按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
刚买了一个笔记本,需要设置一下,以便能从外面拨入服务器。”
设置很简单,但我耐心地让他一步一步地教我,直到拨入电话号码。他告诉我那个号码,就像说出其它的一些日常信息。然后,我让他等我试一下。没问题。
现在,我已经克服了连接网络的障碍。我拨号进入,发现他们的终端服务器允许拨入者连接到内网上所有的计算机。多次测试后,我偶然发现一台计算机上的来宾账号口令为空。有些操作系统在首次安装时,会指导用户建立一个账号和口令,同时给出一个来宾账号,用户可以对其设置口令或是禁用它,但多数人不懂这一点,或者是嫌麻烦。这个系统可能是刚安装不久,而主人也没花点儿功夫把来宾账户禁用掉。
专业术语
哈希密码(PASSWORD HASH):对口令进行一次性的加密处理而形成的杂乱字符串,这个加密过程被认为是不可逆的,也就是说,人们认为从哈希串中是不可能还原出原口令的。(译者注:2004年,王小云教授在国际密码学大会上公布了破解HASH函数的关键技术。)
多亏这个来宾账号,我现在访问到了一台运行着旧版本UNIX的计算机。UNIX的操作系统备有一个密码文件,这个文件包含所有有权访问这台计算机的用户的加密口令,也就是一次性加密的哈希密码。经过一次性哈希加密,一个真正的口令,比如“justdoit”,会被加密后的哈希字符代替。在这个案例中,口令被转换成13个字符位的数字和字母。当有人访问计算机时,需要输入用户名和口令以确认身份,这时系统就会对输入的口令进行加密,然后把结果与密码文件中的哈希口令对比,两者如匹配,访问允许。由于文件中的口令是加密的,因此虽然在理论上文件本身对于任何用户都是有效的,但并没有已知的办法能够解密口令。
这真是笑话。我下载了这个文件,运行字典攻击(本书第十二章有更多的攻击方法),发现研发组的一个叫斯蒂文?克莱默的工程师,在这台计算机中拥有一个口令为“Janice”的账号。我试着在一台服务器上输入这个口令碰碰运气,如果有效,这不仅会节省我的时间,还会让我少冒些风险。但口令无效。这就意味着我不得不用些技巧来让这个人自己告诉我他的用户名和密码。于是,我一直等到周末。后面的事情,你们已经知道了。周六,我打电话给克莱默,用蠕虫和服务器必须从备份中恢复的理由打消他的怀疑。也许有人要问,他填写雇用登记表时的口令是怎么一回事?我指望他不会记着所有的事,一个新员工要填的表很多,几年之后,谁还会记得呢?而且,即使我在他身上的努力失败,那份长长的名单上还有其他人可以尝试。
利用他的用户名和口令,我进入服务器开始搜索,很快找到了STH…100的设计文档。但我不确定哪些是关键的,于是我把所有的文件传送到“秘点”,中国的一个FTP站点,文件存放在那里不会引起任何人的怀疑,让客户在这堆垃圾里寻找他们的宝贝吧。
专业术语
秘点(DEAD DROP):很难被别人发现的存放信息的地方。在传统的间谍活动中,秘点可能是一堵墙壁上某块松动的石头。对于计算机黑客来说,一般都是位于遥远国度的互联网上的一个站点。
过程分析
那个我们称之为克雷格?科伯恩的人,或是任何像他一样具备熟练社会工程学(不总是以违法行为盗窃信息)能力的人,以上叙述的难题几乎都如例行公事般简单。克雷格的目标是在一台受到保护的企业计算机上找到并下载文件,这台计算机被防火墙和通常所有的安全技术保护着。他的大部分工作如探囊取物般简单。先是假扮收发室的工作人员,声称收到一封不知寄给谁的联邦快递包裹来增加紧迫感,这样他得到了心脏支架研发组组长的名字,这位组长正在渡假,可他却留下了助手的名字和电话——这大大地方便了试图窃取信息的社会工程师。克雷格打给这位助手,谎称响应项目组长的要求来打消她的怀疑。组长不在城里,米歇尔在无法证实他所言属实的情况下,相信了他的话,并把项目组成员名单毫无保留地提供给他。对于克雷格来说,这是一组十分必要和珍贵的信息。
当克雷格让他发传真而不是使用令双方都方便的电子邮件时,她甚至都没有怀疑。为什么她如此轻易的相信他人?如同许多工作人员那样,她可不想在上司回来时发现她拒绝了一个人的要求,而这个人所做的事是她的上司交待要做的。此外,对方并没有说上司明确批准了他的请求,只是需要他的协助。她之所以还把名单给他,是因为有些人有一种显示自己是团队一员的强烈愿望,而这种愿望使大多数人容易被骗。
克雷格避免了亲自现身的风险,他让对方把传真发到接线员那里,他知道接线员会有帮助的。一般来说,接线员都有着温柔的性格和给人留下良好印象的素养,像收发传真这种在职责范围内的小忙,克雷格可以充分利用。虽然任何知道此信息价值的人看到她发出的信息都会引发警报,但你又如何指望一个接线员能分辨出无害信息和敏感信息的区别呢?
