只要执法机构愿意把一名警官的日程表提供给任何一个打电话来的人,人们躲避交通罚单的能力就会一直存在下去。聪明的社会工程师可以利用它来获取你不想让他们知道的信息,在你的公司或机构的程序中有类似的缺口吗?
萨曼塔的报复
萨曼塔?格雷森生气了。
她一直在为她的大学商学位而努力,为此她还申请了一大笔助学贷款,因为她总是听到别人说,大学学位能让你成就一番事业,大学学位能让你赚到很多很多的钱。然后她毕业了,却发现自己连一份合适的工作都找不到。
收到蓝贝克制造公司的聘用协议着实让她高兴了好一阵子,虽然这份秘书工作对她而言实在是大材小用,但卡特莱特先生说他们很欣赏她,并承诺在下一个非行政职位空缺时将她纳入候选人中。
两个月后,她听说卡特莱特先生的一个产品采购经理离职了,那天晚上她很久都没有睡,想象着自己在五楼办公室出席会议并参与公司决策的样子。
第二天一大早她就遇上了卡特莱特先生,他说他们觉得在她胜任这一职位之前,她还需要学习更多的行业知识,然后他们从公司外面雇用了一个外行人,一个比她差多了的外行人。
她很快就明白了:这家公司有很多女职员,但她们清一色的都是秘书,他们不会给她一份经理工作,永远也不会。
报复
她花了差不多一个星期才想好怎样报复他们。大概一个月前的产品发布会上,有一家商业杂志的记者想要采访她,几周后那个人打来电话说,希望她能提供一些Cobra 273的未公开信息,作为回报,他会送花给她,并且如果这些信息很有吸引力,他会专门从芝加哥跑来约她吃饭。
她每天会有一段时间待在乔汉森先生的办公室里,所以当年轻的乔汉森先生登录公司网络的时候,她站在后面看得一清二楚(有时候这也称为肩窥),他输入的密码是“marty63”。
她的计划已经开始实施了。她记得有一份备忘录是在她来公司后不久分发的,她在其中找到了一份复印件并仿照原始版本打印了一份新的,内容如下:
TO:C. 比尔顿,IT部
FROM:L. 卡特莱特,开发部
马丁?乔汉森将转到我部门的专业研究小组工作,因此我授权他访问开发组使用的服务器,乔汉森先生的安全配置将更新为产品开发者权限。
路易斯?卡特莱特
术语
肩窥:通过监视用户输入,窃取密码或其它用户信息的行为。
当大部分人都出去吃午餐的时候,她把卡特莱特先生的签名从最初的备忘录上剪切下来,粘贴到她的版本上面,并在四周涂上修正液。她把成果复印了一份,然后再复印了一份复印件,你几乎看不到签名四周的痕迹。最后她在卡特莱特先生办公室附近的传真机上把它发送了出去。
三天后,等到所有人都离开了公司,她走进乔汉森的办公室,尝试用的他的用户名和密码(marry63)登录网络,结果成功了。
只用了几分钟她就找到了Cobra 273的产品规格文件并将其下载到了Zip磁盘上。
当她在凉爽的夜间像风一般走入停车场的时候,那张磁盘正平平安安地待在她的钱包里,等待着和那名记者的见面。
过程分析
一个不满的员工,一次文件搜寻与快速剪切粘贴-修正液操作,少量有创意的复印与一份传真,然后,瞧!——她得到了机密的商业产品技术规格书。
几天以后,一家商业杂志的新闻记者独家报导了一个热门新产品的技术规格书和产品销售计划,这些都在产品发布之前几个月出现在了该杂志的所有订阅者手中,竞争对手将有几个月的时间抢先开发同类产品并在他们的广告活动中做好准备影响Cobra 273的发售。
当然,这家杂志绝不会透漏他们的消息来源。
防范措施
当被请求任何有益于竞争对手的贵重、敏感或关键信息时,员工们必须了解通过来电显示验证外部人员的身份是不被允许的,必须要有一些其它的验证方法,比如与此人的主管联系,确认这些请求是合法的,用户已被授权接收这些信息。
各公司必须自行控制验证程序中安全与效率的平衡。哪些安全措施应当被优先考虑?员工们会不会抵制这些安全措施?甚至绕过它们以完成他们的工作任务?员工们了解为什么安全对公司和他们自己都如此重要吗?这些问题的回答将帮助建立基于企业文化和商业需求的安全策略。
大部分人难免会认为这些安全措施妨碍到了他们的工作,连绕过它们都是在浪费时间。可以通过宣传和教育,鼓励员工们把安全工作当成他们的日常职责。
尽管不能用来电显示验证外部呼叫者的身份,但是另一种叫做自动号码识别(ANI)的服务却可以。当一家公司开通了免付费电话(由公司支付呼入费用)时,这种服务可以准确地识别呼叫者。与来电显示不同的是,电话公司交换机不会接受客户发送过来的呼叫号码,ANI传输的号码是分配给呼叫用户的付费号码。
另外,一些调制解调器厂商把来电显示功能添加到了他们的产品里,为保护企业网络而设定了只接受指定电话号码的远程访问。调制解调器的来电显示功能可以在安全级别较低的环境下作为身份验证的手段,但是,众所周知,伪造来电显示对于计算机入侵者而言并不是一件难事,因此在安全级别较高的情况下不能据此判断呼叫者的身份或位置。
在身份盗窃的案例中,管理员在企业电话系统上为入侵者创建了一个语音信箱,为了防止此类事件的发生,企业应当规定所有的电话系统、语音信箱和所有的企业目录(不管是印刷的还是在线的)在被使用时必须提出书面请求,形式固定,员工经理应当在这份请求上签字,然后交语音信箱管理员核实。
企业安全策略应当规定,在创建新的计算机账户或增加账户权限时,必须向系统管理员或他(或她)的指定负责人核实该请求,可以在纸质或在线公司目录上找到相应的电话号码。如果你们公司使用经过数字签名的安全电子邮件,这种折中的验证方法也可以接受。
记住,每一个员工(不管他是否能访问公司的计算机系统)都有被社会工程师利用的可能性。每个人都必须接受安全知识培训。所有的行政助理、接待员、电话接线员和安全警卫都必须要熟知各类社会工程学攻击(大多数都是针对他们的),这样他们才能更好地防范这些攻击。
第十四章 商业间谍
针对政府、企业和大学机构的信息安全威胁已经很好地得到了介绍,几乎每一天都会有媒体报导新的计算机病毒、拒绝服务式攻击、电子商务网站的信用卡信息盗窃案。
我们经常读到关于商业间谍的新闻,比如,Borland指责Symantec盗窃商业机密,Cadence设计规划公司控诉竞争对手盗窃其产品源代码,许多商业人士认为在他们公司绝不会发生这种事情,但是,这种事情每天都在发生。
计划变更
下面故事中的骗局或许已经被实现过很多次了,虽然这很像是好莱坞电影(比如《The Insider》)里的情节或者约翰格雷森姆的法律惊险小说。
集体诉讼
