第十章 进入内部(5)
米特尼克信箱
大多数被调动、解雇或被降职的员工都不是麻烦,但只要有一个就可以让公司认识到所有的 防范措施都太迟了。经验和统计图表都清晰地表明了企业面临的最大威胁来自于内部人员, 内部人员知道哪里有贵重信息,攻击哪里可以造成最大伤害。
营销员
一个舒适的秋天上午,彼得•米尔顿(Peter Milton)走进了光荣汽车零配件(一个汽车零件 市场的本土零件批发商)丹佛区域办公室大厅,他在接待处等待着,那个年轻的女士正在登 记一个访客,给一个打来电话的人驾驶指引,应付接连不断的人,所有这些差不多都是在同 一时间。 “你是怎样学会同时处理这么多事情的?”彼得在她有空接待他的时候说,她笑了,显然很高 兴。他来自达拉斯办公室的营销部,他告诉她,并说亚特兰大销售区预的迈克•塔尔伯特 (Mike Talbott)要和他会谈。“今天下午我们要一起去拜访一位客户,”他解释说,“我就在 大厅里等他。”
“营销,”她说这个词的时候几乎有些忧伤,彼得微笑着看着她,等待着下文,“如果我上了大 学的话,我就会做营销员。”她说,“我喜欢营销这份工作。”
他再一次笑了,“凯拉,”他说,把前台上她的签名读了出来,“我们达拉斯办公室有位女秘 书,她自己离开了营销部,那是三年前的事了,现在她是市场经理助理,她换了两次工 作。”
凯拉似乎在幻想了,他继续说,“你会用电脑吗?”“当然。”她说。 “你觉得我把你的名字放到营销部的秘书职位上怎么样?” 她笑了,“那样我就能到达拉斯去了。”
“你会喜欢达拉斯的,”他说,“我不能保证马上就有机会,但我会尽力的。” 她想,这个衣服和领带十分整洁、头发梳得整整齐齐的好人可能会让她的工作和生活发生巨 大改变。 彼得穿过大厅坐了下来,打开他的便携式电脑,然后开始完成一些工作。十或十五分钟以 后,他又走回了前台。“听着,”他说,“好像迈克被什么事拖住了,这里有会议室可以让我在 等待的时候坐下来写电子邮件吗?” 凯拉打电话给了负责调配会议室的人并为彼得安排了一个没有登记的会议室。这里的会议室 仿照了一些硅谷公司的做法(苹果也许是第一个这样做的),用卡通人物、连锁饭店、电影 明星或连环漫画英雄的名字来命名。他被告知可以去用米老鼠会议室,她先帮他登记,然后 给他指出了米老鼠的方向。
他找到了那个会议室,安顿下来,把他的便携式电脑连上了以太网端口。
你看到这个场景了吗?
对——这个入侵者已经在公司的防火墙内部连入局域网了。
安东尼的故事
我猜你可能会把安东尼•莱克(Anthony Lake)称为懒惰的商人,或者是近乎“古怪”的人。
他认为他应该为自己工作,而不是为别人:他想开一个商店,这样他就可以整天都待在一个 地方而不用在乡下到处跑了,他想做一些肯定能赚到钱的生意。
开什么店好呢?没过多久他就决定了,他知道修车,就零配件商店好了。
怎样才能保证成功呢?他很快就想到了答案:确定零配件批发商出售给他的商品都是他想要 的成本价。
他们当然不会自动说出来,但是安东尼知道怎样骗人,他的朋友米奇知道如何入侵别人的电 脑,他们一起制定了一个巧妙的计划。
那天他假扮成一个名叫彼得•米尔顿的员工,进入了光荣汽车零配件公司内部并把他的便携 式电脑连上了他们的局域网,一切顺利,但还只是第一步,接下来他要做的事情并不容易, 特别是之前安东尼为自己设置了一个十五分钟的极限时间——如果更久的话他认为被发现的 风险太高了。
米特尼克信箱
不要让你的员工只看到封面就判定一本书的好坏——穿着整洁并不能为某个人带来更多的可 信度。
在之前的电话中他伪装成他们电脑供应商的支持人员花言巧语地表演了一番,“你们公司购 买了两年的技术支持,我们正在把你们加入数据库,这样当你们使用的某个软件程序有了补 丁或是更新版本时我们就可以知道,我需要你告诉我你们使用哪些程序。”然后他得到一张 程序列表,一位会计师朋友确定其中一个调用了 MAS90(译者注:一款财务软件)——这 个程序管理着他们的厂商列表和折扣与各自的付款方式。
