tabeck:
1115:9F5890B3FECCAB7EAAD3B435B51404EE:
1FO115A72844721 2FCO5EID2D820B35B: : :
vkantar :
1116:81A6A5DO35596E7DAAD3B435B51404EE:B933D36DD12258
946FCC7BD153F1CD6E : : :
vwallwick:
1119 : 25904EC665BA30F4449AF42E1054F192:15B2B7953FB6
32907455D2706A432469 : : :
mmcdonald:
1121:A4AEDO98D29A3217AAD3B435B51404EE:
E40670F936B7 9C2ED522F5ECA9398A27 : : :
kworkman :
1141:C5C598AF45768635AAD3B435B51404EE:
DEC8E827A1212 73EFO84CDBF5FD1925C : : :
现在有了下载到电脑上的哈希值,伊凡要用另一种风格迥异的暴力破解工具对所有的数字、字符和特殊符号组合进行尝试。
伊凡使用的软件工具叫做L0phtcrack3(loft-crack出品,位于m,另外在m中有几个很好的密码恢复工具),系统管理员用L0pht-crack3检查弱口令1,攻击者用它来破解密码。LC3暴力破解对密码的尝试包括字母、数字和大部分的符号组合!@#$%^&,它能系统地尝试大多数字符的每一个种可能组合。(注意,如果使用的是无法显示的字符,LC3也无法将其破解)
这个程序有着难以置信的速度,在1GHz处理器的机器上最高能达到每秒尝试280万次,即使是这样的速度,如果系统管理员恰当地配置了Windows操作系统(关闭LanMan哈希值的使用),破解一个密码仍然要消耗大量的时间。
术语
暴力破解:通过尝试每一种可能的字母、数字、符号组合对密码进行破解。
因此攻击者通常会下载哈希值并在他的(或其他人的)机器上进行攻击,这样就不需要保持和目标公司网络的连接,也没有被发现的风险。
对于伊凡而言,这样的等待不算漫长。几个小时后,他得到了每一个开发小组成员的密码,但这些是ATM6上的用户密码,并且他已经知道游戏源代码不在这个服务器上了。
现在怎么办?他还是没有得到ATM5上某个账户的密码。根据他对典型用户脆弱的安全习惯的理解,他认为某个小组成员可能会在两个服务器上选择同样的密码。事实上,他真的找到了,某个小组成员在ATM5和ATM6使用的密码都是“garners”。
大门向着伊凡敞开了,他自由地搜寻着他想要的程序,直到他找到了源代码的目录并愉快地下载了下来,然后他进行了系统入侵中典型的一步:他修改了一个隐匿用户(管理员权限)的密码,以防将来想要获得软件的更新版本。
过程分析
上述攻击利用了技术和人的弱点,攻击者首先用电话骗局获得了目标信息所在服务器的位置和主机名,然后他用工具扫描出了所有的有效账户名,接着他进行了两次连续的密码攻击,其中有一次是字典攻击(使用英语字典中的单词搜索常用密码,有时还会增加包含姓名、地名和特殊爱好的单词表)。
因为任何人都能获取商业的和公共流通的黑客工具(无论出于何种目的),所以对企业计算机系统和基础网络的保护显得更加重要。
当然,这种威胁不能被夸大,《计算机世界》杂志针对奥本海默基金公司的分析得出了惊人结论。公司的网络安全与灾难恢复副主管用标准软件包进行了一次密码攻击,杂志报导说他只用了三分钟就得到了800个员工的密码!
米特尼克语录
在大富翁(Monopoly)游戏的术语中,如果你使用一个常用单词作为你的密码——就直接去了监狱,不能前进,不能收取200美金的租金(译者注:在大富翁中,如果你第三次掷出相同的点数,就会被立刻送进“监狱”)。你需要告诉你的员工怎样选择密码,真正地保护你的资产。
预防措施
当攻击者在攻击中添加了技术元素时,社会工程学攻击可以变得更加具有破坏性,抵挡这种攻击的常用方法是在人和技术两方面同时采取措施。
就说不
在这一章的第一个故事中,电话公司RCMAC的员工不应该删除掉十号电话线路的呼入拒绝状态,因为没有服务命令批准进行修改。只让员工了解安全程序和规定还不够,还应该让他们知道这些规定对于公司的安全而言有多么重要。
应当阻止重要系统中违反安全程序的行为,当然,安全规定必须结合实际,过于繁琐的规定会被员工无视的。同样,安全认知程序需要让员工们了解,因为急于完成手头上的工作而绕过必要的安全程序会伤害到公司和同事。
同样的警告也应该出现在向电话上的陌生人提供信息的时候,无论这个人怎样花言巧语地介绍自己,也不管他在公司中有何地位和资历,在确认呼叫者的身份之前,绝对不能向他提供任何非公共信息。如果严格遵守了这一规定,这个故事中的社会工程学骗局就不会成功,联邦囚犯康多尔夫也无法和他的搭档乔尼商讨新的骗局。
我在这本书中反复强调了一点:验证,验证,还是验证。在没有确认请求者的身份之前,不能响应他的任何请求——就这样。
正在清理
对于没有安全警卫昼夜值班的公司而言,如何阻止攻击者在下班以后“拜访”办公室?清洁工会像往常一样对待似乎是公司员工的任何人,毕竟,那些人可以找他们的麻烦或解雇他们。因此,不管清洁队是公司内部的还是从外部中介机构签约的,都必须接受物理安全事件培训。
清洁工作当然不会需要大学文凭,也不需要英语能力和常规训练,只要知道一些非安全的东西比如怎样使用清洁产品进行不同的作业就可以了。“如果有人想在下班时间进来,你要查看他们公司证件,然后打电话到清洁公司办公室解释情况,等待批准。”一般这些人是不会收到这样的指令的。
