按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
者想制造的效果。
专业术语
远程命令行解释器:接受文本命令来执行某种功能或运行程序的非图形操作界面。通过利用漏洞或在目标计算机上安装木马,攻击者可以获得对命令行解释器的远程访问权。
反向社会工程学:攻击者设计的一种情形,受骗者碰到问题时会联系攻击者求助。另一种反向社会工程学是对付攻击者的,被攻击目标发现了对方是攻击者后,利用心理影响尽可能的从攻击者身上套出信息以保护企业的信息资产。
米特尼克信箱
如果某个陌生人帮了你的忙,然后要你帮他,不要不经过慎重考虑就回报他的帮助,要看对方要你做的是什么。在类似上面的这个骗局中,社会工程师找了一个计算机知识很少的人。他知道的越多,就越可能产生怀疑,或越能断定是被骗了。计算机白痴——对计算机操作和知识了解很少的人,则很容易遵从你的指示。他太容易掉入“只需下一个小程序”这样的陷井了,因为他对一个软件程序可能造成的损害一无所知。而且,他很可能不知道他冒着风险放到网络上的信息的价值。
给新来的女孩帮个小忙
攻击者喜欢把目标锁定在新来的雇员身上,他们认识的人很少,也不了解工作程序,什么该做,什么不该做。而且,一旦给其留下良好的第一印象,他们便会殷切地显示出对你的配合和快速地回应。
安德鲁的帮助
“人力资源部,安德鲁?卡尔霍恩(Andrea Calhoun)。”
“安德鲁,嗨,我是亚力克斯(Alex),企业安全顾问。”
“什么事?”
“今天好么?”
“还好。需要帮忙吗?”
“是这样,我们正在策划一个新员工的安全培训,需要集结一些人测试一下,我想要上个月所有新进员工的名单和电话号码。你能提供给我么?”
“要到今天下午我才能给你,可以么?你的分机是多少?”
“当然,可以。我的分机是52……,噢,嗯,我今天大部分时间要开会,我回到办公室后打给你吧,大约4点左右。”
亚力克斯4点30分打来电话,安德鲁已经把名单准备好,然后在电话中读出了名字和分机号。
罗丝玛丽的消息
罗丝玛丽?摩根(Rosemary Morgan)很满意她的新工作,以前她从未在杂志社做过,她发现这里的人比她想像中友善的多(大多数杂志社职员都是在没完没了的压力下,在每一次发行最后期限前出版杂志的),而星期二早晨的一个电话再次确认了她的这种印象。
“是罗丝玛丽?摩根吗?”
“是的。”
“嗨,罗丝玛丽,我是比尔?乔迪(Bill Jorday),信息安全部的。”
“有事吗?”
“我们部有人跟你谈过最佳安全操作规程么?”
“我想没有。”
“那好,我们开始。首先,我们不允许任何人安装从公司外部带来的软件,因为我们不想承担使用未经授权软件的责任。而且,也为了避免这些软件可能携带蠕虫或病毒的风险。”
“好的。”
“你了解我们的电子邮箱规则么?”
“不。”
“你现在的电子邮箱是什么?”
“Rosemary@ttrzine”
“你是用Rosemary做用户名登录的么?”
“不是,我用的是R_Morgan。”
“好的。我们想让所有的新员工都意识到,打开任何一个未知邮件的附件都是危险的。蠕虫、病毒四处泛滥,并通过你似乎认识的人的邮件发来。所以,如果你收到一封意料之外的带有附件的邮件,一定要向发信方确认此信真得是由其发出。你懂了么?”
“是的,这我已经知道了。”
“很好。我们的规定是每90天换一次密码。你上一次改变密码是什么时候?”
“我才来了三个星期,还用着一开始设置的密码。”
“好,很好,你可以等到90天后再换。但我们需要确定大家不使用很容易猜出的密码,你使用的密码是由字母和数字组成的么?”
“不是。”
“我们要确定一下,你现在用的密码是什么?”
