第 11 节
作者:做男人挺好的      更新:2022-10-30 13:52      字数:4849
  挪畋鸷艽蟮娜挝窈椭霸穑扛龈谖欢加凶庞胫喙氐穆┒础9纠锏拿扛鋈硕加ν瓿梢桓龌∨嘌担⒓由弦谰菟堑墓ぷ鞒绦蚨杓频呐嘌担越档驮惫け救朔⑸侍獾目赡苄浴6ぷ魃婕懊舾行畔⒒蛏砭庸丶拔坏脑惫ぃΩ枳诺呐嘌怠?br />
  保持敏感信息的安全
  如同本章中所讲的那样,当一个陌生人以提供帮助的名义与工作人员接近时,工作人员必须遵循为适合公司文化、业务需要而定制的合适的安全策略。
  注:个人认为,并不是所有的企业都需要共享和交换密码,建立一个严格的规则来禁止员工共享和交换机密口令很容易,而且也更安全,但每个企业必须结合自己的工作环境和安全要点来做选择。
  绝不要配合陌生人查询信息、在计算机上键入不熟悉的命令、改变软件设置,或是打开邮件的附件和下载未经检测的程序(这最有可能造成危害)。任何软件程序,即便是那些看上去无碍的程序,也很可能暗藏危险。
  有些工作,无论我们的培训做得有多好,时间一长,我们就又粗心大意起来。接着便忘掉了非常时期的培训,因为那时正需要它。你可能认为不要泄露你的用户名和口令是一件无需提醒的事,任何人都知道或都应知道,这是一种普遍的认识。但实际上,每个员工都需要被经常提醒——泄露办公室计算机、家庭计算机、甚至是邮资机的用户名和口令与泄露ATM卡的个人身份识别码一样危险。
  有时,在非常偶然的情况下,在有限的环境下,把机密信息透露给别人是必要,甚至可能是十分重要的。为此,制定“永远不要”的绝对规则是不合适的。然而,为特定环境制定相应的安全策略和规程十分必要,员工在非常时期可以把口令透露给别人,但对方必须被授权。
  注意对方身份
  在大多数机构中,安全规则要囊括所有可能给企业或工作人员带来损失的信息,只能是亲自认识的人,或是十分熟悉对方声音的情况下才能将信息透露。在高度防范的情况下,只有人员亲自在场的要求才被许可,或是通过一个强有力的认证模式,比如通过两个单独的检验条件,像共享密码和时间令牌。数据分类措施也必须指明公司敏感工作部门的信息不要透露给不认识的人或以某种形式担保的人。
  注:很难让人相信,即使在企业员工数据库中查询打电话人的名字和电话号码并拨打回去,也不足已保证对方的身份。社会工程师懂得如何把名字放入数据库中和把电话转拨的方法。
  那你又该如何处理公司的另外一名工作人员听起来十分合理的要求呢?比如,他需要你们部门的名单和电子邮件列表。实际上,对这种仅供内部使用,且明显没什么价值(这与新产品说明书的价值不可同日而语)的信息,很难对其提升安全意识。一个主要的解决方法就是,为每个部门指派一个负责处理对外发布信息的人,并给他们安排相应的培训,以使其明白应该遵循的确认程序。
  勿有遗漏
  任何人都可以对企业哪里需要高级别的安全防护以杜绝恶意攻击的事情夸夸其谈,可我们却经常忽略其它地方,这些地方并不明显,但极易受攻击。在上述的故事中,发传真到公司内部的一个号码似乎比较安全,没什么害处,但攻击者却利用了这一点。从这个例子中应该吸取如下教训:
  公司的每一个人,从秘书、行政助理到执行人员和高层管理者都需要进行专门的安全培训,以使他们面对类似的欺骗手段时保持警醒。而且,别忘了看好前门——接线员,通常也是社会工程师的首要目标,必须让他们了解某些来访者和打电话人的骗术。企业安全部门应该建立一个单一的联系点,类似于情报中心,为那些认为自己可能成为社会工程师的攻击目标的员工汇报情况时所用。这样的一个情报中心会提供有效的预警系统,清晰化悄然发生的攻击,从而令任何破坏行动得到及时的控制。
  第六章 你能帮我吗?