一家机构应该在发生这种情况之前有所防范并以此来培训员工。在我的个人经验里,我发现大多数(而不是全部)的私营商业部门在物理安全方面非常松懈。你可以用另一种方式解决问题,把责任交给你的公司员工。没有24小时警卫服务的公司应当告诉它的员工,如果要下班后进入公司,就带上他们自己的钥匙或电子访问卡,能否进入不能让清洁工来决定。然后要求清洁公司培训他们的员工,在工作的时候不放任何人进来,这是个简单的规定:不要为任何人开门。适当的话,可以把它作为条款写在与清洁公司的合约里。
同样,清洁队应当接受识别蒙混过关者(跟随合法员工通过安全入口的人)的培训,不允许其他人(就算那个人看上去是一名员工)跟随他们进入大楼。
偶尔(比如,一年三到四次)也要更进一步安排渗透测试或攻击评估,在清洁队工作的时候让某个人站在门外尝试进入大楼。你可以聘请专业公司的人员进行渗透测试,这比用你自己的员工要好。
传递它:保护你的密码
越来越多的机构更加重视通过技术手段加强安全策略了——比如,对操作系统进行配置,强化密码策略,限制非法登陆尝试(超过一定次数则锁定账户)。事实上,Microsoft Windows商业平台一般都包含有这些功能。尽管如此,繁琐的操作还是很容易给用户带来烦恼,这些产品的安全功能通常都被关闭了。真实情况是软件厂商把产品的安全功能默认设置为关闭了,正确的做法应该恰恰相反。(我猜他们很快就会明白了。)
当然,公司的安全策略应当规定系统管理员在所有可能的情况下通过技术手段强化安全策略,达到不过分依赖人为操作的目的。你可以轻易地限制特殊账户的连续无效登陆尝试次数,这样,攻击者的生活显然变得更困难了。
所有的机构都面临着高度安全和员工生产力之间的平衡问题,这导致了一些员工无视安全策略,不接受保护公司敏感信息的最基本的安全措施。
如果一家公司的策略中留有未标明的地方,员工可能会按照最低标准执行,这样会很方便并让他们的工作变得轻松,一些员工会拒绝变动并公然地漠视好的安全习惯。你可能会遇到这样的一个员工,他遵守了关于密码长度和复杂性的规定,但是又把密码写在便签上,然后贴在他的显示器上。
保护你的公司安全的至关重要的一部分是,使用高强度的密码,在技术上与合理的安全配置结合起来。
对密码策略的详细讨论,请看第16章。
第十二章 攻击新进员工
正如这里的许多故事讲述的那样,在机构中处于低层的员工常常成为熟练的社会工程师选择的目标。攻击者可以轻易地从这些人手里得到表面上无害的信息,从而进一步获取更多敏感的公司信息。
攻击者选择新进员工的原因是他们不知道公司的特殊信息的价值或某种行为可能带来的后果,同样,他们也容易受到常用的社会工程学攻击的影响——动用了权威的呼叫者,似乎很友好很可爱,认识公司里受害者也认识的某个人,攻击者声称的很紧急的请求,或者其它能获得受害者好感(或认同感)的方法。
接下来有一些针对低层员工的攻击案例。
提供帮助的安全警卫
骗子希望能找到贪婪的人,因为他们是唯一可能陷入行骗游戏中的人。社会工程师(当他们瞄准了清洁队的成员或安全警卫之类的人时)希望能找到和善、友好、信任他人的人,他们是唯一最有可能提供帮助的人。这正是攻击者在下面的故事里所寻求的。
艾里特的观点
日期/时间:1998年二月的一个星期二,凌晨3:26
地点:新罕布什尔州纳舒厄Marchand微系统公司
艾里特?斯泰雷(Elliot Staley)知道他不应该在上班时间离开岗位,但现在是半夜,我的老天爷,自从值班以来他一个人影都没看到,并且正好快到巡视的时间了,电话上的这个可怜的人似乎真的需要帮助,他们很乐意帮别人做一些事情。
比尔的故事
比尔?快乐摇摆(Bill Goodrock)有一个简单的目标,一个从他十二岁以来就没变过的目标:二十四岁就退休,不用他的信托基金里的一分钱。
他告诉他的父亲,无情的、万能的银行家,他可以靠自己一个人成功。
然后过了两年,很明显他没有在二十四个月里成为杰出的商人,并且也没有成为精明的投资者,当然也没有发财。他曾经很想知道怎样持枪抢劫银行,但那只是小说中的素材——实在是太冒险了。所以他的白日梦就成了像瑞夫金那样——对银行实施电子抢劫。上一次比尔和家人一起去欧洲的时候,他打开过一个有100法郎的摩纳哥银行帐户,尽管里面只有100法郎,但他有一个计划可以轻易地使这个数字达到七位,甚至是八位,如果运气好的话。
比尔的女朋友安玛丽在波士顿一家大银行的并购部门工作,有一天,她要参加一次漫长的会议,比尔只好在她的办公室里等她,出于好奇心,他把他的便携式电脑插入了会议室的以太网端口,是的!——他连上了他们的内部网络,从银行网络的内部……也就是说在公司防火墙的后面,这让他有了一个主意。
他的一个同班同学认识一个叫做朱莉亚的年轻女士,一个才华横溢的计算机科学博士,目前正在Marchand微系统实习。朱莉亚似乎是个不错的内部信息来源,比尔要开始施展自己的才华了。他们对她说他们正在写一个电影的剧本,她居然相信了,她认为和他们一起编故事很好玩,然后告诉他们怎样实现他们描述的那些事情,这个想法实在是太有才了,事实上,她还一直缠着他们,她也想出现在影片的致谢名单上。
他们警告说电影剧本的创意经常被偷,所以她发了誓绝不告诉任何人。
经过朱莉亚细心的指导之后,比尔要独自进入危险的部分了,他相信自己肯定能成功。
我下午打电话去的时候了解到晚上的安全主管是个叫以赛亚书?亚当斯(Isaiah Adams)的人,于是我在那天晚上9:30打去电话,和安全部门的警卫交谈起来。我的故事显得很急促,听上去我还有些惊慌失措。“我的车子出毛病了,现在不能来公司,”我说,“我居然碰到了这样的事情,现在我很需要你的帮助,我想打给安全主管以赛亚书,但是他不在家,你能不能帮我一个忙?万分感谢!”
