第 23 节
作者:做男人挺好的      更新:2022-10-30 13:52      字数:4764
  “营销,”她说这个词的时候几乎有些忧伤,彼得微笑着看着她,等待着下文,“如果我上了大学的话,我就会做营销员。”她说,“我喜欢营销这份工作。”
  他再一次笑了,“凯拉,”他说,把前台上她的签名读了出来,“我们达拉斯办公室有位女秘书,她自己离开了营销部,那是三年前的事了,现在她是市场经理助理,她换了两次工作。”
  凯拉似乎在幻想了,他继续说,“你会用电脑吗?”“当然。”她说。
  “你觉得我把你的名字放到营销部的秘书职位上怎么样?”
  她笑了,“那样我就能到达拉斯去了。”
  “你会喜欢达拉斯的,”他说,“我不能保证马上就有机会,但我会尽力的。”
  她想,这个衣服和领带十分整洁、头发梳得整整齐齐的好人可能会让她的工作和生活发生巨大改变。
  彼得穿过大厅坐了下来,打开他的便携式电脑,然后开始完成一些工作。十或十五分钟以后,他又走回了前台。“听着,”他说,“好像迈克被什么事拖住了,这里有会议室可以让我在等待的时候坐下来写电子邮件吗?”
  凯拉打电话给了负责调配会议室的人并为彼得安排了一个没有登记的会议室。这里的会议室仿照了一些硅谷公司的做法(苹果也许是第一个这样做的),用卡通人物、连锁饭店、电影明星或连环漫画英雄的名字来命名。他被告知可以去用米老鼠会议室,她先帮他登记,然后给他指出了米老鼠的方向。
  他找到了那个会议室,安顿下来,把他的便携式电脑连上了以太网端口。
  你看到这个场景了吗?
  对——这个入侵者已经在公司的防火墙内部连入局域网了。
  安东尼的故事
  我猜你可能会把安东尼·莱克(Anthony Lake)称为懒惰的商人,或者是近乎“古怪”的人。
  他认为他应该为自己工作,而不是为别人:他想开一个商店,这样他就可以整天都待在一个地方而不用在乡下到处跑了,他想做一些肯定能赚到钱的生意。
  开什么店好呢?没过多久他就决定了,他知道修车,就零配件商店好了。
  怎样才能保证成功呢?他很快就想到了答案:确定零配件批发商出售给他的商品都是他想要的成本价。
  他们当然不会自动说出来,但是安东尼知道怎样骗人,他的朋友米奇知道如何入侵别人的电脑,他们一起制定了一个巧妙的计划。
  那天他假扮成一个名叫彼得·米尔顿的员工,进入了光荣汽车零配件公司内部并把他的便携式电脑连上了他们的局域网,一切顺利,但还只是第一步,接下来他要做的事情并不容易,特别是之前安东尼为自己设置了一个十五分钟的极限时间——如果更久的话他认为被发现的风险太高了。
  米特尼克信箱
  不要让你的员工只看到封面就判定一本书的好坏——穿着整洁并不能为某个人带来更多的可信度。
  在之前的电话中他伪装成他们电脑供应商的支持人员花言巧语地表演了一番,“你们公司购买了两年的技术支持,我们正在把你们加入数据库,这样当你们使用的某个软件程序有了补丁或是更新版本时我们就可以知道,我需要你告诉我你们使用哪些程序。”然后他得到一张程序列表,一位会计师朋友确定其中一个调用了MAS90(译者注:一款财务软件)——这个程序管理着他们的厂商列表和折扣与各自的付款方式。
  有了这些关键信息,他下一步用一个软件程序扫描了局域网中所有的存活主机,没花多少时间他就找到了财务部门服务器的正确位置。从他的便携式电脑的黑客工具兵器库中,他运行了一个程序并用它来扫描目标服务器上所有的授权用户。得到了这些之后,他开始尝试了一系列常用的密码,比如“空”和“password”,“Password”起作用了,没什么好吃惊的,在选择密码的时候人们总是缺乏创造力。
