欺骗的艺术——第二部分(3)

第四章 建立信任(4)

入侵FBI

人们通常不住地去想他们的公司会在网站上提供什么资料。我在洛杉矶一个电台做每周一次 的脱口秀节目,节目制作者在网上做了一次搜索,发现了一份访问国家犯罪信息中心 (NCIC)的操作说明拷贝。不久他发现,真正的NCIC操作说明原件就在网上,这是一份相 当敏感的文档,它记录着从FBI的国家犯罪记录数据库中提取信息的所有操作说明。对于执 法部门,这份说明就是一本从国家数据库中提取犯罪记录和罪犯信息的格式和代码的操作手 册。国家的所有执法部门都可以依据他们所属的权限从同一个数据库中查询有助于办案的信 息,手册里包含了数据库中用来标明各种信息的代码,从各种各样的纹身到各式各样的轮船 外壳,再到失窃纸币和债券的面额。

任何人接触到这本手册的人都可以在上面找出从国家数据库中查找信息的命令和语法规则, 然后依据手册上的步骤指导,再加一点胆量,人人都可以从数据库中提取信息,而且手册还 提供使用数据库系统的服务支持电话。也许你的公司也有这样的包含着产品代码或是查询敏 感信息的代码手册。

FBI几乎肯定不知道如此敏感的资料暴露在网上,我想如果他们知道此事一定会很恼火的。 一份拷贝是由俄勒冈州政府部门放到网上的,另一份是由得克萨斯州的执法机构传到网上。 为什么?这都是因为,也许某人觉得这些信息可能没什么价值,放到网上也不会有什么害 处。也许有人为了内部人员使用上的方便,而它放到内网上,却从未想到会被在网上使用搜索引擎(如Google)的人找到,包括仅仅是好奇的人、还有想当警察的人、黑客,以及有 组织的犯罪团伙。

接入系统

利用这样的信息来欺骗有政府或企业背景的人,使用的准则是相同的:由于社会工程师知道 如何访问特定的数据库或应用程序,或是知道公司的服务器名称等类似的事情,他因此具备 可信性,这种可信导致信任。一旦社会工程师拥有了这样的代码,获得所需信息就十分简 单。在这个例子中,他首先给当地的州警察局电讯室打电话,针对手册上的一个代码,提出 问题。比如,犯罪代码。他可能这样说,“我在NCIC做犯罪记录查询时,碰到ʻ系统发生问 题ʼ的错误提示。你做记录查询时碰到过这种情况么?能帮我试一下么?”或者他会说正在查 询WPF(警方用语,被通辑人的档案)。电话另一端,电讯室的工作人员就会意识到对方 熟悉查询NCIC数据库的操作程序和命令,除了受过训练的人,谁会知道这些操作程序呢?

工作人员确定她的系统运行正常后,谈话可能像这样进行:

“我可以帮点儿忙。你要查什么?” “我要查瑞尔顿?马丁的犯罪记录,出生日期66年10月18日。” “索什(SOSH,执行部门的人有时把社会保险号简称为索什)是多少?” “700-14-7435。” 找到名单后,她可能这样说:“他的犯罪记录代码是2602。”

现在,攻击者只需到NCIC的网站上查一下这个号码的含义了——这个人有一桩诈骗的犯罪 记录。

过程分析

一个出色的社会工程师一刻也不会停止思考闯入NCIC数据库的办法,往当地警察局打上一 个电话,花言巧语一番让对方认为自己是内部人员,这就足以能够得到他所需的信息。下一 次,他只需使用相同的借口往另一个警察局打电话就是了。

你也许会吃惊,往警察局或是州政府打电话不危险吗?那攻击者不是冒了很大的风险?

答案是不……因为一个特殊的理由。执法人员像军人一样,从他们第一天到学院开始等级制 度观念就已经根深蒂固了。只要社会工程师伪装成一个警官或助理官员——比和他谈话的人 等级更高——受骗者将被精心学习的课程支配,不要怀疑比你职位更高的人。等级,换句话 说就是拥有特权,特权不会被等级低的人挑战。

但是不要认为执法部门和军事部门是社会工程师唯一可以利用等级制度的地方,社会工程师 经常在商业攻击中像使用武器一样利用公司的职权或等级——就像这一章的许多故事所示范 的那样。

预防措施

保护你的消费者

在这个电子时代许多公司出售商品给消费者时将信用卡信息存档。理由是:解决了消费者每 次进入商店或Web站点购物时都要输入信用卡信息的麻烦。然而,这种做法应该避免。

如果你必须将信用卡号存档,使用复杂的编码或者存取控制来进行安全防范必不可少。员工 需要培训识别像这一章中社会工程师的一些诡计。那些从没亲眼见过但在电话里成为朋友的

同事可能并不像他或她声称的那样。他也许并不“需要知道”客户的敏感信息,因为他可能根 本就不在这家公司工作。

米特尼克信箱

每个人都应该知道社会工程师的一贯手法:尽可能地搜集一些关于目标的信息,利用这些信 息增加内部人员的信任。然后直取要害!

