这让勒罗伊始料不及,他本来想要拿回电话让那位女士告诉他一切正常的。他想他也许应该再打电话给她,但还是改变了主意,他已经在半夜打扰了她一次,如果他再打过去,她可能会生气并向他的上司投诉。“何必自找麻烦呢?”他想。
“我是不是可以向我的朋友展示剩下的生产线了?” 斯第尔顿问勒罗伊,“你想要跟着我们吗?”
“继续吧,”勒罗伊说,“四处看看。只是下次可不要忘了带上证件,如果你想要去设备车间的话,先让警卫知道——这是规定。”
“我会记住的,勒罗伊。”斯第尔顿说,然后他们离开了。
不到十分钟,警卫室的电话响了,是安德伍德女士,她想要知道“那个家伙是谁?!”。她说她试着问一些问题,但他一直在谈论和她一起吃午餐的事,她根本不知道他到底是谁。
警卫室的人打电话让前厅和大门的警卫到停车场去,得到的回应是那两个年轻人在几分钟前离开了。
说了这个故事之后,勒罗伊总是要这样结尾说:“老天爷,我的上司就差没吃了我,还好没丢了工作。”
乔?哈珀(Joe Harper)的故事
来看看他能完成哪些事,17岁的乔?哈珀已经有超过一年的非法潜入建筑物历史了,有时候是白天,有时候则是晚上。音乐家和鸡尾酒服务生晚上都要上班,作为他们的儿子,乔有太多自由时间了。他的故事讲述了这件事情是怎样发生的,很有启发性。
我的朋友肯尼想要当一名直升机飞行员,他问我能不能带他到Skywatcher工厂去看制造直升机的生产线,他知道我以前到过一些其它地方。一股肾上腺素冲动使你很想看看能不能溜进禁止进入的地方。
但是你不能大摇大摆的走进一个工厂或办公楼,必须考虑周全,做很多计划,对目标进行完整的侦查。查看公司的网页名称和标题、报告结构和电话号码,阅读剪报资料和杂志文章,精确的调查是我谨慎的标志,所以我能运用和员工一样多的信息应对任何盘问我的人。
那么从哪里开始呢?首先我在互联网上查找这家公司的位置,了解到公司的总部在菲尼克斯,好极了。然后我打电话过去请求接通营销部门:每家公司都有一个营销部门。一位女士接了电话,我说我属于蓝铅笔绘图公司,我们想知道是否有人对我们的服务感兴趣和我们应该找谁。她说应该找汤姆?斯第尔顿,我询问他的电话号码,她说他们不能透漏这些信息,但是可以对我破例。电话里响起了语音提示,他的留言说:“我是负责绘图工具的汤姆?斯第尔顿,分机3147,请留言。”当然——他们不会公布分机号,但是这个人把它放到了他的语音信箱里。非常好,现在我有了一个名字和分机号。
另一个电话,打给同一个办公室。“你好,我在找斯第尔顿,他不在,我想问他的上司一些简单的问题。”那位上司也出去了,但是当挂上电话的时候,我知道了她的名字,并且她也恰好把分机号留在了她的语音信箱里。
我也许可以不费吹灰之力地骗过大厅的警卫,但是我查看过那个工厂,我想我记得在停车场周围有一个围墙,这意味着会有一个警卫在那里检查进入的车辆。在晚上他们也可能会记录车牌号码,所以我不得不在跳蚤市场买了一个旧的车牌。
但是首先我必须拿到门卫室的电话号码。我等了一会儿,这样如果碰到同一个接线员的话她就不会认出我的声音,然后打过去说:“我接到投诉,Ridge路门卫室的电话有些断断续续的问题——现在还是那样吗?”她说她不知道但是可以为我转接。
“Ridge路警卫室,我是赖安。”那个接电话的人说。我说,“你好,赖安,我是本。你这里的电话有问题吗?”他只是一个低层的警卫但我猜想他大概受过一些训练,因为他马上说,“本什么——你的姓是?”我像是没听到他的话一样继续说,“之前有人说有问题。”
我可以听到他放下电话大声说,“嘿,布鲁斯,罗杰,这个电话有问题。”然后他说,“不,我不知道有问题。”
“你们那里有几条电话线路?”
他已经忘了问我的名字。“两条。”他说。
“现在的这个是?”
“3140。”
到手了!“它们都工作正常吗?”
“好像是的。”
“好的,”我说,“听着,汤姆,如果你的电话有任何问题,可以在任何时间打电话到电信来找我们,我们会帮忙的。”
我和我的伙伴决定第二天晚上去参观工厂,下午晚些时候我打到警卫室,用那个营销员的名字说,“你好,我是负责绘图工具的汤姆?斯第尔顿,我们已经接近了最后期限,所以我叫了几个人到这里来帮忙,有一两个可能要到晚上才来,到时候你还在吗?”
他很高兴能这样说,不,晚上他不在。
我说,“好吧,留个信给轮班的人,好吗?看到两个找汤姆?斯第尔顿的人,就挥挥手让他们进来——好吗?”
好的,他说,没问题。他写下了我的名字、部门和分机号,并说他会办好的。
凌晨两点之后我们开车到了大门口,我说出了汤姆?斯第尔顿的名字,然后一个昏昏欲睡的门卫就告诉了我们进去的通道和停车地点。
当我们走进工厂时,大厅里还有另一个警卫在那里进行常规的临时签到登记。我告诉这个警卫说我有一个报告需要在早上准备好,我这位朋友想要看看车间。“他对直升机很着迷,”我说,“他大概想学怎样驾驶。”他要我的证件,我把手伸进口袋,四处找了一下,然后说我肯定是把它忘在车里了,我这就去拿。我说,“大概十分钟。”他说,“没关系,好吧,签到就是了。”
从生产线一路走下来走下来——没遇到任何阻碍,直到一个叫勒罗伊的树干挡住了我们。
在警卫室里,我没有表现出不安和受惊,当事情不妙时,我就开始说些像是我真的很激动的话,比如我真的是那个人,他们不相信我让我很生气。
他们开始讨论或许他们应该打电话给那位我说是我上司的女士,然后从电脑上查到她家里的电话,我站在那里想,“一有机会就逃跑。”但是这里有停车场大门——即使我离开了这里,他们只要把大门关上我们就出不去了。
当勒罗伊打电话给那位斯蒂尔顿的上司并把电话递给我时,那位女士向我大叫“是谁,你是谁!”,我只是继续说着,就像我们在进行一次愉快的对话,然后挂断。
要多长时间才能想起某个能在半夜给你一个公司电话号码的人?我认为我们有至少15分钟的时间在那位女士打电话到警卫室往他们的耳朵里塞臭虫之前离开这里。
我们以最快的速度离开了这里,但没有看上去很匆忙,当看到大门的守卫挥手让我们过去时,真的很高兴。
过程分析
值得注意的是这个故事基于一个真实的事件,入侵者的确是青少年。这次入侵是闹着玩的,他们只是想看看能不能做到,但是如果这对两个青少年而言很容易,那对于成年的小偷、商业间谍或恐怖分子就应该更容易。
三个有经验的警卫怎么会允许两个入侵者就这样离开的呢?而且是任何明眼人都会觉得非常可疑的青少年?
勒罗伊起先的怀疑是正确,他很恰当地把他们带到了警卫室,然后盘问这个自称为汤姆?斯第尔顿的家伙,核对他给出的姓名和电话号码,也很恰当地打了电话给那位主管。
但最后他还是被这个年轻人装出来的自信和愤慨给骗了,他认为这不像是一个小偷或入侵者的行为——只有真正的员工才会这样做,他大概是真的。勒罗伊应该训练使用可靠的验证方式,而不是凭感觉。
当这个年轻人把电话挂上而不是还回来让勒罗伊直接从朱迪?安德伍德那里确认他有理由这么晚了还在工厂时,为什么他没有更多的怀疑?
勒罗伊被一个很明显的花招给骗了,但是当时从他的角度来看:一个中学毕业的人,关系到工作,不能确定是不是应该在半夜再次打扰一位公司主管。如果你是他,你会再打过去吗?
当然,再打一个电话过去并不是唯一的选择,警卫们可以怎么做呢?
