1 第一章 安全軟肋

第一部幕后的故事第一章安全軟肋某公司也許購置了能用錢買到的最好的安全技術(shù)，員工們也訓(xùn)練有素，每晚回家前把所有的秘密都鎖起來，并從業(yè)內(nèi)最好的保安公司雇用了保安，但這家公司仍然易受攻擊。一些人可能遵從了專家所有最好的安全建議，安裝了各種受推薦的安全產(chǎn)品，并十分謹(jǐn)慎的處理系統(tǒng)配置以及應(yīng)用安全補(bǔ)丁，但他們?nèi)匀缓懿话踩?。人為因素在國?huì)聽證會(huì)前的一次證言中，我解釋到我經(jīng)?？梢詮钠髽I(yè)獲得密碼口令或其他類似的敏感信息，只需假扮某人直接開口要就是了。人們對于絕對安全的渴望常常導(dǎo)致他們滿足于虛假的安全感之中。想像一位負(fù)責(zé)任的可愛的屋主，他有一套麥迪科（譯者注：Medico，知名品牌、價(jià)格昂貴）防撬鎖裝在屋子的大門上，以保護(hù)他的妻子、孩子和他的家。他覺得很心安，因?yàn)樗鸭彝ケＷo(hù)的很好。但對于破窗而入和解開車庫大門密碼的闖入者呢？再安裝一套強(qiáng)壯的安全系統(tǒng)么？雖然有用，但還是不夠安全。無論防盜鎖是昂貴還是便宜，屋主的安全仍然難以保障。為什么？因?yàn)槿藶橐蛩夭攀前踩能浝摺０踩?，通常情況下僅僅是個(gè)幻想，由其是輕信、好奇和無知存在的時(shí)候。二十世紀(jì)最受尊敬的科學(xué)家愛因斯坦這樣說道：“只有兩種事物是無窮盡的一一宇宙和人類的愚蠢。但對于前者，我不敢確定疽'最終，社會(huì)工程學(xué)的攻擊，成功于人們的愚蠢或更為普遍的對信息安全實(shí)踐上的無知。與這位屋主一樣，有許多信息技術(shù)（IT）從業(yè)者都有著類似的錯(cuò)誤觀念。他們認(rèn)為自己的公司固若金湯，因?yàn)槠渑渲昧司嫉陌踩O(shè)備一一防火墻、入侵檢測，或是更為保險(xiǎn)的身份認(rèn)證系統(tǒng)，如時(shí)間令牌和生物識(shí)別卡。任何認(rèn)為僅靠這些安全設(shè)備即可保證安全的人都會(huì)滿足于虛假的安全感之中，這就是一個(gè)生活在幻想世界中的例子，他們遲早會(huì)不可避免的遭遇安全事故。正如著名的安全顧問布魯斯?施尼爾(BruceSchneier)所說：“安全不是一件產(chǎn)品，它是一個(gè)過程?！苯徊秸f，安全不是技術(shù)問題，它是人和管理的問題。由于開發(fā)商不斷地創(chuàng)造出更好的安全科技產(chǎn)品，攻擊者利用技術(shù)上的漏洞變得越來越困難。于是，越來越多的人轉(zhuǎn)向利用人為因素的手段來進(jìn)行攻擊。穿越人這道防火墻十分容易，只需打一個(gè)電話的成本和冒最小的風(fēng)險(xiǎn)。一個(gè)欺騙的經(jīng)典案例企業(yè)資產(chǎn)安全最大的威脅是什么？很簡單，社會(huì)工程師。一個(gè)無所顧忌的魔術(shù)師，用他的左手吸引你的注意，右手竊取你的秘密。他通常十分友善，很會(huì)說話，并會(huì)讓人感到遇上他是件榮幸的事情。我們來看一個(gè)社會(huì)工程學(xué)的例子：許多人都已記不起一個(gè)叫斯坦利?馬克?瑞夫金(StanleyMarkRifkin)的年輕人，和他在洛杉磯的美國保險(xiǎn)太平洋銀行(SecurityPacificNationalBank)的冒險(xiǎn)小故事了。他的劣跡很多，瑞夫金(同我一樣)從未把自己的事情告訴過別人，因此下面的敘述基于公開的報(bào)道。獲得密碼1978的一天，瑞夫金無意中來到了美國保險(xiǎn)太平洋銀行的授權(quán)職員準(zhǔn)入的電匯交易室，這里每天的轉(zhuǎn)款額達(dá)到幾十億美元。