  才过了六分钟,游戏就完成了一半,他进入了目标服务器。
  又过了三分钟,他非常小心地往客户列表里添加了他的新公司、地址、电话号码和联系人,然后找到一个至关重要的条款,在上面标明所列商品以高于光荣汽车零配件成本1%的价格卖给他。
  十分钟不到,他完成了。然后他停留了足够长的时间向凯拉表示感谢,并说他仔细查看了电子邮件,了解到计划有变动,迈克·塔尔伯特已经在去客户办公室开会的路上了,他也不会忘了要把她推荐到营销部门的事。
  过程分析
  这个自称为彼得·米尔顿的入侵者运用了两次心理战术——一次是有计划的,另一次是临时准备的。
  他穿得像是工资很高的管理人员,精心设计的衣服、领带和发型——这些细节看上去很小,但是它们能建立第一印象。我自己是无意中发现了这些的,以前我在加利福尼亚州GTE(译者注:美国通用电器公司)当程序员时,我发现如果有一天我没有带证件,穿着整洁但随意——比如,运动衫、休闲裤与Dockers(译者注:卡其裤经典品牌)——我就会被叫住被盘问,你的证件,你是谁,你在哪里工作?第二天我再来的时候,依然没有证件但是衣服和领带看上去非常正规,我用了一个古老的技术混入人群,和他们一起走进公司或安全入口,和他们聊天,好像我就是他们中的一员。我顺利通过了,即使警卫注意到我没有证件,他们也不会打扰我,因为我看起来像是管理人员并且还和带着证件的人在一起。
  从这些经验中,我了解到应该怎样预测安全警卫的行为,像是我们中的其他人,他们会根据表面现象进行判断——社会工程师知道怎样利用这个致命弱点。
  当攻击者注意到那位接待员不同寻常的努力之后,他的第二个心理战术起作用了。同时处理很多事情没有让她变得不耐烦,不仅如此,她还让每个人都觉得他们获得了她全部的注意力,他觉得这些是有上进心、想证明自己的人的标志。然后当他声称在营销部门工作时,他观察了她的反应,看他是否在她心中建立了友好的形象,他做到了。对于攻击者而言,这意味着他可以通过承诺帮她找到一份更好的工作来利用她。(当然,如果她说她想去财务部门,他就会声称自己可以在那里为她联系一份工作。)
  入侵者也喜欢在这个故事里使用的另一个心理战术:用两段攻击建立信任。他首先聊到营销部的工作,然后“提到某个人”——说出另一个员工的名字——一个真实的人,顺便说一句,那的确是一个真实员工的名字。
  他可以马上请求到一间会议室去,但他选择了暂时坐下来,假装在工作并等待他的同事,这样就可以避免任何可能的猜疑,因为一个入侵者是不会待在附近的。他没有待很长时间,然而,社会工程师在必要的情况下会待在犯罪现场更长时间。
  米特尼克信箱
  允许一个陌生人进入到可以把便携式电脑连入公司内部网络的地方,会大大增加安全风险。这对于一名员工而言非常合理,但是对于一个想要到会议室查看他(或她)的电子邮件的外部人员,除非已经确定这名访客为可信任的员工或者网络已经被分割出来,阻止未经授权的连接,这可能是危及公司文件的薄弱环节。
  必须明确指出的是:从法律的角度上看,安东尼进入大厅时,他并没有犯法;当他利用一个真实员工的名字时,他也没有犯法;当他进入会议室时,他也没有犯法;当他连入公司的内部网络并搜索目标主机时,他也没有犯法。
  实际上直到他侵入了计算机系统时,他才违反了法律。
  偷窥的凯文
  很多年前,当我在一个小公司工作时,我注意到当我走进和其他三个人共用的IT部门办公室时,有一个特殊的人(乔,我在这里这样称呼他)会迅速地把他的电脑显示器切换到另一个窗口,我马上觉得这很可疑,当同一天发生超过两次这样的事时,我确信自己将要了解到某些事,这个人到底不想让我看见什么呢?