在打电话之前,他可以要求他们两个人拿出照片证明:他们是开车到工厂的,所以至少会有一个人有驾驶执照,那么他们最初使用的假名字就会马上暴露(一个专业人员会预备好伪造的ID,但是这两个青少年没有这样做)。无论如何,勒罗伊都应该检查他们的身份证件并写下这些信息。如果他们都坚持说证件不在身上,勒罗伊就应该和他们一起去拿“汤姆?斯第尔顿”声称放在车上的公司ID证件。
米特尼克信箱
社会工程师通常有很有魄力,他们反应迅速并且表达能力相当强,也很熟练转换人们的思考过程使其合作,任何一个认为自己对这种控制免疫的人都低估了这种能力和社会工程师的破坏力。
一个优秀的社会工程师,另一方面,绝不会低估他的对手。
在打完电话以后,应该要有一个警卫陪着那两个人直到他们离开工厂,然后送他们到他们的车里并写下车牌号码。如果他的观察力足够敏锐,就会注意到车牌(攻击者从跳蚤市场买来的)的注册号无效——这样就有了足够的理由把他们留下来进行更多的调查。
垃圾搜寻
垃圾搜寻是指从目标的垃圾中搜寻有用的信息,你可以了解到的目标信息数量十分惊人。大部分人不会仔细去想他们在家里都扔了些什么:电话清单、信用卡声明、医疗处方瓶子、银行结单、和工作有关的材料等等等等。
在工作中,员工们必须知道从垃圾中翻找出的信息也许对他们而言是有用的。
在我的中学时代,我常常跑到本地的电话公司大楼后面翻寻垃圾——大部分时间是一个人,偶尔也会和对电话公司感兴趣的朋友一起。当你成为一个垃圾搜寻老手之后,你会学到一些诀窍,比如怎样努力避开公共厕所的袋子,必要的耐磨手套等。
垃圾搜寻并不有趣,但很有成效——公司内部电话目录、电脑手册、员工列表、怎样设定交换机的废弃资料、等等——在这里都能获得。
我计划在新手册发行的当天晚上进行搜寻,因为垃圾箱里会有很多被轻率扔掉的旧手册。在其它不固定的时间,我也去搜寻备忘录、信件、报告等,它们会提供一些珍贵而有趣的信息。
到了以后我就找一些纸箱,把它们拿出来放在一边,如果有人问我(偶尔会发生)我就说一位朋友要走了,我找些箱子帮他整理。警卫从未发觉所有的文件都被我放进箱子带回家了,有时候他叫我离开,我就到另一个电话公司中心办公室去。
术语
垃圾搜寻:从一家公司的垃圾中(通常是在外部和易受攻击的地方)找出被抛弃的可用于社会工程学攻击的信息,例如内部的电话号码或资料。
我不知道现在怎么样,但是在过去可以轻易地知道哪一个袋子里会有有用的东西,地面清洁和自助餐厅的垃圾放在巨大的袋子里,当办公室的废纸篓全部摆满一次性的白色垃圾袋时,清洁人员就一个一个地把它们拿出来捆好。
有一次,当我和一些朋友一起搜寻时,我们弄到了一些被撕碎了的纸片:有人还特意撕得很小,全部都扔进了五加仑的专用垃圾袋。我们拿着袋子到了一家本地的油炸圈饼店,把这些碎片全部倒在一张桌子上,然后开始把它们一个个地拼起来。
我们全都是问题实干家,这个巨型智力拼图很有挑战性——但能得到比小孩子更多的酬劳。完成的时候,我们一起拼出了这家公司某个关键计算机系统的全部用户名和密码列表。
垃圾搜寻值得我们去冒险和努力吗?当然值得,甚至比你想的要好,因为风险为零。这在当时是真的并且在今天也是:只要你没有犯罪,翻寻别人的垃圾是百分之百合法的。
当然,电话盗打者和黑客们并不是唯一瞄准垃圾桶的人,这个国家的警察局经常翻查垃圾,很多小型贪污案的幕后主使就是因为这些从他们的垃圾中提取的证据被判了刑。情报机构,包括我们自己,采用这种方法已经有几年了。
可能这对于詹姆士?邦德而言太卑鄙了——电影人更愿意看到他用计谋去打败坏人,而不是在垃圾堆中努力奋斗。当一些有价值的东西周围堆放着香蕉皮、咖啡渣、报纸和食品目录时,现实中的特工很少有放弃的,特别是如果搜集这些信息不会给他们带来危险的话。
现金买垃圾
大公司也玩垃圾搜寻的游戏。报社在2000年6月忙了好一阵子来报道甲骨文公司(这家公司的CEO拉里?埃里森恐怕是这个国家最坦率地反对微软的人了)雇用的一家侦探公司被逮了个正着的事,那些侦探想要弄到竞争性科技协会(ACT,译者注:这个协会是微软为应对反托拉斯案创立的)的垃圾,但是不想有被抓住的风险。据新闻报道,他们派的那位女士想用60美元现金向一位看门人买下ACT的那些垃圾,结果被拒绝了,她第二天晚上再回来的时候,把价钱上升到给清洁工500美元和给主管200美元,但那位清洁工拒绝了这笔意外之财并且汇报了这一情况。
领先一步的在线新闻记者迪克兰?迈古拉引用了很多资料,他在连线新闻故事中使用的标题是“甲骨文紧盯微软”,《时代》周刊紧跟甲骨文的埃里森,他们报道的标题是“偷窥的拉里”。
过程分析
基于我自己的经历和甲骨文的经历,你可能会感到奇怪:为什么人们要惹麻烦去冒险偷别人的垃圾?
答案,我认为,是因为风险为零并且好处多多。好吧,也许去贿赂看门人增加了成功的几率,但是在任何愿意变脏一点的人看来,完全没有必要去贿赂。
对于一个社会工程师而言,垃圾搜寻自有它的好处,他可以得到足够的信息来指引他对目标公司的攻击,这些信息包括备忘录、会议议程、信件和那些泄漏的姓名、部门、标题、电话号码与工程任务。垃圾桶里出产公司机构图、法人结构信息、旅行时间表等等,这些资料对内部人员而言价值不高,但是它们在攻击者看来可能是很贵重的信息。
马克?约瑟夫?爱德华兹(Mark Joseph Edwards)在他的书《Windows NT因特网安全》中谈到“整份报告因为排版错误而被扔了,密码被写在残余的纸片上,‘当你离开的时候’的讯息上有电话号码,所有文件的文件夹还在里面,磁盘和录音带没有被清除或销毁,这些都可以帮助一名想要入侵的人。”
作者接下来问道:“你的清洁队里都有些什么人?你不允许清洁工进入计算机机房,但是别忘了那些垃圾桶。如果联邦机构认为有必要对那些有权使用他们的废纸篓和碎纸机的人进行后台检查,你或许就更应该这样做。”
米特尼克信箱
你的垃圾可能是你对手的财富。我们对那些在我们的个人生活中扔掉的东西考虑得并不多,有什么理由让我们相信人们在工作中会有不同的态度呢?这些都涉及到训练员工了解威胁(搜寻有用信息的坏人)和弱点(没有被粉碎或完全清除的敏感信息)。
被羞辱的上司
当哈伦?福尔蒂在星期一早晨像往常一样到郡公路局上班,并说他从家里出来得太急忘了带证件时,没有人对这件事有任何想法。那个警卫在这里工作了两年,天天看着哈伦进进出出,她给了他一个临时员工证件并要他签上名。然后他继续行动。