这家大型公司的每一个房间都有一个邮寄地址编码,所以我告诉他计算机实验室的编码并询问他是否知道在哪里,他说去那里要花一些时间,然后我说我会打到实验室的,很抱歉我使用了我能用的唯一的电话线路,我要用它来拨入网络尝试解决问题。
当他到达那里的时候,我打去电话告诉他哪里可以找到我感兴趣的那个控制台,上面标着“elmer”字样的主机——朱莉亚说这台主机是用于创建对外销售的操作系统正式版的。当他说他找到了的时候,我更加确定朱莉亚给我们提供了正确的信息,我的心扑通扑通直跳,我要他按几次回车,然后他说屏幕显示#号,这说明这台计算机已经用root用户(拥有所有系统权限的超级用户)登录了。他打字的时候要看着键盘,所以当我把要输入的下一个命令告诉他时,他费了好大力气才输入完成,非常谨慎:
echo 'fix:x:0:0::/:/bin/sh' >> /etc/passwd
最终他输入的很正确,现在我们有了一个名为fix的帐户,然后我要他输入:
echo 'fix: :10300:0:0' 55 /etc/shadow
这是在设置密码,两个冒号之间什么都没有意味着密码为空,这两个命令把fix帐户用空密码添加到了密码文件中,这个帐户拥有和超级用户一样的权限。
下一步我让他输入了一个递归目录的命令,打印出一长串文件名列表,然后我要他把那张纸扯出来,带回警卫室,因为“等一下我可能会需要你从那上面为我读一些东西。”
最美妙的是他根本就不知道自己创建了一个新帐户,我让他把文件名的目录列表打印出来,因为我需要确认他之前输入的这些命令和他一起离开了计算机室,这样系统管理员或工作人员第二天早上就不会发现这里出现了一个安全漏洞。
现在我有了一个帐户,一个密码,和完整的权限,接近半夜的时候我拨入了主机,然后按照朱莉亚“给剧本”的指示,一眨眼的功夫我就进入了一个包含这家公司新版操作系统源代码的开发主机。
我上传了一个朱莉亚写的补丁,她说这修改了操作系统库中的一个程序,可以生成一个隐蔽的后门用于远程访问系统。
注释:
这里使用的后门并没有修改操作系统的登录程序,而是一个包含有登录程序使用的动态库的秘密入口。在常见的攻击中,电脑入侵者经常替换或修补登录程序自身,但是精明的系统管理员还是可以通过比较版本标记(就像CD一样)或其它方法察觉出来。
我小心地遵循着她写给我的指示,首先安装补丁,然后设法移除fix帐户并删去日志中的所有记录,这样就消除了我活动的痕迹,非常有效。
不久这家公司就开始把这个新的操作系统提供给他们的客户:全球的金融机构。他们送出的每一份拷贝都包含有我之前放入开发主机的后门,让我可以访问每一家升级了操作系统的银行和经济行的电脑系统。
术语:
补丁:修正一个可执行程序的一些代码。
当然,还没到休息的时候——还有一些事情要做。我还要获得每一家我想要“参观”的金融机构的内部网络访问权限,然后找出他们用来金融转账的电脑,在上面安装监控程序,了解他们是如何操作的,确切的说是怎样转移资金的。
所有这些都可以远程进行,从有电脑地方,比如,白沙海滩。塔希提岛,我来了!
我回电给那个警卫,对他的帮助表示感谢,然后要他把那张打印出来的东西给扔了。
过程分析
那个安全警卫阅读过他的职责说明,即使是这样深思熟虑出来的说明也无法预测每一种可能出现的情况,没有人告诉他帮助一个他认为是公司员工的人在电脑上输入一些东西会伤害到公司。
有了警卫的帮助,他轻易地获得了一个重要系统(存储用于发布的产品)的访问权限,虽然实验室的门是锁着的,但警卫有所有门的钥匙,不是吗?
即使是本性诚实的员工(在这里,是候选博士和实习员工朱莉亚)有时也能被贿赂或被欺骗,无意中向社会工程师透漏出重要信息,比如目标计算机系统所在的位置——此次攻击成功的关键——他们何时发布软件的新版本,这很重要,因为如果过早的进行了改动,会大大增加被发现或失败的可能性,他们可以从一个干净的来源重建操作系统。
你让警卫把印出的资料带回警卫室并将其销毁了吗?这是很重要的一步,当电脑操作员第二天来上班时,攻击者可不希望他们在打印机终端上找到这该死的证据,或者在垃圾桶里发现它。给警卫一个似是而非的理由让他把印出的资料带走,避免冒险。
米特尼克语录
当计算机入侵者自己无法从物理上访问计算机系统或网络时,他会尝试利用别人帮他这样做。如果为了完成计划必须要进行物理访问,那么通过受害者代理要比亲自动手好得多,因为攻击者可不想有被察觉和被逮捕的风险。。
紧急更新
你可能认为技术支持人员十分清楚让外部人员访问公司网络的危险性,但是如果这个外部人员是一个聪明的社会工程师(伪装成了提供帮助的软件厂商),结果可能会出乎你的意料。
帮助电话
呼叫者想要知道谁负责这里的计算机,电话接线员帮他接通了技术支持人员,保罗?阿赫恩(Paul Ahearn)。
呼叫者声称,“我是爱德华,来自SeerWare公司,你们的数据库供应商。显然我们的一些客户没有收到我们的关于紧急更新的电子邮件,所以我们打电话给一些客户,作为质量监督检查是否已经装好了补丁,你安装了更新吗?”
保罗十分肯定地说,“我从没看到过类似的东西。”
爱德华说,“好的,这可能导致数据灾难性丢失,所以我们建议你尽快安装好补丁。”是的,这正是他想要做的,保罗说,“好的。”呼叫者回应说,“我们可以送给你包含补丁的磁带或CD,我想要告诉你的是,这真的很危险——有两家公司已经失去几天的数据了,所以你真的应该在收到之后马上进行安装,趁你的公司还没有发生那种情况之前。”
“我能从你们的网站上下载吗?”保罗问道。
“很快就可以了——技术团队正在努力当中,如果你愿意的话,我们可以让我们的客户支持中心远程帮你安装,我们可以拨号进入,也可以使用Telnet进行连接,如果你能支持的话。”
“我们不允许Telnet连接,特别是从因特网——这不安全,”保罗回答说。“如果你能用SSH的话,就没问题了。”他说,SSH是提供文件安全传输的产品名称。
“是的,我们有SSH。那么,IP地址是多少?”
