乔尼还有更好的办法。他很快了解到拘留中心有十个房间单元,每一间都有公共辩护处
的直通电话线路。乔尼遇到了一些障碍,但他就像是一名社会工程师,总能想办法解决这些
烦人的问题。康多尔夫在哪个单元?那个单元的直通服务号码是多少?他最初怎么样给康多
尔夫留言而不会被狱警拦截呢?
也许这在普通人看来是不可能的,比如获得联邦公共机构的秘密电话号码,一名欺骗艺
术家通常只需要打几次电话就可以了。翻来覆去地思考了几个晚上,乔尼把所有事情都想到
了,他的计划总共五步。
首先,找到那十部PDO 直通电话的电话号码。
更改那十部电话的设置使其允许呼入。
找出康多尔夫所在的单元。
然后找到该单元的电话号码。
最后,他就可以和康多尔夫进行预期的通话了,不会引起政府的任何怀疑。
小菜一碟,他想。
呼叫Ma Bell(AT&T)...
乔尼冒充总务管理局的工作人员打电话到电话公司商业办公室(该部门负责向联邦政府
148
销售产品与服务),说他正在处理一张附加的服务订单,需要知道当前使用的所有直通服务
的账单信息,包括圣地亚哥拘留中心使用中的电话号码和月账单。那位女士非常高兴地给予
了帮助。
为了进行确认,他试着拨入了其中一条线路并收到了典型的语音提示,“此线路已断开
或不在服务区”——他知道这意味着线路锁定了呼入,和他预想的一样。
他十分了解电话公司的运转程序,下一步他需要联系近期记忆修改授权中心(RCMAC,
我总是惊讶于取这种名字的人!)。他打电话到电话公司商业办公室,谎称自己是维修中心办
公室的,需要知道RCMAC 的号码来处理某个地区号和前缀所在的服务区,该中心办公室
也负责分配拘留中心的呼入线路。这属于常规请求,相关规定允许在一定范围内向技术人员
提供一些帮助,那位员工毫不犹豫地把号码给了他。
他拨通了RCMAC 的电话,使用一个假冒的名字,伪装成维修中心的工作人员,说他
收到一位女士的投诉,有一个他负责的电话号码一直不能呼入,乔尼问:“这个号码被设置
为呼叫拒绝了吗?”
“是的。”她说。
“好的,这就解释了为什么那位客户接不到电话!”乔尼说,“听着,你能不能帮我个忙,
修改那条线路的类型代码或删除呼叫拒绝类型,好吗?”
当她在另一个电脑系统上查看是否允许更改服务状态时停顿了一下,她说,“此号码受
限制为只能呼出电话,没有服务命令。”
“是的,这是个错误,我们昨天就应该处理的,但是通常处理这些的员工因病回家了,
她又忘了拜托别人,所以现在那位客户理所当然地对这件事情非常不满了。”
短暂的停顿,那位女士在考虑这个超出常规并违反了标准操作程序的请求,她说,“好
吧。”
他可以清楚地听到她在输入修改,几秒钟就完成了。
坚冰被打破了,他们之间建立了一种合作关系,看到这位女士如此配合的给予帮助,乔
尼毫不犹豫地选择了更进一步,他说,“你能再多花几分钟帮帮我吗?”
“可以,”她回答道,“还有什么事吗?”
“我有几条属于同一个客户的其它线路,全部都是一样的问题,我把号码读出来,只要
确认它们没有被设置为呼叫拒绝就可以了——好吗?”她说好的。
149
几分钟后,十条电话线路全都被“修复”为允许呼入电话了。
寻找康多尔夫
下一步,找到康多尔夫所在的房间单元,这一信息显然是管理拘留中心和监狱的人不想
让外部人员知道的,乔尼再一次使用了他的的社会工程学技术。
他打电话到了另一个城市的一座联邦监狱——他选择了迈阿密——声称他从纽约拘留
中心打电话来。他请求和监狱里使用岗哨电脑的人谈话(该电脑系统包含了所有的囚犯信息,
全国的监狱机构都能访问)。
当和那个人连上线时,乔尼换上了他的布鲁克林口音,“你好,”他说,“我是纽约FDC
(联邦拘留中心)的托马斯,我们到岗哨的线路总是不能用,你能帮我找出这个囚犯的位置
吗?我想这个囚犯在你们那里。”然后读出康多尔夫的名字和他的注册号。
“不,他不在这里,”过了一会儿那个人说,“他在圣地亚哥的拘留中心。”
乔尼假装成很吃惊的样子,“圣地亚哥!上个礼拜他就应该被“马歇尔空运”到迈阿密
的!我们说的是同一个人吗——他的DOB(date of birth 出生日)是哪一天?”
