接触机密信息的必要。这样,我们才可以帮助应该帮助的人,同时保护企业的信息资产和计算机系统。安全程序应清楚、详细的说明不同环境下所使用的各种不同的确认方法,第十七章提供这样的一个详细列表,但在这儿首先要考虑一些指南:一个确认对方的好办法就是拨打公司通讯录上的电话,如果对方实际上是个冒名顶替者,那么这个确认电话不是令你找到真正的人(被冒充者,而这时冒名顶替者还给你打着电话),就是可以听到被冒充者的语音信箱,从而你就可以与冒名顶替者的声音做比较。
如果企业使用员工号码确认身份,务必要把员工号当做企业的敏感信息,小心保护,不要泄露。此规则适用于所有的内部识别信息,如内部电话号码、部门单据,甚至电子邮件。在安全培训中应唤起每个人对陌生人的警惕,不要因为对方听起来熟悉内部或可信就认为他是真正的内部人员,仅仅知道内部的惯例或术语不能做为对方的身份不需要用其他方式确认的理由。
安全管理人员和系统管理员不能只注意其他人员的安全意识,他们自己也需要提醒自己遵循守则、程序和操作规程。密码口令等信息绝不能共享,而对时间令牌或其他方式的认证来说,限制共用则更为重要。应该普遍认识到,这类事物的共享会危害到公司整个的系统布署。共享就意味着无责任,如果发生安全事件,或是其他问题时,就分不清是谁的责任了。
正如我在整本书中不断重申的,员工要熟悉社会工程师的策略和方法,仔细的分析对方的要求,考虑把角色扮演做为安全培训中的一个固定内容,以使员工能较好的理解社会工程师的手段。
第七章 假冒网站和危险附件
虽然有句老话说“不劳而获是不可能的”,但把免费当做幌子进行促销仍是许多商家愿意使用的方法,无所谓合理(“等一下,还有……,现在打电话,我们将免费奉送一套餐刀和一个长柄锅!”)或不太合理(“佛罗里达湿地,买一亩送一亩!”),而大多数人对免费的渴望往往导致忽略了对方的提议和承诺。我们都熟知“顾客当心,出门不换”的警言,但在这里需要注意的是一另句话:“小心具有诱惑力的电子邮件附件和免费软件。”精明的攻击者会想方设法进入企业的网络,比如利用免费礼物对人们的吸引力。下面是几个例子:
你不想免费么?
就像病毒从一开始就给人类带来祸害,给医生带来麻烦一样,计算机病毒给其使用者带来同样的苦难。如今,计算机病毒以其巨大的破坏力受到很多人的关注,它们是由计算机破坏者制造出来的。计算机痴迷者逐渐存心不良,计算机破坏者在卖力的炫耀他们是多么的聪明过人。有时他们的行为像是入门仪式,为了给具有老资格和经验丰富的黑客前辈留下印象,他们攒着劲的制造出会带来危害的蠕虫或病毒。一旦这些“成果”破坏了文件,毁掉整个硬盘,并把自身发给成千上万的毫无防备的人,破坏者便会因此而沾沾自喜。如果这些病毒带来的危害足以成为报纸的新闻和网络上的病毒警告,他们便更加得意洋洋了。
有很多文章来描写这些破坏者和他们制造的病毒,还有防病毒的软件程序和专门的安全企业,但我们在这里并不想过多的讨论如何在技术上防范他们的攻击,以及他们的破坏行为,我们的话题将更多的关注他们的远亲――社会工程师。
来自电子邮件
你也许每天都能接到不请自来的邮件,有广告还有提供免费品之类的邮件,这些东西你既不需要也不想要。你知道那无非是些投资建议、电器、维生素或旅游打折之类的东西,还有你并不需要的信用卡、可以免费观看收费电视频道的设备、增进健康或改进性生活的方法,等等等等。
但每当这样的邮件从你的电子邮箱弹出来的时候都会引起你的注目,也许是一个免费游戏、一副你喜欢的名星的照片、一个免费日历软件或是用来保护你的计算机免受病毒侵害的便宜的共享软件。无论是什么,它都会引导你去下载你想去尝试的文件。
所有的这些行为,包括下载从广告邮件中得知的软件、点击一个你从未听说过的网站链接、打开陌生人发过来的附件,都可能会惹来麻烦。当然,很多时候你得到的也正是你想要的,或者运气很差,令你失望和生气,但至少无害。可有些时候,你会碰到计算机破坏者制造的程序。发送恶意代码到你的计算机上只是攻击的一小步,攻击者会诱导你下载完成攻击所需的附件。
注:
有一种在计算机上悄悄运行的程序叫RAT(Remote Access Trojan)――远程访问控制木马,它给予攻击者充分访问你的计算机的权限,如同坐在你的键盘前。最具有破坏力的恶意代码病毒,像爱虫(Love Letter)、SirCam和Kournikiva等等,都依赖于社会工程师欺骗的艺术,并利用人们不劳而获的心理传播。它时常作为一个具有引诱力的邮件附件而出现,像机密信息、免费色情资料,或者一个更加诡诈的方法――一条你可能定购了某昂贵物品的信息。最后这种方法,利用你害怕信用卡可能被消费的心理,令你打开这些危险的附件。
令人震惊的是,有太多的人因此而上当,即使在一次又一次的被告知打开附件的危险性之后。随着时间的过去,逐渐削弱的危险意识,让我们每一个人都易受攻击。
识别恶意软件
另一种恶意软件在你不知道或未认可的情况下进入你的计算机运行,这种软件伪装的很好,甚至有时它会表现为一个word文档或是powerPoint文件,或含有宏命令,它将悄悄的安装一个未经许可的程序。比如,它可能是一个在第六章谈到过的木马。一旦这个软件安装到你的计算机上,它能够将你每一次敲击键盘的情况反馈给攻击者,包括你的口令和信用卡号。
还有两种恶意软件,听起来些难以置信。一种可以把你说的每一句话都传送给攻击者,即使你认为你的麦克风是关着的。另一种更加恶劣,如果你的计算机配有摄像头,攻击者可以利用它捕获在你计算机前发生的任何画面,即便你认为你的摄像头是关着的,无论白天或黑夜。
专业术语
恶意软件:一种危害性的程序,例如病毒、蠕虫,或是木马。
米特尼克信箱
小心那些提供礼物的伪装者,否则你的公司很可能会遭受与特洛伊城相同的命运。一旦发现可疑迹象,一定要采取保护措施。有些喜欢恶作剧的黑客可能会在你的计算机上运行一些骚扰程序,如弹开你的光驱、最小化你的当前窗口,或者用最大的音量在半夜播放一声尖叫。虽然这样的伎俩没有什么意思,尤其当你完成工作或准备睡觉时,但至少这些恶作剧不会带来真正的损失。
朋友的消息
也许情况会变得更糟,尽管你已经处处小心。想像一下:你已经决定不再冒险,不再从你不知道和信任的站点下载文件,除了那些可靠的站点,如安全焦点(SecurityFocus)和亚马逊(Amazon)。你不再点击不知其来源的邮件链接,不再打开陌生的邮件附件,并检查你浏览器的安全标志,以确定你访问的电子商务或交换秘密信息的站点的安全性。
这样,有一天,你收到一封朋友或商业合作伙伴的带着附件的邮件。这封来自熟人的信不会有危险吧?即使有危险,你也知道该找谁承担。于是,你打开了附件……轰!你又中了蠕虫或是木马。为什么你的熟人会这样做呢?事情并不象表面上那样。事实是,进入到某人计算机上的蠕虫会根据所进入计算机上的地址薄,自动的把自身发给地址薄中的每一个人。这样,每一个中了此蠕虫的计算机都会传给其地址薄上的所有熟人,蠕虫就这样不断地繁殖,如同在水塘中掷下一块石头而产生的波纹。
这种手段之所以有效在于它结合了两个方法:一是在没有戒心的受害者中传播,二是以熟人的面目出现。
米特尼克信箱
人类发明了许多奇妙的方法,以改变世界和我们的生活方式。但每一种带来的进步的科技,无论是计算机、电话还是互联网,总会有人利用它做坏事,以满足自己的私欲。目前的科学技术处于这样一种状态,你在收到熟人的邮件之后仍然要确定它是否安全,是否可以打开,这真是一件令人悲哀的事。
主题变奏
在这个互联网时代,有一种骗局可以诱使你进入一个你并不想去的站点,这经常发生,并且有很多种方法。这个典型例子基于一个发生在互联网上的真实故事。
圣诞快乐
埃德加(Edgar)是一个已退休的保险销售商,一天他收到一封来自贝宝(PayPal,提供方便快捷的在线支付公司)的邮件。这种服务对于一个在某地或是某个国家从不熟悉的商家购物时,尤其方便。贝宝会直接把从买家的信息卡中把钱转到卖家的账户。埃德加是一个古董瓶的收藏者,通过在线拍卖公司eBay做过许多网上交易。他经常使用贝宝,有时一个星期就用数次。于是,埃德加对这封2001年圣诞节期间,像是来自贝宝公司的邮件很感兴趣,这封邮件是一封升级他的贝宝账户的奖励邮件。信中写道:
节日问候!贝宝高级用户:
新年将至,贝宝将往您的账户上划入5美元,你只需在2002年1月1日前,到贝宝安全站点确认这5美元是做为升级你的账户信息所用即可。新年新气象,升级您的账户,以延续您在贝宝的记录,同时方便我们以优质的服务继续为您提供有价值的客户服务。立即升级账户并马上接收5美元,请点击: Paypa1 …secure。 /cgi bin 谢谢您使用贝宝和对我们的支持!圣诞快乐,新年愉快!