保罗把IP地址告诉了他,并且当安德鲁问“我能用哪个用户名和密码”时,保罗也十分配合地说了出来。
过程分析
当然,那个电话也有可能真的是数据库厂商打来的,但那就不是这本书应该讲的了。
在这里,社会工程师首先让受害者担心数据有可能丢失,然后向他提供了一个直接了当的解决方案。
同样,当社会工程师选中的目标十分了解信息的价值时,他就要拿出非常可信非常有说服力的理由获得远程访问的权限,有时候他还需要催促一番,使受害者感到心烦意乱,让他在仔细思考这些请求之前就匆匆忙忙地同意了。
新来的女孩
在你的公司文件中有哪些信息可能是攻击者想要得到的?有时候可能是你认为根本就没必要保护的东西。
莎拉(Sarah)的电话
“人力资源部,我是莎拉。”
“你好,莎拉,停车场,我是乔治。你知道你用来进入停车场和电梯的门禁卡(译者注:与信用卡外观相似,内有编码数据)吗?对,我们遇到了一个问题,需要重写最近十五天加入公司的所有新员工的磁卡。”
“所以你需要他们的名字?”
“还有他们的电话号码。”
“我可以查看我们的新员工列表,到时候打给你吧,你的电话号码是?”
“73……啊,我现在有点事情,半个小时候我再打给你怎么样?”
“哦,好吧。”
当他再打回去的时候,她说:
“哦,是的,只有两个,一个是安娜?莫托(Anna Myrtle),她是财政部的秘书,另一个是新来的副总,安德伍德先生。”
“电话号码是?”
“好的,安德伍德先生的号码是6973,安娜?莫托的是2127。”
“嘿,你帮了我一个大忙,谢谢。”
安娜的电话
“财政部,我是安娜。”
“我很高兴有人这么晚了还在工作,听着,我是罗恩?维特诺(Ron Vittaro),商务部的出版人。我不认为我们已经被介绍过了,欢迎来到我们公司。”
“噢,谢谢。”
“安娜,我现在在洛杉矶,我有一些事情,能占用你大概十分钟的时间吗?”
“当然,有什么可以帮忙的吗?”
“到我的办公室去,你知道我的办公室在哪里吗?”
“不知道。”
“好的,我的办公室在十五楼——1502室。过一会儿我会打电话到那里,如果你到了,就按一下电话上的转移键,这样来电就不会直接转到我的语音信箱。”
“好的,我这就去。”
十分钟后她到他的办公室取消了他的呼叫转移,然后等他的电话。他让她打开电脑,运行Internet Explorer,输入地址:m/ron-insen/e。
出现了一个对话框,他告诉她点击打开。电脑开始下载这个文档,然后屏幕变成了空白。当她反应说好像出了点问题时,他的回答是,“噢,不,别再这样了,在网上下载东西的时候我经常遇到这个问题,我还以为已经解决了,那么,好吧,不要担心,我再试试其它方法。”然后他要她把他的电脑重启,好让他确认是否还会再出现这种情况,他告诉了她重新启动的操作步骤。
当电脑又一次毫无显示的时候,他对她的热心帮助表示了感谢并挂上了电话,安娜回到财政部,继续她未完成的工作。
库尔特?狄龙的故事
Millard-Fenton出版社对他们刚刚签约的新作家非常热情,财富500强公司的离任CEO,他要讲述一个迷人的故事。有人安排他和一个商务经理讨论相关事务,而这个商务经理不想让他知道出版合同的详细内容,于是他雇用了一个老朋友帮他找出他想要知道的东西。可惜的是,这个老朋友,并不是一个明智的选择。库尔特?狄龙(Kurt Dillon)习惯于在他的调查中使用与众不同的方法,而这些方法并不完全符合道德。
库尔特在Geocities上用罗恩?维特诺的名字申请了一个免费站点,然后上传了一个间谍程序,他把这个程序的文件名改为e,这样看上去就是一个Word文档,而不会引起怀疑。事实上,这比库尔特预期的更有效:真正的维特诺从未更改过Windows操作系统的默认设置——“隐藏已知文件类型的扩展名”,因此实际显示的文件名为c。
他让一个女性朋友打电话给维特诺的秘书,按照狄龙的指示,她说:“我是多伦多终结者书店经理保罗?斯帕多內(Paul Spadone)的执行助理,前阵子维特诺先生在一个书展上遇到了我的上司,他要他打电话给他商讨一个合作项目。斯帕多內先生有非常多的时间是在四处奔波,所以他说我应该弄清楚维特诺先生在办公室的时间。”
等到两个人核对好了时间表,这位女士就有了足够的信息提供给攻击者——一张维特诺先生在办公室的日程表,这意味着他同样知道了维特诺先生不在办公室的时间。不需要过多额外的交流就可以了解到维特诺的秘书会利用他不在的一段时间去滑雪,虽然时间不是很长,但两个人都不会在办公室,非常好。
术语
间谍程序:用于监控目标计算机活动的专业软件。一种形式是记录因特网购物者访问过的站点,这样在线广告就可以根据他们的上网习惯进行修改,另一种形式类似于监听,除了目标设备是计算机。这些软件监控用户的活动,包括密码、按键、Email、聊天记录、即时聊天、所有访问过的网站和显示屏图像。
无声安装:在计算机用户或操作员毫不知情的情况下安装软件程序的一种方法。
星期天他们按照预定计划打去电话进行确认,然后被一个接待员告知“维特诺先生不在办公室,他的秘书也不在,最近几天都别指望他们会在。”
他的初次尝试非常成功地使一个新进员工加入到了他的计划中,她毫不犹豫地帮他下载了一个“manuscript”(原稿)文件,而事实上这个文件是一个流行的商业间谍程序,攻击者把它改成了无声安装,通过这种方法,安装程序就不会被任何杀毒软件发现。因为一些奇怪的理由,杀毒软件厂商销售的产品并不能识别商业化的间谍程序。
