书。利用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找
到任何他想找的信息。有了这些信息,如同找到开门的钥匙,把它们握在手中,他可以自由
地出入企业的各个地方并找到他寻觅的宝藏。 米特尼克信箱
在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规
程,尤其是有关绝不要泄露口令的规则。
不象你认为的那样安全
55
“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说
法。而生活如果简单易懂的话,这个世界就会更好。事实却是即便企业付出相当的努力来保
护机密信息,可还是存在着严重的风险。下面的故事再一次举例证明,认为由经验丰富、胜
任的职业安全人员布置的安全操作规程牢不可破的想法,只是在愚弄自己。 斯蒂夫〓克莱默(Steve Cramer)的故事
这片草地不大,没有播撒昂贵的草种,也没人羡慕。当然,也就没有足够的理由买一台
坐式割草机了,那一定很好使,毕竟他一次也没用过。斯蒂夫很乐意用手工割草机割草,因
为花的时间会更长些,而这种家务事还给他提供了一个便利,使自己专注于自己的想法,而
不是听安娜(Anna)讲述她工作的银行里那些人的故事或是解释为他所做的各种事情,他讨
厌“夫妻表”(译者注:夫妻间为增进感情而做的一些小事,如聊天、下厨等)上的内容成
为他周末的全部。当12 岁的皮特绝顶聪明地加入游泳队的时候,他的心里一下子亮堂起来。
现在,他每个星期六都要在训练场或是去接他,不用再陷入没完没了的家务事上了。 有些人可能认为斯蒂夫在双星医疗产品厂(GeminiMed Medical Product)的工作十分
无聊,斯蒂夫却认为他在挽救生命,他知道自己从事的是具有创造性的工作。画家、音乐家、
工程师,在斯蒂夫看来都有着与他相同的挑战性——他们都创造别人从未做过的东西。他最
近所做的,是一件新型的智能心脏支架,迄今为止,可能是他最值得骄傲的成就。 在这个不寻常的周六,斯蒂夫十分苦恼,都快11 点半了,草地也几乎清理完,但是在
思考如何降低心脏支架的动力消耗方面却没有丝毫的进展。这是他最后的障碍,虽然锄草时
最适合思考这样的问题,但他一点办法也没想出来。 安娜来到门口,头上围着打扫卫生时总戴着的佩斯利(paisley)牛仔头巾。“电话,”
她冲着他喊。“你公司的电话。” “是谁?”斯蒂夫回喊道。
“叫什么拉尔夫(Ralph)的,好像。”
拉尔夫?斯蒂夫想不起医疗厂有叫拉尔夫的人会在周末打电话给他,也许安娜把名字听
错了吧。
56
“斯蒂夫,我是技术支持部的雷蒙〓派瑞兹(Ramon Perez)。”
雷蒙?天知道安娜怎么会听成一个西班牙人的名字拉尔夫?斯蒂夫很奇怪。
“这是一个善意的来电,”雷蒙接着说。“有三台服务器当掉了,我们认为可能是蠕虫,
必须清除驱动器,然后恢复备份文件。我们应该能够在星期三或星期四令你的文件正常使用,
如果幸运的话。” “这真让人无法接受,”斯蒂夫尽量平静的说,努力压制住自己的沮丧。这些人怎么如
此愚蠢?他们真的认为他没有这些文件也可以 在整个周末和下个星期的多半个星期工作
么?“不行,我要用家里的电脑连线,只需两个小时,我要访问我的文件。你听明白我的意
思了吗?” “清楚,到现在为止我打的每一个电话,对方都要求先处理他们的事情。我放弃我的周
末来弄这件事,却让每个我与之通话的人对我指手画脚,你觉得这很好笑么?” “我现在的工作处于关健时期,公司对此十分重视,我今天下午要完成它,你还有什么
不明白的?” “在我开始恢复前还有很多电话要打,”雷蒙说。“我们说定星期二恢复你文件的使用,
怎么样?” “星期二不行,星期一也不行,要今天,现在!”斯蒂夫边说边考虑如果说不通这个大
脑迟钝的家伙,他该向谁打电话。 “好吧,好吧,”雷蒙说,斯蒂夫还能听到他无奈的叹了口气。“我看看我该怎么让你
连线,你使用RM22 服务器,对么?”
“RM22 和GM16 两台。”
“好,很好,我可以绕过一些程序来节省些时间——我需要你的用户名和口令。”
什么?斯蒂夫想,这是怎么了?为什么他需要我的口令?为什么所有IT 部门的人都这
样? “你刚才说你姓什么?谁是你的主管?”
