“好吧,如果只需几分钟的话。”
“你照这样做……”
艾迪指导汤姆从一个网站下载一个小程序,下完之后,艾迪叫汤姆双击它。汤姆照做,但反馈说:“不行,什么反应都没有。”
“噢,真讨厌。程序一定有什么地方出错了,算了吧,我们可以下次再试。”接着他指导汤姆删除掉程序,以使其不能恢复。
整个过程花费时间,十二分钟。
攻击者的故事
每当鲍比·华莱士(Bobby Wallace)接到这样的一项任务时总觉得很可笑,他的客户总是在为什么需要这种信息的问题上闪烁其词。这件案例中,他只想到两个原因:也许他们代表某个意图收购斯达伯德造船厂的组织,因而想知道造船厂真正的财务现状,尤其是被收购方想对潜在购买者刻意隐瞒的东西。或者,他们代表投资方,认为他们的资金在使用上有些可疑,并想知道是否有些管理人员私自开设了小金库。
也许他的客户并不想让他知道真正的原因,因为如果鲍比知道了那些信息的价值,他可能会索要更多的酬金。
有许多破解企业最机密文档的方法,鲍比在制定计划前花了几天时间做选择并进行了小小的测试。他决定使用一个称为“接近”的他尤其喜欢的方法,让对方自己落入圈套,他会自动请求攻击者的帮助。
首先,鲍比花39。95美元在便利店买了一部手机,然后打电话给那个他选做目标的人,冒充公司服务中心的人哄骗对方在网络连接出问题时给他打电话。为了使事情看上去不那么明显,他故意等了两天才给网络管理中心(NOC)打电话。他声称在为汤姆(他的目标)检修网络问题,并要求NOC把网络连接禁止掉,鲍比知道这是整个计划中最棘手的部分。在许多企业,服务中心与NOC有着紧密的工作关系,实际上他知道服务中心通常就是IT部门的一个分部。但NOC接电话的人懒得问那个解决网络问题的服务中心人的名字,并同意禁止掉对方要求的网络端口。这一切搞定之后,汤姆就被完全的从企业内网上隔离了,不能从服务器上检索文件,也不能与同事交换文件、下载邮件,或甚至不能把数据传到打印机。在当今的世界,这如同居住在一个洞穴中。
正如鲍比所预想的,他的手机很快就响了。当然,他尽量使自己听上去十分愿意帮助这个不幸的同事,然后给NOC接电话把网络连接恢复。最后,他打给汤姆再次控制了他,这一次由于帮他解决了问题,令对方心存感激,于是汤姆同意下载一个软件到他的计算机上。当然,他同意下载的软件并不是鲍比所说的那样,是为了防止网络连接的再次中断,它实际上是一个特洛伊木马,一个用来对付汤姆的计算机的应用程序(特洛伊是一种原始的把敌人带到对方内部的欺骗方法)。汤姆回复说双击程序后没有任何反应,这是故意让他看不到发生任何事情的,实际上这个小巧的应用程序正在安装一个允许渗透者悄悄访问汤姆计算机的秘密软件。利用这个软件,鲍比可以完全的控制汤姆的计算机,这称为远程命令行解释器。当鲍比访问汤姆的计算机时,他可以查找他感兴趣的财务文件并拷贝下来,然后,在方便时检查它们是否包含他的客户寻求的信息。
专业术语
特洛伊木马:一种包含恶意或会造成危害的代码,用来损坏受害者的计算机或文件,或是从受害者的计算机和网络上获取信息。某些特洛伊木马会隐藏在操作系统中暗中监视击键或操作,或者通过网络连接来执行一些入侵命令,而这一切是在受害者意识不到的情况下进行的。这还不是全部,入侵者还可以在任何时候回到这台计算机上搜索电子邮件和私人备忘录,并对可能揭示出敏感信息的词进行文本查找。
在哄骗目标安装了特洛伊木马程序的当晚,鲍比就把手机扔到了垃圾桶里。当然,在扔之前他首先小心的删除了通话记录并拔出了电池。这是他最后要做的事情,让人再也拨不通这个电话号码。
过程分析
攻击者设计一个圈套来使对方认为自己的计算机存在问题,实际上,根本没有。或者,问题还未发生,但攻击者知道它会的,因为他将使之发生,然后他再假扮解决问题的人。这次攻击中的程序安装对于攻击者来说更是奖赏,他事先埋下了伏笔,当目标发现问题时,会自动打电话恳求帮助。攻击者只需坐在那儿等电话响就是了,可以把这次攻击看做是一次反向的社会工程学——攻击者迅速获得了信任,从而使目标主动打电话给他。如果你打电话给某个你认为是服务中心的人,你会要求对方证明自己的身份吗?这就是攻击者想制造的效果。