有了这些关键信息,他下一步用一个软件程序扫描了局域网中所有的存活主机,没花多少时 间他就找到了财务部门服务器的正确位置。从他的便携式电脑的黑客工具兵器库中,他运行 了一个程序并用它来扫描目标服务器上所有的授权用户。得到了这些之后,他开始尝试了一
系列常用的密码,比如“空”和 “password”,“Password”起作用了,没什么好吃惊的,在选择 密码的时候人们总是缺乏创造力。
才过了六分钟,游戏就完成了一半,他进入了目标服务器。
又过了三分钟,他非常小心地往客户列表里添加了他的新公司、地址、电话号码和联系人, 然后找到一个至关重要的条款,在上面标明所列商品以高于光荣汽车零配件成本1%的价格 卖给他。
十分钟不到,他完成了。然后他停留了足够长的时间向凯拉表示感谢,并说他仔细查看了电 子邮件,了解到计划有变动,迈克•塔尔伯特已经在去客户办公室开会的路上了,他也不会 忘了要把她推荐到营销部门的事。
过程分析
这个自称为彼得•米尔顿的入侵者运用了两次心理战术——一次是有计划的,另一次是临时 准备的。
他穿得像是工资很高的管理人员,精心设计的衣服、领带和发型——这些细节看上去很小, 但是它们能建立第一印象。我自己是无意中发现了这些的,以前我在加利福尼亚州GTE(译 者注:美国通用电器公司)当程序员时,我发现如果有一天我没有带证件,穿着整洁但随意 ——比如,运动衫、休闲裤与 Dockers(译者注:卡其裤经典品牌)——我就会被叫住被盘 问,你的证件,你是谁,你在哪里工作?第二天我再来的时候,依然没有证件但是衣服和领 带看上去非常正规,我用了一个古老的技术混入人群,和他们一起走进公司或安全入口,和 他们聊天,好像我就是他们中的一员。我顺利通过了,即使警卫注意到我没有证件,他们也 不会打扰我,因为我看起来像是管理人员并且还和带着证件的人在一起。
从这些经验中,我了解到应该怎样预测安全警卫的行为,像是我们中的其他人,他们会根据 表面现象进行判断——社会工程师知道怎样利用这个致命弱点。
当攻击者注意到那位接待员不同寻常的努力之后,他的第二个心理战术起作用了。同时处理 很多事情没有让她变得不耐烦,不仅如此,她还让每个人都觉得他们获得了她全部的注意 力,他觉得这些是有上进心、想证明自己的人的标志。然后当他声称在营销部门工作时,他 观察了她的反应,看他是否在她心中建立了友好的形象,他做到了。对于攻击者而言,这意 味着他可以通过承诺帮她找到一份更好的工作来利用她。(当然,如果她说她想去财务部 门,他就会声称自己可以在那里为她联系一份工作。)
入侵者也喜欢在这个故事里使用的另一个心理战术:用两段攻击建立信任。他首先聊到营销 部的工作,然后“提到某个人”——说出另一个员工的名字——一个真实的人,顺便说一句, 那的确是一个真实员工的名字。
他可以马上请求到一间会议室去,但他选择了暂时坐下来,假装在工作并等待他的同事,这 样就可以避免任何可能的猜疑,因为一个入侵者是不会待在附近的。他没有待很长时间,然 而,社会工程师在必要的情况下会待在犯罪现场更长时间。
第十章 进入内部(6)
米特尼克信箱
允许一个陌生人进入到可以把便携式电脑连入公司内部网络的地方,会大大增加安全风险。 这对于一名员工而言非常合理,但是对于一个想要到会议室查看他(或她)的电子邮件的外
部人员,除非已经确定这名访客为可信任的员工或者网络已经被分割出来,阻止未经授权的 连接,这可能是危及公司文件的薄弱环节。
必须明确指出的是:从法律的角度上看,安东尼进入大厅时,他并没有犯法;当他利用一个 真实员工的名字时,他也没有犯法;当他进入会议室时,他也没有犯法;当他连入公司的内 部网络并搜索目标主机时,他也没有犯法。 实际上直到他侵入了计算机系统时,他才违反了法律。
偷窥的凯文
很多年前,当我在一个小公司工作时,我注意到当我走进和其他三个人共用的IT部门办公室 时,有一个特殊的人(乔,我在这里这样称呼他)会迅速地把他的电脑显示器切换到另一个 窗口,我马上觉得这很可疑,当同一天发生超过两次这样的事时,我确信自己将要了解到某 些事,这个人到底不想让我看见什么呢?
