生命的守望

转载 第五章　我来帮你（七）

过程分析那个我们称之为克雷格•科伯恩的人，或是任何像他一样具备熟练社会工程学（不总是以违法行为盗窃信息）能力的人，以上叙述的难题几乎都如例行公事般简单。克雷格的目标是在一台受到保护的企业计算机上找到并下载文件，这台计算机被防火墙和通常所有的安全技术保护着。他的大部分工作如探囊取物般简单。先是假扮收发室的工作人员，声称收到一封不知寄给谁的联邦快递包裹来增加紧迫感，这样他得到了心脏支架研发组组长的名字

转载 第五章　我来帮你（六）

打入内部好了，现在我已经跟三、四个不同的人谈过话，并往进入公司计算机系统的方向迈了一大步，但在回家之前还有几件事情要做，首先要搞到从外部拨入工程服务器（译者注：某项目组共用的服务器）的电话号码。我再次打到双星医疗让接线员转到IT部门，然后问接电话的人是否能找一个人给予我计算机方面的帮助。他把电话转给别人，我装作对计算机技术一窍不通。“我在家里，我刚买了一个笔记本，需要设置一下，以便能从外面拨入服务

原创 极度痛苦

 一天10个小时的课,可以想象,听课的人会是什么样子  实在是该照顾自己一下了,现在我就是跑了出来发了这个感叹

原创 Windows Vista 售价公布

 微软加拿大首先公布了最新的Windows Vista零售和升级版本售价,4个版本完整版的售价最低为129美元(Basic),最高为499美元(Ultimate),内含详细列表和地址.Vista Ultimate-Upgrade: $299-Full Retail: $499Vista Home Premium-Upgrade: $199-Full Retail: $299Vista Home B

原创 XCon2006阵容最豪华的一件T-Shirt

原创 咖啡喝多了

年轻人喝太多咖啡不是什么好事,我已经上瘾了.但是依赖性我是绝对不会产生的,断! 

原创 第五届安全焦点信息安全技术峰会已经结束,感叹一下,全部是大牛啊

  Adrian Marinescu

转载 第五章　我来帮你（四）

不象你认为的那样安全“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说法。而生活如果简单易懂的话，这个世界就会更好。事实却是即便企业付出相当的努力来保护机密信息，可还是存在着严重的风险。下面的故事再一次举例证明，认为由经验丰富、胜任的职业安全人员布置的安全操作规程牢不可破的想法，只是在愚弄自己。斯蒂夫•克莱默（Steve Cramer）的故事这片草地不大，没有播撒昂贵的草种

转载 第五章　我来帮你（五）

克雷格•科格伯恩的故事克雷格•科格伯恩（Craig Cogburne）曾是一家高科技公司的销售，业绩良好。一段时间后，他逐渐意识到自己有一种读懂客户的能力，理解对方反对什么，以及利用对方的弱点和漏洞轻松完成销售任务。他开始思考这种才能的其他用途，和那条最终导致他获利颇丰的道路――商业间谍。这是个紧急任务，不会花费很长时间，也不值得花钱去趟夏威夷，或是塔希提（Tahiti）。那个人雇用了我，他没说客

转载 第五章　我来帮你（三）

给新来的女孩帮个小忙攻击者喜欢把目标锁定在新来的雇员身上，他们认识的人很少，也不了解工作程序，什么该做，什么不该做。而且，一旦给其留下良好的第一印象，他们便会殷切地显示出对你的配合和快速地回应。安德鲁的帮助“人力资源部，安德鲁•卡尔霍恩（Andrea Calhoun）。”“安德鲁，嗨，我是亚力克斯（Alex），企业安全顾问。”“什么事？”“今天好么？”“还好。需要帮忙吗？”“是这样，我们正在策划一

转载 第五章　我来帮你（二）

 攻击者的故事　　每当鲍比·华莱士（Bobby Wallace）接到这样的一项任务时总觉得很可笑，他的客户总是在为什么需要这种信息的问题上闪烁其词。这件案例中，他只想到两个原因：也许他们代表某个意图收购斯达伯德造船厂的组织，因而想知道造船厂真正的财务现状，尤其是被收购方想对潜在购买者刻意隐瞒的东西。或者，他们代表投资方，认为他们的资金在使用上有些可疑，并想知道是否有些管理人员私自开设了小金库。　　

转载 第五章　我来帮你（一）

当我们遇到头痛的事情时，如果有个经验丰富、技术高超的人来帮忙，我们一定会很感激。社会工程师了解这一点，并懂得如何利用它。他还知道如何制造一个麻烦，然后帮你解决以获得你的感激，最后利用你的感激之情来获取信息或得到你的一些小关照，这将把你的公司或是你个人置于不利的地步，而你可能永远不知道你已经遭受损失。下面是一些社会工程师“帮忙”的典型方法。网络故障日期/时间：2月12日星期一，15:25地点：斯达伯

转载 DNS欺骗

转自：中软信息安全实验室                                DNS欺骗 ------------------------------------------------------------------------ 　　本文仅用于研究目的！与此相关所产生的一切作者概不负责！ 　　感谢jjww、yuhj、……，是他（她）们上网奇怪的ip（准确地说是域名）引发了我对这一问

