订阅数:8652据科学连线网报道,近日美国科学家进行了首次模拟电脑黑客攻击人类大脑的实验.实验不仅引起了FBI的注意,并且一些特殊的电脑网络案件也使网络安全专家 担心万分.据报道,在过去的一个月里,多位患有癫痫病的网友向警方报案称,他们在浏览一些网站的时候,发觉出现意识不清的现象,甚至有被人控制的感觉. FBI在经过调查后发现,一些电脑黑客在使用特殊的方法“攻击”使用电脑的癫痫病患者,故意使他们发病.
电脑骇客首次攻击人类大脑
据报道,虽然在实验中,科学家没有发现模拟攻击可以控制人大脑的确切证据,但是发现了一些攻击在人脑功能上具有异常的反应.专家因此表示现在的科技能力还未能达到直接攻击人类大脑并控制那样的情况.但目前电脑黑客的技术,有可能使电脑病毒攻击人类大脑功能成为现实.FBI在一个月前就发现有一个秘密的黑客组织利用技术,使网页出现大量不断闪烁的图像,意图很明显是为了引发癫痫患者发作.癫痫病患者浏览这些伪装成可以治疗他们疾病的网站时,这些闪烁的图片会诱使他们癫痫病发作,目前还不能肯定有多少人受到影响.
据美联社报道:这些黑客进入癫痫病联盟网站,意图似乎不在利益,黑客也并没有通过这些有害的网页以控制受害人的电脑.但反病毒软件安全研究员保罗-弗格森说:“我猜想这可能和青少年犯罪有同一性质,他们并没有意识到这件事造成了多大的危害.”
但是参与实验的专家担心,如果黑客使用其他方式攻击人类也不是没有可能,而且目前一些生物仿生技术的使用,使得黑客完全有机会利用网络来攻击人类大脑.
第十五章 信息安全知识与培训
一个社会工程师已经关注你的新产品发布计划两个月了。
有什么能阻止他?
你的防火墙?不行。
强大的验证设施?不行。入侵检测系统?不行。加密?不行。
限制调制解调器的访问?不行。
编码服务器名称,使入侵者无法确定产品计划所在的服务器?不行。
事实上,没有任何技术能防范社会工程学攻击。
安全技术、培训和程序
许多公司在他们的安全渗透测试报告中说,他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百成功。使用安全技术的确可以让这些攻击更难实施,但唯一真正有效的办法是,将安全技术和安全策略结合起来,规范员工行为并适当地进行培训。
只有一种方法能让你的产品计划安全,那就是接受过安全培训的负责任的员工。这不仅涉及到安全策略和安全程序的培训,还包括了安全知识的培训。一些权威人士建议把公司40%的安全预算用在安全知识的培训上。
第一步是让企业的每一个人都认识到那些能操纵他们心理的人的存在,员工们必须了解信息需要哪些保护与如何保护。当人们了解了操纵的细节时,他们便能在攻击初期更好地处理。
安全培训也意味着让企业的所有员工了解公司的安全策略与程序,就像在第17章所讨论的那样,策略是指导员工行为保护企业信息系统与敏感信息所必须的规则。
本章和下一章提供了一张把你从可怕的攻击中解救出来的安全蓝图。如果你没有培训并警告员工遵循谨慎考虑过的程序,这也许没什么大不了的,在你被社会工程师窃取贵重信息之前。不要等到攻击发生才制定这些策略:这对你的事业和你的员工福利将是毁灭性的。
了解攻击者是怎样利用人的天性的
为了制定一套成功的培训程序,首先你必须了解为什么人们容易遭受攻击,在你的培训中识别这些倾向——比如,通过角色扮演讨论引起他们的注意——你能帮助你的员工了解为什么我们都能被社会工程师轻易地操纵。
社会科学家对心理操纵的研究至少已经有50年了,罗伯特•B•西奥迪尼(Robert B
Cialdini)在科学美国人(2001年2月)杂志中总结了这些研究,介绍了6种“人类天性基本倾向”。
这6种倾向正是社会工程师在他们的攻击尝试中所依赖的(有意识的或者无意识的)。
权威
当请求来自权威人士时,人们有一种顺从的倾向。就像本书其它地方所讨论的那样,如果人们相信请求者是权威人士或有权进行这样的请求的人,他(或她)便会毫不怀疑地执行请求。
在西奥迪尼博士写的一篇论文中,一个声称是医院医师的人打电话给三家中西部医院的22个独立护士站要求她们为病房的一个病人送去处方药,收到这些命令的护士们根本不认识呼叫者,她们甚至不知道他是否真的是医师(他不是),她们是从电话里收到处方药的命令的,这显然违背了医院的策略。她们被要求送给病人的药物是未授权,并且剂量是每日最大剂量的两倍,这足够危及病人的生命了。然而在95%的案例中,西奥迪尼写道,“护士从病房医药箱中取出了足够的剂量并把它给了病人。”之后观察者阻止了护士并解释这是一次实验。
攻击举例:一个社会工程师试图伪装成IT部门的权威人士,声称他是公司的主管(或者为主管工作的人)。
爱好
当作出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见是,人们总是倾向于顺从。
攻击举例:通过交谈,攻击者设法了解了目标的兴趣或爱好,并声称他也有相同的兴趣或爱好,或者来自于同一个州或学校,或者有相似的目标。社会工程师还会尝试模仿目标的行为创造相似性。
报答
当我们被给予(或者许诺)了一些有价值的东西时,我们可能会自动地同意请求。礼物可以是资料、建议、或帮助,当有人为你做了一些事情时,你会倾向于报答他。这种强烈的报答倾向甚至在你收到了并不需要的礼物时依然存在。让人们“帮忙”(同意请求)的最有效的方法之一就是给予一些礼物形成潜在的债务。
哈瑞奎师那教徒善于此道,他们会送书籍或者鲜花作为礼物,然后等待回报。如果收到礼物的人想要归还礼物,给予者便会拒绝并说明,“这是我们给你的礼物。”这一回报行为法则被奎师那教徒们用在了增加捐款上。
攻击举例:一个员工接到了自称是IT部门的人的电话,呼叫者解释说公司的一些电脑感染了还没有被杀毒软件识别的破坏电脑文件的新病毒,并建议他进行一些步骤来防御病毒。在这之后,呼叫者让他测试了一个允许用户更改密码的加强版软件程序,这名员工很难拒绝,因为呼叫者是在帮助他防御病毒,他的回报就是响应呼叫者的请求。
守信
当人们公开承诺了或者认可了一些事情时,会倾向于顺从。一旦我们承诺了一些事情,为了避免自己成为不可信赖或者不受欢迎的人,我们会倾向于坚持我们的立场或承诺。
攻击举例:攻击者联系上了一个新员工并提醒她遵守某些安全策略与程序,比如允许使用公司信息系统的情况。在讨论了一些安全规定之后,呼叫者向用户请求她的密码进行“灵活度检查”以选择高强度的密码。一旦用户说出了她的密码,呼叫者便会提出一些创建密码的建议使攻击者无法猜测密码。受害人顺从了,因为她之前已经答应遵守公司的策略,并且她认为呼叫者只不过是在帮她检查密码是否合适。
社会认可
当要做的事情看上去和别人所做的事情一样的时候,人们会倾向于顺应请求。当其他人也这样做时,人们就会认为这些(值得怀疑的)行为是正确的。
