欺骗的艺术-第9章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　　对于觊觎着源代码的年轻黑客丹尼来说，他不仅要解决用户名和口令的问题（对于经验丰富的社会工程师来说这算不上什么难题）还要绕过时间令牌的检测。攻破基于时间令牌和用户PIN码的双因素认证听起来像是一个“不可能的任务”，但对于社会工程师来说，这种挑战类似于一个能够占尽对方优势的有着高超观察能力的牌手，再加上一点儿小运气，当他在桌子旁坐下来时，就知道别人口袋里的钱基本已是他的囊中之物了。
　　冲击堡垒
　　丹尼先是做准备工作，很快他就得到假扮一个真正的雇员所需的各种信息。姓名、部门、电话号码和员工号码，还有部门经理的姓名和电话号码。现在，是攻击前的平静期。按照计划，丹尼在采取下一步行动前还需要一个条件，而此事他毫无把握：丹尼需要大自然母亲的帮助，他需要一场暴风雪，一个阻止人们去办公室上班的恶劣天气。在南达科他州的冬季，那家生产商的所在地，一个恶劣气候从不会让希望它的人等太久。星期五晚，一场暴风雪到了。雪迅速的转成冰雨，到了早晨路面就会结一层薄薄的冰，十分危险。这对丹尼来说，简直太好了。
　　他打电话给那家厂商，转到计算机机房，找到一名自称罗杰o科瓦斯基（Roger　Kowalski）的计算机操作员。
　　丹尼：“我是安全通讯部的鲍伯o比林斯（Billings），我现在家中，因为冰雪的缘故我无法开车。我现在需要访问我的工作站和服务器，但我把安全ID忘到办公桌上了，你能帮我拿回来么？或者让别人帮一下忙，然后当我登录的时候给我念一下好么？我的工作任务有一个最后期限，我没有别的办法。而且，我也没办法去办公室，路况太糟糕了。
　　操作员科瓦斯基：“我不能离开计算机中心……”，
　　丹尼：“你自己有安全ID么？”
　　科瓦斯基：“计算机中心有一个，我们保留它是为了操作员应对紧急情况的。”
　　丹尼：“听着，你能帮我这个忙么？我拨号入网的时候，借用一下你的安全ID可以么？路况一能驾车就不用了。”
　　科瓦斯基：“你是谁来着？你的上司是谁？”
　　丹尼：“埃德o特伦顿（Ed　Trenton）。”
　　科瓦斯基：“哦，我认识他。”
　　当事情比较棘手时，优秀的社会工程师会多做一些调查工作。“我就在二层，”丹尼说：“罗伊o塔克（Roy　Tucker）的旁边。”科瓦斯基也知道这个人。丹尼接着重新建议他：“到我的办公桌取来安全ID很方便。”
　　丹尼完全断定对方不会听从他的建议。首先，对方不会在当班的时候离开岗位，穿走廊、爬楼梯到大楼的另一边。也不会到别人的办公桌上乱翻一通，打搅别人的私人空间。没错，这个赌注很安全。
　　科瓦斯基不想对一个需要帮助的人说“不”，当然他也不想擅自做主张而让自己陷入到麻烦中，于是他做了个折中的决定。“我得请示一下，稍等。”他放下电话，丹尼能听到他拿起另一个电话拨打并解释这件事。科瓦斯基这时做出了让人难以理解的陈述（他实际上已经认定了丹尼就是鲍伯o比林斯）。“我认识他，”他对他的主管说：“他的上司是埃德o特伦顿。我们能让他用一下计算机中心的安全ID吗？”
　　丹尼惊奇地偷听着科瓦斯基对他意乎寻常、意料之外的支持，他简直无法相信自己的耳朵。
　　又过了一会儿，科瓦斯基拿起丹尼的电话说：“我们经理想亲自跟你说话。”然后告诉丹尼经理的名字和手机号码。丹尼打过去又把整个故事重复了一遍，同时又添加了一些工作细节和他的工作为什么有一个最后期限。“如果有人拿回来我的安全ID就方便多了，”丹尼说：“我想桌子应该没锁住，它就在左上方的抽屉里。”
　　“嗯，正好是周末，”经理说：“我想你可以用计算机中心的ID，我让值班人员在你拨入的时候给你读一下随机访问码。”然后他把相应的PIN码告诉了丹尼。整个周末，丹尼只需打电话给计算机中心让有关人员念一下安全ID上的六位数字，便随时都可以进入这家企业的计算机系统。
　　内部任务
