按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
,ANI传输的号码是分配给呼叫用户的付费号码。
另外,一些调制解调器厂商把来电显示功能添加到了他们的产品里,为保护企业网络而设定了只接受指定电话号码的远程访问。调制解调器的来电显示功能可以在安全级别较低的环境下作为身份验证的手段,但是,众所周知,伪造来电显示对于计算机入侵者而言并不是一件难事,因此在安全级别较高的情况下不能据此判断呼叫者的身份或位置。
在身份盗窃的案例中,管理员在企业电话系统上为入侵者创建了一个语音信箱,为了防止此类事件的发生,企业应当规定所有的电话系统、语音信箱和所有的企业目录(不管是印刷的还是在线的)在被使用时必须提出书面请求,形式固定,员工经理应当在这份请求上签字,然后交语音信箱管理员核实。
企业安全策略应当规定,在创建新的计算机账户或增加账户权限时,必须向系统管理员或他(或她)的指定负责人核实该请求,可以在纸质或在线公司目录上找到相应的电话号码。如果你们公司使用经过数字签名的安全电子邮件,这种折中的验证方法也可以接受。
记住,每一个员工(不管他是否能访问公司的计算机系统)都有被社会工程师利用的可能性。每个人都必须接受安全知识培训。所有的行政助理、接待员、电话接线员和安全警卫都必须要熟知各类社会工程学攻击(大多数都是针对他们的),这样他们才能更好地防范这些攻击。
第十四章 商业间谍
针对政府、企业和大学机构的信息安全威胁已经很好地得到了介绍,几乎每一天都会有媒体报导新的计算机病毒、拒绝服务式攻击、电子商务网站的信用卡信息盗窃案。
我们经常读到关于商业间谍的新闻,比如,Borland指责Symantec盗窃商业机密,Cadence设计规划公司控诉竞争对手盗窃其产品源代码,许多商业人士认为在他们公司绝不会发生这种事情,但是,这种事情每天都在发生。
计划变更
下面故事中的骗局或许已经被实现过很多次了,虽然这很像是好莱坞电影(比如《The Insider》)里的情节或者约翰格雷森姆的法律惊险小说。
集体诉讼
假设有一场针对Pharmomedic制药公司的集体诉讼,该诉讼声称他们发现该公司的一种非常受欢迎的药物具有破坏性的副作用,这种副作用将在病人服药多年以后显露出来,该诉讼声称他们是从一系列的调查研究中得出这一结论的,但是这些证据被压下不用,并且没有在规定的时间内转交给FDA(食品及药物管理局)。
威廉?比利?钱尼(William 〃Billy〃 Chaney),处理此案的纽约律师行代理律师,得到了两个Pharmomedic医生的证词,但是两人全都退休了并且没有任何档案或文件,所以不能作为令人信服的证人。比利知道自己现在处于弱势,除非他能得到其中一份报告或者内部备忘录(或公司高层之间的通讯)的副本,否则他的整个案子都将崩溃。
因此他选择了和一家公司再次合作:安德雷森父子私人调查公司。比利不知道彼得和他的人是怎样获得这些资料的,他也不想知道,他只知道彼得?安德雷森(Peter Andreeson)是一个好侦探。
至于安德雷森,他把像这样的任务称为黑袋子秘密调查,第一条规则就是让雇用他的律师事务所和公司不知道他是怎样获得这些信息的,所以他们总是解释得模模糊糊似是而非。如果有人愿意自找麻烦的话,越难的任务他所收取的费用越高,他认为这值得冒险,除此之外,他还能从欺骗聪明人的过程中找到个人满足感。
如果钱尼希望他找到的那些文件确实存在并且没有被销毁,他们也许会把它放在存放文件的某个地方,但是要从堆积如山的文件中把它们找出来无疑是一项艰巨的任务。另一方面,假设他们已经把文件的副本交给了他们自己的律师事务所(詹金斯与派屈),如果辩护律师知道这些文件的存在并且不把它们转交到取证程序,那他们就违反了律师的职业道德并触犯了法律,在彼得看来,这制造了许多可攻击的对象。