当这位年轻女士在维特诺的计算机上运行了那个程序之后,库尔特马上回到了Geocities站点上,他把那个e文件替换成了一个他在网上找到的书籍原稿,以防有人无意中发现了这个骗局并回到该站点进行调查,他们唯一能找到的是一份无用的、业余的、不适合出版的书籍原稿。
一旦程序安装完成并重新启动了计算机,设置马上就会生效。罗恩?维特诺将在几天后回到这里开始工作,间谍程序也将开始记录他的计算机上的所有键入,包括所有寄出的Email和那时他的屏幕上显示的图像,所有这些都将被定期发送到一个乌克兰的免费邮箱上。
在维特诺返回数天后,库尔特的邮箱里已经堆满了收集的日志文件,不久之后他在一封秘密的电子邮件里发现了Millard-Fenton出版社与作家达成协议的底线,有了这些信息,就可以通过代理和出版社商讨比原来更好的合同条款,而不会有失去合作机会的风险,当然,这也意味着需要更多的代理费。
过程分析
在这个骗局中,攻击者之所以能成功很大程度上是因为他选择了一个新进员工作为他的代理,多亏了她自愿的合作成为了团队的成员,既不了解公司和它的员工,也不清楚哪些是可以抵挡攻击的好的安全习惯。
因为库尔特在和安娜的谈话中伪装成了商务部的副部长,他知道她不太可能会怀疑他的身份,相反的,她可能认为帮助一个副部长对自己很有好处。
接着他引导安娜安装了一个表面上无害的间谍程序,安娜并不知道她的行为让一个攻击者获得了能影响公司利益的重要信息的访问权限。
为什么他要选择把这个副主管的日志文件发到一个乌克兰的邮箱帐户里?因为距离越远攻击者被追踪或抓捕的可能性就越低。当警察把目光集中在并不显著的的因特网入侵上时,这个国家就不会受到攻击者的青睐。因此,使用国外的邮箱可以大大减少和美国执法部门打交道的机会,这很吸引人。
预防措施
社会工程师永远喜欢不怀疑他的请求的人,这不仅使他的工作变得容易,而且也使风险变得更低——正如这一章中的故事所讲的那样。
米特尼克语录
寻求同事或下级的帮助是一件很普通的事情,社会工程师知道怎样利用人们的天性获得帮助并使其成为团队的成员。攻击者利用人们的这种特点引导员工的行为以达到他的目标,了解这一简单的概念非常重要,这样在另一个人试图操纵你的时候你就更有可能发现。
欺骗不知情的人
我之前强调的是需要对员工进行充分的培训,使他们不会被陌生人说服去做某些事情, 所有员工同样需要了解按照请求在另一个人的计算机上执行任何操作都是很危险的,公司的政策应当禁止这些行为,除非得到一名指定的管理人员的批准。允许的情况包括:
当发出请求的是一个你非常熟悉的人,两个人面对面或者你通过电话确认了呼叫者的声音时。
当你通过严格的程序核实了请求者的身份时。
当行动得到一名主管或其他熟悉请求者的权威人士的批准时。
必须培训员工不去帮助不是亲自认识的人,即使那个人声称自己是经理主管人员。一旦安全政策方面的审核开始实施,管理层就必须让员工们遵守这些规定,即使这意味着员工可以质疑要求他们绕过安全规定的主管人员。
每家公司还需要有自己的政策和程序引导员工响应针对电脑或电脑相关设备的任何行动。在这个关于出版社的故事中,社会工程师有针对性的选择了一个没有接受过信息安全策略与程序培训的新员工。为防止这类攻击,所有员工都必须遵守这样一个简单的规则:不要在任何计算机系统上执行陌生人请求的操作,就这一点。
记住,任何能直接或间接接触到一台计算机(或一部与计算机相关的设备)的员工都很容易被攻击者操控成为实施一些恶意行为的代理。
员工们(尤其是IT员工)需要知道让外部人员进入他们的计算机网络就像是把你的银行帐户交给一个电话销售员或把你的电话卡号码交给一个监狱中的陌生人。员工们必须谨慎考虑那些能导致敏感信息泄露或危及公司计算机系统安全的请求。
IT员工也必须提防伪装成供应商的未知呼叫者。通常,公司应当考虑为每一个技术供应商指定具体的联系人员,如果实施了这一策略,其他员工就不会响应供应商索取资料或更改任何电话或电脑设备的请求。这样,指定的员工就会很熟悉打电话或前来拜访的供应商, 减小了被骗的可能性。如果一个和公司没有合同的供应商打来电话,也应当引起注意。
公司中的的每个人都必须了解信息安全威胁与攻击。注意,安全警卫等需要的不仅仅是安全培训,还应当包括信息安全培训,因为安全警卫经常要接触公司的设施,所以他们必须要能够识别各类针对他们的社会工程学攻击。
当心间谍程序
商业间谍程序曾经被许多家长用来监控他们孩子的网络行为,而对于公司的老板而言,他们需要找出那些不认真工作,只知道上网冲浪的员工,更重要的是找出那些潜在的信息窃贼或商业间谍。开发商推出间谍软件似乎旨在保护儿童,但事实上,他们真正的市场是那些想要暗中监视别人的人。如今,间谍软件之所以存在在很大程度上是因为人们想要知道他们的配偶或其他重要人物是否在骗他们。
前不久我开始写这本书中的间谍故事的时候,帮我收电子邮件的人(因为我被禁止上网)发现了一封宣传一系列间谍程序的广告邮件,其中一段是这样说的:
热门!必须拥有:
这一强大的监控程序秘密捕获所有的按键、时间与所有活动窗口的标题到一个文本文档,同时隐藏在后台运行。日志文件可加密并自动发送到指定邮箱地址,或仅存储在硬盘上。程序受密码保护并可在CTRL+ALT+DEL菜单中隐藏。可用它来监控输入的网址、聊天记录、电子邮件和许多其它东西(甚至是密码)。
在任何PC上后台安装并把日志发给自己!
杀毒软件的缺陷?