假设有一场针对Pharmomedic制药公司的集体诉讼,该诉讼声称他们发现该公司的一种非常受欢迎的药物具有破坏性的副作用,这种副作用将在病人服药多年以后显露出来,该诉讼声称他们是从一系列的调查研究中得出这一结论的,但是这些证据被压下不用,并且没有在规定的时间内转交给FDA(食品及药物管理局)。
威廉?比利?钱尼(William "Billy" Chaney),处理此案的纽约律师行代理律师,得到了两个Pharmomedic医生的证词,但是两人全都退休了并且没有任何档案或文件,所以不能作为令人信服的证人。比利知道自己现在处于弱势,除非他能得到其中一份报告或者内部备忘录(或公司高层之间的通讯)的副本,否则他的整个案子都将崩溃。
因此他选择了和一家公司再次合作:安德雷森父子私人调查公司。比利不知道彼得和他的人是怎样获得这些资料的,他也不想知道,他只知道彼得?安德雷森(Peter Andreeson)是一个好侦探。
至于安德雷森,他把像这样的任务称为黑袋子秘密调查,第一条规则就是让雇用他的律师事务所和公司不知道他是怎样获得这些信息的,所以他们总是解释得模模糊糊似是而非。如果有人愿意自找麻烦的话,越难的任务他所收取的费用越高,他认为这值得冒险,除此之外,他还能从欺骗聪明人的过程中找到个人满足感。
如果钱尼希望他找到的那些文件确实存在并且没有被销毁,他们也许会把它放在存放文件的某个地方,但是要从堆积如山的文件中把它们找出来无疑是一项艰巨的任务。另一方面,假设他们已经把文件的副本交给了他们自己的律师事务所(詹金斯与派屈),如果辩护律师知道这些文件的存在并且不把它们转交到取证程序,那他们就违反了律师的职业道德并触犯了法律,在彼得看来,这制造了许多可攻击的对象。
彼得的攻击
彼得让他的人着手调查,几天后他弄清了詹金斯与派屈律师事务所存放异地备份的位置,他还了解到存储公司有一张律师事务所授权提取磁带的人员名单,名单的上的每个人都有各自的密码。彼得派了两个人进行这一次的黑袋子秘密调查。
他们用从网上(m)买来的开锁工具开锁,几分钟后就溜进了存储公司的办公室(大概凌晨3点),其中一人打开一台PC机,屏幕上出现了Windows 98的图标,他们笑了,这简直就是小菜一碟,Windows 98没有任何形式的身份认证程序。稍加搜索之后,他们找到了含有授权名单的Microsoft Access数据库。他们在詹金斯与派屈律师事务所的授权名单上添加了一个伪造的名字,其中一人早就准备好了匹配的驾驶执照,当然也是假的。他们能闯入带锁的存储室并找到他们客户想要的磁带吗?当然能——但是,这家公司所有的客户(包括律师事务所)都会收到一张受损通知,这样一来攻击者就失去了应有的优势:专业人员总是为以后进出留下后门,以备不时之需。
按照商业间谍的常规做法,他们把一些也许以后要用的东西放进了后口袋,然后把包含授权名单的文件复制到了软盘上,他们谁都不知道这是否有用,但是“我们已经在这儿了,不如……”,事后常常证明了这样做的好处。
第二天,其中一人打电话到存储公司,使用他们添加到授权名单上的名字和相应的密码通过了验证,然后请求提取詹金斯与派屈律师事务所上个月所有的磁带,并说将会有信使服务来拿包裹。大概下午三点,安德雷森拿到了那些磁带,他的人把所有的数据复制到了他们自己的电脑系统上,准备在空闲时间进行搜索。让安德雷森感到高兴的是,律师事务所和其它大多数商业公司一样,并没有加密他们的备份数据。
磁带在第二天就送回了存储公司,没有引起任何人的注意。
米特尼克语录
有价值的信息无论在哪儿都必须受到保护(不管是哪种形式)。一家公司的客户名单,不管是存储箱里印刷文档还是办公室的电子文档,具有同样的价值。社会工程师总是喜欢轻松地绕开安全措施,选择最薄弱的环节作为攻击目标。窃取一家公司的异地备份储存设备被发现或被抓住的风险很低,每一家公司在存储任何有价值、敏感或者关键的数据之前,都应当将其加密以保护数据的机密性。
过程分析
因为松懈的物理安全,坏人们轻易地打开了存储公司的锁,获得了计算机的访问权限,然后修改了包含存储室授权名单的数据库,用名单上伪造的名字获得了他们需要的计算机备份磁带,而不是闯入这家公司的存储室。因为大多数的商业公司没有加密备份数据,他们得到的是可用的信息。
一家没有采取合理的安全措施的服务公司让攻击者轻易地获得了他们的客户信息资源,这只是其中的一个例子。
新的商业伙伴
社会工程师比起骗子来有一个巨大的优势,那就是距离。骗子骗你的时候你肯定在场,你可以对他有一个直观的描述,如果你发现得早,甚至还可以打电话叫警察。
社会工程师通常会像躲避瘟疫一样躲避风险,但是有时候必须要冒一定的风险,为了潜在的回报,这样做是值得的。
杰西卡的故事
杰西卡?安多弗(Jessica Andover)对自己在快车数控公司的工作非常满意,当然了,一切才刚刚开始,他们付的钱不多,但是这里的人都很友好,并且她很兴奋地了解到她的员工认股权能够让她变得有钱,也许不会像公司创始人那样成为百万富翁,但是对她而言,这已经足够了。
八月的星期二上午,瑞克?戴高特(Rick Daggot)一走进大厅就收到了一个灿烂的微笑,昂贵的衣服(阿玛尼)和重金表(劳力士),完美的发型,他的男子气概和自信在杰西卡的高中时代足够让所有的女生为之疯狂。
“你好,”他说:“我是瑞克?戴高特,我找拉里。”
杰西卡淡淡地微笑,“拉里?”她说,“拉里这个星期休假。”“我和他约在一点,我刚从路易斯维尔飞过来。”瑞克说,然后他拿出他的掌上电脑,把它打开来给她看。
她看了一下然后轻轻地摇了摇头。“20号,”她说,“是下个星期。”他把掌上电脑收回来仔细看了看,“喔,不!”他惊叹道,“真不敢相信我犯了这么愚蠢的错误。”
“我帮你订回程机票吧,好吗?”她很同情瑞克。
在她打电话的时候,瑞克说他和拉里准备建立战略营销同盟,瑞克的公司为生产装配线制造的产品可以和他们的新产品C2Alpha完美的结合起来。瑞克的产品与C2Alpha的合作将为两家公司打开重要的工业市场。
当杰西卡预定好下午晚些时候的航班时,瑞克说,“好吧,至少我可以和史蒂夫谈谈,如果他在的话。”但是史蒂夫,这家公司的副总裁和共同创办人,通常都不在办公室。
瑞克很友好地和杰西卡开了几个玩笑,然后暗示在下午回去之前他还有很多时间,他可以和一些关键人物一起吃午餐,接着他补充道,“当然,也包括你——如果没有其他人邀请你共进午餐的话。”
瑞克很友好地和杰西卡开了几个玩笑,然后提出他可以和一些关键人物一起吃午餐,在下午回去之前他还有很多时间。“当然,也包括你——如果没有其他人邀请你共进午餐的话。”他补充道。
