按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
,他们派的那位女士想用60美元现金向一位看门人买下ACT的那些垃圾,结果被拒绝了,她第二天晚上再回来的时候,把价钱上升到给清洁工500美元和给主管200美元,但那位清洁工拒绝了这笔意外之财并且汇报了这一情况。
领先一步的在线新闻记者迪克兰·迈古拉引用了很多资料,他在连线新闻故事中使用的标题是“甲骨文紧盯微软”,《时代》周刊紧跟甲骨文的埃里森,他们报道的标题是“偷窥的拉里”。
过程分析
基于我自己的经历和甲骨文的经历,你可能会感到奇怪:为什么人们要惹麻烦去冒险偷别人的垃圾?
答案,我认为,是因为风险为零并且好处多多。好吧,也许去贿赂看门人增加了成功的几率,但是在任何愿意变脏一点的人看来,完全没有必要去贿赂。
对于一个社会工程师而言,垃圾搜寻自有它的好处,他可以得到足够的信息来指引他对目标公司的攻击;这些信息包括备忘录、会议议程、信件和那些泄漏的姓名、部门、标题、电话号码与工程任务。垃圾桶里出产公司机构图、法人结构信息、旅行时间表等等,这些资料对内部人员而言价值不高,但是它们在攻击者看来可能是很贵重的信息。
马克·约瑟夫·爱德华兹(Mark Joseph Edwards)在他的书《Windows NT因特网安全》中谈到“整份报告因为排版错误而被扔了,密码被写在残余的纸片上,‘当你离开的时候’的讯息上有电话号码,所有文件的文件夹还在里面,磁盘和录音带没有被清除或销毁,这些都可以帮助一名想要入侵的人。”
作者接下来问道:“你的清洁队里都有些什么人?你不允许清洁工进入计算机机房,但是别忘了那些垃圾桶。如果联邦机构认为有必要对那些有权使用他们的废纸篓和碎纸机的人进行后台检查,你或许就更应该这样做。”
米特尼克信箱
你的垃圾可能是你对手的财富。我们对那些在我们的个人生活中扔掉的东西考虑得并不多,有什么理由让我们相信人们在工作中会有不同的态度呢?这些都涉及到训练员工了解威胁(搜寻有用信息的坏人)和弱点(没有被粉碎或完全清除的敏感信息)。
被羞辱的上司
当哈伦·福尔蒂在星期一早晨像往常一样到郡公路局上班,并说他从家里出来得太急忘了带证件时,没有人对这件事有任何想法。那个警卫在这里工作了两年,天天看着哈伦进进出出,她给了他一个临时员工证件并要他签上名。然后他继续行动。
两天以后,灾难降临了。那个故事在整个公路局里快速传播着,有一半的人不敢相信这是真的,其余的人则不知道是哈哈大笑好还是该同情这个可怜的人。
毕竟,乔治·阿达姆松(George Adamson)是个友好而富于同情心的人,是他们曾经有过的最好的上司,这些不应该发生在他身上。当然,如果这个故事是真的的话。
星期五晚些时候,当乔治把哈伦叫到办公室里并尽可能温和地告诉他,星期一他要到卫生局的新工作上报到时,麻烦开始了。对于哈伦而言,这比被解雇更坏,他绝不能忍受这种羞辱。
那天傍晚他独自一人坐在阳台上注视着来来往往的车辆,最后他发现那个被人称作“战争游戏男孩”的大卫正骑着电动车从学校回来。他把大卫叫住,给了他一瓶特意买来的红色密码(译者注:百事可乐的一种桃红色威士忌),然后提出了一个交易:用最新的电视游戏机和六个游戏换取少量的电脑帮助和一个保守秘密的承诺。
在哈伦解释了任务之后——没有任何危险的细节——大卫同意了,他详细描述了哈伦要做的事情,买一个调制调解器,进入办公室,找到一台旁边有多余电话插口的电脑,插上调制调解器,把它放到桌子下面一个没人能看见的地方。接下来的事情有一定的危险,哈伦要坐在那台电脑上安装一个远程控制软件包并运行,在这个办公室里工作的人可能会在任何时间出现,或者某个经过这里的人会看见他在别人的办公室里。哈伦非常紧张,因为他很难读懂大卫为他写下的使用说明,但他还是办到了,并且在没有任何人注意到的情况下溜了出来。
埋下炸弹