米特尼克信箱
每个人对工作的第一考虑就是完成工作,在此压力下,安全操作规程就放到了第二位并被遗漏和忽略,社会工程师就利用这一点来实施他们的诡计。
克雷格利用了一个从未改变过的默认口令,许多依靠防火墙的内部网络都存在着这种即明显又开放的漏洞。实际上,许多操作系统、路由器和其它产品,包括专用交换机的默认密码,在网上都有提供。任何一个社会工程师、黑客,或是商业间谍,还有那些仅仅是具有好奇心的人,都可以在phenoelit。de/dpl/dpl。html找到这个默认密码列表,简直令人难已置信,互联网把那些知道从哪里获取资源的人的生活变得如此轻松,现在,你也知道了。
然后,科伯恩竟然让一个行事谨慎怀有戒心的人透露了他的用户名和口令,从而访问到心脏支架研发组使用的服务器。这就如同在公司最严守的秘密上开了一扇门,克雷格可以任意浏览信息并下载新产品计划。
如果斯蒂文?克莱默继续他对克雷格的怀疑又会怎样?斯蒂文看来不大可能在他星期一早晨上班前报告此事,而到了星期一已经晚了。这个骗局最后部分的一个关键就是,克雷格先是显得对斯蒂夫所担心的事情漠不关心,接着换成一付让对方听起来是在帮助对方完成工作的口吻。许多时候,当受骗者认为你是在帮他或是在为他做事情时,往往会放开在其他情况下会坚守的秘密信息。
预防措施
社会工程师一个最强有力的技能就是扭转局面,这你已在本章中看到。社会工程师制造问题,然后魔术般地给予解决,然后从受骗者手中套出访问企业最严守的秘密的通道。你的员工会掉入这个圈套么?设计和实施这样一套防范攻击的安全规程,你会感到棘手么?
培训、培训,再培训……
有一则老故事,一个去往纽约的游客在街上叫住一个人问:“我怎样才能到达卡内基音乐殿堂?”那个人回答:“练习,练习,再练习。”每个人在社会工程师的攻击面前都很脆弱,而企业唯一有效的防范就是培养和训练员工,给予他们练习的机会,如何认出一名社会工程师。而且,要不断的始终如一的提醒他们在训练中学到的知识,否则很容易忘掉。
企业里的每一名员工人在与不是亲自认识的人打交道时,应具有适度的谨慎和警戒心,特别是访问计算机网络的有关事情要尤为注意。人类天性容易相信他人,但正如日本人所说“商场如战场”,公司在安全防护方面绝不能放松警惕,必须制定安全策略以清楚的区分哪些是不当的操作,哪些符合规程。安全措施不是千篇一律,企业员工通常都有着差别很大的任务和职责,而每个岗位都有着与之相关的漏洞。公司里的每个人都应完成一个基础培训,并加上依据他们的工作程序而设计的培训,以降低员工本人发生问题的可能性。而工作涉及敏感信息或身居关键职位的员工,更应给予专门的培训。
保持敏感信息的安全
如同本章中所讲的那样,当一个陌生人以提供帮助的名义与工作人员接近时,工作人员必须遵循为适合公司文化、业务需要而定制的合适的安全策略。
注:个人认为,并不是所有的企业都需要共享和交换密码,建立一个严格的规则来禁止员工共享和交换机密口令很容易,而且也更安全,但每个企业必须结合自己的工作环境和安全要点来做选择。
绝不要配合陌生人查询信息、在计算机上键入不熟悉的命令、改变软件设置,或是打开邮件的附件和下载未经检测的程序(这最有可能造成危害)。任何软件程序,即便是那些看上去无碍的程序,也很可能暗藏危险。
有些工作,无论我们的培训做得有多好,时间一长,我们就又粗心大意起来。接着便忘掉了非常时期的培训,因为那时正需要它。你可能认为不要泄露你的用户名和口令是一件无需提醒的事,任何人都知道或都应知道,这是一种普遍的认识。但实际上,每个员工都需要被经常提醒——泄露办公室计算机、家庭计算机、甚至是邮资机的用户名和口令与泄露ATM卡的个人身份识别码一样危险。
有时,在非常偶然的情况下,在有限的环境下,把机密信息透露给别人是必要,甚至可能是十分重要的。为此,制定“永远不要”的绝对规则是不合适的。然而,为特定环境制定相应的安全策略和规程十分必要,员工在非常时期可以把口令透露给别人,但对方必须被授权。
注意对方身份