“12/3/60。”这个人看着他的屏幕上读道。
“是的,是同一个人,他在哪个房间单元?”
“他在北十号。”这个人愉快地回答着问题,即使没有任何合理的理由解释为什么一个
纽约的监狱员工需要知道这些。
现在乔尼知道了康多尔夫所在的房间单元,下一步就要找出哪一个是北十号单元的电话
号码。
这一步有点困难,乔尼拨打了其中一个号码,他知道那些电话的扬声器已经被关掉了,
没有会知道它在响。于是他坐在那里一边看欧洲名城旅游指南,一边听着扩音器传出的持续
不断的铃声,直到最终某个人把它拿起来。那个囚犯在电话的另一端当然是想要联系上他的
法庭指定律师,乔尼已经准备好预期的回应了。“公共辩护办公室。”他声称道。
当那个人寻求他的律师时,乔尼说,“如果他在的话我会看见的,你是从哪个房间单元
打过来的?”他草草记下了这个人的回答,放下电话,片刻之后回来说,“他在法院,你只
能稍后打来了。”然后挂断。
150
他花了大半个早晨的时间,但还算幸运:第四次尝试就找到了北十号,现在乔尼知道了
康多尔夫所在房间单元的电话号码。
时间同步
现在要通知康多尔夫接电话的时间,这比听上去要更容易。
乔尼用他的官方语调打到拘留中心,声称自己是一名员工,请求转接到北十号。然后当
那名狱警拿起电话时,乔尼使用了犯人物品保管室(Receiving and Discharge,该部门负责接
收和释放囚犯)的内部缩写, “我是R&D 的泰森,”他说,“我需要和囚犯康多尔夫说话,
我们要寄出他的一些财物,需要询问他地址,你能把他叫过来接电话吗?”
乔尼可以听到那名狱警在值班室里大喊大叫,焦急地等待了几分钟之后,熟悉的声音从
电话那头传来。
乔尼对他说,“在我解释之前不要说话。”乔尼解释了这个骗局,然后说,“如果你可以
在今天下午一点使用公共辩护办公室的直通电话,就不要说话,如果不能,那么说个你可以
到那里的时间。”康多尔夫没有回答,乔尼继续说,“好的,一点到那里,到时候我会打电话
给你,拿起电话,如果听到呼出的声音就迅速挂断,每过20 秒试一次,直到听到我的声音
为止。”
下午一点,康多尔夫拿起了电话,乔尼已经在等他了,他们进行了一次轻松、愉快、悠
闲的谈话,在一连串类似的电话里设计骗局为康多尔夫筹措律师费——所有这些都不受政府
的监视。
过程分析
这个有趣的故事提供了一个关于社会工程师怎样通过几个独立的、看似不合理的骗局让
表面上不可能的事情发生的很好的例子。在现实中,每一步都会有一些小小的问题,直到完
成整个骗局。
第一个电话公司的员工认为她在向联邦政府总务管理局的某个人提供信息。
第二个电话公司的员工知道她不应该在没有服务命令的情况下更改电话服务类型,但还
是帮助了这个友好的人。这让呼入拘留中心的十条公共辩护电话线路成为可能。
对于那个在迈阿密拘留中心的人而言,帮助某个遇到电脑故障的联邦机构人员似乎是非
常合理的,即使没有任何理由可以解释为什么他需要知道房间单元,为什么不问一问?
