按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
然后通过利用不是一个而是两个复印店,阿图若去拿那份传真时他让自己非常安全。进行传真时这里的一个变化让追踪足迹更加困难:代替把这些文件发给另一家复印店,攻击者可以给一个公开的传真号码,通过一个真实的地址在因特网上的免费服务将你收到的传真自动转发到你的邮箱地址里,他不会在任何地方露脸,没有人会认出他,邮箱地址和电子传真号码在完成任务后就可以扔了。
转换表格
一个我叫他迈克尔·帕克(Michael Parker)的年轻人,他是较晚完成better…paying论文的人之一,那通常是和大学学位挂钩的。他有一个机会参加一个本地大学的部分奖学金加教育贷款活动,但是那意味着要在晚上和周末工作才能支付他的租金、食物、汽油和汽车保险。迈克尔总是喜欢去找捷径,认为也许有另外的方法,一个只需要少量的努力就可以不用付钱的更快的方法。因为他从十岁第一次玩电脑时就开始学习计算机了,他着迷于发现它们是怎样工作的,他确信能更快看见自己的计算机科学学士学位,如果他可以“制造”它的话。
毕业生——没有荣誉
他可以入侵州立大学的计算机系统,找到成绩为B+优秀或平均为A…毕业的人的档案,复制,然后加入他自己的名字,把它添加到当年毕业班的档案里。通过思考这些,不知道怎么了他有些担心这个主意,然后他认识到肯定还有其它的在校生档案——学费支付档案,住房分配办公室,还有那些知道别的什么的人。仅仅建立课程和评分的档案会留下太多漏洞。
经过深入思考,他觉得这个方案只有在达到了他的目标时才能实现,学校里要有一个和他名字相同的毕业生,在任何适当范围的时间里获得过一个计算机科学学位。如果那样的话,他就可以在员工申请书里填写另一个迈克尔·帕克的社会保险号码,任何去大学核实姓名和社会保险号的公司都会被告知,是的,他有学位。(对大部分人而言不明显但是对他而言是显而易见的,他把一个社会保险号放在了工作申请里,然后如果被雇用了,就把他自己真实的号码填入新员工表格中。大部分公司都不会想去检查一个新员工在聘用时是否使用了一个不同的号码。)
登陆的麻烦
怎样在大学档案里找到一个迈克尔·帕克?他是这样着手的:
进入大学校园的主图书馆,他坐在一台电脑终端前,连入网络并访问大学的网站。然后他打电话给注册员办公室,当有人回应时,他运用了一个社会工程师耳熟能详的方法:“我从电脑中心打电话来,我们正在更改一些网络配置,我们想要确定我们没有使你的访问中断。你连接的哪个服务器?”
“服务器?什么意思?”他问。
“当你查询学生档案信息时连接的哪一台电脑。”
回答是:admin。rnu。edu,储存学生档案的电脑名称。这是难题的一小部分:他现在知道了他的目标机器。
专业术语
哑终端:一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。
他在电脑里输入了那个网址但是没有获得响应——和预期的一样,有防火墙阻止了访问。因此他运行了一个程序看看能不能连接上那台电脑的任何服务,然后发现了一个打开的端口运行着Telnet服务(允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它)。获取访问权限所必需的是一个标准用户ID和密码。
他打了另一个电话给注册员办公室,这一次他仔细地倾听并确定在和另一个人说话。他遇到了一位女士,然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统,仍处于测试阶段,想了解她是否可以正确访问学生档案。他给了她一个连接的IP地址并且告诉她怎样操作。
事实上,这个IP地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步骤,他创建了一个登陆蜜罐——一个登陆界面的圈套——看上去就像是当她登录学生档案系统时通常看到的一样。“它没工作,”她告诉他,“它持续说‘登陆不正确’。”
现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她:“哦,这台机器里的一些账户仍然不能用,让我配置一下你的用户,然后再打电话给你。”小心的绑好未扣牢的一端,就像所有社会工程师精通的那样,他强调稍后再打电话,说测试系统还没有工作正常,如果她能使用它了,他们会打电话给她或者这里的其他人,当他们解决了问题时。
有益的注册员
现在迈克尔知道了他要访问哪一个电脑系统,还有用户ID和密码。但是当他有了正确的名字和毕业时间时如何在文件里搜索这些信息?学生数据库是私有的,在学校建立它是为了对付大学特殊的需求和注册员办公室,并且有唯一的途径在数据库中访问信息。
首先清除这些最后的障碍:找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注册员办公室,这一次成了另一个不同的人。他来自迪安工程办公室,他告诉那位女士,然后他问道:“当访问学生档案出现问题时,我们猜想有人打来了电话请求帮助。”
几分钟以后他打电话给大学数据库管理员,上演了值得同情的一幕:“我是注册员办公室的马克·塞乐。你能同情一下一个新人吗?很抱歉打电话给你但是这个下午他们都在开会,没有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表,从1990年到2000年的。他们今天就需要它,如果我没有它的话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧?”帮助人们是这个数据库管理员要做的事的一部分,所以他特别耐心地告诉迈克尔一步一步的操作过程。