聪明的信任

不只是有明显的敏感信息的人——软件工程师,研究与开发(R&D)人员,等等——需要防 范入侵者攻击。你的公司的几乎所有人都需要训练保护企业防范商业间谍和信息窃贼。

一切的基础应该从一个企业信息资产调查开始,分离地看待每一个敏感的,关键的或贵重的 资产,并寻找攻击者使用社会工程学策略可能危及这些资料安全的方法。对有权访问这些信 息的人进行的适当培训应该有计划地围绕这些问题的答案。

当一个你不认识的人请求获得一些信息或材料,或要求你在你的电脑上完成任何操作时,让 你的员工问他们自己一些问题。如果我把这些信息给了我最坏的敌人,它会被用来伤害我或 我的公司吗?我十分了解被要求输入到我的电脑的这些命令的潜在影响吗?

我们不想抱着对我们遇到的每一个陌生人的怀疑度过一生。但是我们的信任越多,下一个看 上去十分友好的社会工程师就会来到我们的城市里,欺骗我们,获得我们公司的所有信息。

什么属于你的Intranet(企业内部互联网)?

你的Intranet的一部分可能开放到了外部世界中,而另一部分则限制只有员工能使用。你的 公司有没有仔细地确认受保护的敏感信息没有被放到访客易接近的地方?当上次公司的一个 人在Intranet上查看到任何敏感信息并不经意地提交到了Web站点的公共访问空间的时候?

如果你的公司执行代理服务保护企业应对信息安全威胁,这些服务在最近的检查中确认被适 当的配置了吗?

事实上,有人检查过他们的Intranet安全性吗?

第五章 我来帮你(1)

当我们遇到头痛的事情时,如果有个经验丰富、技术高超的人来帮忙,我们一定会很感激。 社会工程师了解这一点,并懂得如何利用它。他还知道如何制造一个麻烦,然后帮你解决以 获得你的感激,最后利用你的感激之情来获取信息或得到你的一些小关照,这将把你的公司 或是你个人置于不利的地步,而你可能永远不知道你已经遭受损失。下面是一些社会 工程 师“帮忙”的典型方法。

网络故障

日期/时间:2月12日星期一,15:25 地点:斯达伯德(Starboard)造船厂办公室

第一个电话:汤姆?狄雷(Tom Delay)

“簿记处,汤姆?狄雷。”

“嗨,汤姆,我是服务中心的艾迪?马丁(Eddie Martin)。我们正在检修计算机网络,你们 部门有人在线时遇到问题了么?” “嗯,据我所知没有人。” “你这儿也没什么麻烦吧?” “没有,还算正常。” “好的,很好。是这样,我们正在给可能发生网络问题的人打电话,如果你的网络连接中断 请立即告诉我们,这很重要。” “听起来可不妙,你觉得它可能出问题么?” “我们希望不会,但一旦有情况,请打电话好么?” “这你放心。” “是这样,如果你们的网络连接掉线,很可能是你这儿的问题……” “那可没准儿。” “所以我们会检修你这里的网络,我把我的手机号留给你,如果有需要你可以直接找到我。” “太好了,请说。” “555 867 5309。” “555 867 5309,好了,谢谢。你叫什么来着?” “艾迪。听着,还有一件事。我需要检测一下你的计算机连接端口,看一下你的计算机哪里 贴着一个大概写着“端口号”字样的标签?” “稍等,没有,我看不到有这样的东西。” “好吧,这样,你再看计算机的后面,能找到网线么?” “是的。” “顺着线找到它的插头,看看它的插口上是否有一个标签。” “稍等一下,再等等,我必须蹲下离近些才能看清楚。好的,上面写着6杠47(6-47)。” “很好,那就是我们记录的端口号,只是为了确认一下。”

第二个电话:技术支持

两天后,一个电话打到该厂的网络管理中心。

“嗨,我是鲍勃(Bob),我现在簿记处汤姆?狄雷的办公室。我们正在检修网线故障,请你 封掉6-47的端口。”

技术支持人员回答说很快就封掉,并说可以恢复的时候再通知他们。

第三个电话:敌人的帮助

一个小时后,一位自称艾迪?马丁的人在Circuit City购物时,他的手机响了。他发现是造船 厂的号码,便迅速地转到一个安静的角落接听手机。

“服务中心,艾迪。” “哦,嗨,艾迪。有事找你,你在哪儿?” “我么,嗯,我在机房,你是?” “我是汤姆?狄雷。伙计,很高兴能找到你。或许你还记得前两天给我打过电话吧?我的网络 连接可能像你说的那样断掉了,我有点不知道怎么办。” “是的,刚刚好几个人都说掉线了,我们在今天晚上会处理此事,好么?” “不!见鬼!如果断线那么长时间,就要耽误事了。能尽量帮帮我么?” “事情很紧?” “我有事得赶紧弄,有没有可能在半个小时之内处理好?” “半个小时?你也太着急了。嗯,这样,我放下手里的活,看看能不能帮你解决。” “嗨,艾迪,真是谢谢你了。”

第四个电话:搞定

45分钟后……

“汤姆?我是艾迪,去看看你的网络连接。” 不一会儿: “噢,好了,它好了,太棒了!” “很好,很高兴为你解决了。” “是啊,十分感谢!” “听着,如果你不想让它再出毛病,要安装一个软件,几分钟就可以了。” “可现在不太合适。” “我理解,但如果下次网络连接再出毛病,这会让我们都省心的。” “好吧,如果只需几分钟的话。” “你照这样做……”

艾迪指导汤姆从一个网站下载一个小程序,下完之后,艾迪叫汤姆双击它。汤姆照做,但反 馈说:“不行,什么反应都没有。” “噢,真讨厌。程序一定有什么地方出错了,算了吧,我们可以下次再试。”接着他指导汤姆 删除掉程序,以使其不能恢复。