151
还有北十号的那个狱警,他相信这个打电话的人和他是同一个机构的,为了工作上的事
情?这是非常合理的请求,所以他叫来了囚犯康多尔夫,这没什么大不了的。
周详的计划让整个骗局顺利地完成了。
快速下载
在法学院毕业十年之后,耐德〓拉辛(Ned Racine )发现他的同班同学全都住进了带草
坪的别墅,成了乡村俱乐部的一员,每星期打一次或两次高尔夫,而他则在为没有足够的钱
付帐单的人处理微不足道的案件。嫉妒一直折磨着他,终于有一天,耐德受够了。
他曾经有过的唯一个好客户是一家很小但很成功的会计公司,这家公司擅长于收购和兼
并。他们雇用耐德的时间不是很长,但足够让他了解他们涉及的那些生意,一旦他们被媒体
报道,将会有一家或两家上市公司的股票价格受到影响。小打小闹,可以通过交易板购买股
票,但是使用一些方法会更好——只要少量地投入资金就可以获得丰富的回报。如果他可以
接触到他们的文件并找出他们正在研究的那些股票……
他通过一个朋友认识了一个特殊的人,这个人听了他的计划之后为之叫绝并同意向他提
供帮助。为了一笔比平时少得多的酬金(和耐德在股票市场上赚的钱不成比例),这个人对
耐德进行了指导,还给了他一个随身携带的微型设备(崭新的行货)。
在接下来的几天里,耐德一直监视着那家会计公司朴实无华、店面一样的办公室所在的
小型商业停车场,大部分人在5 点30 到6 点离开,到了七点,停车场就已经空了,清洁工
在7 点30 左右出现,好极了。
第二天晚上8 点之前几分钟,耐德把车停在了停车场的街对面,和他预期的一样,停车
场只剩下清洁服务公司的卡车了。耐德把耳朵贴在门上,听到真空吸尘器运作的声音,他把
门敲得很响,然后站在那里等待,他穿着西装,手里还拿着他的旧公文包。没人应门,他很
有耐心地又敲了一次,终于来了一个清洁工。“你好!”耐德隔着玻璃门大喊,然后拿出他之
前弄到的一个股东的名片,“我把钥匙忘在车里了,我要到我的桌子上拿点东西。”
那个人打开门让耐德进来,再把门给锁上,然后把走廊上的灯都打开了,这样耐德就可
以看清路了。好的——他很喜欢这个把食物端到他桌子上的人,大概他把每一个理由都想过
了。
152
米特尼克语录
商业间谍和电脑入侵者有时候会进入现实中的目标公司。比用铁锹闯进去要好得多,社
会工程师运用欺骗的艺术让人们为他开门。
耐德打开了一个股东的电脑,当它启动的时候,他把一个微型设备(小到可以挂在钥匙
圈上的玩意儿,但是可以存储超过120MB 的数据)插在了电脑的USB 端口上。他用这个股
东的秘书的用户名和密码(很方便地用便签贴在了显示器上)登陆了网络。不到五分钟,耐
德下载了每一个存储在工作站和网络目录上的电子表格与文档文件,然后回家了。
轻松赚钱
当我第一次在中学时代接触电脑时,我们只能通过调制调解器连入洛杉矶市区的一台
L.A(洛杉矶缩写)所有中学共用的中心DEP PDP II 小型机,电脑上的操作系统叫做RSTS/E,
那是我学会使用的第一个操作系统。
19 81 年,那时候,DEC 为他的产品用户每年主办一次研讨会,有一年我了解到研讨会
将在L.A 举办。一家热门杂志为此操作系统的用户公布了一个新的安全产品,LOCK-II,这
个产品有一个像这样的很有创意的广告:“现在是3:30,M 和乔尼正在沿街寻找你的拨入号
码,555-0336,这已经是第336 次了。你入他出,选择LOCK-II。”这个广告暗示该产品能
防止黑客入侵,这一次的研讨会把它展示出来。
我很想亲自看看这个产品。我在中学的伙伴和朋友,文尼(我曾经的入侵搭档,后来成
了抓我的联邦密探),和我一样对新的DEC 产品充满了兴趣,他怂恿我和他一起去研讨会。
现金悬赏