杀毒软件不能查出商业间谍程序,从而将其判定为非恶意软件,即使它的用途是监控他人。如此一来电脑就相当于一部被忽视的窃听器,在任何时候我们每个人都有被非法监控的危险。当然,杀毒软件厂商可能认为,间谍程序可以用于合法目的,因此不应当视为恶意软件。但是由黑客团体免费发布(或当成安全相关程序出售)的某些工具却会被视为恶意代码,我至今都不明白为什么会有这种双重标准。
同一封邮件中的另一段则声称它可以捕捉用户的电脑屏幕图像,就像是一台放在他肩膀上的摄像机。其中部分软件产品甚至不需要亲自接触受害人的电脑,只要远程安装并配置好应用程序,你就马上拥有了一部电脑窃听器!FBI(联邦调查局)肯定很喜欢这种技术。
由于间谍程序的广泛使用,你的企业需要建立双层防护。你应当在所有工作站上安装间谍程序检测软件,如SpyCop (网址: m),你还应当要求员工进行定期扫描。此外,你还必须培训员工提防下载程序或打开电子邮件附件之类的可以安装恶意程序的骗局。
除了防范间谍程序的安装(当员工因为茶会、午餐或会议离开办公桌时)以外,还应当规定所有员工在离开时必须使用屏幕保护密码或类似的方法锁定他们的计算机系统,这能大大降低员工的计算机被非法访问的可能性。即使混入某个人的房间或办公室也不能访问他们的任何文件,阅读他们的电子邮件或安装间谍程序(或其他恶意软件)。使用屏幕保护密码需要的资源几乎为零,却能很好地保护员工的工作站,在这种情况下进行成本效益分析应该是很容易的事情。
第十三章 聪明的骗局
现在你已经知道了,当接到陌生人请求敏感信息(或其它对攻击者有用的东西)的来电时,接电话的人必须被培训询问呼叫者的电话号码,然后打过去核实这个人的身份是否和他声称的一样——例如,一名公司员工,一名商业伙伴员工,或者一名供应商技术支持代表。
甚至当一家公司明确规定员工必须小心核实呼叫者的身份时,经验丰富的攻击者仍然可以利用许多骗局使受害人相信他们是他们声称的人,即使是安全意识较高的员工也会被下面所述的方法所骗。
骗人的来电显示
任何用手机接过电话的人都曾看到过来电显示——显示屏上呼叫者的电话号码。在商业环境下,员工只要看一眼便能知道打来的电话是公司同事还是外部人员。
很多年前,一些雄心壮志的电话盗打者就已经用上了来电显示功能,那时电话公司甚至还没有向公众开放这一服务,有一段时间他们吓坏了不少人,接电话的时候总是在对方还没来得及说话之前就喊出他们的名字。
当你养成了看来电显示的习惯时,你认为它是安全的并以此判断呼叫者的身份——这正是攻击者想要的。
琳达的电话
日期/时间:7月23日,星期二,下午3:12
地点:星级漫游航空公司财政部办公室
当琳达?希尔(Linda Hill)的电话响起的时候她正在为她的老板书写备忘录,她看了一眼来电显示,发现是一个叫维克托?马丁(Victor Martin)的人从公司在纽约的办公室打来的——她不认识这人。
她本来想把电话转到语音信箱,这样她就不会中断写备忘录的思路,但好奇心还是占了上风,她拿起了电话,然后对方自我介绍说他是产品推广部的员工,正在为CEO整理一些材料,“他正在赶往波士顿和我们的一些银行家开会,他需要本季度的财务报表,”他说,“另外,他还需要Apache项目的财政预算。”维克多提到了公司春季主打产品代号。
她问他要电子邮件地址,但是他说他现在无法接收电子邮件,技术人员正在想办法解决,能否传真过来?她说也可以,然后他把他的内部传真号给了她。
几分钟后她发出了传真。
但维克多并不在产品推广部工作,事实上,他甚至不是这家公司的员工。
杰克的故事
杰克?道金斯很年轻的时候就开始了他的职业生涯——在纽约人体育场、拥挤的地铁月台和夜间聚集着游人的泰唔士广场行窃。他可以从一个人的手腕上取下手表而不被发现,可见他动作之敏捷手法之高超。但在他充满烦恼的少年时期,他却因失手而被抓了。在少管所里,杰克学到了一个新职业,被抓住的可能性非常之低。
他当前的任务是获得一家公司的季度损益表与现金流量信息,要在这些数据被提交到美国证券交易委员会( SEC ) 并公布之前。他的客户是一个不愿意解释为什么需要这些信息的牙医,这个人的小心翼翼在杰克看来十分有趣,他之前的推测是——这家伙可能赌博赢了钱,要么就是有一个一直没被他的妻子发现的有钱的女朋友,或者也有可能是向他的妻子吹嘘了自己在股票市场的英明神武,总之现在他已经失去了所有的管束,只想进行一大笔投资,在这家公司公布他们的季度财务报表之前,预测他们的股票价格将如何变化。
人们惊讶地发现,细心的社会工程师可以迅速地应对从未遇到过的情况。当杰克从牙医那里回到家的时候,他已经想好了一个计划。他的一个朋友查尔斯?贝茨(Charles Bates)在Panda进出口公司工作,这家公司有自己的电话交换机或PBX(译者注:专用分组交换机)。
在了解电话系统的人熟悉的术语中,PBX连接着数字电话服务T1,并被设置为初始速率接口ISDN(综合服务数字网络)或PRI ISDN,这意味着从Panda打出的每一个电话都会通过一个数据频道发送呼叫处理信息到电话公司的交换机:这些信息包括将转到(除非被锁定了)对方来电显示上的主叫号码。
杰克的这个朋友知道怎样修改交换机让接到电话的人在来电显示上看到伪造的号码,而事实上电话是从Panda办公室打来的。这种骗局之所以有效,是因为当地电话公司懒得去验证客户的呼叫号码是不是实际上付钱的那个号码。
杰克?道金斯需要的只是使用这种电话服务,幸运的是他的朋友与合作伙伴查尔斯?贝茨总是乐于伸出援助之手,而只收取象征性的费用。在这里,杰克和查尔斯临时修改了电话交换机的设置,让Panda公司的一条指定电话线路使用维克托?马丁的内部电话号码,这样电话看上去就是从星际漫游航空公司打出的了。
你的来电显示不会出错,很多人都这样想,在这里,琳达愉快地把资料传真给了她认为是产品推广部员工的人。
当杰克挂上电话时,查尔斯又把交换机的设置给改了回来。
过程分析
一些公司不想让客户或供应商知道他们员工的电话号码。比如,福特公司规定,从他们的客户支持中心打来的电话应当显示800号码和“福特支持”字样,而不是每一个客户支持代表真实的电话号码。微软公司则让员工自己选择是否把电话号码告诉别人,并不是每一个接到他们电话的人都能看到来电显示并找出他们的位置。通过这种方法公司便能保持内部号码的隐匿性。
但是修改交换机设置对于一些人而言是在是太简单了,比如,恶作剧爱好者、收账单的人、电话销售员,当然,还有社会工程师。
变奏:美国总统来电