瑞夫金當(dāng)時(shí)工作的那家公司恰巧負(fù)責(zé)開發(fā)電匯交易室的數(shù)據(jù)備份系統(tǒng)，這給了他了解轉(zhuǎn)賬程序的機(jī)會(huì)，包括銀行職員拔出賬款的步驟。他了解到被授權(quán)進(jìn)行電匯的交易員每天早晨都會(huì)收到一個(gè)嚴(yán)密保護(hù)的密碼，用來進(jìn)行電話轉(zhuǎn)帳交易。電匯室里的交易員為了記住每天的密碼，圖省事把密碼記到一張紙片上，并把它貼到很容易看得見的地方。11月的一天，瑞夫金有了一個(gè)特殊的理由出入電匯室。到達(dá)電匯室后，他做了一些操作過程的記錄，裝做在確定備份系統(tǒng)的正常工作。借此機(jī)會(huì)偷看紙片上的密碼，并用腦子記了下來，幾分鐘后走出電匯室。瑞夫金后來回憶道：“感覺就像中了大獎(jiǎng)”。轉(zhuǎn)款入戶瑞夫金約在下午3點(diǎn)離開電匯室，徑直走到大廈前廳的付費(fèi)電話旁，塞入一枚硬幣，打給電匯室。此時(shí)，他改變身份，裝扮成一名銀行職員一一工作于國際部的麥克?漢森MikeHansen)。那次對話大概是這樣的：“喂，我是國際部的麥克?漢森。”他對接聽電話的小姐說，小姐按正常工作程序讓他報(bào)上辦公電話?！?86。”他已有所準(zhǔn)備。小姐接著說：“好的，密碼是多少？”瑞夫金曾回憶到他那時(shí)的“興奮異?！薄！?789”他盡量平靜地說出密碼。接著他讓對方從紐約歐文信托公司(IrvingTrustCompany)貸一千零二十萬美元到瑞士蘇黎士某銀行(WozchodHandelsBank)，他已經(jīng)建立好的賬戶上。對方說：“好的，我知道了，現(xiàn)在請告訴我轉(zhuǎn)賬號(hào)。”瑞夫金嚇出一身冷汗，這個(gè)問題事先沒有考慮到，他的騙錢方案出現(xiàn)了紕漏。但他盡量保持自己的角色，十分沉穩(wěn)，并立刻回答對方：“我看一下，馬上給你打過來。”這次，他裝扮成電匯室的工作人員，打給銀行的另一個(gè)部門，拿到帳號(hào)后打回電話。對方收到后說：“謝謝。”(在這種情況下說“謝謝”，真是莫大的諷刺。)成功結(jié)束幾天后，瑞夫金乘飛機(jī)來到瑞士提取了現(xiàn)金，他拿出八百萬通過俄羅斯一家代理處購置了一些鉆石，然后把鉆石封在腰帶里通過了海關(guān)，飛回美國。瑞夫金成功的實(shí)施了歷史上最大的銀行劫案，他沒有使用武器，甚至勿需計(jì)算機(jī)的協(xié)助。奇怪的是，這一事件以“最大的計(jì)算機(jī)詐騙案”為名，收錄在吉尼斯世界紀(jì)錄中。斯坦利?瑞夫金用的就是欺騙的藝術(shù)，這種技巧和能力我們現(xiàn)在把它稱為——社會(huì)工程學(xué)。威脅的天然性瑞夫金的故事確切的證明了我們的安全感是多么不可靠。這樣的事件(也許到不了一千萬美元，但終歸有所損失）每天都在發(fā)生，你的資金可能正在流失，新產(chǎn)品方案正在被竊取，而你卻一無所知。即使你的公司還沒有這樣的事情出現(xiàn)，那也會(huì)終將出現(xiàn)。但它何時(shí)出現(xiàn)呢？日益增長的安全事件美國計(jì)算機(jī)安全協(xié)會(huì)在2001年計(jì)算機(jī)犯罪調(diào)查報(bào)告中聲稱，在接受調(diào)查的組織機(jī)構(gòu)中，有85%的組織在過去的12個(gè)月中發(fā)現(xiàn)了計(jì)算機(jī)安全事件。這是一個(gè)驚人的數(shù)字，只有15%的機(jī)構(gòu)在過去的一年中沒有發(fā)現(xiàn)安全事件。另一個(gè)數(shù)字同樣驚人，有64%的機(jī)構(gòu)由于計(jì)算機(jī)的問題而導(dǎo)致財(cái)務(wù)損失，超過一年中遭受財(cái)務(wù)損失企業(yè)的二分之一強(qiáng)。