我们到了那里发现已经有一大群人围着LOCK-II 的展台了,似乎开发者设下了现金悬
赏,打赌没人能入侵他们的产品,这对我而言实在是难以拒绝的挑战。
我们把头伸直了往LOCK-II 展台里面看,发现有三个此产品的开发者正在操作它,我
153
认识他们,他们也认识我——我那时已经是小有名气的电话盗打者和黑客了,洛杉矶时报报
导了我初次尝试社会工程学欺骗的故事,半夜闯进太平洋电话中心,在警卫的鼻子底下拿走
电脑手册。(洛杉矶时报为了让报导更有吸引力而公布了我的名字:因为我还是青少年,所
以这违反了隐匿未成年人姓名的法律规定。)
当我和文尼走进去的时候,气氛变得微妙起来,因为他们通过报纸了解到我是个黑客,
看到我的出现有些震惊,而我们则是看到他们每个人所在的展台上各贴着100 美金的悬赏,
只要侵入他们的系统就能获得整整300 美金——对于两个青少年而言这是一笔巨额财富,我
们都等不及要开始了。
LOCK-II 被设计为具有双层安全验证,用户必须要有一个合法的ID 和密码,在特殊情
况下此ID 和密码只能从被授权的终端登陆(这称为终端基础安全)。要入侵这个系统,黑客
不仅要知道一个账户ID和密码,还需要从合法的终端登陆。这是个很好的安全规则,LOCK-II
的发明者深信它能抵挡入侵,我们决定给他们上一课,然后将三百美元收入囊中。
我认识的一个人(RSTS/E 的头头)已经在展台打击我们了,几年前他和其他一些家伙
向我发出过入侵DEC 内部计算机的挑战——在他的搭档让我进去之后,多年以后他成了受
人尊敬的程序员,他在我们到达之前就已经尝试过攻击LOCK-II 的安全程序了,但没有成
功,这让开发者对他们的产品安全更有信心了。
术语
终端基础安全:基于特定的计算机终端作为安全验证:这一做法在IBM 大型计算机中
非常流行。
比赛很简单:入侵,赢得美金,一场公开的惊人表演……除非有人能打败他们并拿走钱。
他们非常相信他们的产品,甚至还在展台上勇敢地公布了系统中的一些账户名称和相应的密
码,不只是普通账户,还包括所有的特权账户。
这其实没有听上去的那么勇敢:我知道,在这种设置类型中,每台终端都插在计算机自
身的一个端口上,不难断定他们已经设置了这五台终端只能从非系统管理员权限登陆。看来
154
似乎只有两条路:要么完全突破安全程序(这正是LOCK-II 被设计来防范的),要么用开发
者难以想象的某种方法绕路而行。
接受挑战
文尼和我一边走一边讨论,然后我说出了我的计划……我们在四周徘徊着,隔着一段距
离注意着展台。午餐时间,当人群稀疏的时候,那三个开发者会利用这一间隙一起出去吃东
西,留下了一个可能是他们中某个人的妻子或女朋友的人,我们走了回去,为了转移那位女
士的注意力,我和她聊起了天,“你在这家公司多久了?”“你们公司还有哪些销售的产品?”
等等。
趁此机会,文尼离开了她的视线,他和我同时开始了行动。除了着迷于计算机入侵和我
对魔术感兴趣以外,我们都秘密地学习了怎样开锁。作为一个小孩子,我读遍了圣费尔南多
谷一家地下书店中关于开锁、解手铐和伪造身份证的书籍——所有这些都不是一个小孩子应该知
道的。
文尼和我一样练习了很多次开锁,直到我们能完美地解决所有普通的五金商店的锁为
止。有一段时间我沉迷于开锁的恶作剧,比如戏弄为了安全而使用两把锁的人,把锁拿下来,
互换位置放回去,这样那个人在用错误的钥匙开锁时会变得不知所措。
展厅里,我继续打扰着那位年轻女士,文尼闪到展台后面打开了他们安放PDP-11 小型
机和电线电缆的柜子上的锁。锁匠上这把锁更像是在恶作剧,这是圆片锁,像我们这样笨拙
的业余开锁爱好者都能轻易地撬开它。
文尼花了整整一分钟时间才把锁打开,在柜子里他找到了我们所期望的东西:接入用户