攻击举例:呼叫者说他正在进行一次调查并说出了部门中的其他人的名字,他声称这些人已经和他合作过了。受害人相信其他人已经确认了这一请求的合法性,于是呼叫者问了一系列的问题,其中一项引导受害人说出他的计算机用户名和密码。
短缺
当人们相信物品供应不足并且有其他竞争者(或者只在短时间内有效)时,便会倾向于顺应请求。
攻击举例:攻击者发送了一封email声称在公司的新网站上注册的前500个人将赢得一部热门电影的电影票。当一名毫不怀疑的员工在该网站上注册时,他会要求提供他的公司email地址并选择一个密码。有很多人为了方便,总是倾向于在他们使用的每一个计算机系统上使用相同或相似的密码,利用这一点,攻击者便能使用此用户名和密码(在网站注册过程中填写的)攻击目标的工作或家庭计算机系统。
创建培训程序
发行一本安全策略手册或者让员工关注企业内网上的安全策略资料,这些都不会单独减少你面对的威胁。每一家商业公司都必须写下这些策略详细地制定规则,而且必须对涉及企业信息或计算机系统的每一个人进行额外的引导,让他们学习并遵循这些规则。此外,你还必须确保他们理解了每一条策略的制定原因,这样他们才不会为了方便而绕过这些规则。另外,员工的借口永远都是“不了解”,而这正是社会工程师所利用的弱点。
任何安全识别程序的首要目标都是影响人们改变他们的行为和态度,鼓励员工参与到企业信息资产的保护中来。在这种情况下的一种很好的激励方式是向员工解释他们的行为不仅能让公司受益,对他们个人也很有好处。如果公司对每一位员工都保留了一些隐私信息,那么当员工们尽职保护信息或信息系统时,他们事实上也保护了他们自己的信息。
安全培训程序需要覆盖允许访问敏感信息或企业计算机系统的每一个人,必须正在实施,还必须不断地修订与更新以应对新的威胁和攻击,员工们必须看到高级管理人员完全遵守了程序规定,承诺必须是真实的,而不是橡皮盖章的“我们承诺”备忘录,并且程序还必须有足够的资源支持其发展、通信与测试。
目标
发展信息安全知识与培训程序的基本原则是让所有员工意识到他们的公司在任何时候都有可能遭受攻击。他们必须认识到每一个员工都扮演着保护计算机系统或敏感数据的重要角色。
因为信息安全在很多方面都涉及到了技术,所以员工会轻易地认为问题已经被防火墙或其它安全工具处理了。培训的一个主要目标就是让每一个员工认识到他们处在保护企业整体安全的最前沿。
安全培训必须要有一个深入的、较大的目标,而不是简单地制定规则。培训程序设计者必须认识员工所面对的巨大的诱惑,为了完成工作而忽略他们的安全职责。了解社会工程学策略和怎样防范攻击非常重要,但这只在培训程序激发了员工使用这些知识的情况下才有效。
公司可以用一个类似于会议基本目标的概念来判断培训程序是否有效:在结束培训之后,他(或她)是否认为信息安全是他(或她)的工作之一。
员工们必须认识到来自社会工程学的威胁是真实的,敏感企业信息的损失会危及到公司和他们自己的个人信息。在某种意义上说,忽视信息安全相当于泄漏某人的自动取款机PIN码或者信用卡号,类似的比喻可以增加员工培养安全习惯的积极性。
建立知识与培训程序
负责设计信息安全程序的人必须认识到这不是一个一刀切的项目,培训程序需要适应企业内不同组的特殊需要。在16章描述的许多安全策略都是全体适用的,而很多其它的策略是针对指定员工组的。大部分公司的培训程序都需要适应以下这些组:管理人员、IT职员、计算机用户、非技术人员、行政助理、接待员和安全警卫。(请看第16章,根据工作分配分解策略)
因为公司的商业安全警卫通常并不精通电脑,并且,他们接触公司电脑的几率很小,所以在设计培训程序时通常不会考虑他们。但是,社会工程师可以欺骗安全警卫或其他人放他们进大楼或办公室,或者让他们协助实施计算机入侵。警卫当然不需要像操作电脑的人那样参加全部的培训,但是他们必须了解安全知识程序。
在企业内部或许会有哪些是所有员工都需要培训的重要、固有的安全缺陷,设计优秀的信息安全培训程序必须获知并捕捉学习者的积极性和注意力。
信息安全知识与培训的目标应当包括一次迷人的交互式体验,可以通过角色扮演演示社会工程学攻击,评价最近媒体对那些不幸的公司的攻击报导,讨论这些公司怎样才能避免损失,或者播放既生动又有教育性的安全视频,有几家安全公司销售这些视频和相关的资料。
注释
对于那些没有资源开发内部程序的公司,有几家培训公司提供安全知识培训服务,可以在Secure World Expo (www.secureworldexpo.com)上找到这些公司的信息。
本书中的故事提供了许多材料说明社会工程学方法和策略来加强威胁意识,展示人类行为的弱点,可以考虑使用他们的方案进行角色扮演活动,这些故事同时也提供了有趣的讨论机会,比如受害者可以怎样回应来抵御攻击。
熟练的课程设计者和熟练的讲师会发现很多挑战,但也有很多机会让课堂活跃起来,还可以在此过程中促使人们成为解决方案的一部分。
培训结构
所有员工都必须参加基本的安全知识培训程序,新员工必须参加培训作为他们的初始教育,我建议规定新员工不能接触公司的计算机系统,直到他们完成了基础安全知识课程。
对于初始的安全知识培训,我建议简短一些,但能引起足够的注意力,让员工们记住重要的讯息。当因资料过多而需要长时间培训时,必须提供合理的基本讯息数量,我认为超过半天或全天的培训会让人们因信息过多而变得麻木。
这些课程的重点应当是让员工认识到自己和公司都有可能遭受攻击,除非所有员工都有很好的安全习惯。比学习指定的安全策略更重要的是激发员工对公司安全的责任心。
在员工不愿意参加教室课程的情况下,公司应当考虑进行其它形式的教学,比如录像、基于计算机的培训、在线课程或者编写材料。
在短期的初始培训课程之后,还应当设计长期课程让不同职位的员工了解特殊的漏洞与攻击技术,第二次培训至少要持续一年以上。威胁的种类与攻击的方法都在不停地变换,所以课程的内容应当不断更新,此外,人们的知识和戒心会随着时间的推移而减少,所以培训必须每隔一段时间重复一次,才能不断地加强员工的安全意识。再重申一次,培训不仅要曝光安全威胁和社会工程学策略,还要让员工了解到安全策略的重要性并使他们拥护这些策略。
管理人员必须给他们的下属一段合理的时间熟悉安全策略和程序并参加安全知识培训。员工们不应当指望在非工作时间学习安全策略或参加安全培训,新员工应当有足够的时间熟悉安全策略,在开始他们的工作之前养成良好的安全习惯。
在企业内部更换了工作岗位,涉及到访问敏感信息或计算机系统的员工同样需要完成他们新工作的安全培训程序。比如,当一个电脑操作员成了系统管理员(或者一个接待员成了行政助理)时,就需要新的培训。
培训课程内容
在归纳基本原理的时候,所有的社会工程学攻击都有一个共同元素:欺骗。受害者相信攻击者是同一家公司的员工或者有权访问敏感信息的其他人,或者有权指挥受害者操作一台计算机或计算机相关的设备。只要员工简单地进行以下两个步骤,就可以防范几乎所有的这些攻击:
核实请求者的身份:进行请求的这个人是他所声称的那个人吗?
