第1章终于完成了,幸运的是在春节前完了^_^ 这段时间收到一些朋友的邮件让我在翻译速度上快一点,但我实在E文水平有限,还有就是没有那么多时间用来做这个.不过不管怎么说也要感谢你们.希望大家过一个好年.
第1部分 现场
第1章
安全最薄弱的通道
一个商业公司或许会用大量的金钱从最好安全公司里购买安全技术,然后训练员工在每天回家前把公司机密锁的牢牢的.但问题在于他们仍然存在大量的漏洞.
个人用户可能会听取每个安全专家的建议,然后像奴隶一样安装上每个被推荐的安全产品和非常小心的配置他们的安全系统.当然他们的漏洞仍然存在.
人为的因素
在议会开始不久,我解释了我经常通过伪装成一些人然后直接和公司人员交谈,之后就可以获得密码和一些公司的敏感信息.
人类本能的渴望完整的安全感,这使很多人错误的理解了安全的概念.拥有私人医生和保镖的人考虑到了家人的安全,所以他们在前门安装了防盗锁.他感觉非常的舒适因为他认为家人已经非常的安全了.但是如果入侵者破窗而入,或者破解了车库的密码而进来了?你觉得装一个"完美"的安全系统怎么样?当然不错,但仍然没有100%的保证.昂贵的锁,但这里的主人仍然有危险.
为什么呢?因为人为因素事实上就是安全最薄弱的通道.
当人们的天真或者无知出现在安全问题上时,安全就仅仅是一个幻想而已.在20世纪里最受尊敬的科学家Albert Einstein说过:"Only two things are infinite,the universe and human stupidity,and Im not sure about the former."当人们的愚蠢和无知出现在安全实战中时社会工程师的攻击就会成功了.安全专业人员通常会误解客户在安全上的概念,他们认为客户的网络已经可以对进攻免疫了,因为他们利用信息技术开发出了一些标准的安全产品--防火墙,入侵检测和基于时间标记或者生物学的智能验证卡.很多人认为安全就是单一的安全产品(技术设备).但这简直就时幻想:他们将会经历安全所带来的痛苦,这只是时间问题罢了.
世界著名的安全专家Bruce Schneier认为,"安全不是一种产品,而是一种过程."除此之外,安全不是一个技术问题,而是关于人和管理的问题.
开发人员不断的创造出更好的安全技术和发现更难的技术漏洞.攻击者则可以花更多的时间去探索人的漏洞.破解人类防火墙通常比其他投资风险更低.
一个经典的欺骗案例
什么是你的生意在安全上最大的威胁?很简单:社会工程师-- 一个当你注视着你的左手他就可以偷走你右手秘密的人,没有任何道德约束的魔术师.你会感觉非常好的遇到具有让人们感觉比较友好,而且会说话和有礼貌的特征的人.
看看这社会工程学中的例子.到今天为止并没有很多人记住一个名叫Stanly Mark Rifkin的年轻人和他在Los Angeles的太平洋国家银行的一小段安全经历.他不规矩的修改了一些东西,Rifkin像我一样,从来没有告诉别人关于他的经历,所以很多故事都是基于媒体的报道.
攻破代码
1978年的某一天,Rifkin漫步去了在太平洋国家安全银行的个人验证wire room(译:偶不知道这该怎么翻译,有空请教一下朋友在修改).这里可是每天要进进出出上亿美元啊.
他和一家公司签署了一份关于为wire room里永不休息的计算机存储数据开发备份系统的协议.这个角色可以让他了解包括怎么样进行正规转帐在内的程序(译:不是指计算机程序).他也在学习关于银行职员的身份验证以及每天比较近似的安全代码.
职员们很不情愿去记忆wire room每天的安全代码:他们就把这些代码写到纸和帖到他们常能看的地方.在11月里特殊的一天,Rifkin有个特殊的理由想去参观一下办公室,他想扫视一下这些纸.
到了wire room后,他带上操作笔记开始假设正规的备份系统的属性.其间,他悄悄的读了一些纸上的安全代码和记下了它们.几分钟后他出来了.他之后回忆说,他当时感觉像赢了彩票一样.
瑞士银行帐户
在下午3点半离开屋子, 他去大厅的大理石休息室, 丢了个硬币打电话到wire-transfer room. 之后他改变了装束,打扮成了银行国际事务部门的咨询顾问Mike Hansen.
依照惯例他们的对话应该是这样的:
"你好,我是国际事务部门的Mike,"他和以为年轻的女士说.
她开始询问办公室号码.当然这是标准程序,他早就准备好了说:"286".
女士继续问,"OK,那安全代码呢?"
Rifkin说到当时他的心跳加速.他平静的回答倒:"4789."之后他继续按提示转帐"1200万美元"进入纽约的Irving Trust公司,瑞士Wozchod Handels Bank of Zurich他已经预定好的帐户上.
女士继续说,"好的,现在我需要您在本公司的结算号码."
Rifkin突然出了一身冷汗;这个问题是他以前从来没有研究过的.但他还是非常镇定的告诉对方:"让我找找,我会再打给你的".他开始给另外一个部门打电话,这次他声称他是wire-transfer room的职员.这样他很轻松的就获得了结算号码然后又打了刚才那位女士.