终端的插线集和一个控制终端端口,这是计算机操作员或系统管理员用来控制所有计算机的
终端,文尼把展台上某台终端插在了控制端口上。
这意味着这台终端现在已经被认为是控制终端了,我走过去用开发者提供的密码登陆了
进去。因为LOCK-II 的程序现在已经认为我是从授权终端登陆的,所以它同意了我的访问,
并且我拥有的是系统管理员权限。我给操作系统打了个补丁,让我能用特权用户登陆展台上
的任意一台终端。
我一安装完补丁,文尼就马上回去断开了终端连线并把它插回了原处,然后他又把锁拿
了下来,不过这一次是把柜门关上锁好。
155
我把目录列举出来想看看这台计算机上有些什么文件,在查找LOCK-II 程序和相关的
文件时我无意中发现了一些让人大吃一惊的东西:一个不应该出现在这里的目录。开发者太
自负、太确信他们的软件是无敌的了,以至于没有移除这个新产品的源代码。走到邻近的硬
拷贝终端前,我开始把一部分源代码打印在当时使用的长条带电脑纸上。
当那些人吃完饭回来时文尼正好和我会合了,他们发现我正坐在计算机上敲击按钮,而
打印机还在继续转动。“你在做什么?凯文?”他们中的一个人问。
“啊,只不过是在打印你们的源代码。”我说。当然,他们认为我在开玩笑,直到他们
看向打印机时才发现那是真的,那是他们被严密保护的产品源代码。
他们不相信我用特权用户登陆了。“输入T 命令看看。”其中一个开发者说,我照做了,
接下来屏幕上的显示证明了一切。那个人拍打着他的前额,然后文尼说,“三百美金,谢谢。”
米特尼克语录
这是另一个聪明人轻视敌人的例子。那你呢?你对自己公司的安全措施很有信心吗?你
愿意用300 美金打赌吗?有时候通往安全设备的路并不像你想象的那样只有一条。
他们给了钱,文尼和我围着展台转悠了一天,我们的证件上贴着百元的美钞,每个看见
这些钞票的人都知道它们意味着什么。
当然,文尼和我没有攻破他们的软件,并且如果开发小组为比赛设定了更好的规则,或
用了真正安全的锁,或者小心地看管了他们的设备,他们那天也不会经历这样的屈辱——出
自两个青少年之手。
我后来了解到开发小组去银行取了些现金:那些百元美钞是他们身上所有的零钱。
入侵工具字典
当某个人拿到了你的密码,他就能入侵你的系统,在大多数情况下,你甚至不知道发生
了什么事。一个名为伊凡〓彼得斯的年轻的攻击者把目标锁定在了一款新游戏的源代码上,
他可以轻易地进入那家公司的广域网,因为他的一个黑客伙伴已经攻陷了那家公司的一台
Web 服务器。在找到一个未修补Web 服务漏洞之后,他的朋友差一点从椅子上摔下来,因
为他发现这个系统被设置成了双定位主机,这意味着他得到了一个内部网络的入口。
156
但是当伊凡连接的时候,他遇到了一个类似于在罗浮宫寻找蒙娜丽莎的挑战,没有建筑
平面图,你能走上数星期。这是家环球公司,有好几百个办公室和数千个电脑服务器,并且
他们没有提供精确的开发系统索引或服务漫游指南来引导他到达正确的服务器。
伊凡无法使用技术手段找出目标服务器的位置,作为替换,他选择了使用社会工程学。
他用类似于这本书中其他地方提到的方法打起了电话,首先,打到IT 技术支持部门,声称
自己是公司的员工,他的团队为产品设计了一个界面,然后询问游戏开发团队项目经理的电
话号码。
接着他伪装成IT 部门的人打给那个部门经理。“今天晚上,”他说,“我们要更换一个路
由器,需要确认你的团队里的人是否能连接你们的服务器,所以我们想要知道你的团队用的
是哪个服务器。”网络始终处在受保护状态,给出服务器的名称不会伤及任何东西,它是受
密码保护的,服务器名称不会帮助任何人入侵,所以这个人把它告诉了攻击者。没有麻烦地
回电话验证他所说的事情,或写下他的名字和电话号码,他直接给出了服务器名称,ATM5