核实请求者是否已授权:这个人需要知道这些吗?他有没有被授权进行这种请求?
注释:
因为安全知识与培训是不完美的,所以最好在创建防御体系时深入地使用安全技术。技术性的安全措施要比针对员工个体的安全措施有效,比如,可以通过配置操作系统禁止员工从互联网上下载软件或使用简短的弱口令。
如果知识培训课程改变了员工的行为,那么可以用这些标准对员工进行测试请求,相应的社会工程学攻击威胁将大大减少。
一个实用的信息安全知识与培训程序应当包含以下内容:
描述攻击者怎样使用社会工程学技能行骗。
社会工程师实现他们目标的方法。
怎样识别可能的社会工程学攻击。
处理可疑请求的程序。
在哪里报告攻击企图或者成功的攻击。
质疑提出可疑请求的人的重要性,不管他声称自己是何职位。
在现实中,他们不应在没有严格验证的情况下完全相信别人,虽然他们更愿意在拿不准把别人往好处想。
对任何请求信息或操作的人进行身份验证与授权验证的重要性(第16章,“验证与授权程序”,描述了这些验证方式)。
保护敏感信息的程序,包括熟悉所有的数据分类系统。
公司的安全策略与程序的定位,保护信息与企业信息系统的重要性。
关键安全策略与它们的含义汇总。例如,指导每一个员工设定高强度的密码。
每一个员工遵守策略的职责与不服从的后果。
通过解说社会工程学介绍几种交互类型。攻击者为了达到他(或她)的目标,会非常频繁地使用不同的技术和通信方式,因此,一个成熟的培训程序应当包括以下内容的一部分或全部:
涉及到计算机和语音信箱密码的安全策略。
解密敏感信息或资料的程序。
Email使用策略,包括防范恶意代码攻击(病毒、蠕虫和特洛伊木马)的安全措施。
物理安全要求,比如佩戴证件。
在遇到未佩戴证件的人时,有询问质疑的责任。
良好的语音邮件安全习惯。
如何确定信息分类和适当的安全措施。
适当的处理敏感文档和过去存放过机密资料的计算机媒体。
同样,如果公司计划使用渗透测试来确定针对社会工程学攻击的安全措施是否有效,应当警告员工注意这次练习,让员工们知道有时候他们会接到使用了攻击技术的电话或其它通讯,作为测试的一部分。测试的结果不会有任何惩罚,但是可能会需要一定范围内的额外培训。
上述内容的详细资料可以在第16章找到。
测试
你的公司可能需要在员工使用计算机系统之前测试他们是否已经掌握了这些安全知识。如果你想设计一个测试程序,有许多评价设计软件程序能让你轻松地分析测试的结果,锁定需要强化培训的范围。
你的公司可能会考虑提供一张证书作为奖励证明员工完成了安全培训。
作为完成程序的一部分,建议让每一个员工签署一份遵守安全策略和规定的同意书。调查报告显示,签署了同意书的人会更加严格地遵守程序。
持续的培训
如果不周期性的复习,大部分人会把学到的知识(甚至重要的事件)忘掉。为了不让员工忘记如何防范社会工程学攻击,持续的培训程序非常重要。
一种让员工记忆深刻的方法是把安全作为他们特殊的工作职责,这能让员工认为他们在公司安全体系内扮演着至关重要的角色,否则员工会强烈地倾向于安全“不是我的工作”。
当安全部门或信息技术部门的人承担了一个信息安全程序全部的职责时,信息安全培训程序最好的结构是与培训部门协同合作。
持续的培训程序需要创造性地使用所有可能的频道传输安全讯息,因为记忆的可存储性,员工们会不时地想起好的安全习惯。除了使用所有传统的频道之外,还要加上许多能够想到的非传统方式,就像传统的广告一样,幽默、灵活地提供帮助。灵活多变的讯息可以让员工更加熟悉安全策略而无法忽视。
持续的培训程序可能包括以下内容:
提供本书的复印件给所有员工。
在公司的新闻通讯中添加以下内容:文档,封装的提示(简短、引人注目的内容),比如漫画。
张贴当月的安全员工照片。
在员工区域张贴海报。
张贴公告牌通知。
为支票信封提供打印的外壳。
发送email提示。
使用安全相关的屏幕保护程序。
通过语音信箱系统广播安全提示。
打印电话贴纸,“你的呼叫者是他所声称的那个人吗?”
设置电脑登录时的提示信息,比如“如果你要发送机密信息到email,把它加密。”
把安全知识作为员工财政报告和年度评价的标准内容。
在intranet(企业内网)上提供安全知识提示,可以使用漫画或者幽默文字,或者其它能吸引员工阅读的方式。
在自助餐厅使用电子讯息显示板,频繁地更换安全提示。
分发传单或小册子。
还有一些小花招,比如在自助餐厅提供带有安全提示的免费饼干。
威胁总是存在,安全提示最好也总是存在。
“我能得到什么?”
除了安全知识与培训程序之外,我强烈推荐宣传并推行奖励程序。你必须答谢成功阻止了社会工程学攻击、或者在其它方面对信息安全程序作出了杰出贡献的员工。应当在所有培训课程上告知员工奖励程序的存在,并在企业范围内公布违反安全规定的人的名单。
从另一方面讲,人们必须认识到遵守信息安全策略的重要性是无法忽视或反抗的。虽然我们都会犯错误,但是重复的违反安全规定是不能容忍的。
第十六章 推荐的信息安全策略
由FBI主导的调查结果显示,超过90%的大企业和政府机构遭受过计算机入侵者的攻击,美联社在2002年4月对其进行了报导。有趣的是,只有大约三分之一的公司报导或公开了这些攻击,沉默意味着他们学到了很多东西,为了避免失去客户的信任,为了防止更多入侵者的出现,大部分的商业公司不会公开报导计算机安全事件。
似乎没有任何社会工程学攻击的统计,就算有,数据也很不可靠,在大部分情况下一家公司永远也不会知道社会工程师已经“偷走了”信息,因此许多攻击都没有记录。
有效的策略能针对大多数的社会工程学攻击类型进行防范,但是让我们现实——除非企业里每一个人都认识到安全的重要性并把它作为他(或她)的职责(遵守公司的安全策略),否则社会工程学攻击将永远是企业面临的严重威胁之一。
事实上,针对安全攻击的技术手段一直在进步,通过社会工程学途径获取私有的公司信息或渗透企业网络,这种攻击将越来越频繁并引起信息窃贼的关注。商业间谍通常会选择使用最简单同时也是最隐蔽的方法来达到他(或她)的目标。事实上,那些使用了最先进的安全技术保护计算机系统和网络的公司,可能会面对更多来自于使用社会工程学策略和方法的攻击。
本章介绍了防范社会工程学攻击的详细策略,这些策略除了针对基于技术漏洞的攻击,还涉及到几种引导信任的员工提供信息或执行操作的骗局,阻止攻击者访问敏感商业信息或企业计算机系统与网络。
什么是安全策略?