  乔的电脑是公司小型机的终端,所以我在VAX小型机上安装了一个控制程序,这样我就可以监视他的一举一动。这个程序类似于一个在他肩膀上面的电视摄像机,把他在电脑上看到的东西精确地展示给我。
  我的桌子就在乔的旁边:我可以把显示器转过来让他看不见,但是他随时都可以走过来,然后发觉我在监视他。这不是问题:他太专注于所做的事情了。
  我看到的东西让我目瞪口呆,这个坏蛋调出了我的工单数据,他在查看我的工资!那时候我在那里才几个月,我猜乔是无法容忍我的工资比他高。
  几分钟后我看见他在下载菜鸟黑客自己写不出来的黑客工具,这样看来乔没什么本事,并且还没有意识到美国最有经验的黑客就坐在他的右边,我觉得这很好玩。
  他已经获得了我的工资信息:要阻止他已经太晚了。此外,任何电脑可以访问IRS(译者注:美国国税局)或社会保障总署的员工都可以看见你的工资。我当然不想让他发现我知道了他在干什么,我此时的主要目标是保持低调,一个好的社会工程师不会去到处宣传他的知识与才干。你通常想让人们低估你,不把你当成威胁。
  所以我没有管他了,并且为乔认为他知道了我的一些秘密而暗自发笑。当这些都反过来时:我获得的信息会比他多得多。
  我发现我在IT部门的三个同事全都喜欢查看这个或那个可爱秘书或(为公司里的一个女孩子)他们盯上的某位帅哥的实得工资,并且他们还喜欢找出公司里任何令他们好奇的人(包括高层管理人员)的工资和奖金。
  过程分析
  这个故事说明了一个很有趣的问题,维护公司电脑系统的人可以轻易地访问工资表文件,这带来的问题是:确定谁可以被信任。在某些情况下,IT人员会在四处察看时无法避免地看到它,他们可以这样做,因为他们有特权允许他们忽略这些文件的访问控制。
  一个安全措施是审核对特别敏感的文件的访问,比如工资表。当然,任何必需有特权的人都可以关闭审核或移除任何指向他们的纪录,但是每一步额外的步骤都会使不道德的员工在隐藏部分上花费更多的时间。
  预防措施
  从翻寻你的垃圾到欺骗安全警卫或接待员,社会工程师可以全面侵入你的公司内部,但是你会很高兴听到这里有一些你可以采取的预防措施。
  临时通行证
  所有上班时忘记带证件的员工都必须到大厅前台或警卫室办理一张临时证件,如果这一章第一个故事中的安全警卫在遇到没有携带员工证件的人时仔细地进行了处理,一切就会大不相同。
  对于安全等级不高的公司或公司区域,也许并不需要强调每个人每时每刻都带着有效证件,但是对于公司中的敏感区域,这些就需要被严格地强制实行。必须培训员工去质疑没有佩戴证件的人,高级员工必须允许这些质疑,不去为难那些把他们叫住的人。
  公司政策应该忠告那些一直没有佩戴证件的员工:他们所受的处罚可能是直接回家并且拿不到任何报酬,或者在他的个人档案上写上一笔。一些公司制定了一系列更严厉的处罚,包括向员工经理报告问题,然后发布正式警告。
  另外,在有受保护的敏感资料的地方,公司应该制定在非商业时间访问的授权程序。一个解决方案是:让公司的安全部门或某个其它指定组管理这些请求,这个组将通过回电给主管或其它一些相当合理的方法来核实任何请求在非工作时间访问的员工的身份。
  慎重处理垃圾
  垃圾搜寻的故事揭示了公司的垃圾存在的潜在危险。
  下面是八条与之相关的至理名言:
  1.基于敏感程度对敏感资料进行分类。
  2.在整个公司范围内建立敏感资料丢弃程序。
  3.坚持在丢弃敏感信息时先将其粉碎,并使用一个安全的方法去除无法再剪碎的小纸片上的重要信息。碎纸机绝对不能处于低档粉碎状态,一个坚定的攻击者,加上足够的耐心,就可以把这些低档粉碎出来的纸片拼起来。只要很好的使用了交叉碎纸机,他们得到的就会是无用的纸浆。
  4.将那些电脑媒体——软盘、Zip盘、被用来存储文件的CD和DVD、可移动磁盘、旧硬盘等——完全清除或使其无法使用,在它们被丢掉之前。记住,删除文件事实上并没有将其清除,它们还可以被恢复——就像Enron主管和其他许多人从他们的惊讶中学到的那样,把电脑媒体扔到垃圾桶里是在向当地友好的垃圾搜寻