欺骗的艺术(第一章 安全软肋一)

转载 2006年06月23日 11:27:00

 第一部 幕后的故事

 

第一章 安全软肋

 

 

某公司也许购置了能用钱买到的最好的安全技术,员工们也训练有素,每晚回家前把所有的秘密都锁起来,并从业内最好的保安公司雇用了保安,但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理系统配置以及应用安全补丁,但他们仍然很不安全。

 

人为因素

 

在国会听证会前的一次证言中,我解释到我经常可以从企业获得密码口令或其他类似的敏感信息,只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主,他有一套麦迪科(译者注:Medico,知名品牌、价格昂贵)防撬锁装在屋子的大门上,以保护他的妻子、孩子和他的家。他觉得很心安,因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢?再安装一套强壮的安全系统么?虽然有用,但还是不够安全。无论防盗锁是昂贵还是便宜,屋主的安全仍然难以保障。为什么?因为人为因素才是安全的软肋。

 

安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”最终,社会工程学的攻击,成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。

 

与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为其配置了精良的安全设备――防火墙、入侵检测,或是更为保险的身份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭遇安全事故。

 

正如著名的安全顾问布鲁斯·施尼尔(Bruce Schneier)所说:“安全不是一件产品,它是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。

 

一个欺骗的经典案例

 

企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:

 

许多人都已记不起一个叫斯坦利·马克·瑞夫金(Stanley Mark Rifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(Security Pacific National Bank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。

 

获得密码

 

  1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。

 

电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。

 

转款入户

 

瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克·汉森(Mike Hansen)。那次对话大概是这样的:

 

“喂,我是国际部的麦克·汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司(Irving Trust Company)贷一千零二十万美元到瑞士苏黎士某银行(Wozchod Handels Bank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”

 

瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)

 

成功结束

 

几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为――社会工程学。

 

威胁的天然性

 

瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?

欺骗的艺术(第一章 安全软肋二)

日益增长的安全事件  美国计算机安全协会在2001年计算机犯罪调查报告中声称,在接受调查的组织机构中,有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字,只有15%的机构在过去的...
  • flycock
  • flycock
  • 2006年06月23日 11:42
  • 607

欺骗的艺术(第一章 安全软肋三)

 欺骗与恐怖分子  当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001年,发生在纽约的9...
  • flycock
  • flycock
  • 2006年06月24日 09:44
  • 615

欺骗的艺术-读后总结

欺骗的艺术-读后总结     这本书是春节期间回家来回的路上看的,数内容并不多,内容很容易懂。如果目前来说你没有看过这本书并且打算看的话,先事先剧透一下: 1.首先这本书里面没有过多的涉及计算机技术相...
  • u013761036
  • u013761036
  • 2017年02月06日 23:34
  • 2733

《反欺骗的艺术》读后感

为了配合CSDN的读书送书活动,在收到此书后第一时间就翻阅起来,正好利用3天假期时间进行了阅读并写下这篇读后感,假期也因此变得充实起来。书的全名为《反欺骗的艺术——世界传奇黑客的经历分享》,原书的作者...
  • guwei4037
  • guwei4037
  • 2014年09月08日 14:04
  • 4044

读《反欺骗的艺术》有感

上个月月底参加了CSDN的读书活动,选取了《反欺骗的艺术——世界传奇黑客的经历分享》一书。作者凯文米特尼克这个名称太吸引眼球了,而译者潘爱民老师同样是大名鼎鼎。阅读这本书的时候正值我厂IPO期间,刚好...
  • jasonblog
  • jasonblog
  • 2014年09月23日 00:47
  • 5019

一本好看的书————《反欺骗的艺术——世界传奇黑客的经历分享》

      参加了csdn举办的活动,我有幸得到了这本书——《反欺骗的艺术——世界传奇黑客的经历分享》。该书的作者可谓大名鼎鼎(曾经臭名昭著),他叫米特尼克,号称世界头号黑客。曾经有着“显赫的战功...
  • caopengcs
  • caopengcs
  • 2014年09月19日 13:30
  • 4664

《反入侵的艺术——黑客入侵背后的真实故事》书评

凯文·米特尼克(Kevin David Mitnick),世界范围名声最大,影响最高的黑客,没有之一。 Mitnick也许就是黑客的代名词。美国司法部仍然指责他为“美国历史上头号电脑犯罪通缉犯”。他...
  • FoxDave
  • FoxDave
  • 2014年09月16日 15:18
  • 2621

欺骗的艺术(前言一)

前言  一些黑客毁坏别人的文件甚至整个硬盘,他们被称为电脑狂人(crackers)或计算机破坏者(vandals)。另一些新手省去学习技术的麻烦,直接下载黑客工具侵入别人的计算机,这些人被称为脚本小子...
  • flycock
  • flycock
  • 2006年06月21日 14:38
  • 631

欺骗的艺术

Writer: KEVIN D.MITNICK & William L.Simon译/王小瑞jroclee[AT]163.com 龍之冰点 Hhacker[AT]Hhacker.com 序 人类天生就...
  • lechboy
  • lechboy
  • 2008年01月08日 03:53
  • 99

《欺骗的艺术》

网上不知道谁翻译的一本小书,大名鼎鼎的黑客米特尼克的社会工程入门导引,哈哈。 http://book.douban.com/subject/1498757/ 书中的描述的情节和最近汤唯被骗的事情很类...
  • icsoc
  • icsoc
  • 2016年02月19日 23:19
  • 158
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:欺骗的艺术(第一章 安全软肋一)
举报原因:
原因补充:

(最多只允许输入30个字)