“雷蒙〓派瑞兹。听着,听我说,当你被雇用的时候,必须填一个表格来取得自己的用
户名,同时写下密码。我可以在存档中找到这个文件,然后告诉你,好么?” 斯蒂夫考虑了一会儿,表示同意。他拿着电话尽量耐心的等着雷蒙从文件柜中取出文件,
57
最终返回到电话前,斯蒂夫可以听到他在摆弄一堆文件。 “哈,找到了,”雷蒙说,“你写的密码是Janice。”
Janice,斯蒂夫想,是他母亲的名字,实际上有时他会用这个名字做密码,很可能在他
填雇用登记表时就用它做密码了。 “是的,是这样。”他承认道。
“那好,我们正在浪费时间。你知道我是真的,你想让我走捷径帮你快速的取回文件,
你就必须给予我帮助。” “我的用户名是s d 下划线 cramer,c-r-a-m-e-r,密码是pelican1。”
“我会把它恢复正常,”雷蒙说,听上去还比较友好。“给我二三个小时。”
斯蒂夫清理完草坪,吃过午饭,到时间便来到他的计算机前,发现他的文件已经恢复了。
他很满意自己强有力的说服了那个不太合作的IT 小子,并希望安娜听到了他是多么的果断。
最好对那个小子或是他的上司表示一下他的满意,但他知道他抽不出时间做这些事情。
克雷格〓科格伯恩的故事
克雷格〓科格伯恩(Craig Cogburne)曾是一家高科技公司的销售,业绩良好。一段时
间后,他逐渐意识到自己有一种读懂客户的能力,理解对方反对什么,以及利用对方的弱点
和漏洞轻松完成销售任务。他开始思考这种才能的其他用途,和那条最终导致他获利颇丰的
道路——商业间谍。
这是个紧急任务,不会花费很长时间,也不值得花钱去趟夏威夷,或是塔希提(Tahiti)。
那个人雇用了我,他没说客户是谁。当然,不用说也是一些想一下子轻松、迅速地赶上竞争
对手的公司。我的工作是拿到那个叫做心脏支架的小玩意的设计书和产品说明,管它是什么。
对方公司叫做双星医疗,以前从没听说过,是一家500 强企业,在不同的地方有六个分公司。
对于我的工作来说,大公司比小公司容易得多。因为,在小公司里你很可能会被谈话的对方
认出来不是自己所声称的那个人,而这种情况就像飞行员说发生空中碰撞一样,可以把你的
一切都毁了。
58
客户发过来一封传真,说是一些医疗杂志上报道了双星医疗正在研究一种全新设计的心
脏支架,可能叫做STH-100。由于事情炒得很热,记者们已经替我做了许多前期调查工作,
包括我在开始工作前必须知道的事情,这个新产品的名字。 第一个问题:取得可能会看到这个设计的以及研究STH-100 的那些人的名字。于是我打
电话给接线员:“我答应与你们的一位工程师联系,但我记不起他姓什么了,只记得他的名
字是以S 开头。”接线员说:“有两个人,一个叫斯科特〓亚谢尔(Scott Archer),一个叫
塞姆〓大卫森(Sam Davidson)。”我冒着风险问:“哪一个在STH-100 工作组?”她不知道,
我只好随意选了斯科特〓亚谢尔,她帮我接通了电话。 对方拿起电话,我说:“嗨,我是麦克,收发室的。我们收到一个寄给STH-100 心脏支
架方案组的联邦快递,应该给谁?”他告诉我方案组长的名字,杰瑞〓曼德尔(J erry
Mendel),我甚至还让他帮我查到了电话。
我打给曼德尔,没有在。但他的语音留言说他在度假,一直到13 号,也就是说他还有
一个星期的时间滑雪或者其它什么事情。在此期间,任何人有事的话打 9137 找米歇尔
(Michelle)。太好了,这些信息太有用了。我挂了电话接着打给米歇尔,她接起电话,我
说:“我是比尔〓托玛斯(Bill Thomas),杰瑞说我一旦准备好产品说明书就打给你,他想
让组里的人看看。你是心脏支架组的,对吧?”她回答是。 现在,我们到了整个布局的攻坚点了。如果她有所怀疑,我就打出预先准备好的牌,我
会说是杰瑞让我帮他这个忙的。我问:“你们用哪个系统?” “系统?”
“你们成员组使用哪些服务器?”
“哦,”她说:“RM22,组里有些人还会用GM16。”
很好,这正是我需要从她哪里得到的信息,并且没有引起她的怀疑。接下来,为了尽量
59
麻痹她,我尽可能的令语气自然,“杰瑞说你可以给我一个研发组成员的电子邮件列表,”
说完,我屏住呼吸。 “当然,这个表太长了,不便阅读,发邮件给你可以吗?”