大卫吃完晚饭后留了下来,两个人坐在哈伦的电脑面前,这个男孩花了点时间拨入那个调制调解器,获得访问权限,然后到达了乔治·阿达姆松的机器。这并不很难,乔治从没有过任何防范措施(比如更改密码),并且总是让这个或那个人为他下载或Email某个文件,这样一来,办公室里的每个人都知道了他的密码。稍微搜索之后大卫找到了一个名为BudgetSlides2002。ppt的文件,他把它下载到了哈伦的电脑上,然后哈伦让他先回家,几个小时候再来。
当大卫回来的时候,哈伦要他再次连接到公路局的电脑系统并用一个相同的文件覆盖掉之前找到的那个文件。之后哈伦给大卫看了那个电视游戏机,并许诺一切顺利的话,第二天他就可以拿到它。
吃惊的乔治
想不到预算听证会这种很无聊的事情能让这么多人感兴趣,郡参议会的办公室里挤满了记者、专业兴趣组的代表、公众成员,甚至还有两个电视新闻组。
乔治在这些会议上总是有些战战兢兢。郡参议会掌管着财政,如果他不能拿出一份有说服力的报告的话,公路局的预算就会被否决掉,然后每个人都会开始抱怨道路上的洞坑、不亮的红绿灯和危险的十字路口,并且责怪他,接下来整整一年的生活都会变得极度拮据。但是这天晚上当他被介绍时,他很有自信地站了起来。他已经为这个报告工作了六个星期,还给他的妻子、高层的同事和一些敬重的朋友试验过这个PowerPoint演示,每个人都认为这是他有过的最好的报告。
起先的三个PowerPoint图片显示得很好,换了个心情,每一个参议会的成员都专心起来,他有效地表达了自己的观点。
然后一切都突然变得不正常了,第四张图片应该是去年新扩建的公路日落时的美丽画面,却变成了一些令人难堪的东西,一张来自《阁楼》或《好色客》杂志的图片。当他匆忙点击便携式电脑的按钮进入下一张图片时,他听到下面的观众全都倒吸了一口气。
这一个更糟,简直就难以想象。
他仍然试图单击到另一张图片,但观众里的某个人拔下了放映机的插头,然后主席重重地敲下了他的槌子,压过喧闹大声宣布会议暂停。
过程分析
利用一个少年黑客的专业技术,一个不满的员工进入了他的部门主管的电脑,下载了一个重要的PowerPoint文件,并把一些幻灯片替换成了几张令人难堪的图片,然后把这个文件放回到那个人的电脑。
通过一个插好的调制调解器,这个年轻的黑客可以从外部拨入并连接到办公室的某台电脑。这个男孩预先安装了一个远程控制软件,只要连接到那台电脑,他就可以访问系统里的每一个文件。之前这台电脑已经被连接到了网络,他也知道了这个主管的用户名和密码,他可以轻易地访问主管的文件。
包括搜索杂志图片的时间,总共才用了几个小时,结果让一个好人的声誉受到了难以估量的损失。
米特尼克信箱
大多数被调动、解雇或被降职的员工都不是麻烦,但只要有一个就可以让公司认识到所有的防范措施都太迟了。经验和统计图表都清晰地表明了企业面临的最大威胁来自于内部人员,内部人员知道哪里有贵重信息,攻击哪里可以造成最大伤害。
营销员
一个舒适的秋天上午,彼得·米尔顿(Peter Milton)走进了光荣汽车零配件(一个汽车零件市场的本土零件批发商)丹佛区域办公室大厅,他在接待处等待着,那个年轻的女士正在登记一个访客,给一个打来电话的人驾驶指引,应付接连不断的人,所有这些差不多都是在同一时间。
“你是怎样学会同时处理这么多事情的?”彼得在她有空接待他的时候说,她笑了,显然很高兴。他来自达拉斯办公室的营销部,他告诉她,并说亚特兰大销售区预的迈克·塔尔伯特(Mike Talbott)要和他会谈。“今天下午我们要一起去拜访一位客户,”他解释说,“我就在大厅里等他。”
“营销,”她说这个词的时候几乎有些忧伤,彼得微笑着看着她,等待着下文,“如果我上了大学的话,我就会做营销员。”她说,“我喜欢营销这份工作。”
他再一次笑了,“凯拉,”他说,把前台上她的签名读了出来,“我们达拉斯办公室有位女秘书,她自己离开了营销部,那是三年前的事了,现在她是市场经理助理,她换了两次工作。”
凯拉似乎在幻想了,他继续说,“你会用电脑吗?”“当然。”她说。
“你觉得我把你的名字放到营销部的秘书职位上怎么样?”