  大家在前面已经看到社会工程师如何通过提供帮助来使人上当,他们的另一个惯用伎俩是假装需要别人的帮助,因为我们都会对处于困境的人施与同情,社会工程师便经常的利用这一方法来达到他的目的。
  外地人
  第三章中有个故事显示了攻击者如何通过对话令对方说出他的员工号码,下面的故事则运用不同的方法得到了相同的结果,并且这个故事还将展示攻击者如何利用这个号码。
  硅谷有一家不太知名的全球企业,散落在世界各地的所有销售处和现场基站都是通过WAN――广域网,连接到公司总部。入侵者,一个叫布瑞恩·亚特拜(Brian Atterby)的狡猾的活跃分子,他知道入侵一个远程站点的网络总是要比总部的网络容易的多,由于前者的保护措施较为薄弱。
  我找琼斯
  他打电话到这家公司的芝加哥办公室,找琼斯(Jones)先生讲话,接线员问他是否知道琼斯先生的名字。
  “我有他的名字,我正在找,你们那儿有几个叫琼斯的?”
  “三个,你找的琼斯在哪个部门?”
  “如果把他们的名字念一下,可能我就会想起来了。”
  “拜瑞(Barry)、约瑟夫(Joseph)和格丹(Gordon)。”
  “是乔(Joe,约瑟夫的昵称),肯定是他,他在,哪个部门?”
  “商务拓展部。”
  “很好,请帮我转过去好么?”
  接线员将电话接通,琼斯接起电话,攻击者说:“琼斯先生?嗨,我是托尼,薪金发放专员(译者注:相当于管理工资发放的会计),我们刚刚依据你的要求,把薪金支票存入到你的信联账户上。”
  “什么???你在开玩笑吧!我从来没这样要求过,我甚至在信联都没有账户!”
  “哦,见鬼,我已经转过去了。”
  一想到到薪金支票可能转到了别人的账户上,琼斯十分的心烦意乱,并开始怀疑电话另一端的小子是不是有些智力低下。他不知道该说些什么,这时攻击者说:“我得看看是怎么回事,薪金发放时要输入员工号码,你的号码是多少?”琼斯告诉了他。
  “哦,不,你说得没错,发出请求的人不是你。”攻击者说。他们越来越蠢了,琼斯想。
  “这样,我看一下谁负责此事,然后把错误马上改过来。请别担心,下次不会这样了。”
  对方向他保证。
  一次商务旅行
  不久之后,这家公司在得克萨斯首府奥斯丁销售处的系统管理员接到了一个电话。
  “我是约瑟夫·琼斯,商务拓展部的。这星期我要入住德斯基(Driskill Hotel)饭店, 我想让你帮我建立一个临时帐号,以免除远程拨号才能访问我的电子邮箱。”
  “让我再确认一下你的名字,告诉我你的员工号码,”系统管理员说。假琼斯告诉了他,并说:“有没有速度很快的上网拨号?”
  “请等一下,老兄。我得在数据库中确认一下。”不一会儿,系统管理员说:“好的,乔,你的楼牌号是多少?”攻击者对此早有准备,报上了备好的答案。
  “好的,”系统管理员对他说:“验证通过。”
  如此简单,系统管理员确认了约瑟夫·琼斯的名字,部门,还有员工号码,针对他的测试问题,“乔”也给出了正确的答案。
  “你将使用的用户名与你在公司的一个用户名相同,jbjones,”系统管理告诉他说,“并且我将你的口令初设为changeme”。
  米特尼克信箱
  不要指望网络安全装置和防火墙来保护你的信息,要注意最薄弱的环节。通常,那就是你的员工。
  过程分析
  拨几个电话用上15分钟的时间,攻击者就可以访问这家企业的广域网了。有很多这样的企业,都属于我要提及的“软心糖安全”,这个概念最早是由贝尔实验室的两位研究人员提出的,斯蒂夫·贝劳文(Steve Bellovin)和斯蒂文·切斯威克(Steven Cheswick)。他们用这样的词语来描述这种安全防护:“坚硬生脆的外壳,核心却很柔软”,如同M&M巧克力糖(一种驰名的糖果品牌),两位研究人员说,外壳即防火墙并不足以保证安全,因为一旦入侵者绕开它,内部的计算机系统便不堪一击。大部分情况下,这种保护措施是不够的。