杰西卡明白了这句话的意思,面色有些红晕,她问,“你想要哪些人来?”他再一次打开了他的掌上电脑,然后列举了一些人的名字——研发部(R&D)的两个工程师,新来的营销员,还有负责项目经费的财务人员。瑞克建议她告诉他们他和这家公司之间的关系,并且他想向他们介绍自己。他说出了这一区最好的餐厅的名字,那是杰西卡一直想去的地方,他说他已经订好了12:30的桌子,上午晚些时候他会打电话来确认事情都已经安排好了。
当他们聚集在餐厅的时候——他们四个加上杰西卡,他们的桌子还没准备好,所以他们在吧台旁边坐了下来,瑞克很清楚地表示饮料和午餐都算他的。瑞克很有风度也很合群,是那种刚见面就让人觉得很舒服的人,你甚至会觉得已经认识他很多年了。他似乎总是知道应该说什么好,在冷场的时候总是能进行生动的评论或者谈论一些有趣的东西,让人觉得有他在真好。
他共享了一些他自己公司的产品资料,足以让他们对合作方案展开想像。他举出了几个已经成为他的公司客户的财富500强公司,然后所有人都开始想像他们的产品一经推出就大受欢迎的样子。
然后瑞克走向了其中一个工程师布莱恩。当其他人各自聊着天的时候,瑞克私下里和布莱恩进行了交流,布莱恩向他的描述了C2Alpha的特色和一些其它竞争者没有的功能,他发现了几个布莱恩非常喜欢并认为“非常棒”但没有得到公司重视的功能。
瑞克一个一个地走过去和他们聊天,那个营销员为自己有机会谈论首次展出日期和销售计划而感到高兴,而精于计算的瑞克则从口袋里拿出了一个信封,详细地写下了生产成本、价格底线、预期盈利和每一个供应商(按名称排列)的销售价格。
当他们的桌子准备好的时候,瑞克和每一个人都交换了看法并赢得了大家的尊敬。在午餐的最后,他们依次和瑞克握手并向他表示感谢,而瑞克则和他们交换了各自的名片,顺便和布莱恩(那个工程师)提起他想在拉里回来的时候和他进行深入的讨论。
第二天布莱恩就接到了瑞克的电话,他说他刚和拉里通完话。“我星期一会来和他讨论一些具体的问题,”瑞克说,“他想让我为你们的产品提速,他要你把最新的设计与规格Email给他,他会从中挑选要转交给我的部分。”
布莱恩说没问题,瑞克继续说道,“拉里想告诉你他的常用邮箱出了问题,无法接收Email,为此他在宾馆的商务中心申请了一个Yahoo邮箱帐号,他说你可以把文件发送到larryrobotics@m。”
星期一上午,当拉里轻松地走进办公室的时候,杰西卡正在滔滔不绝地说着瑞克,“他人真好,请了好多人一起吃午餐,连我都去了。”拉里一脸的茫然,“瑞克?那该死的瑞克是谁?”
“你在说什么啊?他是你的商业伙伴啊。”“什么!!!???”
“所有人对他印象都很深,他问了一些很好的问题。”“我不认识什么瑞克……”
“你怎么了?你在开玩笑吗?拉里——你是在忽悠我,对吧?”
“让所有的主管到会议室来,马上,不管他们在做什么,还有每一个去吃了那餐饭的人,包括你。”
他们忧郁地坐在桌子四周,几乎没有人说话。拉里走进会议室,说,“我不认识这个叫瑞克的人,也没有什么新的商业伙伴,这件事我是最后一个知道的,我认为这很明显了,如果这是我们中的某个人开的玩笑,我希望他现在大声地说出来。”
鸦雀无声,会议室陷入了沉寂。
最终,布莱恩说话了,“为什么我发产品规格和源代码的email给你的时候你不说呢?”
“什么email?”
布莱恩呆住了,“噢,该死的!”
克利夫,另一个工程师,插话说,“他给了我们所有人名片,我们只要打电话给他看看到底是怎么回事。”
布莱恩拿出他的掌上电脑,调出一条记录,并把它递给桌子对面的拉里。当拉里拨电话的时候,他们还抱着一线希望,所有人都出神地看着拉里。片刻之后,他按下了免提键,所有人都听到了电话里的忙音。在超过20分钟的时间尝试拨打这个号码几次之后,拉里只好打给接线员请求紧急中断。
几分钟后,接线员的声音出现在了电话里,她用质问的口气说,“先生,你从哪儿得到的这个号码?”拉里告诉她是从一个他很想联系上的人的名片上,接线员说,“我很抱歉,这是电话公司的测试号码,永远都是忙音。”
拉里开始列举瑞克得到的信息,情况不容乐观。
两个便衣警察来做了笔录,在听了这个故事之后,他们指出这没有违反任何州法,他们帮不上忙。他们建议拉里联系FBI,因为他们有权制止任何涉及州际贸易的犯罪行为。当瑞克?戴高特伪造身份让工程师寄出测试结果时,他可能违反了一项联邦法律,但是要等到瑞克和FBI谈话的时候才知道
三个月后,当拉里吃完早餐在厨房读早报的时候,他的咖啡差一点洒了出来,自从他第一次听到关于瑞克的事以后就一直在担心,而现在,他最坏的恶梦变成了现实。商业版的头条上白纸黑字写着:一家他从未听说过的公司发布了一个新产品,似乎很像是他的公司已经开发了两年的C2Alpha。
通过骗局,这些人在市场上打败了他,他的梦想破灭了。投资研发的百万美元浪费了,他还找不到任何证据证明是他们干的。
山米?桑福德的故事
足够聪明,找一份高薪工作不是问题,但是不够安分,宁愿靠行骗谋生,山米?桑福德(Sammy Sanford)一直做得非常好,直到他遇见了一个因饮酒问题而被迫提前退休的特工,这个人已经找到了用政府要求他熟练的技能赚钱的方法,他一直在寻找能用的人,然后他发现了山米,在他们第一次见面的时候。山米觉得这很简单,回报也很高,就把他的重心从诈骗转移到了盗窃公司机密上。
大部分人不知道我在做什么。通过电话或者互联网和人们聊天,任何时候都不会有人看见你,但是任何一个优秀的骗子,都能够用传统的、面对面的方式撒下弥天大谎,并让你相信它(现在还有很多这样的人,超乎你的想像)。我认识的一个检察官认为这是犯罪,但我觉得这是一种天分。
但是你不能盲目前进,首先你必须制定计划。在街头行骗中,你可以用友好的对话试探目标,然后措辞小心地提出建议,如果得到了正面的回应,嘿!——你就抓住了一只鸽子。
公司任务和我们的大型骗局差不多,你得要一步一步来,找出他们的“按钮”,了解他们想要什么、需要什么,制定攻击计划,耐心地做你的功课,了解你将要扮演的角色,背好台词,在你做好准备之前不要走进那张门。
我花了三个星期调查目标,然后与客户商讨了两天怎样介绍“我的”公司和怎样解释两家公司的商业合作联盟。
接下来的事情很顺利,我打电话到那家公司说我是风险投资公司的,我们要安排一次会议,我想在下个月找出一个所有股东都用空的时间,有没有我应该避开的、拉里的不在的时间段?然后她说,自从他们创办了这家公司以来,两年里他几乎没有休息过,但是这一次他的妻子把他拽了出来,他会在八月的第一个星期度过一个高尔夫假期。