彼得的攻击
彼得让他的人着手调查,几天后他弄清了詹金斯与派屈律师事务所存放异地备份的位置,他还了解到存储公司有一张律师事务所授权提取磁带的人员名单,名单的上的每个人都有各自的密码。彼得派了两个人进行这一次的黑袋子秘密调查。
他们用从网上(southord)买来的开锁工具开锁,几分钟后就溜进了存储公司的办公室(大概凌晨3点),其中一人打开一台PC机,屏幕上出现了Windows 98的图标,他们笑了,这简直就是小菜一碟,Windows 98没有任何形式的身份认证程序。稍加搜索之后,他们找到了含有授权名单的Microsoft Access数据库。他们在詹金斯与派屈律师事务所的授权名单上添加了一个伪造的名字,其中一人早就准备好了匹配的驾驶执照,当然也是假的。他们能闯入带锁的存储室并找到他们客户想要的磁带吗?当然能——但是,这家公司所有的客户(包括律师事务所)都会收到一张受损通知,这样一来攻击者就失去了应有的优势:专业人员总是为以后进出留下后门,以备不时之需。
按照商业间谍的常规做法,他们把一些也许以后要用的东西放进了后口袋,然后把包含授权名单的文件复制到了软盘上,他们谁都不知道这是否有用,但是“我们已经在这儿了,不如……”,事后常常证明了这样做的好处。
第二天,其中一人打电话到存储公司,使用他们添加到授权名单上的名字和相应的密码通过了验证,然后请求提取詹金斯与派屈律师事务所上个月所有的磁带,并说将会有信使服务来拿包裹。大概下午三点,安德雷森拿到了那些磁带,他的人把所有的数据复制到了他们自己的电脑系统上,准备在空闲时间进行搜索。让安德雷森感到高兴的是,律师事务所和其它大多数商业公司一样,并没有加密他们的备份数据。
磁带在第二天就送回了存储公司,没有引起任何人的注意。
米特尼克语录
有价值的信息无论在哪儿都必须受到保护(不管是哪种形式)。一家公司的客户名单,不管是存储箱里印刷文档还是办公室的电子文档,具有同样的价值。社会工程师总是喜欢轻松地绕开安全措施,选择最薄弱的环节作为攻击目标。窃取一家公司的异地备份储存设备被发现或被抓住的风险很低,每一家公司在存储任何有价值、敏感或者关键的数据之前,都应当将其加密以保护数据的机密性。
过程分析
因为松懈的物理安全,坏人们轻易地打开了存储公司的锁,获得了计算机的访问权限,然后修改了包含存储室授权名单的数据库,用名单上伪造的名字获得了他们需要的计算机备份磁带,而不是闯入这家公司的存储室。因为大多数的商业公司没有加密备份数据,他们得到的是可用的信息。
一家没有采取合理的安全措施的服务公司让攻击者轻易地获得了他们的客户信息资源,这只是其中的一个例子。
新的商业伙伴
社会工程师比起骗子来有一个巨大的优势,那就是距离。骗子骗你的时候你肯定在场,你可以对他有一个直观的描述,如果你发现得早,甚至还可以打电话叫警察。
社会工程师通常会像躲避瘟疫一样躲避风险,但是有时候必须要冒一定的风险,为了潜在的回报,这样做是值得的。
杰西卡的故事
杰西卡?安多弗(Jessica Andover)对自己在快车数控公司的工作非常满意,当然了,一切才刚刚开始,他们付的钱不多,但是这里的人都很友好,并且她很兴奋地了解到她的员工认股权能够让她变得有钱,也许不会像公司创始人那样成为百万富翁,但是对她而言,这已经足够了。
八月的星期二上午,瑞克?戴高特(Rick Daggot)一走进大厅就收到了一个灿烂的微笑,昂贵的衣服(阿玛尼)和重金表(劳力士),完美的发型,他的男子气概和自信在杰西卡的高中时代足够让所有的女生为之疯狂。
“你好,”他说:“我是瑞克?戴高特,我找拉里。”
杰西卡淡淡地微笑,“拉里?”她说,“拉里这个星期休假。”“我和他约在一点,我刚从路易斯维尔飞过来。”瑞克说,然后他拿出他的掌上电脑,把它打开来给她看。