坏了!任何一个不以GeminiMed.com 结尾的邮箱都会带来无比的麻烦。“你能发传真给
我么?” 她顺利的应允了。
“我们的传真机坏了,我得问问另一台的号码,一会打给你。”说完,我挂了电话。
现在,你可能认为我被这个问题难住了,其实这只是任务中的一项常规作业。我调整了
一下,好让自己的声音令接线员听起来不那么熟悉,接着我打电话对她说:“嗨,我是比尔
〓汤玛斯,我们的传真机坏了,可以往你的机器上发一个传真么?”她说没问题,然后告诉
我号码。接下来,我要去他们公司拿走传真,是这样么?当然不。 第一守则:除非万不得己,绝不与当事人见面。如果你只在电话上与之联系,他们很难
认出来你。如果他们认不出你,就不能逮捕你。如何给声音带上手铐呢? 过了一会儿,我打回电话问我的传真到了么?“到了。”她说。
“是这样,”我说,“我还得把它发给我们的一个顾问,能帮我发一下么?”她同意了,
为什么?你指望哪个接线员能识别出敏感信息来呢? 她把传真发给那位“顾问”的时候,我正做着当天的运动,迈步走向我附近的一家文具
店。那个台头标着”Faxes Sent/Rcvd”(发送传真/已接收)的传真应该比我先到吧,不出
所料,我走进文具店时,它已经在那里了。6 页,每页1.75 美元,我付了一张10 元钞和一
些零钱,就拥有了那个小组的成员名单和邮件列表。
60
打入内部
好了,现在我已经跟三、四个不同的人谈过话,并往进入公司计算机系统的方向迈了一
大步,但在回家之前还有几件事情要做,首先要搞到从外部拨入工程服务器(译者注:某项
目组共用的服务器)的电话号码。我再次打到双星医疗让接线员转到IT 部门,然后问接电
话的人是否能找一个人给予我计算机方面的帮助。他把电话转给别人,我装作对计算机技术
一窍不通。“我在家里,我刚买了一个笔记本,需要设置一下,以便能从外面拨入服务器。”
设置很简单,但我耐心地让他一步一步地教我,直到拨入电话号码。他告诉我那个号码,
就像说出其它的一些日常信息。然后,我让他等我试一下。没问题。 现在,我已经克服了连接网络的障碍。我拨号进入,发现他们的终端服务器允许拨入者
连接到内网上所有的计算机。多次测试后,我偶然发现一台计算机上的来宾账号口令为空。
有些操作系统在首次安装时,会指导用户建立一个账号和口令,同时给出一个来宾账号,用
户可以对其设置口令或是禁用它,但多数人不懂这一点,或者是嫌麻烦。这个系统可能是刚
安装不久,而主人也没花点儿功夫把来宾账户禁用掉。 专业术语
哈希密码(PASSWORD HASH):对口令进行一次性的加密处理而形成的杂乱字符串,这个
加密过程被认为是不可逆的,也就是说,人们认为从哈希串中是不可能还原出原口令的。(译
者注:2004 年,王小云教授在国际密码学大会上公布了破解HASH 函数的关键技术。)
多亏这个来宾账号,我现在访问到了一台运行着旧版本UNIX 的计算机。UNIX 的操作系
统备有一个密码文件,这个文件包含所有有权访问这台计算机的用户的加密口令,也就是一
次性加密的哈希密码。经过一次性哈希加密,一个真正的口令,比如“justdoit”,会被加
密后的哈希字符代替。在这个案例中,口令被转换成13 个字符位的数字和字母。当有人访
问计算机时,需要输入用户名和口令以确认身份,这时系统就会对输入的口令进行加密,然
61
后把结果与密码文件中的哈希口令对比,两者如匹配,访问允许。由于文件中的口令是加密
的,因此虽然在理论上文件本身对于任何用户都是有效的,但并没有已知的办法能够解密口
令。 这真是笑话。我下载了这个文件,运行字典攻击(本书第十二章有更多的攻击方法),
发现研发组的一个叫斯蒂文〓克莱默的工程师,在这台计算机中拥有一个口令为“Janice”
的账号。我试着在一台服务器上输入这个口令碰碰运气,如果有效,这不仅会节省我的时间,
还会让我少冒些风险。但口令无效。这就意味着我不得不用些技巧来让这个人自己告诉我他
的用户名和密码。于是,我一直等到周末。后面的事情,你们已经知道了。周六,我打电话
给克莱默,用蠕虫和服务器必须从备份中恢复的理由打消他的怀疑。也许有人要问,他填写
雇用登记表时的口令是怎么一回事?我指望他不会记着所有的事,一个新员工要填的表很