她笑了,“那样我就能到达拉斯去了。”
“你会喜欢达拉斯的,”他说,“我不能保证马上就有机会,但我会尽力的。”
她想,这个衣服和领带十分整洁、头发梳得整整齐齐的好人可能会让她的工作和生活发生巨大改变。
彼得穿过大厅坐了下来,打开他的便携式电脑,然后开始完成一些工作。十或十五分钟以后,他又走回了前台。“听着,”他说,“好像迈克被什么事拖住了,这里有会议室可以让我在等待的时候坐下来写电子邮件吗?”
凯拉打电话给了负责调配会议室的人并为彼得安排了一个没有登记的会议室。这里的会议室仿照了一些硅谷公司的做法(苹果也许是第一个这样做的),用卡通人物、连锁饭店、电影明星或连环漫画英雄的名字来命名。他被告知可以去用米老鼠会议室,她先帮他登记,然后给他指出了米老鼠的方向。
他找到了那个会议室,安顿下来,把他的便携式电脑连上了以太网端口。
你看到这个场景了吗?
对——这个入侵者已经在公司的防火墙内部连入局域网了。
安东尼的故事
我猜你可能会把安东尼·莱克(Anthony Lake)称为懒惰的商人,或者是近乎“古怪”的人。
他认为他应该为自己工作,而不是为别人:他想开一个商店,这样他就可以整天都待在一个地方而不用在乡下到处跑了,他想做一些肯定能赚到钱的生意。
开什么店好呢?没过多久他就决定了,他知道修车,就零配件商店好了。
怎样才能保证成功呢?他很快就想到了答案:确定零配件批发商出售给他的商品都是他想要的成本价。
他们当然不会自动说出来,但是安东尼知道怎样骗人,他的朋友米奇知道如何入侵别人的电脑,他们一起制定了一个巧妙的计划。
那天他假扮成一个名叫彼得·米尔顿的员工,进入了光荣汽车零配件公司内部并把他的便携式电脑连上了他们的局域网,一切顺利,但还只是第一步,接下来他要做的事情并不容易,特别是之前安东尼为自己设置了一个十五分钟的极限时间——如果更久的话他认为被发现的风险太高了。
米特尼克信箱
不要让你的员工只看到封面就判定一本书的好坏——穿着整洁并不能为某个人带来更多的可信度。
在之前的电话中他伪装成他们电脑供应商的支持人员花言巧语地表演了一番,“你们公司购买了两年的技术支持,我们正在把你们加入数据库,这样当你们使用的某个软件程序有了补丁或是更新版本时我们就可以知道,我需要你告诉我你们使用哪些程序。”然后他得到一张程序列表,一位会计师朋友确定其中一个调用了MAS90(译者注:一款财务软件)——这个程序管理着他们的厂商列表和折扣与各自的付款方式。
有了这些关键信息,他下一步用一个软件程序扫描了局域网中所有的存活主机,没花多少时间他就找到了财务部门服务器的正确位置。从他的便携式电脑的黑客工具兵器库中,他运行了一个程序并用它来扫描目标服务器上所有的授权用户。得到了这些之后,他开始尝试了一系列常用的密码,比如“空”和“password”,“Password”起作用了,没什么好吃惊的,在选择密码的时候人们总是缺乏创造力。
才过了六分钟,游戏就完成了一半,他进入了目标服务器。
又过了三分钟,他非常小心地往客户列表里添加了他的新公司、地址、电话号码和联系人,然后找到一个至关重要的条款,在上面标明所列商品以高于光荣汽车零配件成本1%的价格卖给他。
十分钟不到,他完成了。然后他停留了足够长的时间向凯拉表示感谢,并说他仔细查看了电子邮件,了解到计划有变动,迈克·塔尔伯特已经在去客户办公室开会的路上了,他也不会忘了要把她推荐到营销部门的事。
过程分析