乔的电脑是公司小型机的终端,所以我在VAX小型机上安装了一个控制程序,这样我就可以 监视他的一举一动。这个程序类似于一个在他肩膀上面的电视摄像机,把他在电脑上看到的 东西精确地展示给我。
我的桌子就在乔的旁边:我可以把显示器转过来让他看不见,但是他随时都可以走过来,然 后发觉我在监视他。这不是问题:他太专注于所做的事情了。
我看到的东西让我目瞪口呆,这个坏蛋调出了我的工单数据,他在查看我的工资!那时候我 在那里才几个月,我猜乔是无法容忍我的工资比他高。
几分钟后我看见他在下载菜鸟黑客自己写不出来的黑客工具,这样看来乔没什么本事,并且 还没有意识到美国最有经验的黑客就坐在他的右边,我觉得这很好玩。
他已经获得了我的工资信息:要阻止他已经太晚了。此外,任何电脑可以访问IRS(译者 注:美国国税局)或社会保障总署的员工都可以看见你的工资。我当然不想让他发现我知道 了他在干什么,我此时的主要目标是保持低调,一个好的社会工程师不会去到处宣传他的知 识与才干。你通常想让人们低估你,不把你当成威胁。
所以我没有管他了,并且为乔认为他知道了我的一些秘密而暗自发笑。当这些都反过来时: 我获得的信息会比他多得多。 我发现我在IT部门的三个同事全都喜欢查看这个或那个可爱秘书或(为公司里的一个女孩 子)他们盯上的某位帅哥的实得工资,并且他们还喜欢找出公司里任何令他们好奇的人(包 括高层管理人员)的工资和奖金。
过程分析
这个故事说明了一个很有趣的问题,维护公司电脑系统的人可以轻易地访问工资表文件,这 带来的问题是:确定谁可以被信任。在某些情况下,IT人员会在四处察看时无法避免地看到 它,他们可以这样做,因为他们有特权允许他们忽略这些文件的访问控制。 一个安全措施是审核对特别敏感的文件的访问,比如工资表。当然,任何必需有特权的人都 可以关闭审核或移除任何指向他们的纪录,但是每一步额外的步骤都会使不道德的员工在隐 藏部分上花费更多的时间。
预防措施
从翻寻你的垃圾到欺骗安全警卫或接待员,社会工程师可以全面侵入你的公司内部,但是你 会很高兴听到这里有一些你可以采取的预防措施。
临时通行证
所有上班时忘记带证件的员工都必须到大厅前台或警卫室办理一张临时证件,如果这一章第 一个故事中的安全警卫在遇到没有携带员工证件的人时仔细地进行了处理,一切就会大不相 同。
对于安全等级不高的公司或公司区域,也许并不需要强调每个人每时每刻都带着有效证件, 但是对于公司中的敏感区域,这些就需要被严格地强制实行。必须培训员工去质疑没有佩戴 证件的人,高级员工必须允许这些质疑,不去为难那些把他们叫住的人。
公司政策应该忠告那些一直没有佩戴证件的员工:他们所受的处罚可能是直接回家并且拿不 到任何报酬,或者在他的个人档案上写上一笔。一些公司制定了一系列更严厉的处罚,包括 向员工经理报告问题,然后发布正式警告。
另外,在有受保护的敏感资料的地方,公司应该制定在非商业时间访问的授权程序。一个解 决方案是:让公司的安全部门或某个其它指定组管理这些请求,这个组将通过回电给主管或 其它一些相当合理的方法来核实任何请求在非工作时间访问的员工的身份。
慎重处理垃圾
垃圾搜寻的故事揭示了公司的垃圾存在的潜在危险。
下面是八条与之相关的至理名言:
1.基于敏感程度对敏感资料进行分类。 2.在整个公司范围内建立敏感资料丢弃程序。 3.坚持在丢弃敏感信息时先将其粉碎,并使用一个安全的方法去除无法再剪碎的小纸片上 的重要信息。碎纸机绝对不能处于低档粉碎状态,一个坚定的攻击者,加上足够的耐心,就 可以把这些低档粉碎出来的纸片拼起来。只要很好的使用了交叉碎纸机,他们得到的就会是 无用的纸浆。 4.将那些电脑媒体——软盘、Zip盘、被用来存储文件的CD和DVD、可移动磁盘、旧硬盘 等——完全清除或使其无法使用,在它们被丢掉之前。记住,删除文件事实上并没有将其清 除,它们还可以被恢复——就像Enron主管和其他许多人从他们的惊讶中学到的那样,把电 脑媒体扔到垃圾桶里是在向当地友好的垃圾搜寻者发出邀请。(处理媒体与设备的详细指导 方针见第16章) 5.在选择清洁队成员上保持适当程度的控制,如果允许的话进行后台检查。 6.周期性地提醒员工回想他们扔到垃圾桶里的资料种类。 7.锁定垃圾搜寻者。 8.对敏感资料使用分散存储空间,与可信赖的专业资料处理公司签订合同。
第十章 进入内部(7)
对员工说再见