多,几年之后,谁还会记得呢?而且,即使我在他身上的努力失败,那份长长的名单上还有
其他人可以尝试。 利用他的用户名和口令,我进入服务器开始搜索,很快找到了STH-100 的设计文档。但
我不确定哪些是关键的,于是我把所有的文件传送到“秘点”,中国的一个FTP 站点,文件
存放在那里不会引起任何人的怀疑,让客户在这堆垃圾里寻找他们的宝贝吧。 专业术语
秘点(DEAD DROP):很难被别人发现的存放信息的地方。在传统的间谍活动中,秘点可
能是一堵墙壁上某块松动的石头。对于计算机黑客来说,一般都是位于遥远国度的互联网上
的一个站点。
过程分析
那个我们称之为克雷格〓科伯恩的人,或是任何像他一样具备熟练社会工程学(不总是
以违法行为盗窃信息)能力的人,以上叙述的难题几乎都如例行公事般简单。克雷格的目标
62
是在一台受到保护的企业计算机上找到并下载文件,这台计算机被防火墙和通常所有的安全
技术保护着。他的大部分工作如探囊取物般简单。先是假扮收发室的工作人员,声称收到一
封不知寄给谁的联邦快递包裹来增加紧迫感,这样他得到了心脏支架研发组组长的名字,这
位组长正在渡假,可他却留下了助手的名字和电话——这大大地方便了试图窃取信息的社会
工程师。克雷格打给这位助手,谎称响应项目组长的要求来打消她的怀疑。组长不在城里,
米歇尔在无法证实他所言属实的情况下,相信了他的话,并把项目组成员名单毫无保留地提
供给他。对于克雷格来说,这是一组十分必要和珍贵的信息。 当克雷格让他发传真而不是使用令双方都方便的电子邮件时,她甚至都没有怀疑。为什
么她如此轻易的相信他人?如同许多工作人员那样,她可不想在上司回来时发现她拒绝了一
个人的要求,而这个人所做的事是她的上司交待要做的。此外,对方并没有说上司明确批准
了他的请求,只是需要他的协助。她之所以还把名单给他,是因为有些人有一种显示自己是
团队一员的强烈愿望,而这种愿望使大多数人容易被骗。 克雷格避免了亲自现身的风险,他让对方把传真发到接线员那里,他知道接线员会有帮
助的。一般来说,接线员都有着温柔的性格和给人留下良好印象的素养,像收发传真这种在
职责范围内的小忙,克雷格可以充分利用。虽然任何知道此信息价值的人看到她发出的信息
都会引发警报,但你又如何指望一个接线员能分辨出无害信息和敏感信息的区别呢? 米特尼克信箱
每个人对工作的第一考虑就是完成工作,在此压力下,安全操作规程就放到了第二位并
被遗漏和忽略,社会工程师就利用这一点来实施他们的诡计。 克雷格利用了一个从未改变过的默认口令,许多依靠防火墙的内部网络都存在着这种即
明显又开放的漏洞。实际上,许多操作系统、路由器和其它产品,包括专用交换机的默认密
码,在网上都有提供。任何一个社会工程师、黑客,或是商业间谍,还有那些仅仅是具有好
奇心的人,都可以在http://www.phenoelit.de/dpl/dpl.html找到这个默认密码列表,简直令人
63
难已置信,互联网把那些知道从哪里获取资源的人的生活变得如此轻松,现在,你也知道了。
然后,科伯恩竟然让一个行事谨慎怀有戒心的人透露了他的用户名和口令,从而访问到
心脏支架研发组使用的服务器。这就如同在公司最严守的秘密上开了一扇门,克雷格可以任
意浏览信息并下载新产品计划。 如果斯蒂文〓克莱默继续他对克雷格的怀疑又会怎样?斯蒂文看来不大可能在他星期一
早晨上班前报告此事,而到了星期一已经晚了。这个骗局最后部分的一个关键就是,克雷格
先是显得对斯蒂夫所担心的事情漠不关心,接着换成一付让对方听起来是在帮助对方完成工
作的口吻。许多时候,当受骗者认为你是在帮他或是在为他做事情时,往往会放开在其他情
况下会坚守的秘密信息。 预防措施
社会工程师一个最强有力的技能就是扭转局面,这你已在本章中看到。社会工程师制造
问题,然后魔术般地给予解决,然后从受骗者手中套出访问企业最严守的秘密的通道。你的
员工会掉入这个圈套么?设计和实施这样一套防范攻击的安全规程,你会感到棘手么? 培训、培训,再培训……
有一则老故事,一个去往纽约的游客在街上叫住一个人问:“我怎样才能到达卡内基音
乐殿堂?”那个人回答:“练习,练习,再练习。”每个人在社会工程师的攻击面前都很脆