　　当丹尼进入这家企业的计算机系统后，又该怎么办？他如何找到那台放有他想要的加密软件的服务器呢？对此，他已有所准备。许多计算机用户都知道电子公告板形式的新闻组，人们可以把问题贴上来或者回答别人的问题，也有人用它来寻找拥有共同兴趣的虚拟伙伴，如音乐、计算机，或者是其他成百上千的主题。在新闻组站点上发布信息的时候，很少有人会想到这些信息会在网上保留数年之久。比如Google，目前保留着7亿条信息量的存档，某些信息已经有了二十年的历史。丹尼首先访问了http：//groups。shubao2。com这个网址，用“无线加密通讯”和那家企业的名称做为关健词进行搜索，结果发现了一条数年前某个职员贴出的信息，是在这家公司刚开始开发这个产品的时候贴出的，很可能是在警察部门和联邦机构考虑使用加密无线信号很久以前的事了。
　　这条信息包含了发送者的签名档，其中不仅有他的名字――斯科特o普瑞斯（Scott　Press），还有他的电话号码，甚至他的工作组名称――安全通讯小组。丹尼发现这个电话后打了过去，这个机会似乎很渺茫。多年后他仍然还在这家公司么？在这个暴风雪的周末他还会在工作么？电话铃在响，一声、二声、三声，一个声音从电话另一端传来，“我是斯科特，”对方说。
　　丹尼介绍自己是公司IT部门的，从而操纵着普瑞斯（用前几章中大家已熟悉的方法）透露出研发部门所使用服务器的名称，这些服务器的上面可能存有这家企业无线安全产品固件和独有加密算法的源代码。
　　丹尼越来越接近目标，也越来越兴奋。他期待着那种快感，那种当他完成只有很少人才能达到的目标时所感到的狂喜。然而，他现在还不能放松。虽然由于计算机中心经理的支持，可以随时进入这家企业网络系统，同时也知道了需要访问的服务器。但是，在他拨入时他登录的终端服务器却不能连接到安全通讯小组的系统。一定是有内部防火墙或是路由器保护着研发组的计算机系统，丹尼必须找到其他的办法进入。
　　接下来的情况需要些胆量，丹尼再次给计算机中心的科瓦斯基打电话抱怨：“我的服务器不让连接，我需要你帮我建一个账号来telnet（远程登录）系统。”
　　既然部门经理已经同意告诉他时间令牌上的访问码，当然这个新的请求似乎也没什么不合理。科瓦斯基在计算机中心的计算机上建立了一个临时账号，然后告诉丹尼不再需要这个账号时通知他，好把它删除。有了这个临时账号，丹尼便可以连接到安全通讯小组的系统了。经过了一个小时的查找，丹尼中了个头彩，他找到了访问研发服务器的漏洞。很明显，系统管理员并没有时刻关注最新的系统远程安全漏洞，但丹尼关注了。
　　很快地，他就找到那些源代码文件，并把它们远远地发送到一个提供免费存储空间的商业站点。这样，即使这些文件被发现，也不会追查到丹尼。现在只剩下最后一步了：有条不紊的擦去他的痕迹。他在当晚的杰伊o里诺（译者注：Jay　Leno，著名脱口秀节目主持人）的节目播完之前完成了这项工作。
　　丹尼极为得意他的这次杰作，在这次行动中，他从未把自己置于危险之中，这是一次令人陶醉的激情之旅，甚至比滑雪和跳伞都要过瘾。丹尼那天晚上喝醉了，不只是因为威士忌、杜松子、啤酒和清酒，在盗来的源代码文件中逐步地接近那绝密的无线软件时，他完全沉醉于自己的能力和成功感之中。
　　过程分析
　　在上面的故事中，骗局的成功归于那家企业的职员过于相信了打电话人表示身份的话语。这种帮助同事解决问题的热心一方面使工作顺利进展并获得更令人满意的合作认可，另一方面却是极易被社会工程师利用的重大漏洞。
　　在骗局中丹尼使用的一个小技巧值得注意：他在要求别人到他的办公桌上拿安全ID时，不断地说“拿回来”。这个用语经常做为让狗取东西的命令，没人会乐意为别人“拿回来”东西。由于这一点，丹尼更加的断定这个请求不会被接受，于是其他的解决方法便会自然而来，那正是他想要的结果。那个计算机操作员科瓦斯基，在丹尼随便的说出了一个自己碰巧认识的人名后便完全相信了他。但为什么科瓦斯基的经理（一个IT经理）竟然也同意让陌生人访问公司的内网？仅仅是因为这样的求助电话是社会工程师百宝囊中一个强大的说服工具么？
　　米特尼克信箱
　　这个故事表明时间令牌或是类似的认证方法并不能抵挡住一个诡计多端的社会工程师，真正有效的防范是一个尽职尽责职员，不仅严守公司的安全守则而且了解别有用心的人是如何影响他人的行为的。
　　预防措施