  上面的故事符合这个定义,利用得到的拨号和账户,攻击者甚至不用费力去攻击防火墙。而且,一旦他进入内部,内网的大部分系统就十分危险了。由于我我的经历,我知道这种骗局曾在世界最大的软件生产商身上起过作用。依据我的经验,在一个聪明的具有说服力的社会工程师面前,没有人是绝对安全的。
  专业术语
  软心糖安全:贝尔实验室的贝劳文和切斯威克提出的说法,用以描述一种安全状况。外部防御十分强壮,如防火墙,但其后面的设施却十分脆弱。这个说法来自于M&M巧克力,这种糖果有着坚硬的外壳和柔软的糖心。
  地下酒吧式的安全:知道自己想要的信息在哪里,并且使用一个词或是名称来获得对此信息或计算机系统的访问权的一种安全形式。
  地下酒吧式的安全
  对于早期的地下酒吧——那些在禁酒令时期提供自酿酒的夜总会,一个顾客需要走到门前敲门,然后门上会打开一个小口,伸出一张冷冰冰的脸。如果来人熟悉情况,他就会说出此地的老主顾(一句“乔让我来的”就可以了),看门的护卫就会打开门让他进来。
  这个事情的关健在于知道地下酒吧的位置,门上没有标志,而酒吧老板也不会挂一盏霓虹灯在门口来表示这儿有个酒吧。通常,只要能找到地方就基本可以进入。很不幸,同样的安全措施在企业中广泛存在,这种没有任何保护的安全级别我称之为地下酒吧式的安全。
  我在影片中见到过它
  这儿有一个例子,来自一部许多人都会想起来的电影。《英雄不流泪》(Three Days of the Condor)中的主角,特纳(罗伯特·瑞德福特饰演)为一家与中央情报局签约的小调查公司工作。一天,他吃完午饭后回来发现他的同事们都被枪杀了,他决定找出凶手和真相,同时那些坏人也一直在找他。故事的后面部分,特纳(Turner)设法得到了其中一个坏人的电话号码,但这个人是谁?特纳又如何确定他的在哪儿呢?他很幸运。编剧大卫·瑞菲尔轻松的给了特纳一个美国陆军通讯兵的受训背景,使他在电话方面有着丰富的知识和经验。特纳当然知道该如何利用手中的电话号码,在剧本中,那幕场景是这样的:
  特纳重新拿起电话拨出另一个号码
  叮呤!
  女性的声音从电话中传来:CNA,我是科尔曼(Coleman)夫人。
  特纳:科尔曼夫人,我是哈罗德·托马斯,客户服务CNA202…555…7389,谢谢。
  科尔曼夫人:请稍等。(几乎是同时)兰纳德·亚特伍德,马里兰州切维柴斯区麦克肯色街765号。
  虽然编剧错误地把华盛顿特区的电话区号用到了马里兰州,但我们没必要注意这个细节。关健是弄明白刚才的对话是怎么一回事。
  特纳由于有通讯兵的受训背景,他知道如何给电话公司的CNA部门(Customer Name and Address-客户名称与地址)打电话。CNA是为了方便电话安装员和其他得到授权的电话公司职员而成立的部门,电话安装员拨打CNA并提供一个电话号码时,CNA的服务人员就会报出电话所有者的名字和地址。
  愚弄电话公司
  在现实世界中,CNA的电话号码保护的十分严密。尽管当今的电话公司最终明白这一点,并不再轻易的泄露此类信息,但在当时他们却实行着地下酒吧式的安全,那时的安全专家们管这种安全叫做隐晦安全。他们假定任何给CAN打电话并知道其专业用语(如,客户服务CNA555…1234)的人都已被授权得到相应信息。
  专业术语
  隐晦安全:一种效率低下的计算机安全手段,通过对系统运转细节(协议、算法和内部系统)的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统,因此这种安全并不可靠。
  米特尼克信箱
  隐晦安全在社会工程师的面前毫无用处。在这个世界上,每一个计算机系统至少有一个人在使用。因此,如果社会工程师能够操纵这个使用系统的人,系统的隐晦就没有意义。不用亲自验证或确认,不用提供员工号码,也不用每天改变口令,只要你知道正确的电话号码并听起来可以信任,你就有权得到相关信息。对于电话公司来说,情况并不总是这样,?