专业术语
远程命令行解释器:接受文本命令来执行某种功能或运行程序的非图形操作界面。通过利用漏洞或在目标计算机上安装木马,攻击者可以获得对命令行解释器的远程访问权。
反向社会工程学:攻击者设计的一种情形,受骗者碰到问题时会联系攻击者求助。另一种反向社会工程学是对付攻击者的,被攻击目标发现了对方是攻击者后,利用心理影响尽可能的从攻击者身上套出信息以保护企业的信息资产。
米特尼克信箱
如果某个陌生人帮了你的忙,然后要你帮他,不要不经过慎重考虑就回报他的帮助,要看对方要你做的是什么。在类似上面的这个骗局中,社会工程师找了一个计算机知识很少的人。他知道的越多,就越可能产生怀疑,或越能断定是被骗了。计算机白痴——对计算机操作和知识了解很少的人,则很容易遵从你的指示。他太容易掉入“只需下一个小程序”这样的陷井了,因为他对一个软件程序可能造成的损害一无所知。而且,他很可能不知道他冒着风险放到网络上的信息的价值。
给新来的女孩帮个小忙
攻击者喜欢把目标锁定在新来的雇员身上,他们认识的人很少,也不了解工作程序,什么该做,什么不该做。而且,一旦给其留下良好的第一印象,他们便会殷切地显示出对你的配合和快速地回应。
安德鲁的帮助
“人力资源部,安德鲁o卡尔霍恩(Andrea Calhoun)。”
“安德鲁,嗨,我是亚力克斯(Alex),企业安全顾问。”
“什么事?”
“今天好么?”
“还好。需要帮忙吗?”
“是这样,我们正在策划一个新员工的安全培训,需要集结一些人测试一下,我想要上个月所有新进员工的名单和电话号码。你能提供给我么?”
“要到今天下午我才能给你,可以么?你的分机是多少?”
“当然,可以。我的分机是52……,噢,嗯,我今天大部分时间要开会,我回到办公室后打给你吧,大约4点左右。”
亚力克斯4点30分打来电话,安德鲁已经把名单准备好,然后在电话中读出了名字和分机号。
罗丝玛丽的消息
罗丝玛丽o摩根(Rosemary Morgan)很满意她的新工作,以前她从未在杂志社做过,她发现这里的人比她想像中友善的多(大多数杂志社职员都是在没完没了的压力下,在每一次发行最后期限前出版杂志的),而星期二早晨的一个电话再次确认了她的这种印象。
“是罗丝玛丽o摩根吗?”
“是的。”
“嗨,罗丝玛丽,我是比尔o乔迪(Bill Jorday),信息安全部的。”
“有事吗?”
“我们部有人跟你谈过最佳安全操作规程么?”
“我想没有。”
“那好,我们开始。首先,我们不允许任何人安装从公司外部带来的软件,因为我们不想承担使用未经授权软件的责任。而且,也为了避免这些软件可能携带蠕虫或病毒的风险。”
“好的。”
“你了解我们的电子邮箱规则么?”
“不。”
“你现在的电子邮箱是什么?”
“Rosemary@shubao2。com”
“你是用Rosemary做用户名登录的么?”
“不是,我用的是R_Morgan。”
“好的。我们想让所有的新员工都意识到,打开任何一个未知邮件的附件都是危险的。蠕虫、病毒四处泛滥,并通过你似乎认识的人的邮件发来。所以,如果你收到一封意料之外的带有附件的邮件,一定要向发信方确认此信真得是由其发出。你懂了么?”
“是的,这我已经知道了。”
“很好。我们的规定是每90天换一次密码。你上一次改变密码是什么时候?”
“我才来了三个星期,还用着一开始设置的密码。”
“好,很好,你可以等到90天后再换。但我们需要确定大家不使用很容易猜出的密码,你使用的密码是由字母和数字组成的么?”
“不是。”
“我们要确定一下,你现在用的密码是什么?”
“我女儿的名字——Annette(安妮特)。”
“那可真不是一个安全的密码,你不应该在密码里包含家庭信息。嗯,我看看……,你可以和我一样,使用你现在的密码做为新密码的开头,每当更换时加一个当前月份的数字。”
“那如果我现在换的话,现在是三月,就应该是three或是…three?”
“那随你便,你更愿意用哪一个?”