安全策略是指导员工行为、保护信息安全的明确指南,是安全体系中防范潜在威胁的重要组成部分,这些策略在察觉并防范社会工程学攻击时尤其有效。
有效的安全管理需要培训员工精心设计的策略和程序,然而,即使每一个员工都严格地遵守了安全策略,也无法保证防御所有的社会工程学攻击。相反,合理的目标总是能用可接受的标准减小威胁。
在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施,之所以放在这里,是因为它们涉及到了一些攻击者常用的技术。例如,
email附件攻击——可以安装特洛伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。
制定程序的步骤
一个全面的信息安全程序通常从威胁评估开始:
需要保护哪些企业信息资产?
有哪些针对这些资产的具体威胁?
如果这些潜在的威胁成为现实会对企业造成哪些损失?
威胁评估的主要目标是对需要立即保护的信息资产按优先次序排列,而不是对安全措施进行成本效益分析。首先想一想,哪些资产需要首先保护,保护这些资产需要花多少钱。
高级管理人员的支出和对安全策略和信息安全程序的大力支持非常重要。正如其它的企业程序一样,如果一个安全程序成功了,管理层可以对其进行推广,前提是要有个人案例证明其有效性。员工们需要意识到信息安全和保护公司商业信息的重要性,每一个员工的工作都依赖于这一程序的成功。
设计信息安全策略蓝图的人需要以非技术员工也能轻松理解的通俗方式书写安全策略,并解释为什么这些是重要的,否则员工可能会认为一些策略是在浪费时间而对其忽略。策略书写者应当创建一份介绍这些策略的文档,并把它们分开来,因为这些策略可能会在执行的时候有小范围的修改。
另外,策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如,大部分的操作系统都能用指定的规则(比如长度)限制用户密码。在一些公司,可以通过操作系统的本地或全局策略阻止用户下载程序。在允许的情况下,策略应当要求使用安全技术代替人为的判断。
必须忠告员工不遵守安全策略与程序的后果,应当制定并宣传违反策略的处罚。同样,要对表现优异或者发现并报告了安全事件的员工进行奖励。当一名员工受到奖励时,应当在公司范围内广泛地宣传,比如在公司时讯中写一篇文章。
安全培训程序的一个目标是传达安全策略的重要性和不遵守这些规则的后果。拜人性所赐,员工们有时候会忽略或绕过那些看上去不合理或者太费时间的策略。管理层有责任让员工们了解其重要性与制定这些策略的原因,而不是简单地告诉他们绕过策略是不允许的。
值得注意的是,信息安全策略不是固定不变的,就像商业需要变化一样,新的安全技术和新的安全漏洞使得策略在不断的修改或补充。应当加入常规的评估与更新程序,可以通过企业内网或公共文件夹让企业安全策略与程序不断更新,这增加了对策略与程序频繁审核的可能性,并且员工可以从中找到任何与信息安全有关的问题和答案。
最后,使用社会工程学方法与策略进行的周期性渗透测试与安全评估应当暴露出培训或公司策略和程序的不足。对于之前使用的任何欺骗渗透测试策略,应当告知员工有时候可能会进行这种测试。
怎样使用这些策略
本章中介绍的详细策略是我认为对减轻所有安全威胁非常重要的信息安全策略子集,因此,这些策略并不是一个完整的列表,更确切的说,它们是创建合适的安全策略的基础。
企业的策略书写者可以基于他们公司的独特环境和商业目的选择适合的策略。每一家有不同安全需求(基于商业需要、法律规定、企业文化和信息系统)的企业都能在这些介绍找到所需的策略,而忽略其它的内容。
每一种策略都会提供不同的安全等级选择。大部分员工都互相认识的小型公司不需要担心攻击者会通过电话冒充员工(当然攻击者还可以伪装成厂商)。同样,一家企业文化轻松休闲的公司可能会希望只用这些策略中的一部分来达到它的安全目标,虽然这样做会增加风险。
数据分类
数据分类策略是保护企业信息资产、管理敏感信息存取的基础。这一策略能让所有员工了解每一种信息的敏感等级,从而提供了保护企业信息的框架。
没有数据分类策略的操作——几乎所有公司的现状——使得的大部分的控制权掌握在少数员工手里。可想而知,员工的决定在很大程度上依赖于主观判断,而不是信息的敏感性、关键程度和价值。如果员工不了解被请求信息的潜在价值,他们可能会把它交到一名攻击者手里。
数据分类策略详细说明了信息的贵重程度。有了数据分类,员工就可以通过一套数据处理程序保护公司安全,避免因疏忽而泄漏敏感信息,这些程序降低了员工将敏感信息交给未授权者的可能性。
每一个员工都必须接受企业数据分类策略培训,包括那些并不经常使用计算机或企业通信系统的人。因为企业中的每一个人——包括清洁工、门卫、复印室职员、顾问和承包人,甚至是实习医生——都有可能访问敏感信息,任何人都能成为攻击的目标。
管理层必须指定一个信息所有者负责公司目前正在使用的任何信息,信息所有者的职责之一就是保护信息资产。通常,所有者负责确定基于信息保护需要的分类等级,周期性地评估分类等级,并在必要的时候对其进行修改,信息所有者可能还会负责指定管理人员或其他人员来保护数据。
分类类别与定义
应当基于敏感程度将信息分成不同的分类等级。一旦建立了详细的分类系统,重新分类信息将十分昂贵和费时。在我们的策略范例中,我选择了4个适合几乎所有大中型企业的分类等级。依靠敏感信息的编号和分类,商业公司可以选择增加更多分类以适应将来的特殊类型。在小型商业公司,三个等级的分类方案可能就够了。记住——分类方案越复杂,企业培训员工和执行方案的费用就越高。
机密是最敏感的信息分类,机密信息只能在企业内部使用。在大多数情况下,机密信息只能让少数有必要知道的人访问。机密信息的泄漏会严重影响到公司(股东、商业伙伴和(或)客户)。机密信息通常包括以下内容:
商业机密信息、私有源代码、技术或规格说明书、能被竞争者利用的产品信息。
并不公开的销售和财政信息。
关系到公司运转的其它任何信息,比如商业战略前景。
私有是仅在企业内部使用的个人信息分类。如果未授权的人(尤其是社会工程师)获得了私有信息,员工和公司都将受到严重影响。私有信息内容包括:员工病历、健康补助、银行帐户、加薪历史,和其它任何没有公共存档的个人识别信息。
注释:
内部信息分类通常由安全人员设定,我使用了“内部”这个词,因为这是分类使用的范围。我列出的这些敏感分类并不是详细的安全等级,而是查阅机密、私有和内部信息的快捷方式,用另一句话说,敏感程度涉及到了任何没有指定为公共权限的公司信息。
内部信息分类能提供给任何受雇于企业的员工。通常,内部信息的泄漏不会对公司(股东、商业伙伴、客户或员工)造成严重影响,但是,熟悉社会工程学技能的人能用这些信息伪装成一个已授权的员工、承包人或者厂商,从没有丝毫怀疑的员工那里获得更多敏感信息突破企业计算机系统的访问限制。