整个过程花费时间,十二分钟。

攻击者的故事

每当鲍比?华莱士(Bobby Wallace)接到这样的一项任务时总觉得很可笑,他的客户总是 在为什么需要这种信息的问题上闪烁其词。这件案例中,他只想到两个原因:也许他们代表 某个意图收购斯达伯德造船厂的组织,因而想知道造船厂真正的财务现状,尤其是被收购方 想对潜在购买者刻意隐瞒的东西。或者,他们代表投资方,认为他们的资金在使用上有些可 疑,并想知道是否有些管理人员私自开设了小金库。

也许他的客户并不想让他知道真正的原因,因为如果鲍比知道了那些信息的价值,他可能会 索要更多的酬金。

有许多破解企业最机密文档的方法,鲍比在制定计划前花了几天时间做选择并进行了小小的 测试。他决定使用一个称为“接近”的他尤其喜欢的方法,让对方自己落入圈套,他会自动请 求攻击者的帮助。

首先,鲍比花39.95美元在便利店买了一部手机,然后打电话给那个他选做目标的人,冒充 公司服务中心的人哄骗对方在网络连接出问题时给他打电话。为了使事情看上去不那么明 显,他故意等了两天才给网络管理中心(NOC)打电话。他声称在为汤姆(他的目标)检 修网络问题,并要求NOC把网络连接禁止掉,鲍比知道这是整个计划中最棘手的部分。在 许多企业,服务中心与NOC有着紧密的工作关系,实际上他知道服务中心通常就是IT部门的 一个分部。但NOC 接电话的人懒得问那个解决网络问题的服务中心人的名字,并同意禁止 掉对方要求的网络端口。这一切搞定之后,汤姆就被完全的从企业内网上隔离了,不能从服 务器上检索文件,也不能与同事交换文件、下载邮件,或甚至不能把数据传到打印机。在当 今的世界,这如同居住在一个洞穴中。

正如鲍比所预想的,他的手机很快就响了。当然,他尽量使自己听上去十分愿意帮助这个不 幸的同事,然后给NOC接电话把网络连接恢复。最后,他打给汤姆再次控制了他,这一次 由于帮他解决了问题,令对方心存感激,于是汤姆同意下载一个软件到他的计算机上。当 然,他同意下载的软件并不是鲍比所说的那样,是为了防止网络连接的再次中断,它实际上 是一个特洛伊木马,一个用来对付汤姆的计算机的应用程序(特洛伊是一种原始的把敌人带 到对方内部的欺骗方法)。汤姆回复说双击程序后没有任何反应,这是故意让他看不到发生

任何事情的,实际上这个小巧的应用程序正在安装一个允许渗透者悄悄访问汤姆计算机的秘 密软件。利用这个软件,鲍比可以完全的控制汤姆的计算机,这称为远程命令行解释器。当 鲍比访问汤姆的计算机时,他可以查找他感兴趣的财务文件并拷贝下来,然后,在方便时检 查它们是否包含他的客户寻求的信息。

专业术语

特洛伊木马:一种包含恶意或会造成危害的代码,用来损坏受害者的计算机或文件,或是从 受害者的计算机和网络上获取信息。某些特洛伊木马会隐藏在操作系统中暗中监视击键或操 作,或者通过网络连接来执行一些入侵命令,而这一切是在受害者意识不到的情况下进行 的。这还不是全部,入侵者还可以在任何时候回到这台计算机上搜索电子邮件和私人备忘 录,并对可能揭示出敏感信息的词进行文本查找。

在哄骗目标安装了特洛伊木马程序的当晚,鲍比就把手机扔到了垃圾桶里。当然,在扔之前 他首先小心的删除了通话记录并拔出了电池。这是他最后要做的事情,让人再也拨不通这个 电话号码。

过程分析

攻击者设计一个圈套来使对方认为自己的计算机存在问题,实际上,根本没有。或者,问题 还未发生,但攻击者知道它会的,因为他将使之发生,然后他再假扮解决问题的人。这次攻 击中的程序安装对于攻击者来说更是奖赏,他事先埋下了伏笔,当目标发现问题时,会自动 打电话恳求帮助。攻击者只需坐在那儿等电话响就是了,可以把这次攻击看做是一次反向的 社会工程学——攻击者迅速获得了信任,从而使目标主动打电话给他。如果你打电话给某个 你认为是服务中心的人,你会要求对方证明自己的身份吗?这就是攻击者想制造的效果。

专业术语

远程命令行解释器:接受文本命令来执行某种功能或运行程序的非图形操作界面。通过利用 漏洞或在目标计算机上安装木马,攻击者可以获得对命令行解释器的远程访问权。

反向社会工程学:攻击者设计的一种情形,受骗者碰到问题时会联系攻击者求助。另一种反 向社会工程学是对付攻击者的,被攻击目标发现了对方是攻击者后,利用心理影响尽可能的 从攻击者身上套出信息以保护企业的信息资产。

米特尼克信箱

如果某个陌生人帮了你的忙,然后要你帮他,不要不经过慎重考虑就回报他的帮助,要看对 方要你做的是什么。在类似上面的这个骗局中,社会工程师找了一个计算机知识很少的人。 他知道的越多,就越可能产生怀疑,或越能断定是被骗了。计算机白痴——对计算机操作和 知识了解很少的人,则很容易遵从你的指示。他太容易掉入“只需下一个小程序”这样的陷井 了,因为他对一个软件程序可能造成的损害一无所知。而且,他很可能不知道他冒着风险放 到网络上的信息的价值。