　　在上述所有的故事中有一点似乎经常提到，那就是攻击者从企业外部进入内部的计算机网络时，帮助他的工作人员都没有采取足够的措施来确认对方的合法身份，是否有权访问系统。为什么我会经常提及这一点呢？因为，这的确是许多社会工程师在攻击时所采用的手段。对于他们来说，这是达到目标最简单易用的方法。一个电话就能解决的事，还有必要再花上几个小时寻找技术上的漏洞么？
　　对于社会工程师来说，实施这种攻击最有力的手段就是假装需要帮助，这是攻击者经常采用的方法。既然我们不想禁止员工对同事或客户的帮助，因此特定详细的确认程序成为判断任何人是否有权使用计算机或接触机密信息的必要。这样，我们才可以帮助应该帮助的人，同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的各种不同的确认方法，第十七章提供这样的一个详细列表，但在这儿首先要考虑一些指南：一个确认对方的好办法就是拨打公司通讯录上的电话，如果对方实际上是个冒名顶替者，那么这个确认电话不是令你找到真正的人（被冒充者，而这时冒名顶替者还给你打着电话），就是可以听到被冒充者的语音信箱，从而你就可以与冒名顶替者的声音做比较。
　　如果企业使用员工号码确认身份，务必要把员工号当做企业的敏感信息，小心保护，不要泄露。此规则适用于所有的内部识别信息，如内部电话号码、部门单据，甚至电子邮件。在安全培训中应唤起每个人对陌生人的警惕，不要因为对方听起来熟悉内部或可信就认为他是真正的内部人员，仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认的理由。
　　安全管理人员和系统管理员不能只注意其他人员的安全意识，他们自己也需要提醒自己遵循守则、程序和操作规程。密码口令等信息绝不能共享，而对时间令牌或其他方式的认证来说，限制共用则更为重要。应该普遍认识到，这类事物的共享会危害到公司整个的系统布署。共享就意味着无责任，如果发生安全事件，或是其他问题时，就分不清是谁的责任了。
　　正如我在整本书中不断重申的，员工要熟悉社会工程师的策略和方法，仔细的分析对方的要求，考虑把角色扮演做为安全培训中的一个固定内容，以使员工能较好的理解社会工程师的手段。
　　第七章　假冒网站和危险附件
　　虽然有句老话说“不劳而获是不可能的”，但把免费当做幌子进行促销仍是许多商家愿意使用的方法，无所谓合理（“等一下，还有……，现在打电话，我们将免费奉送一套餐刀和一个长柄锅！”）或不太合理（“佛罗里达湿地，买一亩送一亩！”），而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心，出门不换”的警言，但在这里需要注意的是一另句话：“小心具有诱惑力的电子邮件附件和免费软件。”精明的攻击者会想方设法进入企业的网络，比如利用免费礼物对人们的吸引力。下面是几个例子：
　　你不想免费么？
　　就像病毒从一开始就给人类带来祸害，给医生带来麻烦一样，计算机病毒给其使用者带来同样的苦难。如今，计算机病毒以其巨大的破坏力受到很多人的关注，它们是由计算机破坏者制造出来的。计算机痴迷者逐渐存心不良，计算机破坏者在卖力的炫耀他们是多么的聪明过人。有时他们的行为像是入门仪式，为了给具有老资格和经验丰富的黑客前辈留下印象，他们攒着劲的制造出会带来危害的蠕虫或病毒。一旦这些“成果”破坏了文件，毁掉整个硬盘，并把自身发给成千上万的毫无防备的人，破坏者便会因此而沾沾自喜。如果这些病毒带来的危害足以成为报纸的新闻和网络上的病毒警告，他们便更加得意洋洋了。
　　有很多文章来描写这些破坏者和他们制造的病毒，还有防病毒的软件程序和专门的安全企业，但我们在这里并不想过多的讨论如何在技术上防范他们的攻击，以及他们的破坏行为，我们的话题将更多的关注他们的远亲――社会工程师。
　　来自电子邮件
　　你也许每天都能接到不请自来的邮件，有广告还有提供免费品之类的邮件，这些东西你既不需要也不想要。你知道那无非是些投资建议、电器、维生素或旅游打折之类的东西，还有你并不需要的信用卡、可以免费观看收费电视频道的设备、增进健康或改进性生活的方法，等等等等。