弱,而企业唯一有效的防范就是培养和训练员工,给予他们练习的机会,如何认出一名社会
工程师。而且,要不断的始终如一的提醒他们在训练中学到的知识,否则很容易忘掉。 企业里的每一名员工人在与不是亲自认识的人打交道时,应具有适度的谨慎和警戒心,
特别是访问计算机网络的有关事情要尤为注意。人类天性容易相信他人,但正如日本人所说
“商场如战场”,公司在安全防护方面绝不能放松警惕,必须制定安全策略以清楚的区分哪
64
些是不当的操作,哪些符合规程。安全措施不是千篇一律,企业员工通常都有着差别很大的
任务和职责,而每个岗位都有着与之相关的漏洞。公司里的每个人都应完成一个基础培训,
并加上依据他们的工作程序而设计的培训,以降低员工本人发生问题的可能性。而工作涉及
敏感信息或身居关键职位的员工,更应给予专门的培训。
保持敏感信息的安全
如同本章中所讲的那样,当一个陌生人以提供帮助的名义与工作人员接近时,工作人员
必须遵循为适合公司文化、业务需要而定制的合适的安全策略。
注:个人认为,并不是所有的企业都需要共享和交换密码,建立一个严格的规则来禁止员工
共享和交换机密口令很容易,而且也更安全,但每个企业必须结合自己的工作环境和安全要
点来做选择。 绝不要配合陌生人查询信息、在计算机上键入不熟悉的命令、改变软件设置,或是打开
邮件的附件和下载未经检测的程序(这最有可能造成危害)。任何软件程序,即便是那些看
上去无碍的程序,也很可能暗藏危险。 有些工作,无论我们的培训做得有多好,时间一长,我们就又粗心大意起来。接着便忘
掉了非常时期的培训,因为那时正需要它。你可能认为不要泄露你的用户名和口令是一件无
需提醒的事,任何人都知道或都应知道,这是一种普遍的认识。但实际上,每个员工都需要
被经常提醒——泄露办公室计算机、家庭计算机、甚至是邮资机的用户名和口令与泄露ATM
卡的个人身份识别码一样危险。 有时,在非常偶然的情况下,在有限的环境下,把机密信息透露给别人是必要,甚至可
能是十分重要的。为此,制定“永远不要”的绝对规则是不合适的。然而,为特定环境制定
相应的安全策略和规程十分必要,员工在非常时期可以把口令透露给别人,但对方必须被授
权。
65
注意对方身份
在大多数机构中,安全规则要囊括所有可能给企业或工作人员带来损失的信息,只能是
亲自认识的人,或是十分熟悉对方声音的情况下才能将信息透露。在高度防范的情况下,只
有人员亲自在场的要求才被许可,或是通过一个强有力的认证模式,比如通过两个单独的检
验条件,像共享密码和时间令牌。数据分类措施也必须指明公司敏感工作部门的信息不要透
露给不认识的人或以某种形式担保的人。
注:很难让人相信,即使在企业员工数据库中查询打电话人的名字和电话号码并拨打回去,
也不足已保证对方的身份。社会工程师懂得如何把名字放入数据库中和把电话转拨的方法。
那你又该如何处理公司的另外一名工作人员听起来十分合理的要求呢?比如,他需要你
们部门的名单和电子邮件列表。实际上,对这种仅供内部使用,且明显没什么价值(这与新
产品说明书的价值不可同日而语)的信息,很难对其提升安全意识。一个主要的解决方法就
是,为每个部门指派一个负责处理对外发布信息的人,并给他们安排相应的培训,以使其明
白应该遵循的确认程序。 勿有遗漏
任何人都可以对企业哪里需要高级别的安全防护以杜绝恶意攻击的事情夸夸其谈,可我
们却经常忽略其它地方,这些地方并不明显,但极易受攻击。在上述的故事中,发传真到公
司内部的一个号码似乎比较安全,没什么害处,但攻击者却利用了这一点。从这个例子中应
该吸取如下教训: 公司的每一个人,从秘书、行政助理到执行人员和高层管理者都需要进行专门的安全培
训,以使他们面对类似的欺骗手段时保持警醒。而且,别忘了看好前门——接线员,通常也
是社会工程师的首要目标,必须让他们了解某些来访者和打电话人的骗术。企业安全部门应
66
该建立一个单一的联系点,类似于情报中心,为那些认为自己可能成为社会工程师的攻击目
标的员工汇报情况时所用。这样的一个情报中心会提供有效的预警系统,清晰化悄然发生的
攻击,从而令任何破坏行动得到及时的控制。
67
第六章 你能帮我吗?