“我想用Annette…three。”
“好的。你想让我为你演示一下如何改密码的么?”
“不用,我知道。”
“好。还有一件事得说一下,你的计算机上装有防病毒软件,保持更新非常重要。千万不要禁止自动更新功能,即便在它每次运行时速度会变慢。好么?”
“好的。”
“很好。你有我们的电话号码么?如果计算机出问题可以打给我们。”
她没有。他告诉她号码,她认真的记了下来,然后继续工作,并再一次地为受到热心的关怀感到欣慰。
过程分析
这个故事继续加强了此书的基本主题,你也将看到在整本书中都包含着这一主题:尽管社会工程师的最终目标不是从对方身上获取最普通的信息,但这些信息却是其目标的信任书。利用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找到任何他想找的信息。有了这些信息,如同找到开门的钥匙,把它们握在手中,他可以自由地出入企业的各个地方并找到他寻觅的宝藏。
米特尼克信箱
在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规程,尤其是有关绝不要泄露口令的规则。
不象你认为的那样安全
“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说法。而生活如果简单易懂的话,这个世界就会更好。事实却是即便企业付出相当的努力来保护机密信息,可还是存在着严重的风险。下面的故事再一次举例证明,认为由经验丰富、胜任的职业安全人员布置的安全操作规程牢不可破的想法,只是在愚弄自己。
斯蒂夫o克莱默(Steve Cramer)的故事
这片草地不大,没有播撒昂贵的草种,也没人羡慕。当然,也就没有足够的理由买一台坐式割草机了,那一定很好使,毕竟他一次也没用过。斯蒂夫很乐意用手工割草机割草,因为花的时间会更长些,而这种家务事还给他提供了一个便利,使自己专注于自己的想法,而不是听安娜(Anna)讲述她工作的银行里那些人的故事或是解释为他所做的各种事情,他讨厌“夫妻表”(译者注:夫妻间为增进感情而做的一些小事,如聊天、下厨等)上的内容成为他周末的全部。当12岁的皮特绝顶聪明地加入游泳队的时候,他的心里一下子亮堂起来。现在,他每个星期六都要在训练场或是去接他,不用再陷入没完没了的家务事上了。
有些人可能认为斯蒂夫在双星医疗产品厂(GeminiMed Medical Product)的工作十分无聊,斯蒂夫却认为他在挽救生命,他知道自己从事的是具有创造性的工作。画家、音乐家、工程师,在斯蒂夫看来都有着与他相同的挑战性——他们都创造别人从未做过的东西。他最近所做的,是一件新型的智能心脏支架,迄今为止,可能是他最值得骄傲的成就。
在这个不寻常的周六,斯蒂夫十分苦恼,都快11点半了,草地也几乎清理完,但是在思考如何降低心脏支架的动力消耗方面却没有丝毫的进展。这是他最后的障碍,虽然锄草时最适合思考这样的问题,但他一点办法也没想出来。
安娜来到门口,头上围着打扫卫生时总戴着的佩斯利(paisley)牛仔头巾。“电话,”她冲着他喊。“你公司的电话。”
“是谁?”斯蒂夫回喊道。
“叫什么拉尔夫(Ralph)的,好像。”
拉尔夫?斯蒂夫想不起医疗厂有叫拉尔夫的人会在周末打电话给他,也许安娜把名字听错了吧。
“斯蒂夫,我是技术支持部的雷蒙o派瑞兹(Ramon Perez)。”
雷蒙?天知道安娜怎么会听成一个西班牙人的名字拉尔夫?斯蒂夫很奇怪。
“这是一个善意的来电,”雷蒙接着说。“有三台服务器当掉了,我们认为可能是蠕虫,必须清除驱动器,然后恢复备份文件。我们应该能够在星期三或星期四令你的文件正常使用,如果幸运的话。”
“这真让人无法接受,”斯蒂夫尽量平静的说,努力压制住自己的沮丧。这些人怎么如此愚蠢?他们真的认为他没有这些文件也可以在整个周末和下个星期的多半个星期工作么?“不行,我要用家里的电脑连线,只需两个小时,我要访问我的文件。你听明白我的意思了吗?”
“清楚,到现在为止我打的每一个电话,对方都要求先处理他们的事情。我放弃我的周末来弄这件事,却让每个我与之通话的人对我指手画脚,你觉得这很好笑么?”
“我现在的工作处于关健时期,公司对此十分重视,我今天下午要完成它,你还有什么不明白的?”
“在我开始恢复前还有很多电话要打,”雷蒙说。“我们说