离现在还有两个星期,我可以等。
在此期间一家业内杂志给了我该企业的公关公司名称,我说我很喜欢他们为数控公司提供的服务,我想让同一个人负责我的公司,结果我见到了一位精力充沛的年轻女士,她大概认为她会得到一个新的客户。在一顿昂贵的午餐(她实际上并不想要这么多酒,但是我想喝)上,她尽全力让我相信他们非常擅于理解客户的问题并找出正确的公关解决方案。我假装不是很相信,想得到一些详细的资料。在我的提醒下,她把新产品的很多情况和这家公司的一些问题全都告诉了我,超出了我的预期目标。
事情发展得很顺利,因为我的“失误”,到了那里才发现会议在下个星期,但是我想在这段时间里和公司的团队见一下面,接待员轻易地相信了我,她甚至同情起了我。午餐花了我足足150美元,包括小费,但是我得到了我想要的东西,电话号码、工作头衔和一个关键人物的信任。
布莱恩被我给骗了,我承认。他看上去就像是那种会把所有我请求的资料发给我的人,但是当我说出项目名称时,听上去他还是犹豫了一会儿,这在意料之中。那个email账户用的是拉里的名字,为了以防万一,我把它放在了后口袋里。Yahoo的安全人员也许还期待着有人再次登录那个账户好让他们追踪他,他们可有得等了。胖妞开始唱歌了,我又有新的任务了。
过程分析
任何街头骗子都能够很好地伪装自己,他会让自己在赛马场是一个样子,在当地的酒吧是一个样子,在梦幻旅馆的高消费吧台又是另一个样子。
这对商业间谍而言是一样的。如果要伪装成一家公司的主管、顾问或者销售代表,一套合适的衣服和领带是少不了的,当然,还要有一个昂贵的公文包。在不同的任务中,扮演软件工程师、技术人员或者邮件收发员所穿的衣服(或制服)都各不相同。
为了渗透进这家公司,这个自称是瑞克?戴高特的人知道他必须表现出足够的自信和能力,之前他就已经对这家公司的产品和整个行业做了充分的调查。
要得到他需要的信息并不很难。他发现了一个简单的方法可以找出这家公司的CEO外出的时间。要找到足够的工程资料是个小小的挑战,但不是很难,这让他可以了解他们在做什么的“内部消息”。这些信息通常可以从很多地方获得,比如各种各样的服务公司、投资者、风险投资商、他们的银行家和他们的律师事务所。尽管如此,攻击者还是很小心:如果找对了人还好,要是两三次遇到不配合的人,就会有被发觉的危险。这条路充满了危险,所有的瑞克?戴高特都需要谨慎地选择并遵守每条路只走一次的法则。
午餐是另一件难事。首先他要安排一段时间和每个人单独相处,在别人听不到的地方。他告诉杰西卡的时间是12:30,但是却在一家高消费的餐厅订了下午1点的桌子。按照他的计划,他们不得不在吧台上喝东西,这样一来,他就可以到处走动和每个人单独聊天了。
尽管如此,瑞克还是有被发现的危险——只要一句错误的回答或者粗心的评论就够了。只有无比自信和狡猾的商业间谍才敢冒这样的险,但是多年街头行骗的经验让瑞克充满了自信,即使出现失误,他也可以很好的掩饰并消除任何怀疑。这是整个行动中最有挑战性,也是最危险的一部分,完成像这样的骗局让他清楚地认识到,为什么他没有飚车、跳伞或者婚外恋——因为这份工作让他充满了激情。有多少人能像他一样?他想知道。
米特尼克语录
虽然大部分的社会工程学攻击都出现在电话或email上,但是不要认为不会有胆大的攻击者出现在你的公司。在大多数情况下,行骗者能够用普通的常用软件,比如Photoshop,伪造一张员工证件进入大楼。
写有电话公司测试专线的名片是怎么来的?在《罗克福德档案》(关于一个聪明、幽默的私家侦探的故事)中,罗克福德(由James Garner扮演)的车上有一部便携式名片印刷机,他可以在不同的地方打印不同的名片。现在,社会工程师可以到复印店打印名片,或者用激光打印机打印。
注释
《冷战谍魂》、《完美间谍》等优秀小说的作者约翰?勒?卡雷(John Le Carre)讲述了许多完美、动人的故事。勒?卡雷在很小的时候就认识到,被他父亲骗了的人,通常很容易受骗,并且会被骗很多次。这正说明每个人都有可能被社会工程师利用。
是什么让一群聪明人接受了一个骗子?综合起来,是因为骗子塑造了一个可信的形象,而我们通常会因此放松警惕。一个成功的骗子(或社会工程师)与失败者的差距就这里。
问问你自己有多大的把握不会被瑞克的故事吸引?如果你确定你不会,那就问有没有人曾经成功地欺骗过你,如果第二个问题的回答是有,或许第一个问题的正确答案也一样。
跳背游戏
下面的故事并不涉及商业间谍活动,在你阅读的时候,试着去理解为什么我要把它放在这一章!
哈里?塔迪(Harry Tardy)被送回家了,他心情很不好。海军陆战队似乎早就准备好了要刷下一大批人,在他被踢出新兵营之前。现在他回到了他痛恨的家乡,在当地的社区大学进修计算机课程,并寻找着向这个世界发泄的机会。最终他想出了一个计划。在和一个同班同学喝了几杯啤酒之后,他开始抱怨他们的导师,一个自认为无所不知的人,然后他们一起制定了一个缺德的计划来戏弄他:他们要弄到一款掌上电脑(PDA)的源代码并把它放进他们导师的电脑里,然后留下线索让PDA公司的人找到“做坏事”的人。
这位新朋友,卡尔?亚历山大(Karl Alexander),说他“知道一些骗局”,并告诉了哈里具体的实现方法。乏味的是,他们又成功了。
完成他们的家庭作业
经过前期调查之后,哈里发现该产品主要是在PDA厂商的海外总部开发的,但是在美国也有一家研发机构。这很好,卡尔指出,这家研发公司肯定也需要访问产品的源代码。
然后哈里准备打电话到海外的研发中心,上演一场同情心大作战,“哎呀,我遇到麻烦了,拜托,拜托,帮帮我。”卡尔写了一个剧本,但是哈里似乎不能搞定这些台词,最后他和卡尔一起进行了练习,学会了他所需要的谈话语气。
最终哈里是这样说的(卡尔坐在他的旁边):
“明尼阿波利斯研发中心,我们整个部门的服务器全都感染了蠕虫病毒,我们只好重新安装了操作系统,然后当我们从备份数据恢复的时候,我们发现没有一个是能用的。猜猜是谁对这些备份数据的完整性负责?正是我。我刚被我的上司教训了一顿,管理人员对我们失去了这些数据感到很生气。你看,我需要最近修订的完整的源代码,我希望你能够尽快地gzip(压缩)源代码并它发给我。”
这时卡尔草草地写了张纸条给他,然后哈里告诉电话另一头的人,他只是想让他把文件发送到明尼阿波利斯研发中心。这一点非常重要:当电话里的这个人认为他只不过是把文件发到公司的另一个地方去,他的心里就会觉得很踏实——这样能出什么问题呢?