她确认了号码后说:"Thanks."(这种情况下,她向Rifkin说谢谢简直就是一种讽刺)
任务结束
过了一些日子Rifkin座飞机去了瑞士拿到了现金,之后他把800万美元通过一家俄罗斯中介换成了一堆钻石.他之后回到美国,他把钻石藏在钱包里以致于他顺利的通过了美国海关的检查.他赢得了他得经历里最大的一次银行抢劫,但他从开始到最后连枪都没用过,甚至连电脑也没用过.奇怪的是他的历史最终被记录到了Guinness的<世界记录>里,而且分类还属于"最大的电脑诈骗".
Stanley Rifkin利用了欺骗的艺术--这种技能和技术在今天被称为社会工程学.好的计划加上口才就能得到很多东西.
社会工程学的技术就是本书所要讨论的内容,还会谈到怎样防止其他人在你的公司使用.
威胁的本质
Rifkin的故事很清晰的说明了我们对于安全的误解.虽然像这种超过1000万美元的诈骗很少,但有些有害的事情的确每天都在发生.你可能现在就在损失金钱或者一些人刚刚偷到了一份新产品计划后你,只是你不知道罢了.如果这些事将要发生在你的公司这没什么,但你知道是什么时候吗.
一个成长的关系
计算机安全协会在2001年作的电脑犯罪报道说,有85%的机构在过去12个月中受到了计算机安全方面的威胁.这是一个令人惊讶的数字:每100家企业或机构只有15家可以说我在一年里没有遇到什么安全方面的困难.而且在这些企业或机构有64%的在计算机上损失了钱财.这其中还有一半的企业在过去的一年受过重创.
我的经验告诉我这些数字看起来的确有点夸张了.我对这份调查感到有一些怀疑.但这并不是说关于安全问题并没有扩大.他们因为失败的安全计划所以导致了他们安全的失败.
通常公司在部署商业安全产品的时候会把主要经历放在对付业余攻击者上,像一些会脚本的年轻人.但事实上这种崇拜黑客的家伙只是下载一些软件去攻击别人.真正的威胁是来自于那些具有明确的目的和受金钱驱使的高级攻击者.他们会在某一时间里把精力都放在一个目标上,像业余攻击者去不断尝试渗透到系统一样.当业余爱好者的攻击变的多而且方式较为简单的时候,那专业攻击者的目标就会具有价值的信息了.
像身份验证设备,控制访问和入侵检测系统对一个公司来讲是必须的安全护盾.现在的很多公司花在喝咖啡上的钱也比投资在保护企业安全和反击攻击者策略上的还要多.
仅仅靠反对安全罪犯的意识是不够的,真正的攻击者的思想会驱使他找到进入对方安全系统的路.毕竟在很多案例中他们是把人来当作第1目标.
欺骗的练习
通常人们会说保护计算机最好把它关机了.非常聪明但问题在于有人可以找个很简单的理由进入办公室启动电脑.竞争对手肯定想获得您的信息,通常有很多途径.这只是个时间上的问题,但必须得有耐心和要坚持.这就是欺骗的艺术的降临.
要想击败安全系统,攻击者,入侵者或者社会工程师必须骗过有用的人员并得到信息,要骗的他毫不怀疑的"支持"您的"访问".当公司具有信赖价值的人员都被骗的时候,那些重要的信息将会被入侵者所操作,到那个时候任何技术都不能保护你了.当然有些破密专家有时候会通过代码信息来找到你安全上的漏洞从而绕过加密系统,但社会工程师会通过欺骗技巧来绕过您的安全技术.
信任的滥用
在很多案例里,成功的社会工程师都具有很强的人际交往能力.他们都具备迷人,有礼貌和容易与人快速建立信任的特征.有经验的社会工程师通过他们的战略和战术上的规划都能获得他们目标的信息.
聪明的技术人员非常辛苦的开发出了信息安全的解决方案,因此降低了通过网络来入侵的奉献,但到现在的确避免了很多人为的因素.尽管我们的智慧,但你和我毕竟是人类--这样就会相互影响安全问题.
我们的国家特性
我们通常不会注意骗取的威胁,这点在西方世界尤为突出.在USA我们并没有受过怀疑周围的人的训练.我们只学到了"爱你的邻居"和信任你的教会之类的.因为观察到很多临近我们的人都受被汽车和家庭锁住了.这在弱点的分类里非常容易可以看出,很多人宁愿生活在梦想里知道他们的梦想被烧调.
我们都知道其实很多人都不是很友善,但在生活中他们的确是好人.这样有趣的仁慈的确构成了美国人的生活方式,当然也包括他们痛苦的放弃这些.构筑这个国家的的观念是自由,这导致了最好的居住地就会有锁和钥匙,这是必须的.
根据信心很多人认为欺骗的可能性比较小,大多数人都假设他们不会被欺骗;攻击者都明白公共的信任会有很大的用,所以他们努力得到牺牲者的信任.
