子里传得很广,他们很高兴利用这个便利的信息资源,并乐于在同行中分享他们的所做所为。在我十几岁习惯盗打电话的时期,拨打CNA我最先学到的手段之一。
在全世界的政府和企业中,地下酒吧式的安全仍然很普遍。它可能是你公司的部门、员工和专业术语,有时连这些也用不着,一个内部电话号码就够了。
粗心的计算机管理者
尽管企业中的许多员工都对信息安全的危险或给予忽视或漠不关心,或是没有这方面的意识,但那些500强企业中计算机中心的管理者应该对安全操作了如指掌了吧,对吧?
不要期望一位计算机中心的管理者——负责公司IT部门的人,会掉入简单、明显的社会工程学圈套,尤其是还带有孩子气的、刚步入社会的年轻社会工程师。但有时,这样的想法是错误的。
收听
在以前,对许多人来说,把无线电调到地方警察局或消防队的频率收听正在进行中的银行抢劫、办公大楼起火、高速追击是一件很有趣的事情。执法部门和消防部门使用的无线电频率,曾经从街角书店的书中就可以查到。现在,在网上就有这些频率的列表,你还可以从Radio Shack(译者注:美国著名电子产品零售商)买到列有地方、郡、州有时甚至是联邦机构无线频率的书。
当然,不只是那些怀有好奇心的人,午夜抢劫店铺的窃贼会收听是否有警车派到附近,毒品贩子要始终关注的毒品缉查人员的行动,纵火犯则通过放火后收听消防队奋力灭火的情况来满足他的变态嗜好。
最近几年来,计算机技术的发展已经使声音信息的加密成为可能。在工程师们不断的找到方法把越来越多的计算能力塞进一块微芯片时,他们也开始制造小巧的加密无线设备,帮助执法部门来防范坏人和怀有好奇心的人窃听。
窃听者丹尼
一个我们称之为丹尼的扫描器爱好者,同时也是位技巧娴熟的黑客,他想看一下自己是否能够染指由安全无线系统顶级生产商开发的绝密的加密软件源代码。他希望通过这些代码了解如何对执法部门进行窃听,同时利用此技术令即便是最强有力的政府部门也很难监视他与朋友的通话。在朦胧的黑客世界中,丹尼这样的人属于特殊的一类,介于无恶意的好奇和完全的破坏之间。他们有着专家般的知识和极易引起麻烦的黑客想法,为了智力挑战和了解技术细节带来的满足感入侵系统和网络。但是他们惊人的电子入侵技术,也仅仅是一种特技。
这些人,这些无恶意的黑客,非法进入别人的网站纯粹是为了有趣并为能够证明自己的能力而感到满足。他们并不偷窃,也没有利用这种手段来赚钱。他们不会破坏文件、中断网络连接,或是摧毁计算机系统。他们的目的就是悄悄地捕获文件拷贝、搜索电子邮件、得到密码,以嘲弄那些网络管理员和对安全负责的工作人员,他们的满足感基本来自于这种胜人一筹的能力。
就这样,我们的丹尼为了满足自己强烈的好奇心并为了对生产商可能做出的惊人革新一看究竟,他将检验对方高度保护的产品信息细节。不用说,这种产品的设计是受到严密保护的,如同公司其他贵重的财产一样。丹尼知道这一点,但他并不怎么担心。毕竟,这只是一家没什么名气的大公司。但他如何得到软件的源代码呢?
正如我们最后将要看到的,从公司的保安通讯小组中猎取信息很容易,即使这家公司也使用了双因素认证(用户需两种单独的标识来证明身份)技术。这里有一个你可能已经熟悉的例子:当你的信用卡更换日期到了的时候,你需要给发行公司打电话,让他们知道信息卡还在持卡人的手中,并没有被人偷走。信息用卡上会说明在通常情况下要从家打电话,当打电话时,信用卡公司的软件程序就会分析ANI(自动号码认证),并被转到公司的免费电话上。信用卡公司的计算机使用ANI提供的呼叫方号码,与公司持卡人数据库中的号码做比较。公司的工作人员在接电话时,他或她就会看到数据库中显示的客户详细信息。这样,工作人员就知道了电话是客户从家中打来的,这就是一种形式的认证。
专业用语
双因素认证:用两种不同的验证方式对身份进行确认。比如,一个人必须从某个可确认的地方打来电话并知道口令来确认自已的身份,然后工作人员从你的信息中选出某个条目(通常为社会保险号码、出生日期或是母亲的姓氏)来询问你,如果你的答案正确,这就是第二次的验证――基于你应该知道的信息。我们故事中那家生产安全无线电系统的公司,每一名有权访问计算机的职员都有自己的账号和口令,并另外配备一个叫做安全ID的电子小设备,这就是时间令牌。它有两种型号:一种只有一张信用卡的一半大小,但稍厚些。另一种小到可以挂到钥匙链上。
这个特殊的装置由加密技术衍生而来,它的上面有一个显示六位数字的小窗口,每六十秒改变一次。当一位得到授权的用户从外部访问网络时,她首先必须输入她的PIN码和令牌上的数字,依此来确认自己的身份。内部系统一旦予以确认,她就可以输入用户名和口令进行认证。
对于觊觎着源代码的年轻黑客丹尼来说,他不仅要解决用户名和口令的问题(对于经验丰富的社会工程师来说这算不上什么难题)还要绕过时间令牌的检测。攻破基于时间令牌和用户PIN码的双因素认证听起来像是一个“不可能的任务”,但对于社会工程师来说,这种挑战类似于一个能够占尽对方优势的有着高超观察能力的牌手,再加上一点儿小运气,当他在桌子旁坐下来时,就知道别人口袋里的钱基本已是他的囊中之物了。
冲击堡垒
丹尼先是做准备工作,很快他就得到假扮一个真正的雇员所需的各种信息。姓名、部门、电话号码和员工号码,还有部门经理的姓名和电话号码。现在,是攻击前的平静期。按照计划,丹尼在采取下一步行动前还需要一个条件,而此事他毫无把握:丹尼需要大自然母亲的帮助,他需要一场暴风雪,一个阻止人们去办公室上班的恶劣天气。在南达科他州的冬季,那家生产商的所在地,一个恶劣气候从不会让希望它的人等太久。星期五晚,一场暴风雪到了。雪迅速的转成冰雨,到了早晨路面就会结一层薄薄的冰,十分危险。这对丹尼来说,简直太好了。
他打电话给那家厂商,转到计算机机房,找到一名自称罗杰·科瓦斯基(Roger Kowalski)的计算机操作员。
丹尼:“我是安全通讯部的鲍伯·比林斯(Billings),我现在家中,因为冰雪的缘故我无法开车。我现在需要访问我的工作站和服务器,但我把安全