“当你查询学生档案信息时连接的哪一台电脑。”
回答是:admin。rnu。edu,储存学生档案的电脑名称。这是难题的一小部分:他现在知道了他的目标机器。
专业术语
哑终端:一台没有处理器的终端。只能响应简单的控制码和显示字符及数字。
他在电脑里输入了那个网址但是没有获得响应——和预期的一样,有防火墙阻止了访问。因此他运行了一个程序看看能不能连接上那台电脑的任何服务,然后发现了一个打开的端口运行着Telnet服务(允许一台电脑远程连接另一台电脑并像连接一台哑终端一样访问它)。获取访问权限所必需的是一个标准用户ID和密码。
他打了另一个电话给注册员办公室,这一次他仔细地倾听并确定在和另一个人说话。他遇到了一位女士,然后再次声称自己来自大学的电脑中心。他们安装了一个新的档案管理系统,仍处于测试阶段,想了解她是否可以正确访问学生档案。他给了她一个连接的IP地址并且告诉她怎样操作。
事实上,这个IP地址把她引到了学校图书馆迈克尔坐的电脑上。使用第八章中描述的相同步骤,他创建了一个登陆蜜罐——一个登陆界面的圈套——看上去就像是当她登录学生档案系统时通常看到的一样。“它没工作,”她告诉他,“它持续说‘登陆不正确’。”
现在登陆蜜罐已经在迈克尔的终端上记录了她的用户名和密码。他告诉她:“哦,这台机器里的一些账户仍然不能用,让我配置一下你的用户,然后再打电话给你。”小心的绑好未扣牢的一端,就像所有社会工程师精通的那样,他强调稍后再打电话,说测试系统还没有工作正常,如果她能使用它了,他们会打电话给她或者这里的其他人,当他们解决了问题时。
有益的注册员
现在迈克尔知道了他要访问哪一个电脑系统,还有用户ID和密码。但是当他有了正确的名字和毕业时间时如何在文件里搜索这些信息?学生数据库是私有的,在学校建立它是为了对付大学特殊的需求和注册员办公室,并且有唯一的途径在数据库中访问信息。
首先清除这些最后的障碍:找到能把他带到神秘的搜索学生数据库中的人。他又打电话给注册员办公室,这一次成了另一个不同的人。他来自迪安工程办公室,他告诉那位女士,然后他问道:“当访问学生档案出现问题时,我们猜想有人打来了电话请求帮助。”
几分钟以后他打电话给大学数据库管理员,上演了值得同情的一幕:“我是注册员办公室的马克·塞乐。你能同情一下一个新人吗?很抱歉打电话给你但是这个下午他们都在开会,没有一个能帮助我的人在。我想要找回一份所有计算机科学学位的毕业生列表,从1990年到2000年的。他们今天就需要它,如果我没有它的话我这份工作就不会长久了。你会帮助一个处于不幸中的人吧?”帮助人们是这个数据库管理员要做的事的一部分,所以他特别耐心地告诉迈克尔一步一步的操作过程。
当他们挂断电话时,迈克尔已经把那几年全部的计算机科学毕业生的列表下载了下来。他搜索了几分钟,查找到了两个迈克尔·帕克,在他们中选择了一个,获得了这个人的社会保险号码和其它在数据库里的相关信息。
他就成了“迈克尔·帕克,B。S(译者注:Bachelor of Science 理科学士),计算机科学,光荣毕业,1998”。在这里,“B。S”是唯一恰当的。
过程分析
这次攻击使用了一个我之前没有谈到过的策略:攻击者请求机构的数据库管理员告诉他完成一个他不知道的电脑操作步骤。一个强大并且有效的转换表格相当于请求商店的所有者帮你搬运包含了消息的盒子,你只需要从他的架子上偷来放到你的车里就可以了。
米特尼克信箱
当电脑用户遇到社会工程学相关的威胁和攻击时,他们显得有些无能为力,那些技术存在于我们的世界中。他们有权使用信息,但是对什么是安全威胁缺乏详细了解。一个社会工程师会选定一名不懂得被寻求的信息有多么贵重的员工为目标,所以目标通常会答应陌生人的请求。
预防措施
同情、内疚和胁迫是社会工程师使用的三种非常流行的心理机制,这些故事证明了这些策略的有效。但是你和你的公司怎样才能消除这些攻击的威胁呢?