这个自称为彼得·米尔顿的入侵者运用了两次心理战术——一次是有计划的,另一次是临时准备的。
他穿得像是工资很高的管理人员,精心设计的衣服、领带和发型——这些细节看上去很小,但是它们能建立第一印象。我自己是无意中发现了这些的,以前我在加利福尼亚州GTE(译者注:美国通用电器公司)当程序员时,我发现如果有一天我没有带证件,穿着整洁但随意——比如,运动衫、休闲裤与Dockers(译者注:卡其裤经典品牌)——我就会被叫住被盘问,你的证件,你是谁,你在哪里工作?第二天我再来的时候,依然没有证件但是衣服和领带看上去非常正规,我用了一个古老的技术混入人群,和他们一起走进公司或安全入口,和他们聊天,好像我就是他们中的一员。我顺利通过了,即使警卫注意到我没有证件,他们也不会打扰我,因为我看起来像是管理人员并且还和带着证件的人在一起。
从这些经验中,我了解到应该怎样预测安全警卫的行为,像是我们中的其他人,他们会根据表面现象进行判断——社会工程师知道怎样利用这个致命弱点。
当攻击者注意到那位接待员不同寻常的努力之后,他的第二个心理战术起作用了。同时处理很多事情没有让她变得不耐烦,不仅如此,她还让每个人都觉得他们获得了她全部的注意力,他觉得这些是有上进心、想证明自己的人的标志。然后当他声称在营销部门工作时,他观察了她的反应,看他是否在她心中建立了友好的形象,他做到了。对于攻击者而言,这意味着他可以通过承诺帮她找到一份更好的工作来利用她。(当然,如果她说她想去财务部门,他就会声称自己可以在那里为她联系一份工作。)
入侵者也喜欢在这个故事里使用的另一个心理战术:用两段攻击建立信任。他首先聊到营销部的工作,然后“提到某个人”——说出另一个员工的名字——一个真实的人,顺便说一句,那的确是一个真实员工的名字。
他可以马上请求到一间会议室去,但他选择了暂时坐下来,假装在工作并等待他的同事,这样就可以避免任何可能的猜疑,因为一个入侵者是不会待在附近的。他没有待很长时间,然而,社会工程师在必要的情况下会待在犯罪现场更长时间。
米特尼克信箱
允许一个陌生人进入到可以把便携式电脑连入公司内部网络的地方,会大大增加安全风险。这对于一名员工而言非常合理,但是对于一个想要到会议室查看他(或她)的电子邮件的外部人员,除非已经确定这名访客为可信任的员工或者网络已经被分割出来,阻止未经授权的连接,这可能是危及公司文件的薄弱环节。
必须明确指出的是:从法律的角度上看,安东尼进入大厅时,他并没有犯法;当他利用一个真实员工的名字时,他也没有犯法;当他进入会议室时,他也没有犯法;当他连入公司的内部网络并搜索目标主机时,他也没有犯法。
实际上直到他侵入了计算机系统时,他才违反了法律。
偷窥的凯文
很多年前,当我在一个小公司工作时,我注意到当我走进和其他三个人共用的IT部门办公室时,有一个特殊的人(乔,我在这里这样称呼他)会迅速地把他的电脑显示器切换到另一个窗口,我马上觉得这很可疑,当同一天发生超过两次这样的事时,我确信自己将要了解到某些事,这个人到底不想让我看见什么呢?
乔的电脑是公司小型机的终端,所以我在VAX小型机上安装了一个控制程序,这样我就可以监视他的一举一动。这个程序类似于一个在他肩膀上面的电视摄像机,把他在电脑上看到的东西精确地展示给我。
我的桌子就在乔的旁边:我可以把显示器转过来让他看不见,但是他随时都可以走过来,然后发觉我在监视他。这不是问题:他太专注于所做的事