贝宝
电子商务网站
你也许知道,人们不大愿意在网上购物,即便是亚马逊、eBay,或象老海军(Old Navy)、塔吉特(Target)、耐克这样的这样名牌公司和网站。从某方面来看,他们的戒心无可非议。如果你的浏览器使用现在的128位加密标准,那么你从计算机上发往任意一个安全站点的信息都是经过加密的。这些数据经过大量的努力理论上可以被解密,但更可能的是在正常的时间内无法解密,除非是国家安全部(但谁也没听说过,国家安全部对盗窃美国公民的信息卡号以及谁定购了色情录像或情趣内衣感兴趣)。
这些加密信息实际上可以被任何有时间有才智的人所破解。但是,许多电子商务公司把他们的客户信息未经加密的存储在数据库中,在这种情况下,再去耗费巨大的精力去破解一个信用卡号会是多么的愚蠢。更糟糕的是,有许多使用特定SQL数据库软件的电子商务公司都会犯这样的错误:他们从未改变过数据库系统管理员的默认口令。他们安装数据库时,系统口令默认是空口令,于是它就一直空着。所以,这个数据库里面的内容,对于互联网上任何尝试连接这个数据库服务器的人都是唾手可得的。
这些站点始终都处在被攻击并且信息会被窃取的危险下,而无需复杂的手段。另一方面,那些不愿在网上购物的人担心他们的信用卡信息被盗。但他们却不在意去真实的商店购物,吃午饭、晚饭,甚至去偏僻街道的小酒馆等一样可以用信用卡付费的地方,即便这些地方总是有人偷取信用卡的收据,有时收据还会从垃圾箱中被人找出。还有一些道德败坏的店员服务生会偷偷记下你的名字和卡号,或使用很容易就在网上买到的盗卡装置,来存储在它上面刷过的信用卡数据,以备日后使用。
在线购物有些冒险,但也可能和在真实的商店购物一样安全。当你在网上使用信用卡时,信用卡公司为你提供相同的保护。如果发生欺诈性收费,你的账户只会损失头一笔交易的50美元。因此我认为,对网上购物的恐惧只是另一种错误的担心。
埃德加没有注意到邮件中的几个不对劲的地方,如抬头的分号,混乱的用词(我们以优质的服务继续为您提供有价值的客户服务)。他点击了链接,输入姓名、地址、电话号码和信用卡等信息,然后静静地等待5美元的到来。但他等来的只会是一堆他从未购买过的商品账单。
过程分析
埃德加被互联网上司空见惯的骗局所欺骗,这种骗局有多种形式,其中一种(详见第九章)有着与真正网站一样的界面,看起来真实可信。不同之处在于冒充的页面不会到达用户真正想访问的系统,而是会把他的用户名和口令发给黑客。埃德加被骗了,对方注册了一个域名为paypal…secure的网站,看上去如同贝宝的一个安全页面。当他在这个页面输入个人信息时,黑客们便得逞了。
米特尼克信箱
当没有安全保证时,无论什么时候访问一个需要输入个人信息的网站时,一定要确认当前链接是可信和加密的。更需注意的是,不要顺其自然地点击对话框中的“yes”,尤其是有安全提示的对话框,比如无效、过期或废除的数字证书的提示。
变奏之变奏
究竟有多少多种方法可以骗取人们在假冒的网站输入他们的机密信息?我不认为大家对此有一个统一的答案,但无疑是越来越多。
不明链接
一种常见的手法:发送一封具有诱惑力的邮件,提供一个链接。它并不会带你到想去的站点,它只是看起来像那个的站点的链接。另一个已经在互联网上应用的例子是,用paypa1模仿paypal。
乍一看来,像是贝宝的域名。即便受害人注意到这一点,他也可能会以为只是一个文本上的小错误,把1当成l了。而谁又会立刻注意到那是一个数字1而不是小写的L呢?就这样,有很多的人失去了信用卡上的钱,而这个诈骗手段得以继续。假冒网站做的跟真得一样,当人们访问时,便轻率地输入他们的信用卡上的信息。建立这样一种行骗的机制,攻击者只需注册一个用来冒充的域名,发出电子邮件,然后等待那些傻鸟们上钩。
2002年,我收到一封标着来自Ebay@ebay的邮件,很明显这是一个群发性质的邮件。见图8。1,(译者注:我的电子书中看不到这张图。)这样的链接应该注意。
…
亲爱的eBay用户,很明显您的eBay账户被第三方所影响并违犯了我们下面的用户协定条款:
4。招投标
用户如果通过固定价格或成为最高价竞买人,并经销售方同意,则有义务与销售方一起完成此项交易,否则此项交易会被本协定或法律终止。
您之所以收到此通知是因为您当前账户服务的中断引起了我们的注意,eBay方面需要立刻验证你的账户,请验证您的账户以免账户被封。点击此处验证你的账户――error ebay。tripod 商标设计和标志为各自拥有者所有,eBay以及eBay图标为eBay有限公司的注册商标。
…
点击这个链接的人会来到一个很像eBay网站的页面,设计精美,带有eBay的图标,令人可信。而且,如果点击页面上的“浏览”、“出售”等一些导航链接,可将访问者带到真正的eBay站点。页面的右下角也有一个安全的图标,为了防止精明的用户发现马脚,仿造者甚至使用HTML加密来掩盖用户信息的发送地。
这是一个极好的基于计算机进行社会工程学攻击的例子。然而,它也有着一些漏洞。内容上文笔较差,尤其是在最后一段