作为洛杉矶KFI谈话节目"互联网黑暗面"的客串主持人,我认识电台的节目总监大卫,他是我见过的最勤奋最负责的人,你很难电话联系到他,因为他实在是太忙了。他不接任何电话,除非来电显示上出现了他必须谈话的人。
当我打电话给他时候,因为我的手机出了问题,他不知道是谁的电话所以没有接,而让它转到了语音信箱,这让我觉得很失败。
我和一个老朋友详细地讨论了这件事,他创办了一家专门为高科技公司提供办公室的房地产公司。我们一起制定了一个计划,他可以使用他们公司的子午线电话交换机,也就是说他可以修改主叫号码,就像刚才的故事描述的那样。每当我需要联系节目总监但又打不通电话时,我就请我的朋友帮忙修改来电显示上的号码,有时候我想让电话看上去是大卫的办公室助理打来的,有时候则是电台的控股公司。
但我最喜欢的还是把它改成大卫自己家的电话号码,他总是会接,因为他信任这个人。当他拿起电话并发现我再一次和他开了个玩笑时,他永远都是那么幽默。当然,他会在线足够长的时间解决我的所有问题。
当我在阿特响铃秀上证明这一小小的骗局时,我让我的来电显示出现了FBI洛杉矶总部的名字和号码。阿特对整件事情非常震惊,他警告我说这是违法的,但我告诉他这是完全合法的,只要不用来诈骗。在那次节目之后我收到了几百封电子邮件,他们想知道我是怎么做到的,现在你知道了。
这对社会工程师而言是获得信任的绝佳工具,例如,在社会工程学攻击的调查阶段,只要目标有来电显示,攻击者就可以让他或她的电话看上去是从可信的公司或员工打来的,收账单的人也可以让他或她的电话看上去是从你的办公场所打来的。
想一下这意味着什么,计算机入侵者可以在家里打电话给你,声称自己是你公司的IT部门员工,然后说服务器崩溃了,他需要你的密码来恢复你的文件;或者电话上出现了你的银行或证券交易所的名字,一个声音甜美的女孩想确认一下你的账户号码和你妈妈的婚前姓,另外,因为系统出了一些问题,她还需要核对你的ATM PIN码;股票市场的证券欺诈经营者可以让他们的电话看上去是来自美林证券公司或花旗银行;某个想盗窃你身份的人可以从移民局打来电话,让你告诉他你的签证卡号;一个嫉恨你的家伙可以打来电话声称自己来自IRS(译者注:美国国税局)或FBI。
如果你通过一个电话系统连接上了一个初始速率接口(PRI),那么再加上一点点从系统供应商的网站上学到的编程知识,你就可以用这种方法和你的朋友开玩笑。认识的某个人有强烈的政治愿望?你可以把呼叫号码改成202-456-1414,这样他的来电显示就会出现“白宫”的名字。
他会认为自己接到了总统的电话!
这些故事要表达的意思很简单:不能信任来电显示,除非已经确认是内部号码。无论是在工作中还是在家里,每个人都需要知道这种骗局并意识到来电显示上出现的名字和电话号码是无法验证身份的。
米特尼克语录
下一次当你接到电话时,如果来电显示上的是你亲爱的老妈,谁知道啊——她可能是个年轻可爱的社会工程师。
无形的员工
雪莉?卡特拉斯(Shirley Cutlass)找到了一个新的令人激动的赚钱方法,告别长时间的既辛苦又乏味的工作,她加入到上百个侵淫此道数十年的行骗艺术家当中,成了一名身份窃贼。
现在她的目标是获取一家信用卡公司客户服务部门的机密信息,在常规的准备之后,她打到目标公司,告诉接线员她想要连线电信部门,然后她对电信部门的人说她想和语音信箱的管理员通话。
利用她之前搜集的信息,她自称为克里夫兰办公室的诺玛?托德(Norma Todd),现在你应该很熟悉这个骗局,她说她将在一周后前往公司总部,她需要一个这里的语音信箱,这样她就不用打长途电话查看她的语音信息。他说他会在办好之后回电话给她,因为会有一些她需要的信息。
她用迷人的声音说,“我在去开会路上,我能在一小时后打给你吗?”
当她打回去的时候,他说已经设置好了,然后是一些必要的信息——她的分机号和临时密码。他问她是否知道怎样更改语音信箱的密码,虽然她知道的并不比他少,但她还是让他讲解了一遍操作步骤。
“顺便问一句,”她说,“从我的旅馆,要打哪个号码才能查看我的信息?”他给了她那个号码。
然后雪莉打了进去,更改了密码并录入了新的问候语。
雪莉的入侵
到目前为止一切都很简单,现在她准备施展欺骗的艺术了。
她打电话到目标公司的客户服务部门,“克里夫兰办公室人力资源部,”她说,然后变化了一下这个耳熟能详的借口,“技术支持人员正在修理我的电脑,我需要你帮忙查找这些信息。”接着她提供了一些她想要窃取身份的人的名字和生日,然后她列出了她想要的信息:地址、母亲的婚前姓、卡号、信贷限额、可用信用、支付历史。“按这个号码打给我,”她给出了语音信箱管理员为她设置的内部分机号,“如果我不在的话,只要在我的语音信箱里留言就可以了。”
她一早上都在忙其它事情,然后在下午查看了她的语音信箱,她想要的信息都在。在挂电话之前,雪莉清除了问候语:如果不小心的话会留下她的声音记录。
身份盗窃是美国增长率最高的犯罪形式,“在”新世纪的犯罪中,总会有下一个受害者。雪莉用她刚刚得到的信用卡与身份信息开始了刷卡消费。
过程分析
在这个骗局中,攻击者首先让语音信箱管理员相信她是公司的一名员工,这样他就帮她设置了一个临时的语音信箱。如果他进一步进行了核实,他会发现她给出的名字和电话号码可以和公司的员工数据库列表匹配。
接下来的事情很简单了,以电脑故障为由,请求需要的信息,并要求在语音信箱中留言。有什么能阻止员工和同事分享信息?只要看到雪莉提供的内部分机号,就没有任何怀疑的理由。
米特尼克语录
试着偶尔打到你自己的语音信箱,如果你听到问候语不是你的声音,你可能已经遇到你的第一个社会工程师。
提供帮助的秘书
骇客(Cracker)罗伯特?乔迪(Robert Jorday)经常入侵一家环球公司的网络,鲁道夫海运公司。最终这家公司发现有人入侵了他们的终端服务器,通过这台服务器用户可以连接到公司的任意一台计算机。为了维护公司网络,这家公司决定在每一台终端服务器上添加一道拨号密码。
罗伯特伪装成法务部的律师打电话到网络操作中心说他无法连接网络,接电话的网络管理员解释说出台了新的安全措施,所有的拨号访问用户都必须从他们的经理那里获得一个每月密码。罗伯特想知道经理是怎样得到这个每月密码,得到的回答是,下个月的密码会写入备忘录,然后通过办公室邮寄给每一位公司经理。
这让事情变得很简单,罗伯特稍微调查了一下,然后在月初打电话到这家公司,连线了一位经理的秘书,她说自己叫珍妮特。他说,“嗨,珍妮特,我是研发部的兰迪?古德斯丁(Randy Goldstein),我知道备忘录里有从公司外部登录终端服务器的每月密码,但是我怎么也找不到,你能从你的备忘录找到它吗?”
