成为社会工程师
每天早晨,许多人从床上一爬起来,便开始对千篇一律的繁重工作犯愁。我却很幸运,因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。我的天份在称为社会工程学(使人们做在通常情况下不会为陌生人做的事情)的表演艺术中得到磨练和回报。
对我来说,成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域,因此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时,这就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种,一种是通过诈骗、欺骗来获得钱财,这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的,这就是社会工程师。从我使用诡计免费乘车的时候(我那时还小,并没有认识到这样做有什么不对),就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了解术语和培养良好的操纵技巧,更为加强了这种天份。一个用来发展我的专业技艺(如果这可以称为一个专业的话)的方法就是看我是否能与电话另一端的人攀谈,并获得相关信息,即便这些信息对我毫无用处,这样做只是为了证明我的专业技巧。同样,我还用此种方法,练习奇巧的计谋、托辞,不久我发现我可以取得我想关注的任何信息。正如我在数年后的国会听证会上,在利伯曼(lieberman)和汤姆森(tompson)参议员面前所做的证词中描述的那样:
“我未经授权进入了世界上最大的几家公司的计算机系统,并成功渗透了一些防范最好的电脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码,以研究它们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么,并发现其中的秘密,比如操作系统、移动电话以及任何能引起我好奇心的东西。”
最后的想法
自从被捕以后,我已经承认了自己这些行为的非法,侵犯了他人的秘密。我的错误行为是由于好奇心引起的,我抑制不住的想知道电话网络是如何运转的,以及了解计算机安全的每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。当我反省过去的这30年时,我承认自己做出了极其拙劣的选择,被好奇心驱使,被学习技术的欲望和智力挑战的虚荣所驾驭。
但我现在已经转变,我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他人,以避免那些怀有恶意的信息盗贼可能带来的危害。我相信,你将会从本书中得到乐趣、教育和启发。
内容介绍
本书包含丰富的信息安全与社会工程学的知识,为有助阅览,下面对本书内容做一个简要介绍:
在本书的第一部分(第一章),我将展示信息安全的薄弱环节,并指出为什么你和你们的企业处于社会工程师攻击的危险之下。
本书的第二部分(第二至九章),大家将会看到社会工程师是如何利用人们的信任、乐于助人的愿望和同情心使你上当受骗,从而获得他们想要的信息。本书通过小说故事的形式来叙述典型的攻击案例,给读者演示社会工程师可以戴上许多面具并冒充各种身份。如果你认为自己从来没有遇到过这种事情,你很可能错了。你能从本书的故事中认出自己似曾相识的场景么?你想知道自己是否经历过社会工程学的攻击么?这些都极有可能。但当你看完了第二章到第九章时,便知道下一个社会工程师打来电话时你该如何占取主动了。
接下来的部分将展示一个社会工程师如何铤而走险,进入企业内部,盗取关健信息并越过高级安全防控措施的过程。此部分内容会让人意识到安全威胁存在于各个方面,从普通员工对企业的报复一直到电脑空间的网络恐怖主义。如果你对保持公司业务运转的数据和秘密信息十分重视并为之感到担心,请仔细的阅读本书第三部分(第十至第十四章)。这里需要注明的是:“除非另做声明,本书中的故事情节纯属虚构。”
本书第四部分(第十五至十六章)我将谈到,在业务对话中如何成功的防止社会工程学给企业带来的攻击。第十五章提供一套有效的安全防范培训计划;第十六章也许正解你的燃眉之急――它包含一个完整的安全策略,你可以按公司的需要来立刻应用,以保证企业的信息安全。
最后,本书提供一个由列表、表格组成的“安全一瞥”,用来概括说明一些关健信息,以帮助员工在工作中阻止社会工程学带来的攻击。这些方法还可以为你做出自己的信息安全培训计划提供颇具价值的帮助。
纵览全书,你还可以发现一些非常有用的内容条目:“术语箱”提供社会工程学和计算机黑客的术语;“米特尼克信箱”发出精典短语,有助于加深安全策略的印象;注释与工具条则带来一些有趣的背景知识等附加信息。
第一部幕后的故事
第一章安全软肋
某公司也许购置了能用钱买到的最好的安全技术,员工们也训练有素,每晚回家前把所有的秘密都锁起来,并从业内最好的保安公司雇用了保安,但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理系统配置以及应用安全补丁,但他们仍然很不安全。
人为因素
在国会听证会前的一次证言中,我解释到我经常可以从企业获得密码口令或其他类似的敏感信息,只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主,他有一套麦迪科(译者注:medico,知名品牌、价格昂贵)防撬锁装在屋子的大门上,以保护他的妻子、孩子和他的家。他觉得很心安,因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢?再安装一套强壮的安全系统么?虽然有用,但还是不够安全。无论防盗锁是昂贵还是便宜,屋主的安全仍然难以保障。为什么?因为人为因素才是安全的软肋。
安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”最终,社会工程学的攻击,成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。
与这位屋主一样,有许多信息技术(it)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为其配置了精良的安全设备――防火墙、入侵检测,或是更为保险的身份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭遇安全事故。
正如著名的安全顾问布鲁斯?施尼尔(bruceschneier)所说:“安全不是一件产品,它是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。
一个欺骗的经典案例
企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:
许多人都已记不起一个叫斯坦利?马克?瑞夫金(stanleymarkrifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(securitypacifiationalbank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。
获得密码
1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。
电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。
转款入户
瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。