机构的清白
当计算机开始可以远程连接时,我们国家特征的一部分有开始表现出来了.回想起ARPANet(The Defense Department's Advanced Research Projects Agency Network),是Internet的前身,它被设计来用于在政府,研究机构和大学之间共享研究信息.目的是为了让自由的交流信息,这的确是科技的进步.大学里最早的计算机系统几本上是没有安全问题的.有一些自由软件像Richard Satllman甚至反对保护帐号密码.
但今天的电子商务已经大量的应用在了INTERNET上,危险的安全漏洞也越来越多的受到了人们的关注.部署更多的技术并不能有效的人为的解决安全问题.
看看我们今天的机场.安全已经变得非常重要,我们设立了检查游客携带潜在武器的检查站.我们机场处在警报状态的可能性有多大?这些机械检测设备会失败吗?当然不会.这个问题不是因为机器.而是人为的因素:这些操作机器的人员.机场工作人员安装了金属检测系统和面部识别系统,但一线的安全人员必须在适当的时候给予乘客帮助.
像这样类似的问题也同时存在于政府,商业公司和大学.尽管安全专业人员很厉害,但无处不再的信息存在着安全漏洞,社会工程师将会继续工作直到攻破安全防线.
现在我们应该学会停下来整理一下思绪,思考一下谁会入侵我们计算机网络系统的机密性信息.这样会使我们花更多的时间在学习真正的技术上.
入侵威胁到你的隐私和您的公司信息系统不会看似是真的直到它发生.要避免不必要的开支的话,我们必须警惕和保护我们的信息财产,个人信息和国家基础信息设施.今天我们必须执行警惕的原则.
恐怖分子与欺骗
欺骗当然不是社会工程师唯一的途径.从物理上的恐怖事件创造了很多大新闻,我们认识到了这个世界的确还有很多危险的存在.毕竟文明社会还比较单薄.
2001年9月在New York和Washington发生的恐怖事件刺痛了我们每一个人的心-不光是美国人,也包括每一个善良的国家.而现在我们已经拉响了警报,事实上恐怖分子分布在全球并且接受训练,他们在等待下一次攻击我们的机会.
最近我们的政府加强了安全措施,并提升了安全等级.我们需要保持警戒以次来反击恐怖事件.我们必须明白恐怖分子怎么创造出了假身份证,假如他们打扮成邻家的学生混在人群中.当他们正带着面具在某个地方商量怎么来对付我们的时候,这就和我们所谈的骗局比较相似了.
当然据我所知,恐怖分子目前还没有利用社会工程学渗透到企业,水库,发电厂以及国家的相关要害部门,但他们有这个潜力.这太简单了.我希望能进入这些地方并制定安全策略,因为本书所讲的快要来了.
关于本书
机构的安全是一个均衡的问题.太少的关注安全会给公司带来很多麻烦,但过多的注重安全也会限制公司的成长.所以最大的挑战在于平衡安全性和生产力.
其他讲关于安全的书籍都注重计算机硬件和软件上的技术,这样掩盖了最严肃的安全问题:人为的欺骗.而我写本书的目的恰恰和他们相反,本书会让你和你的合作人明白你需要怎么样去阻止你们成为牺牲品.本书主要关注非技术上的方法,比如敌对的入侵者偷盗你的信息,或者让你相信您的信息会很安全但其实并不是那么简单..,或者摧毁你公司的产品发展计划.
我的任务其实只围绕一条原则:每个读者会通过学习社会工程学而可以随便应付他们-他们的父母.每个人的父母都成为了看似社会工程师的作家,他们有他们不怎么似是而非的故事和他们认为恰当的理由来达到他们的目的.对,我们都是从父母那里来的:慈善的社会工程师.
按照老套的模式,我会变的容易上当.如果保持警戒的话我们生活在一个非常复杂的世界里,我们会抓住一些机会但必须得伤害到他人.在一个完美的世界里我们可以暗中的信任某人,必须自信的保证他是值得信赖的.但我们没有生活在一个完美的世界里,所以我们需要练习提高警戒以及防止受到对手的欺骗.
这本书的主要部分,第2和第3部分会讲解社会工程师是怎么行动的.
你可能已经开始思考第2和第3部分有些东西会不会办不到,在真正的行动中肯定不是能够每次都成功.本书的每一个例子都是真实的,它们的确发生在现实世界里.这些故事不断的发生在这个星球上的某个地方,可能在您读本书的时候它甚至发生在您的公司.
本书的材料将会开创安全方面的先例,会教你怎么样保护您的公司,甚至保护个人的信息.
在本书第4部分我会有所调整.我的目的是为了帮助您建立必须的商业安全策略和明白培训会减小您的员工来自社会工程师所造成的风险.明白了社会工程师的战略方法和战术会帮助您合理的部署安全产品而有效保护了您的IT资源不受破坏.
我希望本书能让您提高来自社会工程学的安全意识和帮助您的公司员工更少的遭受伤害.
或许现在我真的应该说,far less likely to be exploited ever again.(译:朋友翻译出来请告诉我)
作者:Kevin Mitnick
译者:Shawn C
1266
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