注释
GZIP:使用一个Linux GNU工具把多个文件压缩到一个单独的文件中。
他答应了。在卡尔的帮助下,哈里一步步地指引电话里的人把庞大的源代码压缩到一个单一的、紧凑的文件中去,他还给了他一个文件名,“newdata”,并解释说这样可以避免与他们被破坏的旧数据混淆。
卡尔把下一个步骤解释了两遍哈里才明白过来,这是卡尔精心设计的跳背小游戏中十分关键的一部分,哈里打电话到明尼阿波利斯研发部,对某个人说“我想发一个文件给你,请你帮忙转发到另一个地方”——一个合理的借口当然是少不了的。令哈里感到困惑的是:他需要说“我会发送一个文件给你”,但是他根本就没有发送。当研发中心真的收到从欧洲发来的产品源代码时,他必须让电话里的人认为那个文件是他发来的。“为什么我要告诉他那个文件是我发的?不是从国外发来的吗?”哈里想知道。
“关键是研发中心的那个人,”卡尔解释说,“他会认为他只是在帮一个美国同事的忙,从你那里收到文件并帮你转发出去。”
哈里最终明白了。他打电话到研发公司让接线员帮他转接到电脑中心,然后请求和电脑操作员谈话。一个听上去和哈里一样年轻的人拿起了电话,哈里向他表示了问候并解释说他是芝加哥制造分公司的,他要发送一个文件给他们的合作伙伴,项目才能继续下去,但是,他说,“我们的路由器出了问题,无法连接到他们的网络,我想把文件先传给你,在你收到之后,我会打电话告诉你怎样转发给我们的合作伙伴。”
到目前为止,一切都很顺利。接着,哈里询问那个年轻人电脑中心是否有匿名FTP(允许任何人上传或下载文件而无需密码)账户,得到的回答是有一个匿名FTP,然后他把内部的Internet协议(IP)地址告诉了哈里。
注释
匿名FTP:无需账户也能通过文件传输协议(FTP)访问远程计算机。虽然匿名FTP可以在没有密码的情况下访问,但是用户的访问权限通常会限制在几个指定的文件夹内。
得到这一信息之后,哈里又打电话到了海外的研发中心,这时压缩文件已经准备好了,于是哈里指引电话里的人把文件上传到那个匿名的FTP站点,不到五分钟,研发中心的年轻人就收到了被压缩的源代码文件。
设定受害人
计划已经完成了一半,现在哈里和卡尔需要等待并确认文件已经到达,利用这段时间,他们穿过房间走到导师的办公桌旁,开始实施另外两个必要的步骤。首先他们在他的机器上设置了一个匿名FTP服务器作为计划中的文件传输终点站。
而第二步则解决了另一个难题。显然他们不能告诉研发中心的人把文件发送到一个像这样的地址,warren@u,“edu”域名将成为死穴,即使是半清醒的电脑人员也会认出这是学校的地址,整个行动都将暴露无遗。为了避免出现这种情况,他们进入了导师的Windows系统,查看了他的IP地址,他们会用它来发送文件。
现在是时候回电给研发中心的电脑操作员了,哈里在电话里对他说,“我刚刚上传了我跟你说的那个文件,你看一下有没有?”
有,收到了。于是哈里要他转发文件,并说出了IP地址。当这个年轻人开始连接并传送文件的时候,哈里一直拿着电话,然后他们开心地看见穿过房间导师的电脑硬盘指示灯不停地闪啊闪——忙着接收文件。
哈里和那个人交换了一些看法,关于电脑和外围设备怎样才能更加可靠,然后向他表示了谢意并说,再见。
两人把导师机器里的文件复制了一份到两张Zip磁盘上,每人一张,这样以后他们就可以拿出来看看,就像是从博物馆偷来的一副油画,你可以自己欣赏,却不能把它给你的朋友们看。除此之外,在这种情况下,他们更像是偷了一副油画的复制品,而原画仍在博物馆那里。
然后卡尔让哈里移除导师机器上的FTP服务器并抹去日志文件,这样就没有任何证据证明是他们做的——只剩下放在显著位置上的源代码文件。
作为最后一步,他们直接在导师的电脑上把部分源代码提交到了Usenet,只有一部分,不会对那家公司造成任何重大损失,但是能留下足够清晰的痕迹,他们的导师恐怕要解释一些难以解释的事情了。
过程分析
虽然实施这种恶作剧需要很多方面的知识,但绝对少不了赢得同情和帮助的精彩表演:我被我的上司教训了一顿,管理人员很生气,等等,再加上对电话另一头的人说,你可以怎样怎样帮助我解决这个问题,这是一种十分有说服力的骗局,在这里有效,并且在其它许多地方也有效。
第二个关键要素是:这个人知道这些文件的价值并把它发送到了一个公司内部的地址。
第三个值得思考的问题是:电脑操作员可以看到这个文件是从公司内部发来的,这就意味着——或者看上去如此——这个把文件发给他的人,其实可以自己把文件发送到最终目的地去,只要他的外部网络连接还能用的话。帮他发送一个文件能出什么问题呢?
为什么要更改压缩后的文件名呢?这似乎只是个小步骤,但事实上非常重要,攻击者不能让写有“源代码”字样(或者涉及到产品的名字)的文件直接发送出去,请求发送这样的文件可能会引发警报,选择用一个无关紧要的名字对文件重命名非常重要。就像攻击者设计的那样,第二个年轻人毫不犹豫地把文件发送到了公司外部:一个new data文件,没有任何可以查看的真实文件信息,很难让人产生怀疑。
米特尼克语录
每一个员工都应该牢牢地记住下面这条规定:除非得到管理人员同意,不要把文件发送给任何你不认识的人,即使目的地似乎是你们公司的内部网络。
最终,你找出上面这个故事与商业间谍活动的联系了吗?如果没有,请看答案:这两个学生的恶作剧行为专业的商业间谍可以轻易地完成,或者受雇于竞争对手,或者受雇于国外政府,无论是哪种方式,都能对公司造成巨大的损失,如果市场上提前出现同类产品,将严重损害他们新产品的销售。
对你的公司实施同种类型的攻击有多么容易?
防范措施
长久以来一直困扰着企业的商业间谍活动,现在已经成为了传统间谍的谋生手段。冷战已经结束了,外国政府和企业现在正利用独立的商业间谍窃取信息。国内的公司同样也雇用违法的信息猎手获取竞争对手的情报。在很多种情况下,曾经的军事间谍成为了商业信息猎手,他们有足够的知识与经验,可以轻易地渗透企业,特别是那些没有训练员工并且未能配置安全措施保护他们的信息的企业。
远距离安全
有什么可以帮助遇到异地存储设施问题的公司?这种威胁本来是可以消除的,如果这家公司加密了他们的数据的话。没错,加密需要额外的时间和费用,但这样做非常值得。已加密文件需要定期抽查以确认文件能够正常加密/解密。
总是有密钥丢失的危险,或者惟一一个知道密钥的人出了车祸,但是危险等级被最小化了。把敏感文件放在存储公司又不将其加密的人,恕我直言,是个白痴。这就像是走在治安不好的街道上,把口袋里的20美元露出来,摆明了要让别人抢。
在不安全的地方留下备份媒体可以说是安全通病了。几年以前,我在一家本来可以更好地保护他们的客户资料的公司工作。业务人员每天都会把备份磁盘放在锁住了的机房外边给信使取,任何人都能够顺手牵羊带走这张备份磁盘,里面有这家公司所有的文字处理文档,并且没有加密。如果备份数据被加密了,丢失磁盘只是件麻烦的事情,如果没有被加密——你应该比我更清楚这将对公司造成什么样的影响。
大一点的公司对可靠的异地存储的需要几乎是毋庸置疑的,但是你的公司的安全程序需要包含一项对合作的存储公司的调查,看他们的安全策略和做法是否到位,如果他们没有关注这些,你在安全方面的所有努力可能都白费了。
小一点的公司则有更好的备份选择:每天晚上把新文件和更改过的文件发送到一个提供在线存储的公司去。重复一次,必须要对数据进行加密。另外,并不是只有存储公司的员工可以接触到这些文件,每一个成功入侵这家在线存储公司的计算机系统或网络的入侵者都可以。
当然,当你设置了加密系统保护你的备份文件安全时,你还必须设置一个高度安全的程序存储解开它们的加密密匙或者密码短语,常用于加密数据密匙应当存储在一个安全或者密封的地方。标准的公司程序需要应对一些可能性,比如处理这些数据的员工突然离职、去世或者跳槽,必须要有至少两个人知道这个存储地点和加密/解密程序,以及规定什么时候和怎样更改密码,曾经管理加密密匙的员工离职之后必须马上更改密码。
那是谁?