这一点在这几页之前就谈到了,当一名离职员工想要获得敏感信息、密码、拨入号码等等 时,需要执行严格的程序。你的安全程序需要提供一个多种系统的授权纪录。也许很难阻止 一个坚定的社会工程师突破你的防御网,但是不要让一个离职员工都可以轻易做到。
另一个措施很容易被忽视:当一名可以从存储器恢复备份数据的员工离开时,应当为存储器 调用一个写好的策略,马上通知将她的名字从授权列表中删除。
这本书的第十六章详细讲述了这个重要主题,但是在这里列出某些适当的安全措施很有帮 助,就像通过那个故事强调的那样:
按照一张完整、严格的步骤列表上的内容处理一名员工的离职,对于访问过敏感数据的员工 要有特殊的规定。
关闭员工的直接访问权限——最好在其离开公司之前。
不仅恢复员工ID证件需要按程序进行,任何密匙或电子访问设备也同样需要。
规定在允许任何没有安全密码的员工进入之前安全警卫要查看他或她的照片ID,在验证列表 上核实姓名,确定这个人仍是这家公司的员工。 更多的步骤对于一些公司而言未免太繁琐或太昂贵了,但是却适合一些其他的公司,下面是 一些更严格的安全措施:
电子ID证件结合入口处的扫描器,当每个员工将他的证件从扫描器上划过时,电子实时判断 会得出此人为当前员工并有权进入大楼。(注意,无论如何还是必须被培训安全警卫提防蒙 混过关者——一个未经认证紧跟在合法员工身后的人。)
所有员工都必须在同一组内,当某个人离开时(尤其是如果这个人被解雇了)更改他们的密 码。(看上去很偏激?在通用电器公司工作的那一段时间之后很多年,我了解到当太平洋电 话的警卫听到通用电器公司把我解雇了时,“到处都是笑声。”但是对于通用电器公司的信 任,当他们了解到一个有名的黑客曾经为他们工作时,在解雇了我之后,他们就必须更改公 司里所有人的密码!)
你不想让你的公司变得像牢房一样,但是同时你需要防范那些刚被解雇就跑来想做坏事的 人。
不要忘记任何人
安全警卫要注意入门级的员工,比如并不处理公司敏感信息的接待员。我们曾经在其它地方 看到过,接待员是最受攻击者青睐的目标,本章中闯入汽车零配件公司的故事则是另一个例 子:一个友好的穿着很专业的人,可能并不是他所声称的来自其它区域分公司的员工。需要 良好的培训接待员,如何在适当的时候礼貌地请求公司ID,培训不只是针对主要的接待员, 还包括每一个在午餐或下午茶时间零时坐在接待处的人。 对于公司外部的访客,需要查看其照片ID并记录信息。伪造ID并不很难,但至少严格的ID验 证可以让攻击者使用电话冒充更加困难。
在一些公司,实行全程陪同访客(从大厅到会议室)的安全策略很有意义,程序应该规定陪 同人员在把访客送到会面地点之前要先弄清楚这个人是员工还是非员工。为什么这很重要? 因为就像我们在之前的故事中看到的那样,攻击者经常会变换角色,在大厅中表演对他们而 言实在是太简单了,使接待员相信他有一个会议要参加,说,有个工程师……陪他到那个工 程师的办公室……与工程师会谈之后,他才可以自由行动。 在允许一名异地员工进入之前,必须履行适当的程序,确认此人真的是公司的员工。接待员 和警卫必须要了解攻击者伪造身份所使用的方法。
怎样阻止攻击者进入大楼并把便携式电脑连入公司的内部网络?拜当今的技术所赐,这的确 是个挑战:会议室、培训室和其它类似的地方都不应该留下不安全的网络端口,应使用防火 墙或路由器将其保护起来,但更好的做法是使用安全的方法对任何连入网络的用户进行识 别。
保护IT部门!
忠告:在你的公司里,IT部门的每一位员工或许都知道(或能花几分钟时间找出)你的收 入、CEO的实得工资和谁用了公司的钱去滑雪度假。 在一些公司甚至有可能出现IT人员或会计人员给他们自己加工资、向一个伪造的卖家付款、 删除人力资源档案中消极的评价等情况。有时候只是因为担心被抓住,他们才没有那样做, 直到有一天,某个贪婪或本性不诚实的人冒着风险做了所有他认为能免于责罚的事情。
这里当然也有解决方案,可以通过配置严格的访问控制来保护敏感文件,所以只要验证访问 者有权打开它们。有一些操作系统的审核控制能设定保留事件的日志,比如每一个试图访问 敏感文件的人(无论是否访问成功)。
如果你的公司了解了这一问题并恰当地实现了对敏感文件的访问控制与审核——你就在正确 的方向上迈出了强有力的一步。
540
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