转载 我不是黑客--关于"求救贴、合作贴、拜师帖"的统一回复

 标题: 关于"求救贴、合作贴、拜师帖"的统一回复创建: 2006-08-17 10:11更新:我是从计算机软件专业毕业，不是从信息安全专业毕业的。因此我所能与他人交流的东西，可能与想像中、传说中不太一样，或者说，太不一样。长久以来，由于网上某些善意、恶意、戏谑、调侃的朋友所写的一些东西，无意中误导了他人对我的一些映像，使得求救贴、合作贴、拜师帖隔三岔五地发

转载 欺骗的艺术（第四章　建立信任五）

入侵FBI　　人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次的脱口秀节目，节目制作者在网上做了一次搜索，发现了一份访问国家犯罪信息中心（NCIC）的操作说明拷贝。不久他发现，真正的NCIC操作说明原件就在网上，这是一份相当敏感的文档，它记录着从FBI的国家犯罪记录数据库中提取信息的所有操作说明。对于执法部门，这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格

转载 欺骗的艺术（第四章　建立信任四）

 一美分的手机　　许多人都在寻找好的机会，不达目的不罢休。社会工程师不然，他们找到办法使机会变得更好。比如，某公司进行一项诱人的市场优惠活动，社会工程师就会想办法扩大他的利益。　　不久以前，一家全国性的无线通讯公司发起了一个大规模的促销活动，只要你登记接受一种资费方式，便可以得到一部全新的手机，只收一美分。对于一个精明的消费者来说，在登记一种资费方式之前，有好多问题要问清楚。通讯服务是模拟还是数字

转载 欺骗的艺术（第四章　建立信任二）

 道伊尔·罗尼甘（Doyle Lonnegan）的故事　　罗尼甘可不是一个普通的年轻人，他过去是一个收藏家，欠了不少赌债，如果不是这些赌债弄得他焦头烂额的话，他还会偶尔继续他的爱好。在这个故事里，他仅仅往一家音像店打了几个电话，就得了一笔现金。这听起相当不错，因为他的“客户”没有人知道如何设计这个骗局，他们需要像罗尼甘这类人的知识和才能。　　每个人都知道，当他们在牌桌上运气差或是犯错误而输钱时，是

转载 欺骗的艺术（第四章　建立信任三）

 主题变奏：攫取信用卡　　建立信任感，不一定非得给受骗者打上一系列的电话，如上文中讲述的案例。我想起一个亲身经历的故事，它建立信任感只用了5分钟。　　惊奇吧，爸爸有一次，我与汉瑞（Henry）和他父亲坐在一家餐馆。谈话中，汉瑞责怪他父亲把信用卡号像电话号码一样随便泄露给别人。“当然，买东西时必须使用信用卡号，”汉瑞说。“但是把你的卡号告诉一家商店，并让他们记录下来，那是非常不明智的。”“我只在

转载 欺骗的艺术（第四章　建立信任一）

 这些故事可能会导致你认为我把业务中接触到的每一个人都看成十足的傻瓜，都很乐意地、甚至是渴望着把他或她所拥有的每一个秘密泄露出去。社会工程师知道，这是不可能的。为什么社会工程的攻击容易得手呢？这不是因为人们的愚蠢或是缺乏常识，而是因为，我们人类很容易被操纵而把信任用错了地方，因此被欺骗。社会工程师早已料到会受到阻力和怀疑，他随时准备着把人们对他的怀疑扭转。一个优秀的社会工程师策划攻击时如同

转载 欺骗的艺术（第三章　正面攻击――直接索取四）

 米特尼克信箱 绝不要以为所有的社会工程学攻击都会把骗局设计的十分复杂，以防被人轻易识破。有些攻击来去匆匆、得手即逝，更简单的攻击仅仅是，直接索取。 过程分析 珍妮肯定知道客户信息属于敏感信息，她绝不会与一位客户谈论另一位客户的账户，也不会向外部泄露客户的私人信息。但是很自然地，当一个公司内部的人员打来电话时，情况便不同了。做为公司团队的一员，同事之间最重要的是互相

转载 欺骗的艺术（第三章　正面攻击――直接索取三）

 珍妮·爱克顿（Janie Acton）的故事  感恩节的一周，打来了一个不同寻常的电话。打电话的人说：“我是客户名单部的爱德华多（Eduardo），我正与一位女士通着电话，她是执行办公室一位副总裁的秘书，她需要知道一些信息，而我的计算机坏了。我接到了人力资源部一位姑娘发来的一封写着‘我爱你’的邮件，当我打开附件时，就再也不能使用我的电脑了。病毒，我中了一个愚蠢的病毒。就是这样，你

原创 网络就是江湖

网络就是江湖，人生一世，草木枯荣，人无法选择自己生活的时代，乃是人生最大的不幸。人生的目标是什么，古代的先贤有多少孤独一人执着于自己的信念孤老一生，老子和释加摩尼同时出生于东西方，两位智者终生不得相见，只得闻风声我幸运，出生于拥有互联网络的时代，我可以，寻找人类种族中和自己具有相同思想信念的人互联网络，开启了一个全新的开端，一种文化全新的交流方式互联网络，从最大限度上满

转载 欺骗的艺术（第三章　正面攻击――直接索取二）

 米特尼克信箱  精明的信息骗子想获悉法律执行程序方面的问题时，从不会迟疑于给联邦、州或是地方政府打电话。利用这些唾手可得的信息，社会工程师很可能会绕过企业的常规安全检查。 那就是弗兰克所需要知道的，他在这个州没有任何犯罪记录。因此，他提交了他的工作申请，并被录用。而且，一直也没有任何人出现在他的办公桌前对他说：“这些先生是联邦调查局的，他们想跟你谈谈。” 据弗兰克