第五章 我来帮你(2)

给新来的女孩帮个小忙

攻击者喜欢把目标锁定在新来的雇员身上,他们认识的人很少,也不了解工作程序,什么该 做,什么不该做。而且,一旦给其留下良好的第一印象,他们便会殷切地显示出对你的配合 和快速地回应。

安德鲁的帮助

“人力资源部,安德鲁?卡尔霍恩(Andrea Calhoun)。” “安德鲁,嗨,我是亚力克斯(Alex),企业安全顾问。” “什么事?” “今天好么?” “还好。需要帮忙吗?” “是这样,我们正在策划一个新员工的安全培训,需要集结一些人测试一下,我想要上个月 所有新进员工的名单和电话号码。你能提供给我么?” “要到今天下午我才能给你,可以么?你的分机是多少?” “当然,可以。我的分机是52……,噢,嗯,我今天大部分时间要开会,我回到办公室后打 给你吧,大约4点左右。”

亚力克斯4点30分打来电话,安德鲁已经把名单准备好,然后在电话中读出了名字和分机 号。

罗丝玛丽的消息

罗丝玛丽?摩根(Rosemary Morgan)很满意她的新工作,以前她从未在杂志社做过,她发 现这里的人比她想像中友善的多(大多数杂志社职员都是在没完没了的压力下,在每一次发 行最后期限前出版杂志的),而星期二早晨的一个电话再次确认了她的这种印象。

“是罗丝玛丽?摩根吗?” “是的。” “嗨,罗丝玛丽,我是比尔?乔迪(Bill Jorday),信息安全部的。” “有事吗?” “我们部有人跟你谈过最佳安全操作规程么?” “我想没有。” “那好,我们开始。首先,我们不允许任何人安装从公司外部带来的软件,因为我们不想承 担使用未经授权软件的责任。而且,也为了避免这些软件可能携带蠕虫或病毒的风险。” “好的。” “你了解我们的电子邮箱规则么?” “不。” “你现在的电子邮箱是什么?” “Rosemary@ttrzine.net” “你是用Rosemary做用户名登录的么?” “不是,我用的是R_Morgan。” “好的。我们想让所有的新员工都意识到,打开任何一个未知邮件的附件都是危险的。蠕 虫、病毒四处泛滥,并通过你似乎认识的人的邮件发来。所以,如果你收到一封意料之外的 带有附件的邮件,一定要向发信方确认此信真得是由其发出。你懂了么?” “是的,这我已经知道了。” “很好。我们的规定是每90天换一次密码。你上一次改变密码是什么时候?” “我才来了三个星期,还用着一开始设置的密码。” “好,很好,你可以等到90天后再换。但我们需要确定大家不使用很容易猜出的密码,你使 用的密码是由字母和数字组成的么?” “不是。” “我们要确定一下,你现在用的密码是什么?” “我女儿的名字——Annette(安妮特)。”

“那可真不是一个安全的密码,你不应该在密码里包含家庭信息。嗯,我看看……,你可以 和我一样,使用你现在的密码做为新密码的开头,每当更换时加一个当前月份的数字。” “那如果我现在换的话,现在是三月,就应该是three或是-three?” “那随你便,你更愿意用哪一个?” “我想用Annette-three.” “好的。你想让我为你演示一下如何改密码的么?” “不用,我知道。” “好。还有一件事得说一下,你的计算机上装有防病毒软件,保持更新非常重要。千万不要 禁止自动更新功能,即便在它每次运行时速度会变慢。好么?” “好的。” “很好。你有我们的电话号码么?如果计算机出问题可以打给我们。”

她没有。他告诉她号码,她认真的记了下来,然后继续工作,并再一次地为受到热心的关怀 感到欣慰。

过程分析

这个故事继续加强了此书的基本主题,你也将看到在整本书中都包含着这一主题:尽管社会 工程师的最终目标不是从对方身上获取最普通的信息,但这些信息却是其目标的信任书。利 用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找到任何 他想找的信息。有了这些信息,如同找到开门的钥匙,把它们握在手中,他可以自由地出入 企业的各个地方并找到他寻觅的宝藏。

米特尼克信箱

在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规程, 尤其是有关绝不要泄露口令的规则。

不象你认为的那样安全

“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说法。而生 活如果简单易懂的话,这个世界就会更好。事实却是即便企业付出相当的努力来保护机密信 息,可还是存在着严重的风险。下面的故事再一次举例证明,认为由经验丰富、胜任的职业 安全人员布置的安全操作规程牢不可破的想法,只是在愚弄自己。