在这一章中的举例中,聪明的行骗艺术家利用个人魅力获取员工的信任,因此身份验证变得更加重要。能否响应将源代码发送到一个FTP站点的请求,关键是你是否了解请求者。
在第十六章中,你将看到详细的身份验证策略,以应对请求信息或者执行某项操作的陌生人,我们已经在这本书里讨论过很多次身份验证的必要性了:在第十六章你将了解应该如何去做。
第十五章 信息安全知识与培训
一个社会工程师已经关注你的新产品发布计划两个月了。
有什么能阻止他?
你的防火墙?不行。
强悍的验证设备?不行。入侵检测系统?不行。加密?不行。
限制调制解调器的访问?不行。
编码服务器名称,使入侵者无法确定产品计划所在的服务器?不行。
事实上,没有任何技术能防范社会工程学攻击。
安全技术、培训和程序
许多公司在他们的安全渗透测试报告中说,他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百成功。使用安全技术的确可以让这些攻击更难实施,但唯一真正有效的办法是,将安全技术和安全策略结合起来,规范员工行为并适当地进行培训。
只有一种方法能让你的产品计划安全,那就是接受过安全培训的负责任的员工。这不仅涉及到安全策略和安全程序的培训,还包括了安全知识的培训。一些权威人士建议把公司40%的安全预算用在安全知识的培训上。
第一步是让企业的每一个人都认识到那些能操纵他们心理的人的存在,员工们必须了解信息需要哪些保护与如何保护。当人们了解了操纵的细节时,他们便能在攻击初期更好地处理。
安全培训也意味着让企业的所有员工了解公司的安全策略与程序,就像在第17章所讨论的那样,策略是指导员工行为保护企业信息系统与敏感信息所必须的规则。
本章和下一章提供了一张把你从可怕的攻击中解救出来的安全蓝图。如果你没有培训并警告员工遵循谨慎考虑过的程序,这也许没什么大不了的,在你被社会工程师窃取贵重信息之前。不要等到攻击发生才制定这些策略:这对你的事业和你的员工福利将是毁灭性的。
了解攻击者是怎样利用人的天性的
为了制定一套成功的培训程序,首先你必须了解为什么人们容易遭受攻击,在你的培训中识别这些倾向——比如,通过角色扮演讨论引起他们的注意——你能帮助你的员工了解为什么我们都能被社会工程师轻易地操纵。
社会科学家对心理操纵的研究至少已经有50年了,罗伯特?B?西奥迪尼(Robert B Cialdini)在科学美国人(2001年2月)杂志中总结了这些研究,介绍了6种“人类天性基本倾向”。
这6种倾向正是社会工程师在他们的攻击尝试中所依赖的(有意识的或者无意识的)。
权威
当请求来自权威人士时,人们有一种顺从的倾向。就像本书其它地方所讨论的那样,如果人们相信请求者是权威人士或有权进行这样的请求的人,他(或她)便会毫不怀疑地执行请求。
在西奥迪尼博士写的一篇论文中,一个声称是医院医师的人打电话给三家中西部医院的22个独立护士站要求她们为病房的一个病人送去处方药,收到这些命令的护士们根本不认识呼叫者,她们甚至不知道他是否真的是医师(他不是),她们是从电话里收到处方药的命令的,这显然违背了医院的策略。她们被要求送给病人的药物是未授权,并且剂量是每日最大剂量的两倍,这足够危及病人的生命了。然而在95%的案例中,西奥迪尼写道,“护士从病房医药箱中取出了足够的剂量并把它给了病人。”之后观察者阻止了护士并解释这是一次实验。
攻击举例:一个社会工程师试图伪装成IT部门的权威人士,声称他是公司的主管(或者为主管工作的人)。
爱好
当作出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见是,人们总是倾向于顺从。
攻击举例:通过交谈,攻击者设法了解了目标的兴趣或爱好,并声称他也有相同的兴趣或爱好,或者来自于同一个州或学校,或者有相似的目标。社会工程师还会尝试模仿目标的行为创造相似性。
报答
当我们被给予(或者许诺)了一些有价值的东西时,我们可能会自动地同意请求。礼物可以是资料、建议、或帮助,当有人为你做了一些事情时,你会倾向于报答他。这种强烈的报答倾向甚至在你收到了并不需要的礼物时依然存在。让人们“帮忙”(同意请求)的最有效的方法之一就是给予一些礼物形成潜在的债务。
哈瑞奎师那教徒善于此道,他们会送书籍或者鲜花作为礼物,然后等待回报。如果收到礼物的人想要归还礼物,给予者便会拒绝并说明,“这是我们给你的礼物。”这一回报行为法则被奎师那教徒们用在了增加捐款上。
攻击举例:一个员工接到了自称是IT部门的人的电话,呼叫者解释说公司的一些电脑感染了还没有被杀毒软件识别的破坏电脑文件的新病毒,并建议他进行一些步骤来防御病毒。在这之后,呼叫者让他测试了一个允许用户更改密码的加强版软件程序,这名员工很难拒绝,因为呼叫者是在帮助他防御病毒,他的回报就是响应呼叫者的请求。
守信
当人们公开承诺了或者认可了一些事情时,会倾向于顺从。一旦我们承诺了一些事情,为了避免自己成为不可信赖或者不受欢迎的人,我们会倾向于坚持我们的立场或承诺。
攻击举例:攻击者联系上了一个新员工并提醒她遵守某些安全策略与程序,比如允许使用公司信息系统的情况。在讨论了一些安全规定之后,呼叫者向用户请求她的密码进行“灵活度检查”以选择高强度的密码。一旦用户说出了她的密码,呼叫者便会提出一些创建密码的建议使攻击者无法猜测密码。受害人顺从了,因为她之前已经答应遵守公司的策略,并且她认为呼叫者只不过是在帮她检查密码是否合适。
社会认可
当要做的事情看上去和别人所做的事情一样的时候,人们会倾向于顺应请求。当其他人也这样做时,人们就会认为这些(值得怀疑的)行为是正确的。
攻击举例:呼叫者说他正在进行一次调查并说出了部门中的其他人的名字,他声称这些人已经和他合作过了。受害人相信其他人已经确认了这一请求的合法性,于是呼叫者问了一系列的问题,其中一项引导受害人说出他的计算机用户名和密码。
短缺
当人们相信物品供应不足并且有其他竞争者(或者只在短时间内有效)时,便会倾向于顺应请求。
攻击举例:攻击者发送了一封email声称在公司的新网站上注册的前500个人将赢得一部热门电影的电影票。当一名毫不怀疑的员工在该网站上注册时,他会要求提供他的公司email地址并选择一个密码。有很多人为了方便,总是倾向于在他们使用的每一个计算机系统上使用相同或相似的密码,利用这一点,攻击者便能使用此用户名和密码(在网站注册过程中填写的)攻击目标的工作或家庭计算机系统。