“我女儿的名字——Annette(安妮特)。”
“那可真不是一个安全的密码,你不应该在密码里包含家庭信息。嗯,我看看……,你可以和我一样,使用你现在的密码做为新密码的开头,每当更换时加一个当前月份的数字。”
“那如果我现在换的话,现在是三月,就应该是three或是…three?”
“那随你便,你更愿意用哪一个?”
“我想用Annette…three。”
“好的。你想让我为你演示一下如何改密码的么?”
“不用,我知道。”
“好。还有一件事得说一下,你的计算机上装有防病毒软件,保持更新非常重要。千万不要禁止自动更新功能,即便在它每次运行时速度会变慢。好么?”
“好的。”
“很好。你有我们的电话号码么?如果计算机出问题可以打给我们。”
她没有。他告诉她号码,她认真的记了下来,然后继续工作,并再一次地为受到热心的关怀感到欣慰。
过程分析
这个故事继续加强了此书的基本主题,你也将看到在整本书中都包含着这一主题:尽管社会工程师的最终目标不是从对方身上获取最普通的信息,但这些信息却是其目标的信任书。利用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找到任何他想找的信息。有了这些信息,如同找到开门的钥匙,把它们握在手中,他可以自由地出入企业的各个地方并找到他寻觅的宝藏。
米特尼克信箱
在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规程,尤其是有关绝不要泄露口令的规则。
不象你认为的那样安全
“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说法。而生活如果简单易懂的话,这个世界就会更好。事实却是即便企业付出相当的努力来保护机密信息,可还是存在着严重的风险。下面的故事再一次举例证明,认为由经验丰富、胜任的职业安全人员布置的安全操作规程牢不可破的想法,只是在愚弄自己。
斯蒂夫?克莱默(Steve Cramer)的故事
这片草地不大,没有播撒昂贵的草种,也没人羡慕。当然,也就没有足够的理由买一台坐式割草机了,那一定很好使,毕竟他一次也没用过。斯蒂夫很乐意用手工割草机割草,因为花的时间会更长些,而这种家务事还给他提供了一个便利,使自己专注于自己的想法,而不是听安娜(Anna)讲述她工作的银行里那些人的故事或是解释为他所做的各种事情,他讨厌“夫妻表”(译者注:夫妻间为增进感情而做的一些小事,如聊天、下厨等)上的内容成为他周末的全部。当12岁的皮特绝顶聪明地加入游泳队的时候,他的心里一下子亮堂起来。现在,他每个星期六都要在训练场或是去接他,不用再陷入没完没了的家务事上了。
有些人可能认为斯蒂夫在双星医疗产品厂(GeminiMed Medical Product)的工作十分无聊,斯蒂夫却认为他在挽救生命,他知道自己从事的是具有创造性的工作。画家、音乐家、工程师,在斯蒂夫看来都有着与他相同的挑战性——他们都创造别人从未做过的东西。他最近所做的,是一件新型的智能心脏支架,迄今为止,可能是他最值得骄傲的成就。
在这个不寻常的周六,斯蒂夫十分苦恼,都快11点半了,草地也几乎清理完,但是在思考如何降低心脏支架的动力消耗方面却没有丝毫的进展。这是他最后的障碍,虽然锄草时最适合思考这样的问题,但他一点办法也没想出来。
安娜来到门口,头上围着打扫卫生时总戴着的佩斯利(paisley)牛仔头巾。“电话,”她冲着他喊。“你公司的电话。”
“是谁?”斯蒂夫回喊道。
“叫什么拉尔夫(Ralph)的,好像。”
拉尔夫?斯蒂夫想不起医疗厂有叫拉尔夫的人会在周末打电话给他,也许安娜把名字听错了吧。
“斯蒂夫,我是技术支持部的雷蒙?派瑞兹(Ramon Perez)。”
雷蒙?天知道安娜怎么会听成一个西班牙人的名字拉尔夫?斯蒂夫很奇怪。
“这是一个善意的来电,”雷蒙接着说。“有三台服务器当掉