欺骗的艺术-第2章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
中学之后,我在洛杉矶计算机学习中心攻读计算机。没几个月的时间,学校的计算机管理人员就意识到我发现了操作系统的漏洞,并取得了管理员权限,但是在学校的教学人员中,最好的计算机专家也无法弄清我是如何这样做的。这也许是最早雇佣黑客的例子之一吧,他们给了我一个无法拒绝的提议:要么做出一个荣誉学位的毕业设计来加强学校的计算机安全,要么由于黑客行为而中止学业。当然,我选择了前者,以本科优等成绩荣誉学士毕业。
成为社会工程师
每天早晨,许多人从床上一爬起来,便开始对千篇一律的繁重工作犯愁。我却很幸运,因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。我的天份在称为社会工程学(使人们做在通常情况下不会为陌生人做的事情)的表演艺术中得到磨练和回报。
对我来说,成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域,因此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时,这就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种,一种是通过诈骗、欺骗来获得钱财,这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的,这就是社会工程师。从我使用诡计免费乘车的时候(我那时还小,并没有认识到这样做有什么不对),就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了解术语和培养良好的操纵技巧,更为加强了这种天份。一个用来发展我的专业技艺(如果这可以称为一个专业的话)的方法就是看我是否能与电话另一端的人攀谈,并获得相关信息,即便这些信息对我毫无用处,这样做只是为了证明我的专业技巧。同样,我还用此种方法,练习奇巧的计谋、托辞,不久我发现我可以取得我想关注的任何信息。正如我在数年后的国会听证会上,在利伯曼(Lieberman)和汤姆森(Tompson)参议员面前所做的证词中描述的那样:
“我未经授权进入了世界上最大的几家公司的计算机系统,并成功渗透了一些防范最好的电脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码,以研究它们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么,并发现其中的秘密,比如操作系统、移动电话以及任何能引起我好奇心的东西。”
最后的想法
自从被捕以后,我已经承认了自己这些行为的非法,侵犯了他人的秘密。我的错误行为是由于好奇心引起的,我抑制不住的想知道电话网络是如何运转的,以及了解计算机安全的每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。当我反省过去的这30年时,我承认自己做出了极其拙劣的选择,被好奇心驱使,被学习技术的欲望和智力挑战的虚荣所驾驭。
但我现在已经转变,我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他人,以避免那些怀有恶意的信息盗贼可能带来的危害。我相信,你将会从本书中得到乐趣、教育和启发。
第一部 幕后的故事
第一章 安全软肋
某公司也许购置了能用钱买到的最好的安全技术,员工们也训练有素,每晚回家前把所有的秘密都锁起来,并从业内最好的保安公司雇用了保安,但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理系统配置以及应用安全补丁,但他们仍然很不安全。
人为因素
在国会听证会前的一次证言中,我解释到我经常可以从企业获得密码口令或其他类似的敏感信息,只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主,他有一套麦迪科(译者注:Medico,知名品牌、价格昂贵)防撬锁装在屋子的大门上,以保护他的妻子、孩子和他的家。他觉得很心安,因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢?再安装一套强壮的安全系统么?虽然有用,但还是不够安全。无论防盗锁是昂贵还是便宜,屋主的安全仍然难以保障。为什么?因为人为因素才是安全的软肋。
安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”最终,社会工程学的攻击,成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。
与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为其配置了精良的安全设备――防火墙、入侵检测,或是更为保险的身份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭遇安全事故。
正如著名的安全顾问布鲁斯·施尼尔(Bruce Schneier)所说:“安全不是一件产品,它是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断地创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。
一个欺骗的经典案例
企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:
许多人都已记不起一个叫斯坦利·马克·瑞夫金(Stanley Mark Rifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(Security Pacific National Bank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。
获得密码
1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。
电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。
转款入户
瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克·汉森(Mike Hansen)。那次对话大概是这样的:
“喂,我是国际部的麦克·汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司(Irving Trust Company)贷一千零二十万美元到瑞士苏黎士某银行(Wozchod Handels Bank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”
瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)
成功结束
几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为——社会工程学。
威胁的天然性
瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?
日益增长的安全事件
美国计算机安全协会在2001年计算机犯罪调查报告中声称,在接受调查的组织机构中,有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字,只有15%的机构在过去的一年中没有发现安全事件。另一个数字同样惊人,有64%的机构由于计算机的问题而导致财务损失,超过一年中遭受财务损失企业的二分之一强。
我的经验告诉我这个数字有些夸大,并对这项调查的研究结果表示怀疑。但这并不是说安全事件的危害面不大,相反,它很大。那些未把安全事件考虑在内的人,迟早会出问题。大多数公司配置的安全产品主是应付业余入侵者的,比如被称为“脚本小子”的年轻人。实际上,这些利用别人的软件,并憧憬着成为真正黑客的人,大多数情况下只能引起一些麻烦。真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱动的攻击者。这些人一次只盯准一个目标,而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。
认证设备(身份认证)、访问控制(对文件和系统资源的控制管理)和入侵检测系统(计算机化的防盗器)等技术,对公司的安全防护是十分必要的。然而,现在的公司在布置保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。
正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许多时候,他们把这种心思放在了人的身上。
欺骗的使用
许多人都说,关掉了的计算机才是安全的计算机,但这是错误的,找个借口让人去办公