必须在传递内部信息给第三方(提供商、承包人、合作公司等等)之前与其签署一份保密协议。内部信息通常包括任何在日常工作中使用的、不能让外部人员知道的信息,比如企业机构图、网络拨号号码、内部系统名、远程访问程序、核心代码成本、等等。
公共信息被明确规定为公共可用。这种信息类型,比如新闻稿、客服联系信息或者产品手册,能自由地提供给任何人。需要注意的是,任何为指定为公共可用的信息都应当视为敏感信息。
数据分类术语
基于其分类,数据应当由不同的人负责。本章中的许多策略都提到过不允许身份未验证的人访问信息,在这些策略中,未验证的人指的是员工并不亲自认识的人和不能确定是否有访问权限的员工,还有无法保证可信的第三方。
在这些策略中,可信的人是指你亲自见过的、有访问权限的公司员工、客户或者顾问,也可以是与你的公司有合作关系的人(比如,客户、厂商或者签署了保密协议的战略合作伙伴)。
在第三方的保证中,可信的人可以验证一个人的职业或身份,和这个人请求信息或操作的权限。注意,在某些情况下,这些策略会要求你在响应信息或操作请求之前确认保证者仍然受雇于公司。
特权帐户是指需要超越基本用户帐户权限的计算机(或其它)帐户,比如系统管理员帐户。有特权帐户的员工通常能更改用户权限或执行系统操作。
常规部门信箱是指回答一般问题的语音信箱,用来保护在特殊部门工作的员工的名字和分机号码。
验证与授权程序
信息窃贼通常会伪装成合法的员工、承包人、厂商或商业伙伴,使用欺骗策略访问机密商业信息。为了保护信息安全,员工在接受操作请求或提供敏感信息之前,必须确认呼叫者的身份并验证他的权限。
本章中推荐的程序能帮助一名收到请求(通过任何通讯方式,比如电话、email或传真)的员工判断其是否合法。
可信者的请求
针对可信者的信息或操作请求:
确认其是否当前受雇于公司或者有权访问这一信息分类,这能阻止离职员工、厂商、承包人、和其他不再与公司有关系的人冒充可信的职员。
验证此人是否有权访问信息或请求操作。
未核实者的请求
当遇到未核实者的请求时,必须使用一个合理的验证程序确认请求者是否有权接收请求的信息,尤其是当请求涉及到任何计算机或计算机相关的设备时。这一程序成功防范社会工程学攻击的关键:只要实施了这些验证程序,社会工程学攻击成功的可能性将大大减小。
需要注意的是,如果你把程序设置得过于复杂,将超过成本限制并被员工忽略。
下面列出了详细的验证程序步骤:
验证请求者是他(或她)所声称的那个人。
确认请求者当前受雇于公司或者与公司有须知关系。
确认请求者已被授权接收指定信息或请求操作。
第一步:验证身份
以下列出的推荐步骤按有效性从低到高排列,每一条中还加入了社会工程师行骗的详细说明。
1、来电显示(假设这一功能已经包括在了公司的电话系统之中)。用来电显示确认电话是来自公司内部还是公司外部,显示的名字和电话号码是否符合呼叫者提供的身份。
弱点:外部来电显示信息可以被任何能用PBX或者电话交换机连接到数字电话服务的人伪造。
2、回拨。在公司的目录中查询请求者的名字,并通过列出的分机号码回拨确认请求者的身份。
弱点:当员工回拨电话时,准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
3、担保。由一个可信的人为请求者的身份担保。
弱点:攻击者可以伪装成一个可信员工,让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号,比如每日密码。
弱点:如果有很多人知道这个接头暗号,攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点:如果请求者提供了他(或她)的上司的电话号码,员工联系上的也许是攻击者的同谋。
6、安全Email。请求数字签名信息。
弱点:如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码,他便可以像普通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点:这是相当安全的方法,攻击者无法轻易突破,但是如果没有见过请求者(或者和请求者说过话),这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案(比如安全ID)识别自身。
弱点:攻击者可以获取其中的动态密码设备和相应的员工PIN码,或者欺骗员工读出PIN设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点:攻击者可以偷窃员工证件,或者直接伪造一张。然而,攻击者通常会避免这样做,以减小被发现的可能性。
第二步:验证员工身份
最大的信息安全威胁并不是专业的社会工程师,也不是熟练的计算机入侵者,而是刚刚解雇想要报复或者偷窃公司商业信息的员工。(注意,这一步骤的另一个版本可用于和你的公司有另一种商业关系的人,比如厂商、顾问或契约工人)
在提供敏感信息给另一个人或者接受计算机或计算机相关的设备指示操作之前,使用下面这些方法验证请求者是否仍是公司的员工:
查看员工目录。如果公司有一份活动员工目录,可以查看请求者是否仍在列表中。
请求者的上司核对。用公司目录上列出的电话号码打电话给请求者的上司,而不是使用请求者提供的号码。
请求者的部门或工作组验证。打电话给请求者的部门或工作组,从该部门或工作组的任何人那里确认请求者仍是公司的员工。
第三步:验证权限
除了验证请求者是否为活动员工或者与公司有关联之外,仍然有必要确认确认请求者已被授权访问所请求的信息,或者已被授权指导指定的计算机或计算机相关的设备操作。
可以使用以下这些方法进行验证:
职位/工作组/职责列表。企业可以使用一张列表说明指定的员工可以访问哪些指定信息,并通过员工的职位、部门、工作组、职责或者综合这些进行分类。这一列表需要不断更新并提供授权信息的快捷访问方式。通常,信息所有者应当负责创建并维护这一列表,监控信息的访问。
注释
值得注意的是,维护这种列表是在邀请社会工程师,试想一下,如果攻击者将一家公司作为目标,就会知道这一列表的存在,并有足够的兴趣获取一份,这一列表能为攻击者打开方便之门,使公司陷入严重的危机之中。
获得上司授权。员工联系他(或她)自己的上司,或者请求者的上司,请求授权同意这一请求。
获得信息所有者或指定人员的授权。信息所有者可以决定是否允许访问,基于计算机的访问控制程序可以让员工联系他(或她)的顶头上司申请访问基于工作任务的信息,如果这一任务不存在,管理人员有责任联系相关的数据所有者请求许可。这一管理系统的实施应当保证信息所有者不会拒绝常用信息的请求。