保护数据
这一章的一些故事强调了发送一份文件给你不认识的人有多么危险,即使当这个人是(或者表面上是)一名员工,这份文件是被发送到一个公司的电子邮件地址或传真机上。
需要制定非常详细的公司安全方针保护贵重的数据不被发送给任何不是亲自认识的人。需要制定严格的程序来传送有敏感信息的文件。当请求来自不是亲自认识的人时,必须有清晰的查证,要有依赖于敏感信息的不同的等级证明。
这里有一些可以考虑的方法:
建立知道需求(要求获得指定信息所有者的授权)。
保持一个处理这些事情的个人或者部门日志。
维持一张人员表,那些临时传送的程序和可信的被批准发送敏感信息的人。要求只有这些人被允许发送信息给任何工作组外部的人。
如果数据请求需要写入(电子邮件,传真,邮件),则要有另外的安全步骤检查这一请求是否真的来自这个人声称的地方。
关于密码
所有可以访问任何敏感信息的员工——在今天那事实上意味着每一位使用电脑的工作人员——需要了解一些简单的操作如修改你的密码,即使是一小会儿都能导致一个主安全漏洞。
安全训练需要包含密码主题,关注什么时候和怎么样改变你的密码,什么是合法的密码,和将任何其他人卷入程序的危险性。训练尤其需要传达给所有员工的是他们应该怀疑任何涉及到他们的密码的请求。
表面上看起来这是一条简单的传给员工们的信息,但不是,因为这一观念的价值在于要求员工们了解像是修改一个密码这样简单的操作都能导致一个安全威胁。你可以告诉一个小孩 “穿过马路前注意两旁”,但是在这个小孩明白为什么那是重要的以前,你依赖于盲目的服从。要求盲目服从规则代表着忽视和忘记。
注意:
密码是社会工程学攻击关注的中心,那是我们致力于第16章的单独的部分,那里你可以找到详细的管理密码的推荐方针。
中心报告点
你的安全方针应该指定一个人或组为报告可疑行为(企图渗透你的机构)的中心点。所有员工都需要知道在任何时间打电话来试图电子或物理闯入的人都是可疑的,报告这些的电话号码应该始终放置在眼前,这样当员工们怀疑发生了攻击时就不需要去发掘它。
保护你的网络
员工们需要了解电脑服务器或者网络的名称不是无价值的信息,它能给一个攻击者基本的知识帮助他获取信任或者找到他期望的信息的位置。
特别的,像是数据库管理员之类的使用软件工作的人属于专业技术类别,他们需要在特殊的和非常限制性的规则下操作,验证打电话给他们请求信息的人的身份。
经常提供各种电脑帮助的人需要很好的被训练识别哪些请求属于红色标记,暗示打电话的人可能试图进行社会工程学攻击。
这是有价值的笔记,可是来自这一章最后故事里的数据库管理员的观点,打电话的人是符合标准的:他是在校内打来的电话,并且他明显有站点登陆必需的用户名和密码。这正好再一次解释了的标准的身份验证(对任何请求信息的人)程序的重要性,尤其是像这个例子里打电话的人寻求帮助来获得机密档案的访问权限。
所有这些建议对于学院和综合大学要加倍考虑。电脑黑客行为是许多大学生喜爱的娱乐活动已经不是新闻了,也不要惊讶于学生档案——有时候是全体教员档案,同样的——是一个诱人的目标。这一陋习如此的泛滥,一些公司甚至考虑把大学加入敌对的外界环境,创建防火墙规则阻止以。edu结尾的教育机构地址访问。
我已经说清楚了,所有学生和职员的任何类型的档案都会是攻击的主要目标,应该得到很好的保护就像敏感信息一样。
训练技巧
大部分社会工程学攻击都可笑地能轻易的被任何知道自己看守的是什么的人防范。
从公司的观点出发,有一些优秀培训的基本原则,但是同样需要另一些东西:多种途径提醒人们他们在学习什么。
使用屏幕溅射(splash screen,也叫程序启动画面的制作),当用户电脑启动时每天出现一个不同的安全消息。这条消息可以被设计为不能自动消失,要求用户点击这些消息确认他或她已经读过它了。
另一个我推荐的方法是启动一连串的安全提示。频繁的消息提示很重要,一个提示程序必须正在运行并且不能结束。在陈述的内容里,不应该在每一种情况里使用同样的措词。当他们变化措词或者使用不同的例子时,学习显示的这些消息更为有效。
一个卓越的方法是在公司的时事通讯上进行简短的宣传。这个主题不需要完整的专栏,虽然一个安全专栏的确有价值。代替的,设计一个两或三栏宽的插入块,有些像是你们本地报纸的小型陈列广告。在每一次的时事通讯出版时,通过这个简短的抓取注意力的途径呈现一个新的安全提示。
第九章 逆向骗局
刺激,在这本书的其它地方提到过(在我看来或许最好的电影永远是关于实施入侵的),迷人的叙说里安排了它巧妙的情节。在电影中刺激作用的一个准确的描述是顶级骗子运用的“金属丝”,这是提到的三种主要骗局之一的“重要的过程”。如果你想要知道一个专业的团队怎样只用一个晚上去实现一个骗局而迅速获得大量的金钱,这里没有更好的教材。