斯蒂夫?克莱默(Steve Cramer)的故事

这片草地不大,没有播撒昂贵的草种,也没人羡慕。当然,也就没有足够的理由买一台坐式 割草机了,那一定很好使,毕竟他一次也没用过。斯蒂夫很乐意用手工割草机割草,因为花 的时间会更长些,而这种家务事还给他提供了一个便利,使自己专注于自己的想法,而不是 听安娜(Anna)讲述她工作的银行里那些人的故事或是解释为他所做的各种事情,他讨 厌“夫妻表”(译者注:夫妻间为增进感情而做的一些小事,如聊天、下厨等)上的内容成为 他周末的全部。当12岁的皮特绝顶聪明地加入游泳队的时候,他的心里一下子亮堂起来。现 在,他每个星期六都要在训练场或是去接他,不用再陷入没完没了的家务事上了。 有些人可能认为斯蒂夫在双星医疗产品厂(GeminiMed Medical Product)的工作十分无 聊,斯蒂夫却认为他在挽救生命,他知道自己从事的是具有创造性的工作。画家、音乐家、 工程师,在斯蒂夫看来都有着与他相同的挑战性——他们都创造别人从未做过的东西。他最 近所做的,是一件新型的智能心脏支架,迄今为止,可能是他最值得骄傲的成就。 在这个不寻常的周六,斯蒂夫十分苦恼,都快11点半了,草地也几乎清理完,但是在思考如 何降低心脏支架的动力消耗方面却没有丝毫的进展。这是他最后的障碍,虽然锄草时最适合 思考这样的问题,但他一点办法也没想出来。

安娜来到门口,头上围着打扫卫生时总戴着的佩斯利(paisley)牛仔头巾。“电话,”她冲着 他喊。“你公司的电话。” “是谁?”斯蒂夫回喊道。 “叫什么拉尔夫(Ralph)的,好像。” 拉尔夫?斯蒂夫想不起医疗厂有叫拉尔夫的人会在周末打电话给他,也许安娜把名字听错了 吧。 “斯蒂夫,我是技术支持部的雷蒙?派瑞兹(Ramon Perez)。” 雷蒙?天知道安娜怎么会听成一个西班牙人的名字拉尔夫?斯蒂夫很奇怪。 “这是一个善意的来电,”雷蒙接着说。“有三台服务器当掉了,我们认为可能是蠕虫,必须清 除驱动器,然后恢复备份文件。我们应该能够在星期三或星期四令你的文件正常使用,如果 幸运的话。” “这真让人无法接受,”斯蒂夫尽量平静的说,努力压制住自己的沮丧。这些人怎么如此愚 蠢?他们真的认为他没有这些文件也可以在整个周末和下个星期的多半个星期工作么?“不 行,我要用家里的电脑连线,只需两个小时,我要访问我的文件。你听明白我的意思了 吗?” “清楚,到现在为止我打的每一个电话,对方都要求先处理他们的事情。我放弃我的周末来 弄这件事,却让每个我与之通话的人对我指手画脚,你觉得这很好笑么?” “我现在的工作处于关健时期,公司对此十分重视,我今天下午要完成它,你还有什么不明 白的?” “在我开始恢复前还有很多电话要打,”雷蒙说。“我们说定星期二恢复你文件的使用,怎么 样?” “星期二不行,星期一也不行,要今天,现在!”斯蒂夫边说边考虑如果说不通这个大脑迟钝 的家伙,他该向谁打电话。 “好吧,好吧,”雷蒙说,斯蒂夫还能听到他无奈的叹了口气。“我看看我该怎么让你连线,你 使用RM22服务器,对么?” “RM22和GM16两台。” “好,很好,我可以绕过一些程序来节省些时间——我需要你的用户名和口令。” 什么?斯蒂夫想,这是怎么了?为什么他需要我的口令?为什么所有IT部门的人都这样?

“你刚才说你姓什么?谁是你的主管?” “雷蒙?派瑞兹。听着,听我说,当你被雇用的时候,必须填一个表格来取得自己的用户名, 同时写下密码。我可以在存档中找到这个文件,然后告诉你,好么?” 斯蒂夫考虑了一会儿,表示同意。他拿着电话尽量耐心的等着雷蒙从文件柜中取出文件,最 终返回到电话前,斯蒂夫可以听到他在摆弄一堆文件。 “哈,找到了,”雷蒙说,“你写的密码是Janice。” Janice,斯蒂夫想,是他母亲的名字,实际上有时他会用这个名字做密码,很可能在他填雇 用登记表时就用它做密码了。 “是的,是这样。”他承认道。 “那好,我们正在浪费时间。你知道我是真的,你想让我走捷径帮你快速的取回文件,你就 必须给予我帮助。” “我的用户名是s d 下划线 cramer,c-r-a-m-e-r,密码是pelican1。” “我会把它恢复正常,”雷蒙说,听上去还比较友好。“给我二三个小时。”

斯蒂夫清理完草坪,吃过午饭,到时间便来到他的计算机前,发现他的文件已经恢复了。他 很满意自己强有力的说服了那个不太合作的IT小子,并希望安娜听到了他是多么的果断。最 好对那个小子或是他的上司表示一下他的满意,但他知道他抽不出时间做这些事情。

克雷格?科格伯恩的故事

克雷格?科格伯恩(Craig Cogburne)曾是一家高科技公司的销售,业绩良好。一段时间 后,他逐渐意识到自己有一种读懂客户的能力,理解对方反对什么,以及利用对方的弱点和

漏洞轻松完成销售任务。他开始思考这种才能的其他用途,和那条最终导致他获利颇丰的道 路——商业间谍。

这是个紧急任务,不会花费很长时间,也不值得花钱去趟夏威夷,或是塔希提(Tahiti)。 那个人雇用了我,他没说客户是谁。当然,不用说也是一些想一下子轻松、迅速地赶上竞争 对手的公司。我的工作是拿到那个叫做心脏支架的小玩意的设计书和产品说明,管它是什 么。对方公司叫做双星医疗,以前从没听说过,是一家500强企业,在不同的地方有六个分 公司。对于我的工作来说,大公司比小公司容易得多。因为,在小公司里你很可能会被谈话 的对方认出来不是自己所声称的那个人,而这种情况就像飞行员说发生空中碰撞一样,可以 把你的一切都毁了。