大家在前面已经看到社会工程师如何通过提供帮助来使人上当,他们的另一个惯用伎俩
是假装需要别人的帮助,因为我们都会对处于困境的人施与同情,社会工程师便经常的利用
这一方法来达到他的目的。 外地人
第三章中有个故事显示了攻击者如何通过对话令对方说出他的员工号码,下面的故事则
运用不同的方法得到了相同的结果,并且这个故事还将展示攻击者如何利用这个号码。 硅谷有一家不太知名的全球企业,散落在世界各地的所有销售处和现场基站都是通过
WAN――广域网,连接到公司总部。入侵者,一个叫布瑞恩〓亚特拜(Brian Atterby)的狡
猾的活跃分子,他知道入侵一个远程站点的网络总是要比总部的网络容易的多,由于前者的
保护措施较为薄弱。 我找琼斯
他打电话到这家公司的芝加哥办公室,找琼斯(Jones)先生讲话,接线员问他是否知
道琼斯先生的名字。 “我有他的名字,我正在找,你们那儿有几个叫琼斯的?”
“三个,你找的琼斯在哪个部门?”
“如果把他们的名字念一下,可能我就会想起来了。”
“拜瑞(Barry)、约瑟夫(Joseph)和格丹(Gordon)。”
“是乔(Joe,约瑟夫的昵称),肯定是他,他在,哪个部门?”
“商务拓展部。”
“很好,请帮我转过去好么?”
68
接线员将电话接通,琼斯接起电话,攻击者说:“琼斯先生?嗨,我是托尼,薪金发放
专员(译者注:相当于管理工资发放的会计),我们刚刚依据你的要求,把薪金支票存入到
你的信联账户上。” “什么???你在开玩笑吧!我从来没这样要求过,我甚至在信联都没有账户!”
“哦,见鬼,我已经转过去了。”
一想到到薪金支票可能转到了别人的账户上,琼斯十分的心烦意乱,并开始怀疑电话另
一端的小子是不是有些智力低下。他不知道该说些什么,这时攻击者说:“我得看看是怎么
回事,薪金发放时要输入员工号码,你的号码是多少?”琼斯告诉了他。 “哦,不,你说得没错,发出请求的人不是你。”攻击者说。他们越来越蠢了,琼斯想。
“这样,我看一下谁负责此事,然后把错误马上改过来。请别担心,下次不会这样了。”
对方向他保证。
一次商务旅行
不久之后,这家公司在得克萨斯首府奥斯丁销售处的系统管理员接到了一个电话。
“我是约瑟夫〓琼斯,商务拓展部的。这星期我要入住德斯基(Driskill Hotel)饭店,
我想让你帮我建立一个临时帐号,以免除远程拨号才能访问我的电子邮箱。” “让我再确认一下你的名字,告诉我你的员工号码,”系统管理员说。假琼斯告诉了他,
并说:“有没有速度很快的上网拨号?” “请等一下,老兄。我得在数据库中确认一下。”不一会儿,系统管理员说:“好的,
乔,你的楼牌号是多少?”攻击者对此早有准备,报上了备好的答案。
“好的,”系统管理员对他说:“验证通过。” 如此简单,系统管理员确认了约瑟夫〓琼斯的名字,部门,还有员工号码,针对他的测
试问题,“乔”也给出了正确的答案。
69
“你将使用的用户名与你在公司的一个用户名相同,jbjones,”系统管理告诉他说,
“并且我将你的口令初设为changeme”。
米特尼克信箱
不要指望网络安全装置和防火墙来保护你的信息,要注意最薄弱的环节。通常,那就是
你的员工。 过程分析
拨几个电话用上15 分钟的时间,攻击者就可以访问这家企业的广域网了。有很多这样
的企业,都属于我要提及的“软心糖安全”,这个概念最早是由贝尔实验室的两位研究人员
提出的,斯蒂夫〓贝劳文(Steve Bellovin)和斯蒂文〓切斯威克(Steven Cheswick)。他们
用这样的词语来描述这种安全防护:“坚硬生脆的外壳,核心却很柔软”,如同M&M 巧克
力糖(一种驰名的糖果品牌),两位研究人员说,外壳即防火墙并不足以保证安全,因为一
旦入侵者绕开它,内部的计算机系统便不堪一击。大部分情况下,这种保护措施是不够的。
上面的故事符合这个定义,利用得到的拨号和账户,攻击者甚至不用费力去攻击防火墙。
而且,一旦他进入内部,内网的大部分系统就十分危险了。由于我我的经历,我知道这种骗
局曾在世界最大的软件生产商身上起过作用。依据我的经验,在一个聪明的具有说服力的社
会工程师面前,没有人是绝对安全的。 专业术语
软心糖安全:贝尔实验室的贝劳文和切斯威克提出的说法,用以描述一种安全状况。外