获得专业软件程序授权。对于高竞争性产业的大公司,可以使用专业软件程序进行授权。这种软件的数据库中存储了员工的姓名和机密信息访问权限,用户无法查看每个人的访问权限,但可以输入请求者的名字,并找到相关的权限信息。这种软件提供了响应标志,可以判断员工是否已被授权访问这一信息,并用独立的权限信息消除了创建个人列表的危险性。
更新四章,是刚刚找到的,其他的还在寻找中,如果那位大侠有的话,劳烦留言,谢谢了!继续寻找中……
第九章
逆向骗局
刺激,在这本书的其它地方提到过(在我看来或许最好的电影永远是关于实施入侵的),迷人的叙说里安排了它巧妙的情节。在电影中刺激作用的一个准确的描述是顶级骗子运用的“金属丝”,这是提到的三种主要骗局之一的“重要的过程”。如果你想要知道一个专业的团队怎样只用一个晚上去实现一个骗局而迅速获得大量的金钱,这里没有更好的教材。
但是传统的入侵,凡是他们的特殊花招,都依照一个模式。有时候一个诡计会被反向应用,这称为逆向骗局。这是一个迷人的手段,攻击者设定情况让受害人向他寻求帮助,或者一位同事正好发出了攻击者响应的请求。
这些是怎样实现的?你正打算发现它。
专业术语
逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。
友好的说服艺术
当一般人想象电脑黑客的样子时,通常会联想到阴暗的一面,一个孤独、内向、讨厌的人,他最好的朋友是一台除即时信息以外很难交流的电脑。社会工程师常常拥有黑客的技能,也有普通人的技能——在对立的光之尽头——使用得到良好发展的能力操纵人们谈论他们获取信息的方法,通过你从未想过可能性的途径。
安吉拉(Angela)的电话
地点:工业联邦银行,流域分行。
时间:上午11:27。
安吉拉•维斯露斯基(Angela Wisnowski)接到了一个电话,那个人说他刚刚得到了一大笔遗产,想要了解一些信息,关于不同类型的储蓄存款账户、存款单和任何她推荐的安全的可以正当获利的投资。她解释说有相当多的选择,问他是否可以过来坐下和她一起讨论它们。他说他一拿到钱就要去旅游,还有很多事情要安排。所以当她设法约束他的投资目标时,她开始推荐一些可能的类型,还给了他关于利率的详细资料,如果你在初期卖出一张光盘会发生什么,等等。
她似乎更进了一步,他说:“噢,对不起,我要接另一个电话。什么时候能和你结束这次交谈好让我作出一些决定?你什么时候出去吃午饭?”她告诉他是12:30,他说他会在那之前或者之后几天再打电话过来。
路易斯(Louis)的电话
银行总部使用每天都更改的安全密码,当分行的某个人需要从另一个分行处获得信息时,他可以通过证明自己知道这个每日密码来表明他有权访问信息。为了更深层次的安全性和机动性,一些银行总部每天都会发行多重密码。在一个被我称为工业联邦银行的西部海岸机构里,每一位员工每天都能收到一张有五个密码的列表,每天早晨在他或她的电脑上从A到E进行验证。
地点:相同。
时间:下午12:48,同一天。
路易斯•霍普本(Louis Halpburn)对那个下午接到的电话不以为意,这个电话和一周里有规律的其它几次来电一样。
“你好,”打电话的人说,“我是尼尔•韦伯斯特(Neil Webster),从波士顿3182分行打电话来。找安吉拉•维斯露斯基,谢谢。”
“她在吃午饭,我能帮忙吗?”
“好的,她留了言请求我们传真一些关于我们的一个客户的资料给她。”
这个打电话的人听上去度过了糟糕的一天。
“通常处理这些请求的人请了病假,”他说,“我有一堆这些事情要做,已经在这里4个钟头了,我希望能在半个小时以后离开这里去和一个医生会面。
这一操作——给出了为什么其他人会觉得他很可怜的所有理由——这是使受害人软化的一部分。他继续说:“无论是谁接到了她的电话留言,传真号码已经不清楚了,大概是213什么的,其余的是什么?”
路易斯给出了传真号码,然后打电话的人说,“好的,谢谢,在我传真这些之前,我需要询问你密码B。”
“但是是你打电话给我的。”他说这句话时很冷淡,好让这个来自波士顿的人明白。
很好,打电话的人想。当人们在第一次温柔的推挤中没有跌倒时,很酷。如果没有少量的反抗,这份工作会太容易,我会变得懒散的。
他对路易斯说:“我这里的分行经理对我们发送任何东西之前的验证有些偏执,但是听着,如果你不需要我们传真这些信息,很好,不需要验证。”
“看,”路易斯说,“安吉拉会在大约半个小时后回来,我可以让她打电话给你。”
“我会告诉她今天我不能发送这些信息,因为你没有给我密码验证这些合法的请求。如果我明天没有请病假,我会再打电话给她。”
“留言说 ‘紧急的’,别担心,没有验证我就无法操作,你可以告诉她我试着发送它但是你没有给我密码,好吗?”
在压力之下路易斯放弃了,从电话线的另一端传来一声烦恼的叹息。
“好的,”他说,“等一下,我要到我的电脑上去,你想要哪一个密码?”
“B。”打电话的人说。
他把电话放在桌子上然后很快又拿了起来。“3184。”
“那不是正确的密码。”
“它是正确的——B是3184。”
“我没有说B,我说的是E。”
“噢,该死的,等一会儿。”
另一次停顿,当他查看密码时。
“E是9697。”
“9697——正确,我在路上发送这份传真,好不好?”
“当然好,谢谢。”
沃尔特(Walter)的电话
“工业联邦银行,我是沃尔特。”
“嗨,沃尔特,我是影视城38分行的鲍勃•格若博斯基(Bob Grabowski),”打电话的人说,“我需要你传真一份客户账户的签字样卡给我。”签字样卡上面有客户的签名,它也有验证信息,常见的例如社会保险号码、生日、母亲家族的姓氏,有时甚至是驾驶执照号码。这对于一个社会工程师来说唾手可得。
“确认信息,密码C是多少?”
“其他出纳员正在使用我的电脑,”打电话的人说,“但是我可以使用B和E,我记得它们。问我它们中的一个。”
“好吧,E是多少?”
“E是9697。”
几分钟以后,沃尔特依照请求传真了一份签字样卡。
堂娜•普雷斯(Donna
Plaice)的电话
“你好,我是安森莫(Anselmo)先生。”
“今天我能帮你些什么?”
“我想要了解保证金是否仍记入贷方,应该打哪个800号码?”
“你是这家银行的客户吗?”
“是的,我没有用过这个号码,现在我不知道我把它写在了哪里。”
“号码是800-555-8600。”
“好的,谢谢。”
文斯•开普雷(Vince Capelli)的故事
斯伯克恩(Spokane)街巡警的儿子文斯很年轻的时候就知道他不会把生命花费在长时间的辛勤努力上,承受最低工资的风险。他人生的两个主要目标首先是离开斯伯克恩,然后是成就他自己的事业。朋友们的笑声一直伴随着他的大学生活,这只让他更加恼火——他们认为这很搞笑,他太失败了,想开创自己的事业却不知道从哪里开始。
文斯私下里其实知道他们是对的,他唯一擅长的事是在大学棒球队里当接球手,但是还不够好,拿不到大学奖学金,更别提职业棒球了。所以他能从哪里开始他的事业呢?