当他们挂断电话时,迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟,查找到了两个迈克尔·帕克,在他们中选择了一个,获得了这个人的社会保险号码和其它在数据库里的相关信息。
他就成了“迈克尔·帕克,B。S(译者注:Bachelor of Science 理科学士),计算机科学,光荣毕业,1998”。在这里,“B。S”是唯一恰当的。
过程分析
这次攻击使用了一个我之前没有谈到过的策略:攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格相当于请求商店的所有者帮你搬运包含了消息的盒子,你只需要从他的架子上偷来放到你的车里就可以了。
米特尼克信箱
当电脑用户遇到社会工程学相关的威胁和攻击时,他们显得有些无能为力,那些技术存在于我们的世界中。他们有权使用信息,但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标,所以目标通常会答应陌生人的请求。
预防措施
同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制,这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢?
保护数据
这一章的一些故事强调了发送一份文件给你不认识的人有多么危险,即使当这个人是(或者表面上是)一名员工,这份文件是被发送到一个公司的电子邮件地址或传真机上。
需要制定非常详细的公司安全方针保护贵重的数据不被发送给任何不是亲自认识的人。需要制定严格的程序来传送有敏感信息的文件。当请求来自不是亲自认识的人时,必须有清晰的查证,要有依赖于敏感信息的不同的等级证明。
这里有一些可以考虑的方法:
建立知道需求(要求获得指定信息所有者的授权)。
保持一个处理这些事情的个人或者部门日志。
维持一张人员表,那些临时传送的程序和可信的被批准发送敏感信息的人。要求只有这些人被允许发送信息给任何工作组外部的人。
如果数据请求需要写入(电子邮件,传真,邮件),则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。
关于密码
所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员——需要了解一些简单的操作如修改你的密码,即使是一小会儿都能导致一个主安全漏洞。
安全训练需要包含密码主题,关注什么时候和怎么样改变你的密码,什么是合法的密码,和将任何其他人卷入程序的危险性。训练尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们的密码的请求。
表面上看起来这是一条简单的传给员工们的信息,但不是,因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”,但是在这个小孩明白为什么那是重要的以前,你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。
注意:
密码是社会工程学攻击关注的中心,那是我们致力于第16章的单独的部分,那里你可以找到详细的管理密码的推荐方针。
中心报告点
你的安全方针应该指定一个人或组为报告可疑行为(企图渗透你的机构)的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的,报告这些的电话号码应该始终放置在眼前,这样当员工们怀疑发生了攻击时就不需要去发掘它。
保护你的网络
员工们需要了解电脑服务器或者网络的名称不是无价值的信息,它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。
特别的,像是数据库管理员之类的使用软件工作的人属于专业技术类别,他们需要在特殊的和非常限制性的规则下操作,验证打电话给他们请求信息的人的身份。
经常提供各种电脑帮助的人需要很好的被训练识别哪些请求属于红色标记,暗示打电话的人可能试图进行社会工程学攻击。
这是有价值的笔记,可是来自这一章最后故事里的数据库管理员的观点,打电话的人是符合标准的:他是在校内打来的电话,并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证(对任何请求信息的人)程序的重要性,尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。
所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了,也不要惊讶于学生档案——有时候是全体教员档案,同样的——是一个诱人的目标。这一陋习如此的泛滥,一些公司甚至考虑把大学加入敌对的外界环境,创建防火墙规则阻止以。edu结尾的教育机构地址访问。
我已经说清楚了,所有学生和职员的任何类型的档案都会是攻击的主要目标,应该得到很好的保护就像敏感信息一样。
训练技巧
大部分社会工程学攻击都可笑地能轻易的被任何知道自己看守的是什么的人防范。