第一部 幕後的故事
第一章 安全軟肋
某公司也許購置了能用錢買到的最好的安全技術,員工們也訓練有素,每晚回家前把所有的秘密都鎖起來,並從業內最好的保安公司雇用了保安,但這家公司仍然易受攻擊。一些人可能遵從了專家所有最好的安全建議,安裝了各種受推薦的安全產品,並十分謹慎的處理系統配置以及應用安全補丁,但他們仍然很不安全。
人為因素
在國會聽證會前的一次證言中,我解釋到我經常可以從企業獲得密碼口令或其他類似的敏感資訊,只需假扮某人直接開口要就是了。人們對於絕對安全的渴望常常導致他們滿足於虛假的安全感之中。想像一位負責任的可愛的屋主,他有一套麥迪科(譯者注:
medico,
知名品牌、**昂貴)防撬鎖裝在屋子的大門上,以保護他的妻子、孩子和他的家。他覺得很心安,因為他把家庭保護的很好。但對於破窗而入和解開車庫大門密碼的闖入者呢?再安裝一套強壯的安全系統麼?雖然有用,但還是不夠安全。無論防盜鎖是昂貴還是便宜,屋主的安全仍然難以保障。為什麼?因為人為因素才是安全的軟肋。
安全,通常情況下僅僅是個幻想,由其是輕信、好奇和無知存在的時候。二十世紀最受尊敬的科學家愛因斯坦這樣說道:「只有兩種事物是無窮盡的――宇宙和人類的愚蠢。但對於前者,我不敢確定。」最終,社會工程學的攻擊,成功於人們的愚蠢或更為普遍的對資訊保安實踐上的無知。
與這位屋主一樣,有許多資訊科技(
it)從業者都有著類似的錯誤觀念。他們認為自己的公司固若金湯,因為其配置了精良的安全裝置――防火牆、入侵檢測,或是更為保險的身份認證系統,如時間令牌和生物識別卡。任何認為僅靠這些安全裝置即可保證安全的人都會滿足於虛假的安全感之中,這就是乙個生活在幻想世界中的例子,他們遲早會不可避免的遭遇安全事故。
正如著名的安全顧問布魯斯·施尼爾(
bruce schneier
)所說:「安全不是一件產品,它是乙個過程。」近一步說,安全不是技術問題,它是人和管理的問題。由於開發商不斷的創造出更好的安全科技產品,攻擊者利用技術上的漏洞變得越來越困難。於是,越來越多的人轉向利用人為因素的手段來進行攻擊。穿越人這道防火牆十分容易,只需打乙個**的成本和冒最小的風險。
乙個欺騙的經典案例
企業資產安全最大的威脅是什麼?很簡單,社會工程師。乙個無所顧忌的魔術師,用他的左手吸引你的注意,右手竊取你的秘密。他通常十分友善,很會說話,並會讓人感到遇上他是件榮幸的事情。我們來看乙個社會工程學的例子:
許多人都已記不起乙個叫斯坦利·馬克·瑞夫金(
stanley mark rifkin
)的年輕人,和他在洛杉磯的美國保險太平洋銀行(
security pacific national bank
)的冒險小故事了。他的劣跡很多,瑞夫金(同我一樣)從未把自己的事情告訴過別人,因此下面的敘述基於公開的報道。
獲得密碼
1978
的一天,瑞夫金無意中來到了美國保險太平洋銀行的授權職員准入的電匯交易室,這裡每天的轉款額達到幾十億美元。瑞夫金當時工作的那家公司恰巧負責開發電匯交易室的資料備份系統,這給了他了解轉賬程式的機會,包括銀行職員拔出賬款的步驟。他了解到被授權進行電匯的交易員每天早晨都會收到乙個嚴密保護的密碼,用來進行**轉帳交易。
電匯室裡的交易員為了記住每天的密碼,圖省事把密碼記到一張紙片上,並把它貼到很容易看得見的地方。
11月的一天,瑞夫金有了乙個特殊的理由出入電匯室。到達電匯室後,他做了一些操作過程的記錄,裝做在確定備份系統的正常工作。藉此機會偷看紙片上的密碼,並用腦子記了下來,幾分鐘後走出電匯室。瑞夫金後來回憶道:「感覺就像中了大獎」。
轉款入戶
瑞夫金約在下午
3點離開電匯室,徑直走到大廈前廳的付費**旁,塞入一枚硬幣,打給電匯室。此時,他改變身份,裝扮成一名銀行職員――工作於國際部的麥克·漢森(
mike hansen
)。那次對話大概是這樣的:
「喂,我是國際部的麥克·漢森。」他對接聽**的小姐說,小姐按正常工作程式讓他報上辦公**。「
286。」他已有所準備。小姐接著說:「好的,密碼是多少?」瑞夫金曾回憶到他那時的「興奮異常」。「
4789
」他盡量平靜地說出密碼。接著他讓對方從紐約歐文信託公司(
irving trust company
)貸一千零二十萬美元到瑞士蘇黎士某銀行(
wozchod handels bank
),他已經建立好的賬戶上。對方說:「好的,我知道了,現在請告訴我轉賬號。」
瑞夫金嚇出一身冷汗,這個問題事先沒有考慮到,他的騙錢方案出現了紕漏。但他盡量保持自己的角色,十分沉穩,並立刻回答對方:「我看一下,馬上給你打過來。」這次,他裝扮成電匯室的工作人員,打給銀行的另乙個部門,拿到帳號後打回**。對方收到後說:「謝謝。」(在這種情況下說「謝謝」,真是莫大的諷刺。)
成功結束
幾天後,瑞夫金乘飛機來到瑞士提取了現金,他拿出八百萬通過俄羅斯一家**處購置了一些鑽石,然後把鑽石封在腰帶裡通過了海關,飛回美國。瑞夫金成功的實施了歷史上最大的銀行劫案,他沒有使用**,甚至勿需計算機的協助。奇怪的是,這一事件以「最大的計算機詐騙案」為名,收錄在金氏世界紀錄中。斯坦利·瑞夫金用的就是欺騙的藝術,這種技巧和能力我們現在把它稱為――社會工程學。
威脅的天然性
瑞夫金的故事確切的證明了我們的安全感是多麼不可靠。這樣的事件(也許到不了一千萬美元,但終歸有所損失)每天都在發生,你的資金可能正在流失,新產品方案正在被竊取,而你卻一無所知。即使你的公司還沒有這樣的事情出現,那也會終將出現。但它何時出現呢?
欺騙的藝術(第一章 安全軟肋三)
欺騙與 當然,欺騙並不是社會工程師的專用工具。暴戾的恐怖主義製造了聳人聽聞的新聞事件,我們前所未有地意識到我們居住的世界充滿了危險。文明,終歸只是一層脆弱的薄板。2001 年,發生在紐約的 911事件把悲傷和恐懼植入每乙個人的心中,不只是美國人,還有世界上所有善良的人們。我們已經開始警覺,因為這個世...
python第一章筆記 第一章 基礎
參與除法的兩個數中有乙個數為浮點數,結果也為浮點數 如 1.0 2,1 2.0,1.0 2.0 python print 1.0 2 結果 0.5 print 1 2.0 結果 0.5 print 1.0 2.0 結果 0.5 整數 整數,計算結果的小數部分被截除,只保留整數部分 不會四捨五入 如 ...
第一章 習題一
軟體就是程式,編寫軟體就是編寫程式 f 軟體 程式 資料 文件 軟體危機的主要表現是軟體需求增加,軟體 上公升.f 軟體工程學科的出現的主要原因是軟體危機的出現.t 與電腦科學的理論研究不同,軟體工程是一門原理性學科 f 軟體工程是工程性學科 在下列選項中,d 不是軟體的特徵.a.系統性與複製性 b...