客户发过来一封传真,说是一些医疗杂志上报道了双星医疗正在研究一种全新设计的心脏支 架,可能叫做STH-100。由于事情炒得很热,记者们已经替我做了许多前期调查工作,包括 我在开始工作前必须知道的事情,这个新产品的名字。

第一个问题:取得可能会看到这个设计的以及研究STH-100的那些人的名字。于是我打电话 给接线员:“我答应与你们的一位工程师联系,但我记不起他姓什么了,只记得他的名字是 以S开头。”接线员说:“有两个人,一个叫斯科特?亚谢尔(Scott Archer),一个叫塞姆?大 卫森(Sam Davidson)。”我冒着风险问:“哪一个在STH-100工作组?”她不知道,我只好 随意选了斯科特?亚谢尔,她帮我接通了电话。

对方拿起电话,我说:“嗨,我是麦克,收发室的。我们收到一个寄给STH-100心脏支架方 案组的联邦快递,应该给谁?”他告诉我方案组长的名字,杰瑞?曼德尔(Jerry Mendel), 我甚至还让他帮我查到了电话。

我打给曼德尔,没有在。但他的语音留言说他在度假,一直到13号,也就是说他还有一个星 期的时间滑雪或者其它什么事情。在此期间,任何人有事的话打 9137找米歇尔 (Michelle)。太好了,这些信息太有用了。我挂了电话接着打给米歇尔,她接起电话,我 说:“我是比尔?托玛斯(Bill Thomas),杰瑞说我一旦准备好产品说明书就打给你,他想让 组里的人看看。你是心脏支架组的,对吧?”她回答是。

现在,我们到了整个布局的攻坚点了。如果她有所怀疑,我就打出预先准备好的牌,我会说 是杰瑞让我帮他这个忙的。我问:“你们用哪个系统?” “系统?” “你们成员组使用哪些服务器?” “哦,”她说:“RM22,组里有些人还会用GM16。”

很好,这正是我需要从她哪里得到的信息,并且没有引起她的怀疑。接下来,为了尽量麻痹 她,我尽可能的令语气自然,“杰瑞说你可以给我一个研发组成员的电子邮件列表,”说完, 我屏住呼吸。

“当然,这个表太长了,不便阅读,发邮件给你可以吗?”

坏了!任何一个不以GeminiMed.com结尾的邮箱都会带来无比的麻烦。“你能发传真给我 么?”

她顺利的应允了。

“我们的传真机坏了,我得问问另一台的号码,一会打给你。”说完,我挂了电话。

现在,你可能认为我被这个问题难住了,其实这只是任务中的一项常规作业。我调整了一 下,好让自己的声音令接线员听起来不那么熟悉,接着我打电话对她说:“嗨,我是比尔?汤

玛斯,我们的传真机坏了,可以往你的机器上发一个传真么?”她说没问题,然后告诉我号 码。接下来,我要去他们公司拿走传真,是这样么?当然不。

第一守则:除非万不得己,绝不与当事人见面。如果你只在电话上与之联系,他们很难认出 来你。如果他们认不出你,就不能逮捕你。如何给声音带上手铐呢?

过了一会儿,我打回电话问我的传真到了么?“到了。”她说。 “是这样,”我说,“我还得把它发给我们的一个顾问,能帮我发一下么?”她同意了,为什 么?你指望哪个接线员能识别出敏感信息来呢?

她把传真发给那位“顾问”的时候,我正做着当天的运动,迈步走向我附近的一家文具店。那 个台头标着”Faxes Sent/Rcvd”(发送传真/已接收)的传真应该比我先到吧,不出所料,我 走进文具店时,它已经在那里了。6页,每页1.75美元,我付了一张10元钞和一些零钱,就 拥有了那个小组的成员名单和邮件列表。

打入内部

好了,现在我已经跟三、四个不同的人谈过话,并往进入公司计算机系统的方向迈了一大 步,但在回家之前还有几件事情要做,首先要搞到从外部拨入工程服务器(译者注:某项目 组共用的服务器)的电话号码。我再次打到双星医疗让接线员转到IT部门,然后问接电话的 人是否能找一个人给予我计算机方面的帮助。他把电话转给别人,我装作对计算机技术一窍 不通。“我在家里,我刚买了一个笔记本,需要设置一下,以便能从外面拨入服务器。”

设置很简单,但我耐心地让他一步一步地教我,直到拨入电话号码。他告诉我那个号码,就 像说出其它的一些日常信息。然后,我让他等我试一下。没问题。

现在,我已经克服了连接网络的障碍。我拨号进入,发现他们的终端服务器允许拨入者连接 到内网上所有的计算机。多次测试后,我偶然发现一台计算机上的来宾账号口令为空。有些 操作系统在首次安装时,会指导用户建立一个账号和口令,同时给出一个来宾账号,用户可 以对其设置口令或是禁用它,但多数人不懂这一点,或者是嫌麻烦。这个系统可能是刚安装 不久,而主人也没花点儿功夫把来宾账户禁用掉。

专业术语

哈希密码(PASSWORD HASH):对口令进行一次性的加密处理而形成的杂乱字符串,这 个加密过程被认为是不可逆的,也就是说,人们认为从哈希串中是不可能还原出原口令的。 (译者注:2004年,王小云教授在国际密码学大会上公布了破解HASH函数的关键技术。)