　　但每当这样的邮件从你的电子邮箱弹出来的时候都会引起你的注目，也许是一个免费游戏、一副你喜欢的名星的照片、一个免费日历软件或是用来保护你的计算机免受病毒侵害的便宜的共享软件。无论是什么，它都会引导你去下载你想去尝试的文件。
　　所有的这些行为，包括下载从广告邮件中得知的软件、点击一个你从未听说过的网站链接、打开陌生人发过来的附件，都可能会惹来麻烦。当然，很多时候你得到的也正是你想要的，或者运气很差，令你失望和生气，但至少无害。可有些时候，你会碰到计算机破坏者制造的程序。发送恶意代码到你的计算机上只是攻击的一小步，攻击者会诱导你下载完成攻击所需的附件。
　　注：
　　有一种在计算机上悄悄运行的程序叫RAT（Remote　Access　Trojan）――远程访问控制木马，它给予攻击者充分访问你的计算机的权限，如同坐在你的键盘前。最具有破坏力的恶意代码病毒，像爱虫（Love　Letter）、SirCam和Kournikiva等等，都依赖于社会工程师欺骗的艺术，并利用人们不劳而获的心理传播。它时常作为一个具有引诱力的邮件附件而出现，像机密信息、免费色情资料，或者一个更加诡诈的方法――一条你可能定购了某昂贵物品的信息。最后这种方法，利用你害怕信用卡可能被消费的心理，令你打开这些危险的附件。
　　令人震惊的是，有太多的人因此而上当，即使在一次又一次的被告知打开附件的危险性之后。随着时间的过去，逐渐削弱的危险意识，让我们每一个人都易受攻击。
　　识别恶意软件
　　另一种恶意软件在你不知道或未认可的情况下进入你的计算机运行，这种软件伪装的很好，甚至有时它会表现为一个word文档或是powerPoint文件，或含有宏命令，它将悄悄的安装一个未经许可的程序。比如，它可能是一个在第六章谈到过的木马。一旦这个软件安装到你的计算机上，它能够将你每一次敲击键盘的情况反馈给攻击者，包括你的口令和信用卡号。
　　还有两种恶意软件，听起来些难以置信。一种可以把你说的每一句话都传送给攻击者，即使你认为你的麦克风是关着的。另一种更加恶劣，如果你的计算机配有摄像头，攻击者可以利用它捕获在你计算机前发生的任何画面，即便你认为你的摄像头是关着的，无论白天或黑夜。
　　专业术语
　　恶意软件：一种危害性的程序，例如病毒、蠕虫，或是木马。
　　米特尼克信箱
　　小心那些提供礼物的伪装者，否则你的公司很可能会遭受与特洛伊城相同的命运。一旦发现可疑迹象，一定要采取保护措施。有些喜欢恶作剧的黑客可能会在你的计算机上运行一些骚扰程序，如弹开你的光驱、最小化你的当前窗口，或者用最大的音量在半夜播放一声尖叫。虽然这样的伎俩没有什么意思，尤其当你完成工作或准备睡觉时，但至少这些恶作剧不会带来真正的损失。
　　朋友的消息
　　也许情况会变得更糟，尽管你已经处处小心。想像一下：你已经决定不再冒险，不再从你不知道和信任的站点下载文件，除了那些可靠的站点，如安全焦点（shubao2。com）和亚马逊（Amazon）。你不再点击不知其来源的邮件链接，不再打开陌生的邮件附件，并检查你浏览器的安全标志，以确定你访问的电子商务或交换秘密信息的站点的安全性。
　　这样，有一天，你收到一封朋友或商业合作伙伴的带着附件的邮件。这封来自熟人的信不会有危险吧？即使有危险，你也知道该找谁承担。于是，你打开了附件……轰！你又中了蠕虫或是木马。为什么你的熟人会这样做呢？事情并不象表面上那样。事实是，进入到某人计算机上的蠕虫会根据所进入计算机上的地址薄，自动的把自身发给地址薄中的每一个人。这样，每一个中了此蠕虫的计算机都会传给其地址薄上的所有熟人，蠕虫就这样不断地繁殖，如同在水塘中掷下一块石头而产生的波纹。
　　这种手段之所以有效在于它结合了两个方法：一是在没有戒心的受害者中传播，二是以熟人的面目出现。
　　米特尼克信箱
　　人类发明了许多奇妙的方法，以改变世界和我们的生活方式。但每一种带来的进步的科技，无论是计算机、电话还是互联网，总会有人利用它做坏事，以满足自己的私欲。目前的科学技术处于这样一种状态，你在收到熟人的邮件之后仍然要确定它是否安全，是否可以打开，这真是一件令人悲哀的事。
　　主题变奏