有一件事情在文斯的小组里的人一直没有弄明白:任何曾经是他们的东西——一把新的弹簧折刀,一对顶好的保暖手套,一个性感的女朋友,只要文斯喜欢,不久之后就会变成他的。他不需要偷窃或是鬼鬼祟祟地跟在任何人的后面,他不需要这样做。拥有它的人会自动放弃它,过后才会对这是怎样发生的感到惊讶。恰当的做法是请求文斯在任何地方都不要碰你的东西:他不了解他自己,人们似乎可以让他拿到任何他想要的东西。
文斯•开普雷很年轻的时候就已经是一个社会工程师了,即使他从没听说过这个术语。
他的朋友们拿到了大学毕业证之后就再也没有笑他了。当其他人艰难地在城市周围寻找工作时(在那里你不会要说“你想要来点油炸食品吗?”),文斯的父亲送他去为一个年迈的巡警工作,这位巡警离开警局之后在旧金山开始了他自己的私人调查事业,他迅速发现了文斯的才能,并为他安排了一个适合的工作。
那是六年以前的事了。现在,坐着监视的无聊时间使他陷入痛苦,他痛恨从不诚实的配偶那里获取证据的部分,但是他感觉去搜集有用信息的任务是对自己的挑战,律师们想要了解一些可怜的穷人是否有足够的钱进行财产诉讼,这些任务给了他许多机会使用他的智慧。
像这一次他浏览了一个名叫乔•马克欧兹(Joe
Markowitz)的家伙的银行账户,乔可能暗地里处理了和他以前的一个朋友的交易,现在那位朋友想要知道如果他提出诉讼,马克欧兹有没有足够的家底让他拿回一些他的钱?
文斯的第一步是找出至少一个银行这一天的安全密码,但是两个会更好。这听上去像是几乎不可能的挑战:究竟是什么使得一个银行员工在他自己的安全系统里撞出一条裂缝来?问你自己——如果你想要这样做,你有任何主意去实现它吗?
对于像文斯这样的人来说,这太容易了。
如果你知道他们公司的行话和他们工作的内部术语,他们就会信任你。就像是把你当成了他们的内部成员一样,也像是一次秘密的握手。
我不需要太多这些工作的内部术语,不需要往头脑里灌输那些东西,开始工作只需要一个分行的电话号码。当我打电话到布法罗州比肯街办公室时,回应的人似乎是一个接线员。
“我是提姆•艾克门(Tim Ackerman),”我说(任何名字都可以,他不会把它写下来), “这里的分行号码是多少?”
他知道这个电话号码或者分行号码,但是相当麻木,因为我只是要打这个电话号码(分行号码),不是吗?
“3182,”他说。就像这样,没有“你想要知道这个干什么?”或者任何问题,只因为它不是敏感信息,它被写在他们使用的每一张纸上。
第二步,打电话给一家银行的分行,我的目标在那里有存款。获取他们中一个人的名字,然后得到安吉拉外出午餐的时间,她12:30离开。到现在为止,非常好。
第三步,在安吉拉的午休时间打电话回同一家银行,说我从波士顿某某分行号码打电话来,安吉拉需要我传真这些信息,告诉我今天的密码。这是精彩的部分,出神入化。如果我要建立一个社会工程师测试,我会放上一些像这样的东西,你的目标起了疑心——为了一个好的理由——你仍然镇定自若直到打败了他,然后获得了你想要的信息。你不能通过背诵剧本里的句子或者学习日常事务做到这些,你要去了解你的目标,捕捉他的心情,像钓鱼一样控制他,放一点点线然后卷起,放线,卷起,直到你把他用网网起来,在船上用长板条拍打他!
我控制了他并且拿到了今天的密码,这是一个重要的步骤。对于大部分的银行,他们只使用一个密码,因此我可以在家里避开它。联邦工业银行使用五个,所以只使用五个中的一个的几率很小,有了五个中的两个,我就可以有更高的可能性完成这小小的戏剧的下一幕。我热爱“我没有说B,我说的是E”这一部分,当它生效时,实在是太漂亮了,并且它在大多数情况下都有效。
拿到三个可能会更好,事实上我想只用一个电话就拿到三个——“B”、“D”、“E”听上去很相似,你可以声称他们再次误解了你的意思,那样的话你肯定是在和一个真正弱小的人谈话。这个人不是,我拿到了两个。
每日密码是我拿到银行签字样卡的王牌。我打电话,然后那个人请求了一个密码,他想要C,我只有B和E,但这不是世界末日。在这一刻你必须保持镇定,听上去自信,保持正确的行为,真正的平滑。我使用一个技巧操纵了他:“有人使用了我的电脑,问我其它的这些。”
我们都是这家公司的职员,我们都在这里工作,让这个家伙方便些——这就是你希望受害人在那一刻心里想的。然后他按照剧本正确地操作了,选择了一个我提供的一个密码,我给出了正确的答案,他发送了签字样卡的传真。
打更多的电话我就可以知道客户使用的自动服务的800号码,差不多都有效,电子语音会把你请求的信息读出来。从签字样卡里我得到了目标所有的账户号码和他的PIN码(个人身份号码),因为那家银行使用社会保险号码前面的五个或者后面的四个阿拉伯数字。有了这些,我打电话给那个800号码,拨通号码几分钟后,我得到了这个家伙四个账户的最后余额,并且额外还知道了他最近的每一笔存款和取款操作。
每一件客户要求的事我都会给他们一些额外的特别的东西,好让他们高兴,毕竟,回头客才能让业务保持下去,对吗?