多亏这个来宾账号,我现在访问到了一台运行着旧版本UNIX的计算机。UNIX的操作系统备 有一个密码文件,这个文件包含所有有权访问这台计算机的用户的加密口令,也就是一次性 加密的哈希密码。经过一次性哈希加密,一个真正的口令,比如“justdoit”,会被加密后的哈 希字符代替。在这个案例中,口令被转换成13个字符位的数字和字母。当有人访问计算机 时,需要输入用户名和口令以确认身份,这时系统就会对输入的口令进行加密,然后把结果 与密码文件中的哈希口令对比,两者如匹配,访问允许。由于文件中的口令是加密的,因此 虽然在理论上文件本身对于任何用户都是有效的,但并没有已知的办法能够解密口令。

这真是笑话。我下载了这个文件,运行字典攻击(本书第十二章有更多的攻击方法),发现 研发组的一个叫斯蒂文?克莱默的工程师,在这台计算机中拥有一个口令为“Janice”的账号。 我试着在一台服务器上输入这个口令碰碰运气,如果有效,这不仅会节省我的时间,还会让 我少冒些风险。但口令无效。这就意味着我不得不用些技巧来让这个人自己告诉我他的用户 名和密码。于是,我一直等到周末。后面的事情,你们已经知道了。周六,我打电话给克莱

默,用蠕虫和服务器必须从备份中恢复的理由打消他的怀疑。也许有人要问,他填写雇用登 记表时的口令是怎么一回事?我指望他不会记着所有的事,一个新员工要填的表很多,几年 之后,谁还会记得呢?而且,即使我在他身上的努力失败,那份长长的名单上还有其他人可 以尝试。

利用他的用户名和口令,我进入服务器开始搜索,很快找到了STH-100的设计文档。但我不 确定哪些是关键的,于是我把所有的文件传送到“秘点”,中国的一个FTP站点,文件存放在 那里不会引起任何人的怀疑,让客户在这堆垃圾里寻找他们的宝贝吧。

专业术语

秘点(DEAD DROP):很难被别人发现的存放信息的地方。在传统的间谍活动中,秘点可 能是一堵墙壁上某块松动的石头。对于计算机黑客来说,一般都是位于遥远国度的互联网上 的一个站点。

过程分析

那个我们称之为克雷格?科伯恩的人,或是任何像他一样具备熟练社会工程学(不总是以违 法行为盗窃信息)能力的人,以上叙述的难题几乎都如例行公事般简单。克雷格的目标是在 一台受到保护的企业计算机上找到并下载文件,这台计算机被防火墙和通常所有的安全技术 保护着。他的大部分工作如探囊取物般简单。先是假扮收发室的工作人员,声称收到一封不 知寄给谁的联邦快递包裹来增加紧迫感,这样他得到了心脏支架研发组组长的名字,这位组 长正在渡假,可他却留下了助手的名字和电话——这大大地方便了试图窃取信息的社会工程 师。克雷格打给这位助手,谎称响应项目组长的要求来打消她的怀疑。组长不在城里,米歇 尔在无法证实他所言属实的情况下,相信了他的话,并把项目组成员名单毫无保留地提供给 他。对于克雷格来说,这是一组十分必要和珍贵的信息。

当克雷格让他发传真而不是使用令双方都方便的电子邮件时,她甚至都没有怀疑。为什么她 如此轻易的相信他人?如同许多工作人员那样,她可不想在上司回来时发现她拒绝了一个人 的要求,而这个人所做的事是她的上司交待要做的。此外,对方并没有说上司明确批准了他 的请求,只是需要他的协助。她之所以还把名单给他,是因为有些人有一种显示自己是团队 一员的强烈愿望,而这种愿望使大多数人容易被骗。

克雷格避免了亲自现身的风险,他让对方把传真发到接线员那里,他知道接线员会有帮助 的。一般来说,接线员都有着温柔的性格和给人留下良好印象的素养,像收发传真这种在职 责范围内的小忙,克雷格可以充分利用。虽然任何知道此信息价值的人看到她发出的信息都 会引发警报,但你又如何指望一个接线员能分辨出无害信息和敏感信息的区别呢?

米特尼克信箱

每个人对工作的第一考虑就是完成工作,在此压力下,安全操作规程就放到了第二位并被遗 漏和忽略,社会工程师就利用这一点来实施他们的诡计。

克雷格利用了一个从未改变过的默认口令,许多依靠防火墙的内部网络都存在着这种即明显 又开放的漏洞。实际上,许多操作系统、路由器和其它产品,包括专用交换机的默认密码, 在网上都有提供。任何一个社会工程师、黑客,或是商业间谍,还有那些仅仅是具有好奇心 的人,都可以在http://www.phenoelit.de/dpl/dpl.html找到这个默认密码列表,简直令人难已 置信,互联网把那些知道从哪里获取资源的人的生活变得如此轻松,现在,你也知道了。

然后,科伯恩竟然让一个行事谨慎怀有戒心的人透露了他的用户名和口令,从而访问到心脏 支架研发组使用的服务器。这就如同在公司最严守的秘密上开了一扇门,克雷格可以任意浏 览信息并下载新产品计划。

如果斯蒂文?克莱默继续他对克雷格的怀疑又会怎样?斯蒂文看来不大可能在他星期一早晨 上班前报告此事,而到了星期一已经晚了。这个骗局最后部分的一个关键就是,克雷格先是 显得对斯蒂夫所担心的事情漠不关心,接着换成一付让对方听起来是在帮助对方完成工作的 口吻。许多时候,当受骗者认为你是在帮他或是在为他做事情时,往往会放开在其他情况下 会坚守的秘密信息。

预防措施

社会工程师一个最强有力的技能就是扭转局面,这你已在本章中看到。社会工程师制造问 题,然后魔术般地给予解决,然后从受骗者手中套出访问企业最严守的秘密的通道。你的员 工会掉入这个圈套么?设计和实施这样一套防范攻击的安全规程,你会感到棘手么?

