今天自己买的大黑客凯文米特尼克的新作《反欺骗的艺术》终于到货了,好久没看书的自己迅速决定要好好读下这本书,这篇当作是读这本书过程中的笔记心得吧!之前凯文还写过一个本《欺骗的艺术》,同是讲社会工程学,其实和今天读的这本书有些相似,部分内容和事例有些重叠,不过这都不重要,自己还是怀着一种敬畏来读这本书的,读起来更像是读个人自传或休闲聊天。
一、安全威胁的本质
   信息社会发展到今天,社会中的一切似乎都不可避免地涌向信息化,利用信息化来存储数据,处理业务流程,大数据分析预测等等。而这些大量应用的背后,其面对的安全威胁却从未改变。安全威胁其实来自于二元向量的保证:来访者是谁?该人是否有权限执行请求的操作?熟悉吧,其实就是计算机安全中很早就提出的身份认证和访问控制,尽管信息技术的形式不断发展,但是其安全的本质始终围绕着这两个因素。
   当前的企业多少都部署了安全软件防护,大的企业会购买专用的商业软件或安全设备,甚至自己开发安全防护产品;小的企业也会安装免费的安全防护软件,比如360企业版;传统的安全设备如身份认证系统、文件访问控制系统以及入侵检测系统,已经被大多数企业信任、并部署,但是这是否就足够了呢?
   严格来说,还不够。因为这些安全措施针对“脚本小子”来说,确实足够了,对一般的攻击者而言,所使用的技术较为落后,且容易掌控;但是对于高级的攻击者,比如真的自己挖掘漏洞、编写安全工具的黑客来说,这些就形同虚设了。一般的攻击者进行大范围的攻击,目的是显示自己的能力;高级的攻击者更多地具有明确的目的,比如窃取信息获利,因此会实施周密的攻击计划,当然,也包括想方设法绕过目标企业的安全防护。
   绕过一个高度防护企业的安全机制的最好办法,无疑是从“人”的角度下手,去社工其管理员或相关人员,一步一U取得信任,获得信息来破解或绕过安全机制是最为便捷实用的方法。因此,安全威胁的本质在于:
1. 我们要防范的是高级攻击者,而不是简单的“脚本小子”;
2. 技术不能解决所有的问题,因为还有“人”的因素,这一点的失败会导致功亏一篑;

二、一个经典的欺骗案例
   我们今天案例的主角是一个名叫Rifkin的小伙子,由于业务关系,某天需要去太平洋实业银行的电汇室维护系统,却无疑间瞅见了墙上当天的转汇密码。于是偷偷记录下了密码,紧接着开始了精心谋划的社工攻击:
1. 假装银行办公人员给电汇室打电话,要求汇款,电汇室要求说明办公室号码和当天的电汇号,Rifkin按照之前做的功课回应电汇室的工作MM;
2. Rifkin要求MM向一家瑞士银行帐户转汇1000万美金;
3. MM接受请求,但是要求Rifkin提供跨银行办公室授权号码,Rifkin始料不及,但是镇定下来,回复查看下再打给MM;
4. Rifkin伪装电汇室打给办公室,问得跨银行办公室的授权号码;
5. Rifkin打电话给电汇室MM,成功转账;
6. 一周后,Rifkin飞到瑞士,提出800万美金买了一堆钻石,缝在腰带里回了美国;
7. 不久后被捕,被以“计算机欺诈罪”起诉;
   好吧,这样的案例听起来玄乎,但是却真实发生,不用一枪一炮的抢银行。这里面有些现在已经行不通了,比如现在的电话都有来显,会暴露真实身份等。不过还是很好地给我们展示了下社工的威力,形式方法可以跟随时代而改变。
【反欺骗的艺术】:安全威胁的本质-LMLPHP
01-19 06:11