是的,她说,她找到了。
他问她是否可以把它传真过来,然后她同意了,他给了她一个前台接待员(在这家公司的另一栋大楼里)的传真号码,他已经安排好了一切,包括把密码传真转发出去。在这里,罗伯特转发传真的方法有点与众不同,他给了接待员一个在线传真服务的号码,如果他们收到了传真,系统会自动转发到客户的电子邮箱地址。
新密码将被发送到一个Email秘密传送点,罗伯特选择了中国的免费电子邮箱。他知道如果这个传真被跟踪了,调查者可以与中国官方合作把他给揪出来,但是,他们也许并不想被这种小事打扰。最棒的是,他甚至没见过那台传真机。
米特尼克语录
人们总是乐于帮助一名熟练的社会工程师,接收一份传真并把它转发到另一个地方似乎是无害的,让一个接待员(或其他人)答应帮忙实在是太简单了。当有人向你请求一些信息时,如果你不认识他或无法核实他的身份,只要拒绝就可以了。
交通法庭
或许每一个接到过超速罚单的人都做过关于逃避处罚的白人梦,不去交通法规学习班,只支付罚款,或碰碰运气设法让法官相信警车计速器(或雷达测速仪)出了一些技术问题。利用系统的漏洞,这个美好的愿望即将实现。
骗局
虽然我不建议你使用这种方法逃避罚单(有句话说的好,请勿轻易尝试),但这仍然是一个很好的社会工程学案例。
我们就叫这个交通违规者保罗?杜里(Paul Durea)好了。
第一步
“霍伦贝克区,洛杉矶警察局(LAPD)。”
“你好,我想和传票管理员谈话。”
“我就是。”
“好的,我是米查姆和塔尔波特的代理律师,我需要在法庭上传唤一名警官。”
“没问题,你要传唤谁?”
“肯德尔警官是你们区的吗?”
“他的编号是?”
“21349。”
“是的,你什么时候需要他?”
“下个月的某个时候,我还需要传唤其他几个证人才能确定开庭时间,肯德尔警官下个月有哪些安排?”
“让我来看看……20号到30号是他的假期,他将在8号和16号参加培训。”
“谢谢,我需要的就是这些,开庭日期定下来我会再打给你的。”
地方法院,办事员前台
保罗:“我想要确定一下这张交通告票的开庭日期。”
办事员:“好的,我可以帮你安排在下个月的26号。”
“好,我想要安排一次传唤。”
“你想为交通告票传唤某个人?”
“是的。”
“好吧,我们可以把传唤设在明天上午或者下午,你想设在什么时候?”
“下午。”
“传唤设在明天下午1:30,在第六法庭。”
“谢谢,我会来的。”
地方法院,第六法庭
日期:星期四,下午1:45
办事员:“杜里先生,请靠近长椅。”
法官:“杜里先生,你了解你的权利了吗?”
保罗:“是的,法官大人。”
法官:“你愿意参加交通法规学习班的培训吗?你的案子将在你成功完成8小时的课程后取消,我查看了你的档案,你目前符合标准。”
保罗:“不,法官大人。我恳请审判此案。还有一件事,法官大人,我要出国一段时间,只在8号和9号有空,能不能把我的案子的审判放在其中一天?我明天就要到欧洲进行商务旅行,我将在四周后回来。”
法官:“非常好,审判设在六月八号,上午8:30,第四法庭。”
保罗:“谢谢你,法官大人。”
地方法院,第四法庭
八号那一天,保罗很早就到了法院。当法官进来的时候,办事员给了他一张未出庭的警官列表,法官召集了所有被告,包括保罗,然后告诉他们他们的案子被取消了。
过程分析
当警官开罚单的时候,他会把他的名字和他的证件号码写在上面(或者其它可以联系他的私人号码),找到他工作的地方简直是小菜一碟。只要打个电话到号码服务台,查询一下写在传票上的执法机构名(公路巡逻局、县警察局、或者其它),事情就成功了一半,接着和那个机构取得联系,他们能提供给呼叫者传票管理员的电话号码。
执法部门的官员经常被法院传唤出庭作证:这是他们的职责之一。当检察官或辩护律师需要一名警官出庭作证时,如果他知道系统是怎样运转的,他就会首先确认这名警官是否有时间出庭。这很容易办到:只要打个电话给那里的传票管理员就可以了。
在谈话中,律师通常会询问那名警官在某月某日是否时间,为了实现这个骗局,保罗稍微变通了一下:他用一个似是而非的理由获知了那名警官无法出庭的时间。
当保罗第一次到法院去的时候,他为什么不直接告诉法院办事员他想安排在哪一天?答案很简单——我个人认为,大多数地方的交通法院办事员不允许让公众成员选择开庭日期,如果办事员提出的日期当事人无法接受,她会提供一个折中的选择,但是她会做出很大的让步。另一方面,想要获得额外的传讯时间的人可能会更走运一些,保罗知道他可以申请传讯,并且法官通常会为传讯安排指定的日期。他请求在那名警官参加培训的那一天开庭,要知道在这种情况下,警员培训比出庭作证要重要得多。
米特尼克语录
人类的思想是一种神奇的产物,比如人们在脑海里设计骗局得到他们要想的东西或者脱离险境。你可以在公共与私营部门中利用同样的创造力与想像力保护信息与计算机系统的安全。所以,各位,当你们制定你们公司的安全策略的时候——要打破常规去思考问题。
在交通法院,如果传唤的警官没有出现——案子就会被取消,没有罚款,不用去交通学校,没有分数,最棒的是,不会留下任何交通肇事的记录!
我猜会有一些警务人员、法院办事员、检察官和类似的人读到这个故事会摇摇头,因为他们知道这种骗局是可行的,但他们只是摇摇头而已,我敢打赌不会有任何改变。就像电影《通天神偷》(1992年)中科斯莫说的那样,“一切只和零与一有关”——意思是,最终,所有的东西都将归结为信息。