两天以后,灾难降临了。那个故事在整个公路局里快速传播着,有一半的人不敢相信这是真的,其余的人则不知道是哈哈大笑好还是该同情这个可怜的人。
毕竟,乔治?阿达姆松(George Adamson)是个友好而富于同情心的人,是他们曾经有过的最好的上司,这些不应该发生在他身上。当然,如果这个故事是真的的话。
星期五晚些时候,当乔治把哈伦叫到办公室里并尽可能温和地告诉他,星期一他要到卫生局的新工作上报到时,麻烦开始了。对于哈伦而言,这比被解雇更坏,他绝不能忍受这种羞辱。
那天傍晚他独自一人坐在阳台上注视着来来往往的车辆,最后他发现那个被人称作“战争游戏男孩”的大卫正骑着电动车从学校回来。他把大卫叫住,给了他一瓶特意买来的红色密码(译者注:百事可乐的一种桃红色威士忌),然后提出了一个交易:用最新的电视游戏机和六个游戏换取少量的电脑帮助和一个保守秘密的承诺。
在哈伦解释了任务之后——没有任何危险的细节——大卫同意了,他详细描述了哈伦要做的事情,买一个调制调解器,进入办公室,找到一台旁边有多余电话插口的电脑,插上调制调解器,把它放到桌子下面一个没人能看见的地方。接下来的事情有一定的危险,哈伦要坐在那台电脑上安装一个远程控制软件包并运行,在这个办公室里工作的人可能会在任何时间出现,或者某个经过这里的人会看见他在别人的办公室里。哈伦非常紧张,因为他很难读懂大卫为他写下的使用说明,但他还是办到了,并且在没有任何人注意到的情况下溜了出来。
埋下炸弹
大卫吃完晚饭后留了下来,两个人坐在哈伦的电脑面前,这个男孩花了点时间拨入那个调制调解器,获得访问权限,然后到达了乔治?阿达姆松的机器。这并不很难,乔治从没有过任何防范措施(比如更改密码),并且总是让这个或那个人为他下载或Email某个文件,这样一来,办公室里的每个人都知道了他的密码。稍微搜索之后大卫找到了一个名为BudgetSt的文件,他把它下载到了哈伦的电脑上,然后哈伦让他先回家,几个小时候再来。
当大卫回来的时候,哈伦要他再次连接到公路局的电脑系统并用一个相同的文件覆盖掉之前找到的那个文件。之后哈伦给大卫看了那个电视游戏机,并许诺一切顺利的话,第二天他就可以拿到它。
吃惊的乔治
想不到预算听证会这种很无聊的事情能让这么多人感兴趣,郡参议会的办公室里挤满了记者、专业兴趣组的代表、公众成员,甚至还有两个电视新闻组。
乔治在这些会议上总是有些战战兢兢。郡参议会掌管着财政,如果他不能拿出一份有说服力的报告的话,公路局的预算就会被否决掉,然后每个人都会开始抱怨道路上的洞坑、不亮的红绿灯和危险的十字路口,并且责怪他,接下来整整一年的生活都会变得极度拮据。但是这天晚上当他被介绍时,他很有自信地站了起来。他已经为这个报告工作了六个星期,还给他的妻子、高层的同事和一些敬重的朋友试验过这个PowerPoint演示,每个人都认为这是他有过的最好的报告。
起先的三个PowerPoint图片显示得很好,换了个心情,每一个参议会的成员都专心起来,他有效地表达了自己的观点。
然后一切都突然变得不正常了,第四张图片应该是去年新扩建的公路日落时的美丽画面,却变成了一些令人难堪的东西,一张来自《阁楼》或《好色客》杂志的图片。当他匆忙点击便携式电脑的按钮进入下一张图片时,他听到下面的观众全都倒吸了一口气。
这一个更糟,简直就难以想象。
他仍然试图单击到另一张图片,但观众里的某个人拔下了放映机的插头,然后主席重重地敲下了他的槌子,压过喧闹大声宣布会议暂停。
过程分析
利用一个少年黑客的专业技术,一个不满的员工进入了他的部门主管的电脑,下载了一个重要的PowerPoint文件,并把一些幻灯片替换成了几张令人难堪的图片,然后把这个文件放回到那个人的电脑。
通过一个插好的调制调解器,这个年轻的黑客可以从外部拨入并连接到办公室的某台电脑。这个男孩预先安装了一个远程控制软件,只要连接到那台电脑,他就可以访问系统里的每一个文件。之前这台电脑已经被连接到了网络,他也知道了这个主管的用户名和密码,他可以轻易地访问主管的文件。
包括搜索杂志图片的时间,总共才用了几个小时,结果让一个好人的声誉受到了难以估量的损失。
米特尼克信箱
大多数被调动、解雇或被降职的员工都不是麻烦,但只要有一个就可以让公司认识到所有的防范措施都太迟了。经验和统计图表都清晰地表明了企业面临的最大威胁来自于内部人员,内部人员知道哪里有贵重信息,攻击哪里可以造成最大伤害。
营销员
一个舒适的秋天上午,彼得?米尔顿(Peter Milton)走进了光荣汽车零配件(一个汽车零件市场的本土零件批发商)丹佛区域办公室大厅,他在接待处等待着,那个年轻的女士正在登记一个访客,给一个打来电话的人驾驶指引,应付接连不断的人,所有这些差不多都是在同一时间。
“你是怎样学会同时处理这么多事情的?”彼得在她有空接待他的时候说,她笑了,显然很高兴。他来自达拉斯办公室的营销部,他告诉她,并说亚特兰大销售区预的迈克?塔尔伯特(Mike Talbott)要和他会谈。“今天下午我们要一起去拜访一位客户,”他解释说,“我就在大厅里等他。”
“营销,”她说这个词的时候几乎有些忧伤,彼得微笑着看着她,等待着下文,“如果我上了大学的话,我就会做营销员。”她说,“我喜欢营销这份工作。”
他再一次笑了,“凯拉,”他说,把前台上她的签名读了出来,“我们达拉斯办公室有位女秘书,她自己离开了营销部,那是三年前的事了,现在她是市场经理助理,她换了两次工作。”
凯拉似乎在幻想了,他继续说,“你会用电脑吗?”“当然。”她说。
“你觉得我把你的名字放到营销部的秘书职位上怎么样?”
她笑了,“那样我就能到达拉斯去了。”
“你会喜欢达拉斯的,”他说,“我不能保证马上就有机会,但我会尽力的。”
她想,这个衣服和领带十分整洁、头发梳得整整齐齐的好人可能会让她的工作和生活发生巨大改变。
彼得穿过大厅坐了下来,打开他的便携式电脑,然后开始完成一些工作。十或十五分钟以后,他又走回了前台。“听着,”他说,“好像迈克被什么事拖住了,这里有会议室可以让我在等待的时候坐下来写电子邮件吗?”
凯拉打电话给了负责调配会议室的人并为彼得安排了一个没有登记的会议室。这里的会议室仿照了一些硅谷公司的做法(苹果也许是第一个这样做的),用卡通人物、连锁饭店、电影明星或连环漫画英雄的名字来命名。他被告知可以去用米老鼠会议室,她先帮他登记,然后给他指出了米老鼠的方向。
他找到了那个会议室,安顿下来,把他的便携式电脑连上了以太网端口。
你看到这个场景了吗?