部防御十分强壮,如防火墙,但其后面的设施却十分脆弱。这个说法来自于M&M 巧克力,
这种糖果有着坚硬的外壳和柔软的糖心。
70
地下酒吧式的安全:知道自己想要的信息在哪里,并且使用一个词或是名称来获得对此
信息或计算机系统的访问权的一种安全形式。
地下酒吧式的安全
对于早期的地下酒吧——那些在禁酒令时期提供自酿酒的夜总会,一个顾客需要走到门
前敲门,然后门上会打开一个小口,伸出一张冷冰冰的脸。如果来人熟悉情况,他就会说出
此地的老主顾(一句“乔让我来的”就可以了),看门的护卫就会打开门让他进来。
这个事情的关健在于知道地下酒吧的位置,门上没有标志,而酒吧老板也不会挂一盏霓
虹灯在门口来表示这儿有个酒吧。通常,只要能找到地方就基本可以进入。很不幸,同样的
安全措施在企业中广泛存在,这种没有任何保护的安全级别我称之为地下酒吧式的安全。 我在影片中见到过它
这儿有一个例子,来自一部许多人都会想起来的电影。《英雄不流泪》(Three Days of the
Condor)中的主角,特纳(罗伯特〓瑞德福特饰演)为一家与中央情报局签约的小调查公司
工作。一天,他吃完午饭后回来发现他的同事们都被枪杀了,他决定找出凶手和真相,同时
那些坏人也一直在找他。故事的后面部分,特纳(Turner)设法得到了其中一个坏人的电话
号码,但这个人是谁?特纳又如何确定他的在哪儿呢?他很幸运。编剧大卫〓瑞菲尔轻松的
给了特纳一个美国陆军通讯兵的受训背景,使他在电话方面有着丰富的知识和经验。特纳当
然知道该如何利用手中的电话号码,在剧本中,那幕场景是这样的: 特纳重新拿起电话拨出另一个号码
叮呤!
71
女性的声音从电话中传来:CNA,我是科尔曼(Coleman)夫人。
特纳:科尔曼夫人,我是哈罗德〓托马斯,客户服务CNA202-555-7389,谢谢。
科尔曼夫人:请稍等。(几乎是同时)兰纳德〓亚特伍德,马里兰州切维柴斯区麦克肯色
街765 号。
虽然编剧错误地把华盛顿特区的电话区号用到了马里兰州,但我们没必要注意这个细
节。关健是弄明白刚才的对话是怎么一回事。 特纳由于有通讯兵的受训背景,他知道如何给电话公司的CNA 部门(Customer Name and
Address-客户名称与地址)打电话。CNA 是为了方便电话安装员和其他得到授权的电话公
司职员而成立的部门,电话安装员拨打CNA 并提供一个电话号码时,CNA 的服务人员就会报
出电话所有者的名字和地址。 愚弄电话公司
在现实世界中,CNA 的电话号码保护的十分严密。尽管当今的电话公司最终明白这一点,
并不再轻易的泄露此类信息,但在当时他们却实行着地下酒吧式的安全,那时的安全专家们
管这种安全叫做隐晦安全。他们假定任何给 CAN 打电话并知道其专业用语(如,客户服务
CNA555-1234)的人都已被授权得到相应信息。
专业术语
隐晦安全:一种效率低下的计算机安全手段,通过对系统运转细节(协议、算法和内部
系统)的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统,因此这
种安全并不可靠。
72
米特尼克信箱
隐晦安全在社会工程师的面前毫无用处。在这个世界上,每一个计算机系统至少有一个
人在使用。因此,如果社会工程师能够操纵这个使用系统的人,系统的隐晦就没有意义。不
用亲自验证或确认,不用提供员工号码,也不用每天改变口令,只要你知道正确的电话号码
并听起来可以信任,你就有权得到相关信息。对于电话公司来说,情况并不总是这样,他们
还会定期的(至少一年一次)改变电话号码做为仅有的安全举措。即便这样,某个特定时期
的号码还是在电话盗打者的圈子里传得很广,他们很高兴利用这个便利的信息资源,并乐于
在同行中分享他们的所做所为。在我十几岁习惯盗打电话的时期,拨打CNA 我最先学到的手
段之一。 在全世界的政府和企业中,地下酒吧式的安全仍然很普遍。它可能是你公司的部门、员
工和专业术语,有时连这些也用不着,一个内部电话号码就够了。 粗心的计算机管理者
尽管企业中的许多员工都对信息安全的危险或给予忽视或漠不关心,或是没有这方面的
意识,但那些500 强企业中计算机中心的管理者应该对安全操作了如指掌了吧,对吧?