过程分析
整个故事的关键是得到非常重要的每日密码,攻击者文斯使用了几个不同的技巧。
当路易斯不给他密码证明身份时,他开始用上了一点口头上的威胁。路易斯的怀疑是正确的——密码被设计成可以反向使用。他知道这些事情通常的流程,这个不知名的人将给他一个安全密码。这对文斯来说是决定性的时刻,成败在此一举了。
面对路易斯的怀疑,文斯简单地进行了控制,利用同情心(“去看医生”),压力(“我有一堆事要做,已经4个钟头了”),还有操纵(“告诉她你不肯给我密码”)。文斯很聪明,他事实上没有制造任何威胁,只是含蓄的表达了一个意思:如果你不给我安全密码,我就不会发送你的同事要的客户资料,并且我会告诉她我想要发送但是你不合作。
停,我们不能太草率地责备路易斯。毕竟,电话上的人知道(或者至少看起来知道)自己的同事安吉拉请求了一个传真。打电话的人知道安全密码,并且知道他们使用指定的字母来验证,还说他的分行经理有很严格的安全要求。似乎实在是没有任何理由不按他的要求进行验证。
并非只有路易斯,每一天都有银行职员在社会工程师面前放弃安全密码,难以置信却是真实的。
沙滩上有一根线,私人侦探的技巧介于合法与违法之间。当文斯获得分行的电话号码时他的行为是合法的,当他操纵路易斯告诉他两个每日安全密码时,他也是合法的,当他拿到一位银行客户的保密资料传真时,他越过了这根线。
但是对于文斯和他的老板来说,这是低风险的犯罪。当你偷钱或者商品时,会有人注意到它的发生。当你偷窃信息时,大多数情况下没有人会发觉,因为他们仍然拥有这些信息。
米特尼克信箱
安全密码相当于提供了方便可靠的方法来保护数据,但是员工们需要了解社会工程师使用的骗局,并且要培训他们在任何时候都不要放弃使用密码。
被愚弄的警察
对于一个隐蔽的私人侦探或者社会工程师而言,当他轻而易举地拿到某个人的驾驶执照号码时,常常有很多机会——例如,你想要冒充另一个人来获得一些关于她的银行余额信息。
除非去偷那个人的皮包或是在恰当的时间透过她的肩膀窥视,找出驾驶执照号码应该是几乎不可能的事情,但是对于任何有适当的社会工程学技术的人而言,这几乎算不上挑战。一个特殊的社会工程师(我这样称呼他)——埃里克•曼特尼(Eric Mantini)想要拿到驾驶执照和常规检查中的车辆登记号码。当埃里克需要那些信息的时候,他认为没必要冒风险去打DMV(机动车辆局)的电话然后反复使用同样的诡计。他想知道是否有什么途径可以简化处理。
也许这之前从没有人想过,但是他发现了一个瞬间就可以获得信息的方法,随时都可以。他利用了一个州机动车辆局提供的服务。许多州机动车辆局(或者你所在州这个部门的不同称呼)给了保险公司(当然还有私人侦探和其它组织)特权获取居民的这些信息,,州立法机关普遍认为把它授权共享有利于商业和社会的发展。
当然,DMV也对共享的数据类型进行限制,保险行业可以从文件里获得几种类型的信息,但是没有其它的。对私人侦探们(PIs)还有不同的限制,等等。
执法官员们通常有一个不同的惯例:DMV为任何宣誓过的治安官(如警察、警官、保安员等)提供档案里的任何信息,只要他能证明自己的身份。在埃里克所在的州,唯一需要的证明是一个DMV随同政府官员的驾驶执照号码一起发行的邀请码。DMV员工在共享信息之前始终验证匹配的官员名字,对照他的驾驶执照号码和其它部分信息——通常是生日。
社会工程师埃里克想要做的是通过一个执法官员的身份完全掩盖自己。他是怎样做到的呢?对警察使用逆向骗局!
埃里克的圈套
首先他打电话到电话号码咨询台询问州议会大厦DMV总部的电话号码,他被告知是503555-5000,当然,这个号码可以被普通公众拨打。然后他打电话到一个附近的郡治安局并请求接通电传室——这是与其它执法机构通信的办公室,接收和发送国家犯罪数据库、本地许可证等等。当他联系上电传室时,他说他在找执法时使用的州DMV总部电话号码。
“你是?”电传室的警员问。
“我是奥,我要打到503-555-5753,”他说。这是骗局的一部分,一个无中生有的号码, DMV办公室和执法机构的电话使用同一个专用的区号,并且几乎可以确定后面的三个数字(前缀)也相同,他唯一需要知道的是最后的四个数字。
郡治安局电传室不会接到公众的电话,并且这个打电话的人已经有了这个号码的大多数,显然他是可靠的。
“是503-555-6127。”那位警员说。
那么现在埃里克已经拿到了这个执法官员打给DMV的号码,但是只有这一个号码并不能让他满意,应该还有更多的电话线路,埃里克需要知道那里有多少,并且需要知道每一个电话号码。
交换机
为了实现他的计划,他需要得到访问电话交换机(处理DMV的执法电话线路)的权限。他打电话到州电讯部门并声称自己来自Nortel——DMS-100(一种被广泛使用的电话交换机)的厂商。他说:“你能帮我转接到一个在DMS-100上工作的技术员吗?”
当他接通技术员时,他说自己是德克萨斯州的Nortel技术服务支持中心的工作人员,并解释说他们创建了一个管理员数据库来更新所有最近软件升级过的交换机。所有的一切都可以远程进行——无需任何交换机技术员参与,但是他们需要交换机的拨入号码,这样他们就可以直接从技术中心执行更新。
听上去完全是似是而非,但技术员还是把电话号码给了埃里克。他现在可以直接打电话到一个州电话交换机了。
为了防范外部入侵者,这种型号的商业交换机有密码保护,就像每一个公司电脑网络那样。任何使用后台电话盗用线路的优秀社会工程师都知道Nortel交换机为软件更新准备了一个默认的账户名:NTAS(Nortel Technical Assistance Support的缩写)。但是密码是什么呢?埃里克拨了几次,每一次都尝试一个常用的密码。输入和账户名相同的密码,NTAS,没有用,既不是“helper”也不是“patch”。
然后他试了一下“update”……登陆成功。典型的,使用一个常用的、容易被猜出的密码只比不用密码好一点点而已。
这有助于加快行动,埃里克或许已经足够了解那个交换机和怎样像技术员一样规划和检修它。他曾经以合法的用户访问过交换机,现在他需要获得目标电话线路的完整控制权。他通过电脑在交换机上查询拿到的那个电话号码,执法人员打到DMV 的555-6127。他发现在同一个部门有19个其它的号码,显然他们要处理大量的来电。
交换机为每一个来电在20条线路中安排“搜寻”,直到找出一个空闲的线路。
他选择了一个排在第18位的线路号码,然后输入密码为那条线路增加呼叫转移。至于转接号码,他输入了他的新的、廉价的、预支付的大哥大,这种大哥大深受经销商的喜爱,因为它们足够便宜,可以在工作完成之后就扔掉。
现在激活了18线的转接,一旦办公室有17个电话占线,下一个来电就不会在DMV办公室响起,而是会转到埃里克的大哥大。他休息了一下并等待着。
一个打到DMV的电话
很快在那天早上8点之前大哥大就响了。这一部分是最好也是最美妙的,在这里埃里克,一个社会工程师,在和一个警察说话,而这个警察可以逮捕他或是拿搜索证指挥一次针对他的搜查。
并且打电话来的警察不是一个,在第一个之后,是一些。有一次,埃里克正坐在餐馆里和朋友们吃午饭,大约每五分钟就会接到一次电话,用一支借来的笔在餐巾纸上写下信息。他还是乐此不疲。
和警察说话丝毫不会打扰一个优秀的社会工程师,事实上,陶醉于欺骗这些执法机构或许增加了埃里克这个节目的乐趣。
按照埃里克的计划,通话的内容就像这样:
“DMV,我可以帮你吗?”
“我是安德鲁•可欧探员。”
“你好,探员,今天我能帮你做些什么?”
“我需要驾驶执照号为005602789的Soundex。”他想要一张照片,这是执法人员熟知的术语——这很有用,比如,当警官们在外逮捕一名疑犯并想要知道他的样子时。
“当然,让我把记录调出来,”埃里克会说,“可欧探员,你属于哪个机构?”
“杰弗森郡。”然后埃里克会问这些热门问题:
