要麼做出乙個榮譽學位的畢業設計來加強學校的計算機安
全,要麼由於黑客行為而中止學業
一種是通過詐騙、欺騙
來獲得錢財,這就是通常的**。另一種則通過蒙敝、影響、勸導來達到獲取資訊的目的,
這就是社會工程師。
人們對於絕對安全的渴望常常導致他們滿足於
虛假的安全感之中。
人為因素才是安全的軟肋。
二十世紀最受
尊敬的科學家愛因斯坦這樣說道:「只有兩種事物是無窮盡的――宇宙和人類的愚蠢。
著名的安全顧問布魯斯·施尼爾(bruce schneier)所說:「安全不是一件產品,它
是乙個過程。」近一步說,安全不是技術問題,它是人和管理的問題。
耐心、個性和堅持,這正是欺騙的藝術的切入點。
愛汝之鄰
文明,終歸只是一層脆弱的薄板。
可總是對他人懷有戒心,擔心上當受
騙,會活得很累。
事實上,她的猶
豫給了我乙個重要的線索,提醒我必須給她提供乙個可信的理由。
激警(burn the source):攻擊者如果讓對方看出來攻擊的意圖稱為激警。一旦對
方有所警覺並通知其他人員,以後再想套出類似的資訊就十分困難了。
秘密通訊地(mail drop):社會工程師把租來的郵箱稱為秘密通訊地,通常是用假名字
租用的,用來接收受騙者發來的檔案和包裹。
有時僅僅知道內部的專用術語,就可以讓社會工程師顯得知道很多並可以信賴,攻擊
者常常利用這個普遍的錯誤觀念來操縱受騙者。
秘點(dead drop):很難被別人發現的存放資訊的地方。在傳統的間諜活動中,秘點可
能是一堵牆壁上某塊鬆動的石頭。對於計算機黑客來說,一般都是位於遙遠國度的網際網路上
的乙個站點。
軟心糖安全:貝爾實驗室的貝勞文和切斯威克提出的說法,用以描述一種安全狀況。外
部防禦十分強壯,如防火牆,但其後面的設施卻十分脆弱。這個說法來自於 m&m 巧克力,
這種糖果有著堅硬的外殼和柔軟的糖心。
地下酒吧式的安全:知道自己想要的資訊在**,並且使用乙個詞或是名稱來獲得對此
資訊或計算機系統的訪問權的一種安全形式
隱晦安全:一種效率低下的計算機安全手段,通過對系統運轉細節(協議、演算法和內部
系統)的保密來達到防範目的。隱晦安全假定可信任成員組以外的人不能接近系統,因此這
種安全並不可靠。
雙因素認證:用兩種不同的驗證方式對身份進行確認。比如,乙個人必須從某個可確認
的地方打來**並知道口令來確認自已的身份,然後工作人員從你的資訊中選出某個條目
(通常為社會保險號碼、出生日期或是母親的姓氏)來詢問你,如果你的答案正確,這就是
第二次的驗證――基於你應該知道的資訊。
欺騙** 1 l
為什麼人們可以註冊欺騙性和不合適的網域名稱?現行的法律和網際網路政策規定,任何
人都可以註冊任何未經使用的**名稱。有些公司進行維權以抵制那些冒充者,但結果並不
理 想 。
安全套接層協議:網景開發的用於網際網路上客戶與伺服器端的安全認證協議。
如果乙個人在公司裡地位相當低,通過提及權威人士工作的脅迫方式很有效,利用重要
人物的名字不僅可以消除正常的不願和懷疑,而且經常讓人熱情的滿足要求。
啞終端:一台沒有處理器的終端。只能響應簡單的控制碼和顯示字元及數字
逆向**:一種入侵手段,讓被攻擊者向攻擊者尋求幫助。
當你偷錢或者商品時,會有人注意
到它的發生。當你偷竊資訊時,大多數情況下沒有人會發覺,因為他們仍然擁有這些資訊。
p136 第十章
暫時擱置
欺騙的藝術(內容介紹)
內容介紹 本書包含豐富的資訊保安與社會工程學的知識,為有助閱覽,下面對本書內容做乙個簡要介紹 在本書的第一部分 第一章 我將展示資訊保安的薄弱環節,並指出為什麼你和你們的企業處於社會工程師攻擊的危險之下。本書的第二部分 第二至九章 大家將會看到社會工程師是如何利用人們的信任 樂於助人的願望和同情心使...
讀《反欺騙的藝術》有感
上個月月底參加了csdn的讀書活動,選取了 反欺騙的藝術 世界傳奇黑客的經歷分享 一書。作者凱文公尺特尼克這個名稱太吸引眼球了,而譯者潘愛民老師同樣是大名鼎鼎。閱讀這本書的時候正值公司ipo期間,剛好公司內部也在強調資訊和資料安全的重要性,受這些因素的影響,我最近兩個月也沒有在外部部落格上 主要是c...
欺騙的藝術from凱文 公尺特尼克
企業資產安全最大的威脅是什麼?很簡單,社會工程師。乙個無所顧忌的魔術師,用他的左手吸引你的注意,右手竊取你的秘密。他通常十分友善,很會說話,並會讓人感到遇上他是件榮幸的事情。我們來看乙個社會工程學的例子 許多人都已記不起乙個叫斯坦利 馬克 瑞夫金 stanley mark rifkin 的年輕人,和...