不要期望一位计算机中心的管理者——负责公司IT 部门的人,会掉入简单、明显的社
会工程学圈套,尤其是还带有孩子气的、刚步入社会的年轻社会工程师。但有时,这样的想
法是错误的。 收听
在以前,对许多人来说,把无线电调到地方警察局或消防队的频率收听正在进行中的银
行抢劫、办公大楼起火、高速追击是一件很有趣的事情。执法部门和消防部门使用的无线电
频率,曾经从街角书店的书中就可以查到。现在,在网上就有这些频率的列表,你还可以从
73
Radio Shack(译者注:美国著名电子产品零售商)买到列有地方、郡、州有时甚至是联邦
机构无线频率的书。 当然,不只是那些怀有好奇心的人,午夜抢劫店铺的窃贼会收听是否有警车派到附近,
毒品贩子要始终关注的毒品缉查人员的行动,纵火犯则通过放火后收听消防队奋力灭火的情
况来满足他的变态嗜好。 最近几年来,计算机技术的发展已经使声音信息的加密成为可能。在工程师们不断的找
到方法把越来越多的计算能力塞进一块微芯片时,他们也开始制造小巧的加密无线设备,帮
助执法部门来防范坏人和怀有好奇心的人窃听。
窃听者丹尼
一个我们称之为丹尼的扫描器爱好者,同时也是位技巧娴熟的黑客,他想看一下自己是
否能够染指由安全无线系统顶级生产商开发的绝密的加密软件源代码。他希望通过这些代码
了解如何对执法部门进行窃听,同时利用此技术令即便是最强有力的政府部门也很难监视他
与朋友的通话。在朦胧的黑客世界中,丹尼这样的人属于特殊的一类,介于无恶意的好奇和
完全的破坏之间。他们有着专家般的知识和极易引起麻烦的黑客想法,为了智力挑战和了解
技术细节带来的满足感入侵系统和网络。但是他们惊人的电子入侵技术,也仅仅是一种特技。
这些人,这些无恶意的黑客,非法进入别人的网站纯粹是为了有趣并为能够证明自己的
能力而感到满足。他们并不偷窃,也没有利用这种手段来赚钱。他们不会破坏文件、中断网
络连接,或是摧毁计算机系统。他们的目的就是悄悄地捕获文件拷贝、搜索电子邮件、得到
密码,以嘲弄那些网络管理员和对安全负责的工作人员,他们的满足感基本来自于这种胜人
一筹的能力。 就这样,我们的丹尼为了满足自己强烈的好奇心并为了对生产商可能做出的惊人革新一
看究竟,他将检验对方高度保护的产品信息细节。不用说,这种产品的设计是受到严密保护
74
的,如同公司其他贵重的财产一样。丹尼知道这一点,但他并不怎么担心。毕竟,这只是一
家没什么名气的大公司。但他如何得到软件的源代码呢? 正如我们最后将要看到的,从公司的保安通讯小组中猎取信息很容易,即使这家公司也
使用了双因素认证(用户需两种单独的标识来证明身份)技术。这里有一个你可能已经熟悉
的例子:当你的信用卡更换日期到了的时候,你需要给发行公司打电话,让他们知道信息卡
还在持卡人的手中,并没有被人偷走。信息用卡上会说明在通常情况下要从家打电话,当打
电话时,信用卡公司的软件程序就会分析 ANI(自动号码认证),并被转到公司的免费电话
上。信用卡公司的计算机使用ANI 提供的呼叫方号码,与公司持卡人数据库中的号码做比较。
公司的工作人员在接电话时,他或她就会看到数据库中显示的客户详细信息。这样,工作人
员就知道了电话是客户从家中打来的,这就是一种形式的认证。 专业用语
双因素认证:用两种不同的验证方式对身份进行确认。比如,一个人必须从某个可确认
的地方打来电话并知道口令来确认自已的身份,然后工作人员从你的信息中选出某个条目
(通常为社会保险号码、出生日期或是母亲的姓氏)来询问你,如果你的答案正确,这就是
第二次的验证――基于你应该知道的信息。我们故事中那家生产安全无线电系统的公司,每
一名有权访问计算机的职员都有自己的账号和口令,并另外配备一个叫做安全ID 的电子小