创建培训程序
发行一本安全策略手册或者让员工关注企业内网上的安全策略资料,这些都不会单独减少你面对的威胁。每一家商业公司都必须写下这些策略详细地制定规则,而且必须对涉及企业信息或计算机系统的每一个人进行额外的引导,让他们学习并遵循这些规则。此外,你还必须确保他们理解了每一条策略的制定原因,这样他们才不会为了方便而绕过这些规则。另外,员工的借口永远都是“不了解”,而这正是社会工程师所利用的弱点。
任何安全识别程序的首要目标都是影响人们改变他们的行为和态度,鼓励员工参与到企业信息资产的保护中来。在这种情况下的一种很好的激励方式是向员工解释他们的行为不仅能让公司受益,对他们个人也很有好处。如果公司对每一位员工都保留了一些隐私信息,那么当员工们尽职保护信息或信息系统时,他们事实上也保护了他们自己的信息。
安全培训程序需要覆盖允许访问敏感信息或企业计算机系统的每一个人,必须正在实施,还必须不断地修订与更新以应对新的威胁和攻击,员工们必须看到高级管理人员完全遵守了程序规定,承诺必须是真实的,而不是橡皮盖章的“我们承诺”备忘录,并且程序还必须有足够的资源支持其发展、通信与测试。
目标
发展信息安全知识与培训程序的基本原则是让所有员工意识到他们的公司在任何时候都有可能遭受攻击。他们必须认识到每一个员工都扮演着保护计算机系统或敏感数据的重要角色。
因为信息安全在很多方面都涉及到了技术,所以员工会轻易地认为问题已经被防火墙或其它安全工具处理了。培训的一个主要目标就是让每一个员工认识到他们处在保护企业整体安全的最前沿。
安全培训必须要有一个深入的、较大的目标,而不是简单地制定规则。培训程序设计者必须认识员工所面对的巨大的诱惑,为了完成工作而忽略他们的安全职责。了解社会工程学策略和怎样防范攻击非常重要,但这只在培训程序激发了员工使用这些知识的情况下才有效。
公司可以用一个类似于会议基本目标的概念来判断培训程序是否有效:在结束培训之后,他(或她)是否认为信息安全是他(或她)的工作之一。
员工们必须认识到来自社会工程学的威胁是真实的,敏感企业信息的损失会危及到公司和他们自己的个人信息。在某种意义上说,忽视信息安全相当于泄漏某人的自动取款机PIN码或者信用卡号,类似的比喻可以增加员工培养安全习惯的积极性。
建立知识与培训程序
负责设计信息安全程序的人必须认识到这不是一个一刀切的项目,培训程序需要适应企业内不同组的特殊需要。在16章描述的许多安全策略都是全体适用的,而很多其它的策略是针对指定员工组的。大部分公司的培训程序都需要适应以下这些组:管理人员、IT职员、计算机用户、非技术人员、行政助理、接待员和安全警卫。(请看第16章,根据工作分配分解策略)
因为公司的商业安全警卫通常并不精通电脑,并且,他们接触公司电脑的几率很小,所以在设计培训程序时通常不会考虑他们。但是,社会工程师可以欺骗安全警卫或其他人放他们进大楼或办公室,或者让他们协助实施计算机入侵。警卫当然不需要像操作电脑的人那样参加全部的培训,但是他们必须了解安全知识程序。
在企业内部或许会有哪些是所有员工都需要培训的重要、固有的安全缺陷,设计优秀的信息安全培训程序必须获知并捕捉学习者的积极性和注意力。
信息安全知识与培训的目标应当包括一次迷人的交互式体验,可以通过角色扮演演示社会工程学攻击,评价最近媒体对那些不幸的公司的攻击报导,讨论这些公司怎样才能避免损失,或者播放既生动又有教育性的安全视频,有几家安全公司销售这些视频和相关的资料。
注释
对于那些没有资源开发内部程序的公司,有几家培训公司提供安全知识培训服务,可以在Secure World Expo (m)上找到这些公司的信息。
本书中的故事提供了许多材料说明社会工程学方法和策略来加强威胁意识,展示人类行为的弱点,可以考虑使用他们的方案进行角色扮演活动,这些故事同时也提供了有趣的讨论机会,比如受害者可以怎样回应来抵御攻击。
熟练的课程设计者和熟练的讲师会发现很多挑战,但也有很多机会让课堂活跃起来,还可以在此过程中促使人们成为解决方案的一部分。
培训结构
所有员工都必须参加基本的安全知识培训程序,新员工必须参加培训作为他们的初始教育,我建议规定新员工不能接触公司的计算机系统,直到他们完成了基础安全知识课程。
对于初始的安全知识培训,我建议简短一些,但能引起足够的注意力,让员工们记住重要的讯息。当因资料过多而需要长时间培训时,必须提供合理的基本讯息数量,我认为超过半天或全天的培训会让人们因信息过多而变得麻木。
这些课程的重点应当是让员工认识到自己和公司都有可能遭受攻击,除非所有员工都有很好的安全习惯。比学习指定的安全策略更重要的是激发员工对公司安全的责任心。
在员工不愿意参加教室课程的情况下,公司应当考虑进行其它形式的教学,比如录像、基于计算机的培训、在线课程或者编写材料。
在短期的初始培训课程之后,还应当设计长期课程让不同职位的员工了解特殊的漏洞与攻击技术,第二次培训至少要持续一年以上。威胁的种类与攻击的方法都在不停地变换,所以课程的内容应当不断更新,此外,人们的知识和戒心会随着时间的推移而减少,所以培训必须每隔一段时间重复一次,才能不断地加强员工的安全意识。再重申一次,培训不仅要曝光安全威胁和社会工程学策略,还要让员工了解到安全策略的重要性并使他们拥护这些策略。
管理人员必须给他们的下属一段合理的时间熟悉安全策略和程序并参加安全知识培训。员工们不应当指望在非工作时间学习安全策略或参加安全培训,新员工应当有足够的时间熟悉安全策略,在开始他们的工作之前养成良好的安全习惯。
在企业内部更换了工作岗位,涉及到访问敏感信息或计算机系统的员工同样需要完成他们新工作的安全培训程序。比如,当一个电脑操作员成了系统管理员(或者一个接待员成了行政助理)时,就需要新的培训。
培训课程内容
在归纳基本原理的时候,所有的社会工程学攻击都有一个共同元素:欺骗。受害者相信攻击者是同一家公司的员工或者有权访问敏感信息的其他人,或者有权指挥受害者操作一台计算机或计算机相关的设备。只要员工简单地进行以下两个步骤,就可以防范几乎所有的这些攻击:
核实请求者的身份:进行请求的这个人是他所声称的那个人吗?
核实请求者是否已授权:这个人需要知道这些吗?他有没有被授权进行这种请求?