但是传统的入侵,凡是他们的特殊花招,都依照一个模式。有时候一个诡计会被反向应用,这称为逆向骗局。这是一个迷人的手段,攻击者设定情况让受害人向他寻求帮助,或者一位同事正好发出了攻击者响应的请求。
这些是怎样实现的?你正打算发现它。
专业术语
逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。
友好的说服艺术
当一般人想象电脑黑客的样子时,通常会联想到阴暗的一面,一个孤独、内向、讨厌的人,他最好的朋友是一台除即时信息以外很难交流的电脑。社会工程师常常拥有黑客的技能,也有普通人的技能——在对立的光之尽头——使用得到良好发展的能力操纵人们谈论他们获取信息的方法,通过你从未想过可能性的途径。
安吉拉(Angela)的电话
地点:工业联邦银行,流域分行。
时间:上午11:27。
安吉拉·维斯露斯基(Angela Wisnowski)接到了一个电话,那个人说他刚刚得到了一大笔遗产,想要了解一些信息,关于不同类型的储蓄存款账户、存款单和任何她推荐的安全的可以正当获利的投资。她解释说有相当多的选择,问他是否可以过来坐下和她一起讨论它们。他说他一拿到钱就要去旅游,还有很多事情要安排。所以当她设法约束他的投资目标时,她开始推荐一些可能的类型,还给了他关于利率的详细资料,如果你在初期卖出一张光盘会发生什么,等等。
她似乎更进了一步,他说:“噢,对不起,我要接另一个电话。什么时候能和你结束这次交谈好让我作出一些决定?你什么时候出去吃午饭?”她告诉他是12:30,他说他会在那之前或者之后几天再打电话过来。
路易斯(Louis)的电话
银行总部使用每天都更改的安全密码,当分行的某个人需要从另一个分行处获得信息时,他可以通过证明自己知道这个每日密码来表明他有权访问信息。为了更深层次的安全性和机动性,一些银行总部每天都会发行多重密码。在一个被我称为工业联邦银行的西部海岸机构里,每一位员工每天都能收到一张有五个密码的列表,每天早晨在他或她的电脑上从A到E进行验证。
地点:相同。
时间:下午12:48,同一天。
路易斯·霍普本(Louis Halpburn)对那个下午接到的电话不以为意,这个电话和一周里有规律的其它几次来电一样。
“你好,”打电话的人说,“我是尼尔·韦伯斯特(Neil Webster),从波士顿3182分行打电话来。找安吉拉·维斯露斯基,谢谢。”
“她在吃午饭,我能帮忙吗?”
“好的,她留了言请求我们传真一些关于我们的一个客户的资料给她。”
这个打电话的人听上去度过了糟糕的一天。
“通常处理这些请求的人请了病假,”他说,“我有一堆这些事情要做,已经在这里4个钟头了,我希望能在半个小时以后离开这里去和一个医生会面。
这一操作——给出了为什么其他人会觉得他很可怜的所有理由——这是使受害人软化的一部分。他继续说:“无论是谁接到了她的电话留言,传真号码已经不清楚了,大概是213什么的,其余的是什么?”
路易斯给出了传真号码,然后打电话的人说,“好的,谢谢,在我传真这些之前,我需要询问你密码B。”
“但是是你打电话给我的。”他说这句话时很冷淡,好让这个来自波士顿的人明白。
很好,打电话的人想。当人们在第一次温柔的推挤中没有跌倒时,很酷。如果没有少量的反抗,这份工作会太容易,我会变得懒散的。
他对路易斯说:“我这里的分行经理对我们发送任何东西之前的验证有些偏执,但是听着,如果你不需要我们传真这些信息,很好,不需要验证。”
“看,”路易斯说,“安吉拉会在大约半个小时后回来,我可以让她打电话给你。”
“我会告诉她今天我不能发送这些信息,因为你没有给我密码验证这些合法的请求。如果我明天没有请病假,我会再打电话给她。”
“留言说 ‘紧急的’,别担心,没有验证我就无法操作,你可以告诉她我试着发送它但是你没有给我密码,好吗?”
在压力之下路易斯放弃了,从电话线的另一端传来一声烦恼的叹息。
“好的,”他说,“等一下,我要到我的电脑上去,你想要哪一个密码?”
“B。”打电话的人说。
他把电话放在桌子上然后很快又拿了起来。“3184。”
“那不是正确的密码。”
“它是正确的——B是3184。”
“我没有说B,我说的是E。”
“噢,该死的,等一会儿。”
另一次停顿,当他查看密码时。
“E是9697。”
“9697——正确,我在路上发送这份传真,好不好?”
“当然好,谢谢。”
沃尔特(Walter)的电话
“工业联邦银行,我是沃尔特。”
“嗨,沃尔特,我是影视城38分行的鲍勃·格若博斯基(Bob Grabowski),”打电话的人说,“我需要你传真一份客户账户的签字样卡给我。”签字样卡上面有客户的签名,它也有验证信息,常见的例如社会保险号码、生日、母亲家族的姓氏,有时甚至是驾驶执照号码。这对于一个社会工程师来说唾手可得。
“确认信息,密码C是多少?”