她看了一下然后轻轻地摇了摇头。“20号,”她说,“是下个星期。”他把掌上电脑收回来仔细看了看,“喔,不!”他惊叹道,“真不敢相信我犯了这么愚蠢的错误。”
“我帮你订回程机票吧,好吗?”她很同情瑞克。
在她打电话的时候,瑞克说他和拉里准备建立战略营销同盟,瑞克的公司为生产装配线制造的产品可以和他们的新产品C2Alpha完美的结合起来。瑞克的产品与C2Alpha的合作将为两家公司打开重要的工业市场。
当杰西卡预定好下午晚些时候的航班时,瑞克说,“好吧,至少我可以和史蒂夫谈谈,如果他在的话。”但是史蒂夫,这家公司的副总裁和共同创办人,通常都不在办公室。
瑞克很友好地和杰西卡开了几个玩笑,然后暗示在下午回去之前他还有很多时间,他可以和一些关键人物一起吃午餐,接着他补充道,“当然,也包括你——如果没有其他人邀请你共进午餐的话。”
瑞克很友好地和杰西卡开了几个玩笑,然后提出他可以和一些关键人物一起吃午餐,在下午回去之前他还有很多时间。“当然,也包括你——如果没有其他人邀请你共进午餐的话。”他补充道。
杰西卡明白了这句话的意思,面色有些红晕,她问,“你想要哪些人来?”他再一次打开了他的掌上电脑,然后列举了一些人的名字——研发部(R&D)的两个工程师,新来的营销员,还有负责项目经费的财务人员。瑞克建议她告诉他们他和这家公司之间的关系,并且他想向他们介绍自己。他说出了这一区最好的餐厅的名字,那是杰西卡一直想去的地方,他说他已经订好了12:30的桌子,上午晚些时候他会打电话来确认事情都已经安排好了。
当他们聚集在餐厅的时候——他们四个加上杰西卡,他们的桌子还没准备好,所以他们在吧台旁边坐了下来,瑞克很清楚地表示饮料和午餐都算他的。瑞克很有风度也很合群,是那种刚见面就让人觉得很舒服的人,你甚至会觉得已经认识他很多年了。他似乎总是知道应该说什么好,在冷场的时候总是能进行生动的评论或者谈论一些有趣的东西,让人觉得有他在真好。
他共享了一些他自己公司的产品资料,足以让他们对合作方案展开想像。他举出了几个已经成为他的公司客户的财富500强公司,然后所有人都开始想像他们的产品一经推出就大受欢迎的样子。
然后瑞克走向了其中一个工程师布莱恩。当其他人各自聊着天的时候,瑞克私下里和布莱恩进行了交流,布莱恩向他的描述了C2Alpha的特色和一些其它竞争者没有的功能,他发现了几个布莱恩非常喜欢并认为“非常棒”但没有得到公司重视的功能。
瑞克一个一个地走过去和他们聊天,那个营销员为自己有机会谈论首次展出日期和销售计划而感到高兴,而精于计算的瑞克则从口袋里拿出了一个信封,详细地写下了生产成本、价格底线、预期盈利和每一个供应商(按名称排列)的销售价格。
当他们的桌子准备好的时候,瑞克和每一个人都交换了看法并赢得了大家的尊敬。在午餐的最后,他们依次和瑞克握手并向他表示感谢,而瑞克则和他们交换了各自的名片,顺便和布莱恩(那个工程师)提起他想在拉里回来的时候和他进行深入的讨论。
第二天布莱恩就接到了瑞克的电话,他说他刚和拉里通完话。“我星期一会来和他讨论一些具体的问题,”瑞克说,“他想让我为你们的产品提速,他要你把最新的设计与规格Email给他,他会从中挑选要转交给我的部分。”
布莱恩说没问题,瑞克继续说道,“拉里想告诉你他的常用邮箱出了问题,无法接收Email,为此他在宾馆的商务中心申请了一个Yahoo邮箱帐号,他说你可以把文件发送到larryrobotics@yahoo。”
星期一上午,当拉里轻松地走进办公室的时候,杰西卡正在滔滔不绝地说着瑞克,“他人真好,请了好多人一起吃午餐,连我都去了。”拉里一脸的茫然,“瑞克?那该死的瑞克是谁?”
“你在说什么啊?他是你的商业伙伴啊。”“什么!!!???”
“所有人对他印象都很深,他问了一些很好的问题。”“我不认识什么瑞克……”
“你怎么了?你在开玩笑吗?拉里——你是在忽悠我,对吧?”
“让