和ATM6。
密码攻击
在这里,伊凡需要通过技术手段获取验证信息,大多数系统攻击的第一步都是远程扫描
出一个弱口令账户,这是进入系统的最初入口。
当攻击者尝试远程扫描密码时,这可能需要他在几个小时里保持与公司网络的连接,他
这样显然是在冒险:时间越长,被发现和被抓住的风险越高。
作为一个预备的步骤,伊凡需要列举出目标系统的详细资料,因特网又一次方便地提供
了相应的软件(http://ntsleuth.0catch.com:“catch”之前是数字0)。伊凡找到了几个在互联网上
公布的自动列举进程的黑客工具,这样就避免了手动操作引起的麻烦(时间过长导致风险过
大)。伊凡知道大多数公司使用的都是基于Windows 的服务器,他下载了一个名为NBTEnum
的NetBIOS(BIOS:基本输入输出系统)列举工具。他输入了ATM5 服务器的IP(Internet
protocol,Internet 协议)地址,然后开始运行程序。列举工具能扫描出服务器上存在的账户。
术语
列举:查看操作系统已启动的服务并列出允许访问系统的用户的账户名。
157
一旦扫描出存在的账户,可以使用同一个列举工具对计算机系统进行字典攻击,这是许
多计算机安全人员和入侵者非常熟悉的,但大多数其他人可能在了解之后会感到震惊,这种
攻击使用常用单词对系统上每个用户的密码进行尝试。
在某些事情上我们都很懒,但我总是惊讶于人们选择的密码,他们的创造力和想象力似
乎都消失了。我们中大多数人都想要一个安全系数高又容易记忆的密码,这通常意味着一些
和我们有联系的东西,例如我们名字的首字母、中名、昵称、配偶的名字、喜欢的歌、电影
或饮料,我们住的街道或生活的城镇、驾驶的车型、喜欢的夏威夷滨海乡村、常去钓鲑鱼的
河流。看出这里的模式了吗?全都是人名、地名或字典上的常用词。字典攻击可以非常迅速
地把常用单词当成密码去尝试一个或多个用户账户。
伊凡是分三个阶段进行的字典攻击,第一次,他尝试了一张包含800 个常用密码的列表:
列表还包括隐私和工作。这个程序也可以在每个单词的前后添加数字或当前月份。程序尝试
了每一个扫描到的账户,运气不好,没有成功。
第二次尝试,伊凡进入Google 搜索引擎搜索“单词列表 字典”并找到了数千个包含大
量单词列表和字典的站点。他下载了一整部电子英语字典,然后他用许多在Google 上找到
的单词列表将其扩充。伊凡选择了http://www.outpost9.com/files/WordLists.html。
这个站点允许他下载(全免费)的一系列文件中包含了姓氏、教名、国会名、演员名、
还有圣经中出现的单词和名字。
其它许多站点提供的单词列表实际上来自于牛津大学ftp://ftp.ox.ac.uk/pub/wordlists。
在其它站点提供的列表中有卡通动画的名称,有《莎士比亚》、《奥德赛》、《托尔金》、
《星际旅行系列》和《科学与信仰》中出现的单词,等等。(有一家在线公司以20 美元的低
价出售包含440 万个单词和名称的列表。)攻击程序可以设置将字典中的单词顺序颠倒,另
外——这也是许多电脑用户认为能加强安全的做法。
比你想的更快
一旦伊凡选定了使用的单词列表,软件就会自动开始攻击,这样他可以把注意力放在其
它事情上了。这是难以置信的一部分:你可能认为这样的攻击可以让黑客去做里普·万·温
克尔的大梦(译者注:美国作家华盛顿·欧文在其小说《里普·万·温克尔》中叙述主人公里普·万·温
158
克尔在山中一睡20 年,醒来发现世事全非)了,当他醒来的时候软件进度条才会涨一点点,但事
实上,依赖于被攻击的平台、系统安全配置和网络连接质量,尝试完一本英语字典里所有的单词,
难以置信,只要不到三十分钟!