培训、培训,再培训……

有一则老故事,一个去往纽约的游客在街上叫住一个人问:“我怎样才能到达卡内基音乐殿 堂?”那个人回答:“练习,练习,再练习。”每个人在社会工程师的攻击面前都很脆弱,而企 业唯一有效的防范就是培养和训练员工,给予他们练习的机会,如何认出一名社会工程师。 而且,要不断的始终如一的提醒他们在训练中学到的知识,否则很容易忘掉。

企业里的每一名员工人在与不是亲自认识的人打交道时,应具有适度的谨慎和警戒心,特别 是访问计算机网络的有关事情要尤为注意。人类天性容易相信他人,但正如日本人所说“商 场如战场”,公司在安全防护方面绝不能放松警惕,必须制定安全策略以清楚的区分哪些是 不当的操作,哪些符合规程。安全措施不是千篇一律,企业员工通常都有着差别很大的任务 和职责,而每个岗位都有着与之相关的漏洞。公司里的每个人都应完成一个基础培训,并加 上依据他们的工作程序而设计的培训,以降低员工本人发生问题的可能性。而工作涉及敏感 信息或身居关键职位的员工,更应给予专门的培训。 保持敏感信息的安全

如同本章中所讲的那样,当一个陌生人以提供帮助的名义与工作人员接近时,工作人员必须 遵循为适合公司文化、业务需要而定制的合适的安全策略。

注:个人认为,并不是所有的企业都需要共享和交换密码,建立一个严格的规则来禁止员工 共享和交换机密口令很容易,而且也更安全,但每个企业必须结合自己的工作环境和安全要 点来做选择。

绝不要配合陌生人查询信息、在计算机上键入不熟悉的命令、改变软件设置,或是打开邮件 的附件和下载未经检测的程序(这最有可能造成危害)。任何软件程序,即便是那些看上去 无碍的程序,也很可能暗藏危险。

有些工作,无论我们的培训做得有多好,时间一长,我们就又粗心大意起来。接着便忘掉了 非常时期的培训,因为那时正需要它。你可能认为不要泄露你的用户名和口令是一件无需提 醒的事,任何人都知道或都应知道,这是一种普遍的认识。但实际上,每个员工都需要被经 常提醒——泄露办公室计算机、家庭计算机、甚至是邮资机的用户名和口令与泄露ATM卡的 个人身份识别码一样危险。

有时,在非常偶然的情况下,在有限的环境下,把机密信息透露给别人是必要,甚至可能是 十分重要的。为此,制定“永远不要”的绝对规则是不合适的。然而,为特定环境制定相应的 安全策略和规程十分必要,员工在非常时期可以把口令透露给别人,但对方必须被授权。

注意对方身份

在大多数机构中,安全规则要囊括所有可能给企业或工作人员带来损失的信息,只能是亲自 认识的人,或是十分熟悉对方声音的情况下才能将信息透露。在高度防范的情况下,只有人 员亲自在场的要求才被许可,或是通过一个强有力的认证模式,比如通过两个单独的检验条 件,像共享密码和时间令牌。数据分类措施也必须指明公司敏感工作部门的信息不要透露给 不认识的人或以某种形式担保的人。

注:很难让人相信,即使在企业员工数据库中查询打电话人的名字和电话号码并拨打回去, 也不足已保证对方的身份。社会工程师懂得如何把名字放入数据库中和把电话转拨的方法。

那你又该如何处理公司的另外一名工作人员听起来十分合理的要求呢?比如,他需要你们部 门的名单和电子邮件列表。实际上,对这种仅供内部使用,且明显没什么价值(这与新产品 说明书的价值不可同日而语)的信息,很难对其提升安全意识。一个主要的解决方法就是, 为每个部门指派一个负责处理对外发布信息的人,并给他们安排相应的培训,以使其明白应 该遵循的确认程序。

勿有遗漏

任何人都可以对企业哪里需要高级别的安全防护以杜绝恶意攻击的事情夸夸其谈,可我们却 经常忽略其它地方,这些地方并不明显,但极易受攻击。在上述的故事中,发传真到公司内 部的一个号码似乎比较安全,没什么害处,但攻击者却利用了这一点。从这个例子中应该吸 取如下教训:

公司的每一个人,从秘书、行政助理到执行人员和高层管理者都需要进行专门的安全培训, 以使他们面对类似的欺骗手段时保持警醒。而且,别忘了看好前门 ——接线员,通常也是 社会工程师的首要目标,必须让他们了解某些来访者和打电话人的骗术。企业安全部门应该 建立一个单一的联系点,类似于情报中心,为那些认为自己可能成为社会工程师的攻击目标 的员工汇报情况时所用。这样的一个情报中心会提供有效的预警系统,清晰化悄然发生的攻 击,从而令任何破坏行动得到及时的控制。

转载于:https://my.oschina.net/pes21gamer/blog/84855

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值