注释:
因为安全知识与培训是不完美的,所以最好在创建防御体系时深入地使用安全技术。技术性的安全措施要比针对员工个体的安全措施有效,比如,可以通过配置操作系统禁止员工从互联网上下载软件或使用简短的弱口令。
如果知识培训课程改变了员工的行为,那么可以用这些标准对员工进行测试请求,相应的社会工程学攻击威胁将大大减少。
一个实用的信息安全知识与培训程序应当包含以下内容:
描述攻击者怎样使用社会工程学技能行骗。
社会工程师实现他们目标的方法。
怎样识别可能的社会工程学攻击。
处理可疑请求的程序。
在哪里报告攻击企图或者成功的攻击。
质疑提出可疑请求的人的重要性,不管他声称自己是何职位。
在现实中,他们不应在没有严格验证的情况下完全相信别人,虽然他们更愿意在拿不准把别人往好处想。
对任何请求信息或操作的人进行身份验证与授权验证的重要性(第16章,“验证与授权程序”,描述了这些验证方式)。
保护敏感信息的程序,包括熟悉所有的数据分类系统。
公司的安全策略与程序的定位,保护信息与企业信息系统的重要性。
关键安全策略与它们的含义汇总。例如,指导每一个员工设定高强度的密码。
每一个员工遵守策略的职责与不服从的后果。
通过解说社会工程学介绍几种交互类型。攻击者为了达到他(或她)的目标,会非常频繁地使用不同的技术和通信方式,因此,一个成熟的培训程序应当包括以下内容的一部分或全部:
涉及到计算机和语音信箱密码的安全策略。
解密敏感信息或资料的程序。
Email使用策略,包括防范恶意代码攻击(病毒、蠕虫和特洛伊木马)的安全措施。
物理安全要求,比如佩戴证件。
在遇到未佩戴证件的人时,有询问质疑的责任。
良好的语音邮件安全习惯。
如何确定信息分类和适当的安全措施。
适当的处理敏感文档和过去存放过机密资料的计算机媒体。
同样,如果公司计划使用渗透测试来确定针对社会工程学攻击的安全措施是否有效,应当警告员工注意这次练习,让员工们知道有时候他们会接到使用了攻击技术的电话或其它通讯,作为测试的一部分。测试的结果不会有任何惩罚,但是可能会需要一定范围内的额外培训。
上述内容的详细资料可以在第16章找到。
测试
你的公司可能需要在员工使用计算机系统之前测试他们是否已经掌握了这些安全知识。如果你想设计一个测试程序,有许多评价设计软件程序能让你轻松地分析测试的结果,锁定需要强化培训的范围。
你的公司可能会考虑提供一张证书作为奖励证明员工完成了安全培训。
作为完成程序的一部分,建议让每一个员工签署一份遵守安全策略和规定的同意书。调查报告显示,签署了同意书的人会更加严格地遵守程序。
持续的培训
如果不周期性的复习,大部分人会把学到的知识(甚至重要的事件)忘掉。为了不让员工忘记如何防范社会工程学攻击,持续的培训程序非常重要。
一种让员工记忆深刻的方法是把安全作为他们特殊的工作职责,这能让员工认为他们在公司安全体系内扮演着至关重要的角色,否则员工会强烈地倾向于安全“不是我的工作”。
当安全部门或信息技术部门的人承担了一个信息安全程序全部的职责时,信息安全培训程序最好的结构是与培训部门协同合作。
持续的培训程序需要创造性地使用所有可能的频道传输安全讯息,因为记忆的可存储性,员工们会不时地想起好的安全习惯。除了使用所有传统的频道之外,还要加上许多能够想到的非传统方式,就像传统的广告一样,幽默、灵活地提供帮助。灵活多变的讯息可以让员工更加熟悉安全策略而无法忽视。
持续的培训程序可能包括以下内容:
提供本书的复印件给所有员工。
在公司的新闻通讯中添加以下内容:文档,封装的提示(简短、引人注目的内容),比如漫画。
张贴当月的安全员工照片。
在员工区域张贴海报。
张贴公告牌通知。
为支票信封提供打印的外壳。
发送email提示。
使用安全相关的屏幕保护程序。
通过语音信箱系统广播安全提示。
打印电话贴纸,“你的呼叫者是他所声称的那个人吗?”
设置电脑登录时的提示信息,比如“如果你要发送机密信息到email,把它加密。”
把安全知识作为员工财政报告和年度评价的标准内容。
在intranet(企业内网)上提供安全知识提示,可以使用漫画或者幽默文字,或者其它能吸引员工阅读的方式。
在自助餐厅使用电子讯息显示板,频繁地更换安全提示。
分发传单或小册子。
还有一些小花招,比如在自助餐厅提供带有安全提示的免费饼干。
威胁总是存在,安全提示最好也总是存在。
“我能得到什么?”
除了安全知识与培训程序之外,我强烈推荐宣传并推行奖励程序。你必须答谢成功阻止了社会工程学攻击、或者在其它方面对信息安全程序作出了杰出贡献的员工。应当在所有培训课程上告知员工奖励程序的存在,并在企业范围内公布违反安全规定的人的名单。
从另一方面讲,人们必须认识到遵守信息安全策略的重要性是无法忽视或反抗的。虽然我们都会犯错误,但是重复的违反安全规定是不能容忍的。
第十六章 推荐的信息安全策略
由FBI主导的调查结果显示,超过90%的大企业和政府机构遭受过计算机入侵者的攻击,美联社在2002年4月对其进行了报导。有趣的是,只有大约三分之一的公司报导或公开了这些攻击,沉默意味着他们学到了很多东西,为了避免失去客户的信任,为了防止更多入侵者的出现,大部分的商业公司不会公开报导计算机安全事件。
似乎没有任何社会工程学攻击的统计,就算有,数据也很不可靠,在大部分情况下一家公司永远也不会知道社会工程师已经“偷走了”信息,因此许多攻击都没有记录。
有效的策略能针对大多数的社会工程学攻击类型进行防范,但是让我们现实——除非企业里每一个人都认识到安全的重要性并把它作为他(或她)的职责(遵守公司的安全策略),否则社会工程学攻击将永远是企业面临的严重威胁之一。
事实上,针对安全攻击的技术手段一直在进步,通过社会工程学途径获取私有的公司信息或渗透企业网络,这种攻击将越来越频繁并引起信息窃贼的关注。商业间谍通常会选择使用最简单同时也是最隐蔽的方法来达到他(或她)的目标。事实上,那些使用了最先进的安全技术保护计算机系统和网络的公司,可能会面对更多来自于使用社会工程学策略和方法的攻击。
本章介绍了防范社会工程学攻击的详细策略,这些策略除了针对基于技术漏洞的攻击,还涉及到几种引导信任的员工提供信息或执行操作的骗局,阻止攻击者访问敏感商业信息或企业计算机系统与网络。
什么是安全策略?
安全策略是指导员工行为、保护信息安全的明确指南,是安全体系中防范潜在威胁的重要组成部分,这些策略在察觉并防范社会工程学攻击时尤其有效。
有效的安全管理需要培训员工精心设计的策略和程序,然而,即使每一个员工都严格地遵守了安全策略,也无法保证防御所有的社会工程学攻击。相反,合理的目标总是能用可接受的标准减小威胁。
在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施,之所以放在这里,是因为它们涉及到了一些攻击者常用的技术。例如, email附件攻击——可以安装特洛伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。