对——这个入侵者已经在公司的防火墙内部连入局域网了。
安东尼的故事
我猜你可能会把安东尼?莱克(Anthony Lake)称为懒惰的商人,或者是近乎“古怪”的人。
他认为他应该为自己工作,而不是为别人:他想开一个商店,这样他就可以整天都待在一个地方而不用在乡下到处跑了,他想做一些肯定能赚到钱的生意。
开什么店好呢?没过多久他就决定了,他知道修车,就零配件商店好了。
怎样才能保证成功呢?他很快就想到了答案:确定零配件批发商出售给他的商品都是他想要的成本价。
他们当然不会自动说出来,但是安东尼知道怎样骗人,他的朋友米奇知道如何入侵别人的电脑,他们一起制定了一个巧妙的计划。
那天他假扮成一个名叫彼得?米尔顿的员工,进入了光荣汽车零配件公司内部并把他的便携式电脑连上了他们的局域网,一切顺利,但还只是第一步,接下来他要做的事情并不容易,特别是之前安东尼为自己设置了一个十五分钟的极限时间——如果更久的话他认为被发现的风险太高了。
米特尼克信箱
不要让你的员工只看到封面就判定一本书的好坏——穿着整洁并不能为某个人带来更多的可信度。
在之前的电话中他伪装成他们电脑供应商的支持人员花言巧语地表演了一番,“你们公司购买了两年的技术支持,我们正在把你们加入数据库,这样当你们使用的某个软件程序有了补丁或是更新版本时我们就可以知道,我需要你告诉我你们使用哪些程序。”然后他得到一张程序列表,一位会计师朋友确定其中一个调用了MAS90(译者注:一款财务软件)——这个程序管理着他们的厂商列表和折扣与各自的付款方式。
有了这些关键信息,他下一步用一个软件程序扫描了局域网中所有的存活主机,没花多少时间他就找到了财务部门服务器的正确位置。从他的便携式电脑的黑客工具兵器库中,他运行了一个程序并用它来扫描目标服务器上所有的授权用户。得到了这些之后,他开始尝试了一系列常用的密码,比如“空”和“password”,“Password”起作用了,没什么好吃惊的,在选择密码的时候人们总是缺乏创造力。
才过了六分钟,游戏就完成了一半,他进入了目标服务器。
又过了三分钟,他非常小心地往客户列表里添加了他的新公司、地址、电话号码和联系人,然后找到一个至关重要的条款,在上面标明所列商品以高于光荣汽车零配件成本1%的价格卖给他。
十分钟不到,他完成了。然后他停留了足够长的时间向凯拉表示感谢,并说他仔细查看了电子邮件,了解到计划有变动,迈克?塔尔伯特已经在去客户办公室开会的路上了,他也不会忘了要把她推荐到营销部门的事。
过程分析
这个自称为彼得?米尔顿的入侵者运用了两次心理战术——一次是有计划的,另一次是临时准备的。
他穿得像是工资很高的管理人员,精心设计的衣服、领带和发型——这些细节看上去很小,但是它们能建立第一印象。我自己是无意中发现了这些的,以前我在加利福尼亚州GTE(译者注:美国通用电器公司)当程序员时,我发现如果有一天我没有带证件,穿着整洁但随意——比如,运动衫、休闲裤与Dockers(译者注:卡其裤经典品牌)——我就会被叫住被盘问,你的证件,你是谁,你在哪里工作?第二天我再来的时候,依然没有证件但是衣服和领带看上去非常正规,我用了一个古老的技术混入人群,和他们一起走进公司或安全入口,和他们聊天,好像我就是他们中的一员。我顺利通过了,即使警卫注意到我没有证件,他们也不会打扰我,因为我看起来像是管理人员并且还和带着证件的人在一起。
从这些经验中,我了解到应该怎样预测安全警卫的行为,像是我们中的其他人,他们会根据表面现象进行判断——社会工程师知道怎样利用这个致命弱点。
当攻击者注意到那位接待员不同寻常的努力之后,他的第二个心理战术起作用了。同时处理很多事情没有让她变得不耐烦,不仅如此,她还让每个人都觉得他们获得了她全部的注意力,他觉得这些是有上进心、想证明自己的人的标志。然后当他声称在营销部门工作时,他观察了她的反应,看他是否在她心中建立了友好的形象,他做到了。对于攻击者而言,这意味着他可以通过承诺帮她找到一份更好的工作来利用她。(当然,如果她说她想去财务部门,他就会声称自己可以在那里为她联系一份工作。)
入侵者也喜欢在这个故事里使用的另一个心理战术:用两段攻击建立信任。他首先聊到营销部的工作,然后“提到某个人”——说出另一个员工的名字——一个真实的人,顺便说一句,那的确是一个真实员工的名字。
他可以马上请求到一间会议室去,但他选择了暂时坐下来,假装在工作并等待他的同事,这样就可以避免任何可能的猜疑,因为一个入侵者是不会待在附近的。他没有待很长时间,然而,社会工程师在必要的情况下会待在犯罪现场更长时间。
米特尼克信箱
允许一个陌生人进入到可以把便携式电脑连入公司内部网络的地方,会大大增加安全风险。这对于一名员工而言非常合理,但是对于一个想要到会议室查看他(或她)的电子邮件的外部人员,除非已经确定这名访客为可信任的员工或者网络已经被分割出来,阻止未经授权的连接,这可能是危及公司文件的薄弱环节。
必须明确指出的是:从法律的角度上看,安东尼进入大厅时,他并没有犯法;当他利用一个真实员工的名字时,他也没有犯法;当他进入会议室时,他也没有犯法;当他连入公司的内部网络并搜索目标主机时,他也没有犯法。
实际上直到他侵入了计算机系统时,他才违反了法律。
偷窥的凯文
很多年前,当我在一个小公司工作时,我注意到当我走进和其他三个人共用的IT部门办公室时,有一个特殊的人(乔,我在这里这样称呼他)会迅速地把他的电脑显示器切换到另一个窗口,我马上觉得这很可疑,当同一天发生超过两次这样的事时,我确信自己将要了解到某些事,这个人到底不想让我看见什么呢?
乔的电脑是公司小型机的终端,所以我在VAX小型机上安装了一个控制程序,这样我就可以监视他的一举一动。这个程序类似于一个在他肩膀上面的电视摄像机,把他在电脑上看到的东西精确地展示给我。
我的桌子就在乔的旁边:我可以把显示器转过来让他看不见,但是他随时都可以走过来,然后发觉我在监视他。这不是问题:他太专注于所做的事情了。
我看到的东西让我目瞪口呆,这个坏蛋调出了我的工单数据,他在查看我的工资!那时候我在那里才几个月,我猜乔是无法容忍我的工资比他高。
几分钟后我看见他在下载菜鸟黑客自己写不出来的黑客工具,这样看来乔没什么本事,并且还没有意识到美国最有经验的黑客就坐在他的右边,我觉得这很好玩。
他已经获得了我的工资信息:要阻止他已经太晚了。此外,任何电脑可以访问IRS(译者注:美国国税局)或社会保障总署的员工都可以看见你的工资。我当然不想让他发现我知道了他在干什么,我此时的主要目标是保持低调,一个好的社会工程师不会去到处宣传他的知识与才干。你通常想让人们低估你,不把你当成威胁。
所以我没有管他了,并且为乔认为他知道了我的一些秘密而暗自发笑。当这些都反过来时:我获得的信息会比他多得多。
我发现我在IT部门的三个同事全都喜欢查看这个或那个可爱秘书或(为公司里的一个女孩子)他们盯上的某位帅哥的实得工资,并且他们还喜欢找出公司里任何令他们好奇的人(包括高层管理人员)的工资和奖金。
过程分析
这个故事说明了一个很有趣的问题,维护公司电脑系统的人可以轻易地访问工资表文件,这带来的问题是:确定谁可以被信任。在某些情况下,IT人员会在四处察看时无法避免地看到它,他们可以这样做,因为他们有特权允许他们忽略这些文件的访问控制。
一个安全措施是审核对特别敏感的文件的访问,比如工资表。当然,任何必需有特权的人都可以关闭审核或移除任何指向他们的纪录,但是每一步额外的步骤都会使不道德的员工在隐藏部分上花费更多的时间。
预防措施
从翻寻你的垃圾到欺骗安全警卫或接待员,社会工程师可以全面侵入你的公司内部,但是你会很高兴听到这里有一些你可以采取的预防措施。
临时通行证
所有上班时忘记带证件的员工都必须到大厅前台或警卫室办理一张临时证件,如果这一章第一个故事中的安全警卫在遇到没有携带员工证件的人时仔细地进行了处理,一切就会大不相同。
对于安全等级不高的公司或公司区域,也许并不需要强调每个人每时每刻都带着有效证件,但是对于公司中的敏感区域,这些就需要被严格地强制实行。必须培训员工去质疑没有佩戴证件的人,高级员工必须允许这些质疑,不去为难那些把他们叫住的人。
公司政策应该忠告那些一直没有佩戴证件的员工:他们所受的处罚可能是直接回家并且拿不到任何报酬,或者在他的个人档案上写上一笔。一些公司制定了一系列更严厉的处罚,包括向员工经理报告问题,然后发布正式警告。
另外,在有受保护的敏感资料的地方,公司应该制定在非商业时间访问的授权程序。一个解决方案是:让公司的安全部门或某个其它指定组管理这些请求,这个组将通过回电给主管或其它一些相当合理的方法来核实任何请求在非工作时间访问的员工的身份。
慎重处理垃圾
垃圾搜寻的故事揭示了公司的垃圾存在的潜在危险。
下面是八条与之相关的至理名言:
1.基于敏感程度对敏感资料进行分类。
2.在整个公司范围内建立敏感资料丢弃程序。
3.坚持在丢弃敏感信息时先将其粉碎,并使用一个安全的方法去除无法再剪碎的小纸片上的重要信息。碎纸机绝对不能处于低档粉碎状态,一个坚定的攻击者,加上足够的耐心,就可以把这些低档粉碎出来的纸片拼起来。只要很好的使用了交叉碎纸机,他们得到的就会是无用的纸浆。
4.将那些电脑媒体——软盘、Zip盘、被用来存储文件的CD和DVD、可移动磁盘、旧硬盘等——完全清除或使其无法使用,在它们被丢掉之前。记住,删除文件事实上并没有将其清除,它们还可以被恢复——就像Enron主管和其他许多人从他们的惊讶中学到的那样,把电脑媒体扔到垃圾桶里是在向当地友好的垃圾搜寻者发出邀请。(处理媒体与设备的详细指导方针见第16章)
5.在选择清洁队成员上保持适当程度的控制,如果允许的话进行后台检查。
6.周期性地提醒员工回想他们扔到垃圾桶里的资料种类。
7.锁定垃圾搜寻者。
8.对敏感资料使用分散存储空间,与可信赖的专业资料处理公司签订合同。
对员工说再见
这一点在这几页之前就谈到了,当一名离职员工想要获得敏感信息、密码、拨入号码等等时,需要执行严格的程序。你的安全程序需要提供一个多种系统的授权纪录。也许很难阻止一个坚定的社会工程师突破你的防御网,但是不要让一个离职员工都可以轻易做到。
另一个措施很容易被忽视:当一名可以从存储器恢复备份数据的员工离开时,应当为存储器调用一个写好的策略,马上通知将她的名字从授权列表中删除。
这本书的第十六章详细讲述了这个重要主题,但是在这里列出某些适当的安全措施很有帮助,就像通过那个故事强调的那样:
按照一张完整、严格的步骤列表上的内容处理一名员工的离职,对于访问过敏感数据的员工要有特殊的规定。
关闭员工的直接访问权限——最好在其离开公司之前。
不仅恢复员工ID证件需要按程序进行,任何密匙或电子访问设备也同样需要。
规定在允许任何没有安全密码的员工进入之前安全警卫要查看他或她的照片ID,在验证列表上核实姓名,确定这个人仍是这家公司的员工。
更多的步骤对于一些公司而言未免太繁琐或太昂贵了,但是却适合一些其他的公司,下面是一些更严格的安全措施:
电子ID证件结合入口处的扫描器,当每个员工将他的证件从扫描器上划过时,电子实时判断会得出此人为当前员工并有权进入大楼。(注意,无论如何还是必须被培训安全警卫提防蒙混过关者——一个未经认证紧跟在合法员工身后的人。)
所有员工都必须在同一组内,当某个人离开时(尤其是如果这个人被解雇了)更改他们的密码。(看上去很偏激?在通用电器公司工作的那一段时间之后很多年,我了解到当太平洋电话的警卫听到通用电器公司把我解雇了时,“到处都是笑声。”但是对于通用电器公司的信任,当他们了解到一个有名的黑客曾经为他们工作时,在解雇了我之后,他们就必须更改公司里所有人的密码!)
你不想让你的公司变得像牢房一样,但是同时你需要防范那些刚被解雇就跑来想做坏事的人。
不要忘记任何人
安全警卫要注意入门级的员工,比如并不处理公司敏感信息的接待员。我们曾经在其它地方看到过,接待员是最受攻击者青睐的目标,本章中闯入汽车零配件公司的故事则是另一个例子:一个友好的穿着很专业的人,可能并不是他所声称的来自其它区域分公司的员工。需要良好的培训接待员,如何在适当的时候礼貌地请求公司ID,培训不只是针对主要的接待员,还包括每一个在午餐或下午茶时间零时坐在接待处的人。
对于公司外部的访客,需要查看其照片ID并记录信息。伪造ID并不很难,但至少严格的ID验证可以让攻击者使用电话冒充更加困难。
在一些公司,实行全程陪同访客(从大厅到会议室)的安全策略很有意义,程序应该规定陪同人员在把访客送到会面地点之前要先弄清楚这个人是员工还是非员工。为什么这很重要?因为就像我们在之前的故事中看到的那样,攻击者经常会变换角色,在大厅中表演对他们而言实在是太简单了,使接待员相信他有一个会议要参加,说,有个工程师……陪他到那个工程师的办公室……与工程师会谈之后,他才可以自由行动。
在允许一名异地员工进入之前,必须履行适当的程序,确认此人真的是公司的员工。接待员和警卫必须要了解攻击者伪造身份所使用的方法。
怎样阻止攻击者进入大楼并把便携式电脑连入公司的内部网络?拜当今的技术所赐,这的确是个挑战:会议室、培训室和其它类似的地方都不应该留下不安全的网络端口,应使用防火墙或路由器将其保护起来,但更好的做法是使用安全的方法对任何连入网络的用户进行识别。
保护IT部门!
忠告:在你的公司里,IT部门的每一位员工或许都知道(或能花几分钟时间找出)你的收入、CEO的实得工资和谁用了公司的钱去滑雪度假。
在一些公司甚至有可能出现IT人员或会计人员给他们自己加工资、向一个伪造的卖家付款、删除人力资源档案中消极的评价等情况。有时候只是因为担心被抓住,他们才没有那样做,直到有一天,某个贪婪或本性不诚实的人冒着风险做了所有他认为能免于责罚的事情。
这里当然也有解决方案,可以通过配置严格的访问控制来保护敏感文件,所以只要验证访问者有权打开它们。有一些操作系统的审核控制能设定保留事件的日志,比如每一个试图访问敏感文件的人(无论是否访问成功)。
如果你的公司了解了这一问题并恰当地实现了对敏感文件的访问控制与审核——你就在正确的方向上迈出了强有力的一步。
第十一章 综合技术与社会工程学
社会工程师可以通过操纵人们来达到目标,但也常常需要很多关于电话系统和电脑系统的知识与技能。
下面是一个典型的社会工程学案例,其中技术起着至关重要的作用。
铁窗下的入侵
哪里有最可靠的防范物理、电讯或电子入侵的安全设备?诺克斯堡(美军基地)?当然。白宫?那还用说。隐藏在一座山下面的北美防空联合司令部(NORAD)?毋庸置疑。
那联邦监狱和青少年拘留中心怎么样?应该和这个国家的其它地方一样安全吧,对吗?很少有人逃跑,当他们这样做时,通常会在很短的时间内被抓回来。如果你认为联邦机构对社会工程学攻击免疫,那你就错了——绝对的安全是不存在的,无论是哪里。
几年前,有两个骗子(职业骗子)从一个本地法官手里弄到了一大笔现金,两个人这些年断断续续地触犯了很多次法律,但这一次他们引起了联邦当局的注意。他们抓住了其中的一个骗子,查尔斯?康多尔夫(Charles Gondorff),把他关进了圣地亚哥附近的拘留中心。联邦官员认为他有脱逃风险并对社会构成了威胁。
他的搭档乔尼?胡克(Johnny Hooker)知道查尔斯会需要一个辩护律师。但是钱从哪里来?名牌服装、特殊爱好、女人,像大部分骗子一样,他们的钱来得快去得也快。乔尼几乎都养不活自己了。
为了有足够的钱请到优秀的律师,乔尼不得不实施另一次骗局,但他无法单独完成,查尔斯?康多尔夫在他们以往的行骗中总是扮演着智多星的角色,不过乔尼并不害怕到拘留中心去问查尔斯该怎么做,只要不让Feds(译者注:FBI特工)知道有两个人在那里策划骗局并且非常热心地帮助对方。值得注意的是,只有家属才能探监,这意味着他不得不伪造一张证明来声称自己是一个家庭成员。试图在联邦监狱使用伪造ID听上去可不是个明智的决定。
不,他可以通过其它途径与康多尔夫取得联系,只是不太容易。联邦、州或地方监狱都不允许囚犯接听电话,联邦拘留中心每一部电话上都贴有这样的标签:“忠告用户,此电话允许监听,使用即同意。”在政府官员监听的电话里谈论如何犯罪只会延长你的联邦基金假期。乔尼知道有些电话是不被监听的:比如,囚犯与他的律师之间的通话(委托人与律师的通信受宪法保护)。事实上,康多尔夫所在的监狱有电话可以直接联系联邦公共辩护处(PDO),拿起那些电话便能直接与PDO连线,电话公司把这种服务称为“直通”。这种服务被认为是安全的、不受攻击的,因为它只能呼出到PDO,并且锁定了呼入线路,即使某个人不知怎么的弄到了电话号码,也会被电话公司“呼叫拒绝”(一个笨拙的电话服务术语)。
在所有半路出家的骗子精通欺骗的艺术之前,乔尼找到了解决这个问题的办法。在监狱里,康多尔夫拿起某部PDO电话:“我是汤姆,电话公司修复中心。”
术语
直通:电话公司术语,当电话被拿起时接通一个特殊的号码。
呼叫拒绝:电话公司的一个服务选项,设置某个电话号码无法呼入。
“我们正在对这条线路进行测试,我需要你拨9,然后拨0、0。”9是转到外部线路,00是接通一个长途接线员。如果接电话的PDO员工熟知这种骗局,就不能用这种方法了。
乔尼还有更好的办法。他很快了解到拘留中心有十个房间单元,每一间都有公共辩护处的直通电话线路。乔尼遇到了一些障碍,但他就像是一名社会工程师,总能想办法解决这些烦人的问题。康多尔夫在哪个单元?那个单元的直通服务号码是多少?他最初怎么样给康多尔夫留言而不会被狱警拦截呢?
也许这在普通人看来是不可能的,比如获得联邦公共机构的秘密电话号码,一名欺骗艺术家通常只需要打几次电话就可以了。翻来覆去地思考了几个晚上,乔尼把所有事情都想到了,他的计划总共五步。
首先,找到那十部PDO直通电话的电话号码。
更改那十部电话的设置使其允许呼入。
找出康多尔夫所在的单元。
然后找到该单元的电话号码。
最后,他就可以和康多尔夫进行预期的通话了,不会引起政府的任何怀疑。
小菜一碟,他想。
呼叫Ma Bell(AT&T)...
乔尼冒充总务管理局的工作人员打电话到电话公司商业办公室(该部门负责向联邦政府销售产品与服务),说他正在处理一张附加的服务订单,需要知道当前使用的所有直通服务的账单信息,包括圣地亚哥拘留中心使用中的电话号码和月账单。那位女士非常高兴地给予了帮助。
为了进行确认,他试着拨入了其中一条线路并收到了典型的语音提示,“此线路已断开或不在服务区”——他知道这意味着线路锁定了呼入,和他预想的一样。
他十分了解电话公司的运转程序,下一步他需要联系近期记忆修改授权中心(RCMAC,我总是惊讶于取这种名字的人!)。他打电话到电话公司商业办公室,谎称自己是维修中心办公室的,需要知道RCMAC的号码来处理某个地区号和前缀所在的服务区,该中心办公室也负责分配拘留中心的呼入线路。这属于常规请求,相关规定允许在一定范围内向技术人员提供一些帮助,那位员工毫不犹豫地把号码给了他。
他拨通了RCMAC的电话,使用一个假冒的名字,伪装成维修中心的工作人员,说他收到一位女士的投诉,有一个他负责的电话号码一直不能呼入,乔尼问:“这个号码被设置为呼叫拒绝了吗?”
“是的。”她说。
“好的,这就解释了为什么那位客户接不到电话!”乔尼说,“听着,你能不能帮我个忙,修改那条线路的类型代码或删除呼叫拒绝类型,好吗?”
当她在另一个电脑系统上查看是否允许更改服务状态时停顿了一下,她说,“此号码受限制为只能呼出电话,没有服务命令。”
“是的,这是个错误,我们昨天就应该处理的,但是通常处理这些的员工因病回家了,她又忘了拜托别人,所以现在那位客户理所当然地对这件事情非常不满了。”
短暂的停顿,那位女士在考虑这个超出常规并违反了标准操作程序的请求,她说,“好吧。”
他可以清楚地听到她在输入修改,几秒钟就完成了。
坚冰被打破了,他们之间建立了一种合作关系,看到这位女士如此配合的给予帮助,乔尼毫不犹豫地选择了更进一步,他说,“你能再多花几分钟帮帮我吗?”
“可以,”她回答道,“还有什么事吗?”
“我有几条属于同一个客户的其它线路,全部都是一样的问题,我把号码读出来,只要确认它们没有被设置为呼叫拒绝就可以了——好吗?”她说好的。
几分钟后,十条电话线路全都被“修复”为允许呼入电话了。
寻找康多尔夫
下一步,找到康多尔夫所在的房间单元,这一信息显然是管理拘留中心和监狱的人不想让外部人员知道的,乔尼再一次使用了他的的社会工程学技术。
他打电话到了另一个城市的一座联邦监狱——他选择了迈阿密——声称他从纽约拘留中心打电话来。他请求和监狱里使用岗哨电脑的人谈话(该电脑系统包含了所有的囚犯信息,全国的监狱机构都能访问)。
当和那个人连上线时,乔尼换上了他的布鲁克林口音,“你好,”他说,“我是纽约FDC(联邦拘留中心)的托马斯,我们到岗哨的线路总是不能用,你能帮我找出这个囚犯的位置吗?我想这个囚犯在你们那里。”然后读出康多尔夫的名字和他的注册号。
“不,他不在这里,”过了一会儿那个人说,“他在圣地亚哥的拘留中心。”
乔尼假装成很吃惊的样子,“圣地亚哥!上个礼拜他就应该被“马歇尔空运”到迈阿密的!我们说的是同一个人吗——他的DOB(date of birth 出生日)是哪一天?”
“12/3/60。”这个人看着他的屏幕上读道。
“是的,是同一个人,他在哪个房间单元?”
“他在北十号。”这个人愉快地回答着问题,即使没有任何合理的理由解释为什么一个纽约的监狱员工需要知道这些。
现在乔尼知道了康多尔夫所在的房间单元,下一步就要找出哪一个是北十号单元的电话号码。
这一步有点困难,乔尼拨打了其中一个号码,他知道那些电话的扬声器已经被关掉了,没有会知道它在响。于是他坐在那里一边看欧洲名城旅游指南,一边听着扩音器传出的持续不断的铃声,直到最终某个人把它拿起来。那个囚犯在电话的另一端当然是想要联系上他的法庭指定律师,乔尼已经准备好预期的回应了。“公共辩护办公室。”他声称道。
当那个人寻求他的律师时,乔尼说,“如果他在的话我会看见的,你是从哪个房间单元打过来的?”他草草记下了这个人的回答,放下电话,片刻之后回来说,“他在法院,你只能稍后打来了。”然后挂断。
他花了大半个早晨的时间,但还算幸运:第四次尝试就找到了北十号,现在乔尼知道了康多尔夫所在房间单元的电话号码。
时间同步
现在要通知康多尔夫接电话的时间,这比听上去要更容易。
乔尼用他的官方语调打到拘留中心,声称自己是一名员工,请求转接到北十号。然后当那名狱警拿起电话时,乔尼使用了犯人物品保管室(Receiving and Discharge,该部门负责接收和释放囚犯)的内部缩写, “我是R&D的泰森,”他说,“我需要和囚犯康多尔夫说话,我们要寄出他的一些财物,需要询问他地址,你能把他叫过来接电话吗?”
乔尼可以听到那名狱警在值班室里大喊大叫,焦急地等待了几分钟之后,熟悉的声音从电话那头传来。
乔尼对他说,“在我解释之前不要说话。”乔尼解释了这个骗局,然后说,“如果你可以在今天下午一点使用公共辩护办公室的直通电话,就不要说话,如果不能,那么说个你可以到那里的时间。”康多尔夫没有回答,乔尼继续说,“好的,一点到那里,到时候我会打电话给你,拿起电话,如果听到呼出的声音就迅速挂断,每过20秒试一次,直到听到我的声音为止。”
下午一点,康多尔夫拿起了电话,乔尼已经在等他了,他们进行了一次轻松、愉快、悠闲的谈话,在一连串类似的电话里设计骗局为康多尔夫筹措律师费——所有这些都不受政府的监视。
过程分析
这个有趣的故事提供了一个关于社会工程师怎样通过几个独立的、看似不合理的骗局让表面上不可能的事情发生的很好的例子。在现实中,每一步都会有一些小小的问题,直到完成整个骗局。
第一个电话公司的员工认为她在向联邦政府总务管理局的某个人提供信息。
第二个电话公司的员工知道她不应该在没有服务命令的情况下更改电话服务类型,但还是帮助了这个友好的人。这让呼入拘留中心的十条公共辩护电话线路成为可能。
对于那个在迈阿密拘留中心的人而言,帮助某个遇到电脑故障的联邦机构人员似乎是非常合理的,即使没有任何理由可以解释为什么他需要知道房间单元,为什么不问一问?
还有北十号的那个狱警,他相信这个打电话的人和他是同一个机构的,为了工作上的事情?这是非常合理的请求,所以他叫来了囚犯康多尔夫,这没什么大不了的。
周详的计划让整个骗局顺利地完成了。
快速下载
在法学院毕业十年之后,耐德?拉辛(Ned Racine)发现他的同班同学全都住进了带草坪的别墅,成了乡村俱乐部的一员,每星期打一次或两次高尔夫,而他则在为没有足够的钱付帐单的人处理微不足道的案件。嫉妒一直折磨着他,终于有一天,耐德受够了。
他曾经有过的唯一个好客户是一家很小但很成功的会计公司,这家公司擅长于收购和兼并。他们雇用耐德的时间不是很长,但足够让他了解他们涉及的那些生意,一旦他们被媒体报道,将会有一家或两家上市公司的股票价格受到影响。小打小闹,可以通过交易板购买股票,但是使用一些方法会更好——只要少量地投入资金就可以获得丰富的回报。如果他可以接触到他们的文件并找出他们正在研究的那些股票……
他通过一个朋友认识了一个特殊的人,这个人听了他的计划之后为之叫绝并同意向他提供帮助。为了一笔比平时少得多的酬金(和耐德在股票市场上赚的钱不成比例),这个人对耐德进行了指导,还给了他一个随身携带的微型设备(崭新的行货)。
在接下来的几天里,耐德一直监视着那家会计公司朴实无华、店面一样的办公室所在的小型商业停车场,大部分人在5点30到6点离开,到了七点,停车场就已经空了,清洁工在7点30左右出现,好极了。
第二天晚上8点之前几分钟,耐德把车停在了停车场的街对面,和他预期的一样,停车场只剩下清洁服务公司的卡车了。耐德把耳朵贴在门上,听到真空吸尘器运作的声音,他把门敲得很响,然后站在那里等待,他穿着西装,手里还拿着他的旧公文包。没人应门,他很有耐心地又敲了一次,终于来了一个清洁工。“你好!”耐德隔着玻璃门大喊,然后拿出他之前弄到的一个股东的名片,“我把钥匙忘在车里了,我要到我的桌子上拿点东西。”
那个人打开门让耐德进来,再把门给锁上,然后把走廊上的灯都打开了,这样耐德就可以看清路了。好的——他很喜欢这个把食物端到他桌子上的人,大概他把每一个理由都想过了。
米特尼克语录
商业间谍和电脑入侵者有时候会进入现实中的目标公司。比用铁锹闯进去要好得多,社会工程师运用欺骗的艺术让人们为他开门。
耐德打开了一个股东的电脑,当它启动的时候,他把一个微型设备(小到可以挂在钥匙圈上的玩意儿,但是可以存储超过120MB的数据)插在了电脑的USB端口上。他用这个股东的秘书的用户名和密码(很方便地用便签贴在了显示器上)登陆了网络。不到五分钟,耐德下载了每一个存储在工作站和网络目录上的电子表格与文档文件,然后回家了。
轻松赚钱
当我第一次在中学时代接触电脑时,我们只能通过调制调解器连入洛杉矶市区的一台L.A(洛杉矶缩写)所有中学共用的中心DEP PDP II小型机,电脑上的操作系统叫做RSTS/E,那是我学会使用的第一个操作系统。
1981年,那时候,DEC为他的产品用户每年主办一次研讨会,有一年我了解到研讨会将在L.A举办。一家热门杂志为此操作系统的用户公布了一个新的安全产品,LOCK-II,这个产品有一个像这样的很有创意的广告:“现在是3:30,M和乔尼正在沿街寻找你的拨入号码,555-0336,这已经是第336次了。你入他出,选择LOCK-II。”这个广告暗示该产品能防止黑客入侵,这一次的研讨会把它展示出来。
我很想亲自看看这个产品。我在中学的伙伴和朋友,文尼(我曾经的入侵搭档,后来成了抓我的联邦密探),和我一样对新的DEC产品充满了兴趣,他怂恿我和他一起去研讨会。
现金悬赏
我们到了那里发现已经有一大群人围着LOCK-II的展台了,似乎开发者设下了现金悬赏,打赌没人能入侵他们的产品,这对我而言实在是难以拒绝的挑战。
我们把头伸直了往LOCK-II展台里面看,发现有三个此产品的开发者正在操作它,我认识他们,他们也认识我——我那时已经是小有名气的电话盗打者和黑客了,洛杉矶时报报导了我初次尝试社会工程学欺骗的故事,半夜闯进太平洋电话中心,在警卫的鼻子底下拿走电脑手册。(洛杉矶时报为了让报导更有吸引力而公布了我的名字:因为我还是青少年,所以这违反了隐匿未成年人姓名的法律规定。)
当我和文尼走进去的时候,气氛变得微妙起来,因为他们通过报纸了解到我是个黑客,看到我的出现有些震惊,而我们则是看到他们每个人所在的展台上各贴着100美金的悬赏,只要侵入他们的系统就能获得整整300美金——对于两个青少年而言这是一笔巨额财富,我们都等不及要开始了。
LOCK-II被设计为具有双层安全验证,用户必须要有一个合法的ID和密码,在特殊情况下此ID和密码只能从被授权的终端登陆(这称为终端基础安全)。要入侵这个系统,黑客不仅要知道一个账户ID和密码,还需要从合法的终端登陆。这是个很好的安全规则,LOCK-II的发明者深信它能抵挡入侵,我们决定给他们上一课,然后将三百美元收入囊中。
我认识的一个人(RSTS/E的头头)已经在展台打击我们了,几年前他和其他一些家伙向我发出过入侵DEC内部计算机的挑战——在他的搭档让我进去之后,多年以后他成了受人尊敬的程序员,他在我们到达之前就已经尝试过攻击LOCK-II的安全程序了,但没有成功,这让开发者对他们的产品安全更有信心了。
术语
终端基础安全:基于特定的计算机终端作为安全验证:这一做法在IBM大型计算机中非常流行。
比赛很简单:入侵,赢得美金,一场公开的惊人表演……除非有人能打败他们并拿走钱。他们非常相信他们的产品,甚至还在展台上勇敢地公布了系统中的一些账户名称和相应的密码,不只是普通账户,还包括所有的特权账户。
这其实没有听上去的那么勇敢:我知道,在这种设置类型中,每台终端都插在计算机自身的一个端口上,不难断定他们已经设置了这五台终端只能从非系统管理员权限登陆。看来似乎只有两条路:要么完全突破安全程序(这正是LOCK-II被设计来防范的),要么用开发者难以想象的某种方法绕路而行。
接受挑战
文尼和我一边走一边讨论,然后我说出了我的计划……我们在四周徘徊着,隔着一段距离注意着展台。午餐时间,当人群稀疏的时候,那三个开发者会利用这一间隙一起出去吃东西,留下了一个可能是他们中某个人的妻子或女朋友的人,我们走了回去,为了转移那位女士的注意力,我和她聊起了天,“你在这家公司多久了?”“你们公司还有哪些销售的产品?”等等。
趁此机会,文尼离开了她的视线,他和我同时开始了行动。除了着迷于计算机入侵和我对魔术感兴趣以外,我们都秘密地学习了怎样开锁。作为一个小孩子,我读遍了圣费尔南多谷一家地下书店中关于开锁、解手铐和伪造身份证的书籍——所有这些都不是一个小孩子应该知道的。
文尼和我一样练习了很多次开锁,直到我们能完美地解决所有普通的五金商店的锁为止。有一段时间我沉迷于开锁的恶作剧,比如戏弄为了安全而使用两把锁的人,把锁拿下来,互换位置放回去,这样那个人在用错误的钥匙开锁时会变得不知所措。
展厅里,我继续打扰着那位年轻女士,文尼闪到展台后面打开了他们安放PDP-11小型机和电线电缆的柜子上的锁。锁匠上这把锁更像是在恶作剧,这是圆片锁,像我们这样笨拙的业余开锁爱好者都能轻易地撬开它。
文尼花了整整一分钟时间才把锁打开,在柜子里他找到了我们所期望的东西:接入用户终端的插线集和一个控制终端端口,这是计算机操作员或系统管理员用来控制所有计算机的终端,文尼把展台上某台终端插在了控制端口上。
这意味着这台终端现在已经被认为是控制终端了,我走过去用开发者提供的密码登陆了进去。因为LOCK-II的程序现在已经认为我是从授权终端登陆的,所以它同意了我的访问,并且我拥有的是系统管理员权限。我给操作系统打了个补丁,让我能用特权用户登陆展台上的任意一台终端。
我一安装完补丁,文尼就马上回去断开了终端连线并把它插回了原处,然后他又把锁拿了下来,不过这一次是把柜门关上锁好。
我把目录列举出来想看看这台计算机上有些什么文件,在查找LOCK-II程序和相关的文件时我无意中发现了一些让人大吃一惊的东西:一个不应该出现在这里的目录。开发者太自负、太确信他们的软件是无敌的了,以至于没有移除这个新产品的源代码。走到邻近的硬拷贝终端前,我开始把一部分源代码打印在当时使用的长条带电脑纸上。