当攻击正在进行的时候,伊凡打开了另一台电脑对开发小组使用的另一台服务器
(ATM6)上进行了类似的操作。二十分钟后,攻击软件完成了大多数毫无防范的用户认为
不可能的任务:它破解了一个密码,软件显示某个用户选择了密码“Frodo”,《魔戒》中一
个矮人的名字。有了这个密码,伊凡就可以登陆ATM6 服务器了。
对于我们的攻击者而言有一个好消息和一个坏消息,好消息是他破解的账户拥有管理员
权限,这是进行下一步的基础,坏消息是游戏的源代码怎么也找不到。最终可以肯定它在
ATM5 上,而针对ATM5 的字典攻击没有成功,但是伊凡没有就这样放弃,他还有一些更多
的方法可以尝试。
在一些Windows 和UNIX 操作系统上,他们存放密码哈希值(加密的密码)的地方可
以被任何访问此计算机的人查看,理由是加密密码无法破解因此不需要保护。这种说法是错
的,使用另一个同样可以在因特网上找到的叫做pwdump3 的工具,他可以从ATM6 中提取
出密码哈希值并将其下载。
密码哈希值文件示例:
Administrator:
500:95E4321A38AD8D6AB75EOC8D76954A50:2E48927AO
BO4F3BFB341E26F6D6E9A97 : : :
akasper :
1110:5A8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357
F157873D72D0490821: : :
digger:
1111:5D15COD58DD216C525AD3B83FA6627C7 :
17AD564144308B4 2B8403DOIAE256558: : :
159
ellgan :
1112:2017D4A5D8D1383EFF17365FAFIFFE89:O7AEC950C22CBB9
C2C734EB89320DB13: : :
tabeck:
1115:9F5890B3FECCAB7EAAD3B435B51404EE:
1FO115A72844721 2FCO5EID2D820B35B: : :
vkantar :
1116:81A6A5DO35596E7DAAD3B435B51404EE:B933D36DD12258
946FCC7BD153F1CD6E : : :
vwallwick:
1119 : 25904EC665BA30F4449AF42E1054F192:15B2B7953FB6
32907455D2706A432469 : : :
mmcdonald:
1121:A4AEDO98D29A3217AAD3B435B51404EE:
E40670F936B7 9C2ED522F5ECA9398A27 : : :
kworkman :
1141:C5C598AF45768635AAD3B435B51404EE:
DEC8E827A1212 73EFO84CDBF5FD1925C : : :
现在有了下载到电脑上的哈希值,伊凡要用另一种风格迥异的暴力破解工具对所有的数
字、字符和特殊符号组合进行尝试。
伊凡使用的软件工具叫做 L0phtcrack3(loft-crack 出品,位于 www.atstake.com,另外在
160
www.elcomsoft.com 中有几个很好的密码恢复工具),系统管理员用L0pht-crack3 检查弱口令1,
攻击者用它来破解密码。LC3 暴力破解对密码的尝试包括字母、数字和大部分的符号组合!
@#$%^&,它能系统地尝试大多数字符的每一个种可能组合。(注意,如果使用的是无法显
示的字符,LC3 也无法将其破解)
这个程序有着难以置信的速度,在1GHz处理器的机器上最高能达到每秒尝试280万次,
即使是这样的速度,如果系统管理员恰当地配置了Windows 操作系统(关闭LanMan 哈希
值的使用),破解一个密码仍然要消耗大量的时间。
术语
暴力破解:通过尝试每一种可能的字母、数字、符号组合对密码进行破解。
因此攻击者通常会下载哈希值并在他的(或其他人的)机器上进行攻击,这样就不需要
保持和目标公司网络的连接,也没有被发现的风险。
对于伊凡而言,这样的等待不算漫长。几个小时后,他得到了每一个开发小组成员的密
码,但这些是ATM6 上的用户密码,并且他已经知道游戏源代码不在这个服务器上了。
现在怎么办?他还是没有得到ATM5 上某个账户的密码。根据他对典型用户脆弱的安
全习惯的理解,他认为某个小组成员可能会在两个服务器上选择同样的密码。事实上,他真
的找到了,某个小组成员在ATM5 和ATM6 使用的密码都是“garners”。
大门向着伊凡敞开了,他自由地搜寻着他想要的程序,直到他找到了源代码的目录并愉
快地下载了下来,然后他进行了系统入侵中典型的一步:他修改了一个隐匿用户(管理员权
限)的密码,以防将来想要获得软件的更新版本。
过程分析
上述攻击利用了技术和人的弱点,攻击者首先用电话骗局获得了目标信息所在服务器的
位置和主机名,然后他用工具扫描出了所有的有效账户名,接着他进行了两次连续的密码攻
击,其中有一次是字典攻击(使用英语字典中的单词搜索常用密码,有时还会增加包含姓名、
地名和特殊爱好的单词表)。
因为任何人都能获取商业的和公共流通的黑客工具(无论出于何种目的),所以对企业
161
计算机系统和基础网络的保护显得更加重要。