当那些人吃完饭回来时文尼正好和我会合了,他们发现我正坐在计算机上敲击按钮,而打印机还在继续转动。“你在做什么?凯文?”他们中的一个人问。
“啊,只不过是在打印你们的源代码。”我说。当然,他们认为我在开玩笑,直到他们看向打印机时才发现那是真的,那是他们被严密保护的产品源代码。
他们不相信我用特权用户登陆了。“输入T命令看看。”其中一个开发者说,我照做了,接下来屏幕上的显示证明了一切。那个人拍打着他的前额,然后文尼说,“三百美金,谢谢。”
米特尼克语录
这是另一个聪明人轻视敌人的例子。那你呢?你对自己公司的安全措施很有信心吗?你愿意用300美金打赌吗?有时候通往安全设备的路并不像你想象的那样只有一条。
他们给了钱,文尼和我围着展台转悠了一天,我们的证件上贴着百元的美钞,每个看见这些钞票的人都知道它们意味着什么。
当然,文尼和我没有攻破他们的软件,并且如果开发小组为比赛设定了更好的规则,或用了真正安全的锁,或者小心地看管了他们的设备,他们那天也不会经历这样的屈辱——出自两个青少年之手。
我后来了解到开发小组去银行取了些现金:那些百元美钞是他们身上所有的零钱。
入侵工具字典
当某个人拿到了你的密码,他就能入侵你的系统,在大多数情况下,你甚至不知道发生了什么事。一个名为伊凡?彼得斯的年轻的攻击者把目标锁定在了一款新游戏的源代码上,他可以轻易地进入那家公司的广域网,因为他的一个黑客伙伴已经攻陷了那家公司的一台Web服务器。在找到一个未修补Web服务漏洞之后,他的朋友差一点从椅子上摔下来,因为他发现这个系统被设置成了双定位主机,这意味着他得到了一个内部网络的入口。
但是当伊凡连接的时候,他遇到了一个类似于在罗浮宫寻找蒙娜丽莎的挑战,没有建筑平面图,你能走上数星期。这是家环球公司,有好几百个办公室和数千个电脑服务器,并且他们没有提供精确的开发系统索引或服务漫游指南来引导他到达正确的服务器。
伊凡无法使用技术手段找出目标服务器的位置,作为替换,他选择了使用社会工程学。他用类似于这本书中其他地方提到的方法打起了电话,首先,打到IT技术支持部门,声称自己是公司的员工,他的团队为产品设计了一个界面,然后询问游戏开发团队项目经理的电话号码。
接着他伪装成IT部门的人打给那个部门经理。“今天晚上,”他说,“我们要更换一个路由器,需要确认你的团队里的人是否能连接你们的服务器,所以我们想要知道你的团队用的是哪个服务器。”网络始终处在受保护状态,给出服务器的名称不会伤及任何东西,它是受密码保护的,服务器名称不会帮助任何人入侵,所以这个人把它告诉了攻击者。没有麻烦地回电话验证他所说的事情,或写下他的名字和电话号码,他直接给出了服务器名称,ATM5和ATM6。
密码攻击
在这里,伊凡需要通过技术手段获取验证信息,大多数系统攻击的第一步都是远程扫描出一个弱口令账户,这是进入系统的最初入口。
当攻击者尝试远程扫描密码时,这可能需要他在几个小时里保持与公司网络的连接,他这样显然是在冒险:时间越长,被发现和被抓住的风险越高。
作为一个预备的步骤,伊凡需要列举出目标系统的详细资料,因特网又一次方便地提供了相应的软件(m:“catch”之前是数字0)。伊凡找到了几个在互联网上公布的自动列举进程的黑客工具,这样就避免了手动操作引起的麻烦(时间过长导致风险过大)。伊凡知道大多数公司使用的都是基于Windows的服务器,他下载了一个名为NBTEnum的NetBIOS(BIOS:基本输入输出系统)列举工具。他输入了ATM5服务器的IP(Internet protocol,Internet协议)地址,然后开始运行程序。列举工具能扫描出服务器上存在的账户。
术语
列举:查看操作系统已启动的服务并列出允许访问系统的用户的账户名。
一旦扫描出存在的账户,可以使用同一个列举工具对计算机系统进行字典攻击,这是许多计算机安全人员和入侵者非常熟悉的,但大多数其他人可能在了解之后会感到震惊,这种攻击使用常用单词对系统上每个用户的密码进行尝试。
在某些事情上我们都很懒,但我总是惊讶于人们选择的密码,他们的创造力和想象力似乎都消失了。我们中大多数人都想要一个安全系数高又容易记忆的密码,这通常意味着一些和我们有联系的东西,例如我们名字的首字母、中名、昵称、配偶的名字、喜欢的歌、电影或饮料,我们住的街道或生活的城镇、驾驶的车型、喜欢的夏威夷滨海乡村、常去钓鲑鱼的河流。看出这里的模式了吗?全都是人名、地名或字典上的常用词。字典攻击可以非常迅速地把常用单词当成密码去尝试一个或多个用户账户。
伊凡是分三个阶段进行的字典攻击,第一次,他尝试了一张包含800个常用密码的列表:列表还包括隐私和工作。这个程序也可以在每个单词的前后添加数字或当前月份。程序尝试了每一个扫描到的账户,运气不好,没有成功。
第二次尝试,伊凡进入Google搜索引擎搜索“单词列表 字典”并找到了数千个包含大量单词列表和字典的站点。他下载了一整部电子英语字典,然后他用许多在Google上找到的单词列表将其扩充。伊凡选择了m/files/WordLml。
这个站点允许他下载(全免费)的一系列文件中包含了姓氏、教名、国会名、演员名、还有圣经中出现的单词和名字。
其它许多站点提供的单词列表实际上来自于牛津大学。
在其它站点提供的列表中有卡通动画的名称,有《莎士比亚》、《奥德赛》、《托尔金》、《星际旅行系列》和《科学与信仰》中出现的单词,等等。(有一家在线公司以20美元的低价出售包含440万个单词和名称的列表。)攻击程序可以设置将字典中的单词顺序颠倒,另外——这也是许多电脑用户认为能加强安全的做法。
比你想的更快
一旦伊凡选定了使用的单词列表,软件就会自动开始攻击,这样他可以把注意力放在其它事情上了。这是难以置信的一部分:你可能认为这样的攻击可以让黑客去做里普?万?温克尔的大梦(译者注:美国作家华盛顿?欧文在其小说《里普?万?温克尔》中叙述主人公里普?万?温克尔在山中一睡20年,醒来发现世事全非)了,当他醒来的时候软件进度条才会涨一点点,但事实上,依赖于被攻击的平台、系统安全配置和网络连接质量,尝试完一本英语字典里所有的单词,难以置信,只要不到三十分钟!
当攻击正在进行的时候,伊凡打开了另一台电脑对开发小组使用的另一台服务器(ATM6)上进行了类似的操作。二十分钟后,攻击软件完成了大多数毫无防范的用户认为不可能的任务:它破解了一个密码,软件显示某个用户选择了密码“Frodo”,《魔戒》中一个矮人的名字。有了这个密码,伊凡就可以登陆ATM6服务器了。
对于我们的攻击者而言有一个好消息和一个坏消息,好消息是他破解的账户拥有管理员权限,这是进行下一步的基础,坏消息是游戏的源代码怎么也找不到。最终可以肯定它在ATM5上,而针对ATM5的字典攻击没有成功,但是伊凡没有就这样放弃,他还有一些更多的方法可以尝试。
在一些Windows和UNIX操作系统上,他们存放密码哈希值(加密的密码)的地方可以被任何访问此计算机的人查看,理由是加密密码无法破解因此不需要保护。这种说法是错的,使用另一个同样可以在因特网上找到的叫做pwdump3的工具,他可以从ATM6中提取出密码哈希值并将其下载。
密码哈希值文件示例:
Administrator:
500:95E4321A38AD8D6AB75EOC8D76954A50:2E48927AO
BO4F3BFB341E26F6D6E9A97 : : :
akasper :
1110:5A8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357
F157873D72D0490821: : :
digger:
1111:5D15COD58DD216C525AD3B83FA6627C7 :
17AD564144308B4 2B8403DOIAE256558: : :
ellgan :
1112:2017D4A5D8D1383EFF17365FAFIFFE89:O7AEC950C22CBB9
C2C734EB89320DB13: : :