我的經(jīng)驗(yàn)告訴我這個(gè)數(shù)字有些夸大，并對這項(xiàng)調(diào)查的研究結(jié)果表示懷疑。但這并不是說安全事件的危害面不大，相反，它很大。那些未把安全事件考慮在內(nèi)的人，遲早會(huì)出問題。大多數(shù)公司配置的安全產(chǎn)品主要是應(yīng)付業(yè)余入侵者的，比如被稱為“腳本小子”的年輕人。實(shí)際上，這些利用別人的軟件，并憧憬著成為真正黑客的人，大多數(shù)情況下只能引起一些麻煩。真正的損失和威脅，來自于經(jīng)驗(yàn)豐富、目標(biāo)清晰，受商業(yè)利益驅(qū)動(dòng)的攻擊者。這些人一次只盯準(zhǔn)一個(gè)目標(biāo)，而不像業(yè)余入侵者試圖進(jìn)入盡可能多的系統(tǒng)。業(yè)余黑客看重?cái)?shù)量，而職業(yè)黑客在乎的是信息的質(zhì)量和價(jià)值。認(rèn)證設(shè)備（身份認(rèn)證）、訪問控制（對文件和系統(tǒng)資源的控制管理）和入侵檢測系統(tǒng)（計(jì)算機(jī)化的防盜器）等技術(shù)，對公司的安全防護(hù)是十分必要的。然而，現(xiàn)在的公司在布置保護(hù)企業(yè)免受攻擊的安全對策方面的投入比其花在咖啡上的錢還要少。正如同罪惡的心無法抵制誘惑，黑客們一心要找出功能強(qiáng)大的安全系統(tǒng)的弱點(diǎn)。在許多時(shí)候，他們把這種心思放在了人的身上。欺騙的使用許多人都說，關(guān)掉了的計(jì)算機(jī)才是安全的計(jì)算機(jī)，但這是錯(cuò)誤的，找個(gè)借口讓人去辦公室打開它就是了。你的對手不僅僅有一種方法可以從你那里得到他想要的信息，這只是時(shí)間的問題。耐心、個(gè)性和堅(jiān)持，這正是欺騙的藝術(shù)的切入點(diǎn)。要擊敗安全措施，一個(gè)攻擊者、入侵者，或是社會(huì)工程師，必須找到一個(gè)方法，從可信用戶那里騙取信息，或是不露痕跡的獲得訪問權(quán)。當(dāng)可信用戶被欺騙、影響，并被操縱而吐露出敏感信息時(shí)，或是做出了不當(dāng)?shù)呐e動(dòng)，從而讓攻擊者有漏洞可鉆時(shí)，什么樣的安全技術(shù)也無法保護(hù)住你的業(yè)務(wù)了。正如同密碼專家有時(shí)通過尋找漏洞來繞過加密技術(shù)解出密文一樣，社會(huì)工程師通過欺騙你的雇員來繞過安全技術(shù)。信任的弊端大多數(shù)情況下，成功的社會(huì)工程師都有著很強(qiáng)的人際交往能力。他們有魅力、講禮貌、討人喜歡，并具有快速建立起可親、可信感的特點(diǎn)。一個(gè)經(jīng)驗(yàn)豐富的社會(huì)工程師，使用他自已的戰(zhàn)略、戰(zhàn)術(shù)，幾乎能夠接近任何他感興趣的信息。精干的技術(shù)專家辛辛苦苦地設(shè)計(jì)出安全解決方案來最小化使用計(jì)算機(jī)的風(fēng)險(xiǎn)，然而卻沒有解決最大的漏洞一一人為因素。盡管我們很聰明，但對我們?nèi)祟悺?、我、他的安全最?yán)重的威脅，來自于我們彼此之間。我們的國民性格我們對危險(xiǎn)漠不關(guān)心，尤其在西方，美國則更甚。我們沒有受到要對別人保有懷疑態(tài)度的訓(xùn)練，我們接受的是“愛汝之鄰”（譯者注：此句引自《圣經(jīng)》）的教育，人與人之間要相互信任和忠實(shí)，試想一下小區(qū)的保安機(jī)構(gòu)讓人們鎖上家門和車門是多么的困難。這種情形是很明顯的，卻似乎被許多寧愿活在理想世界里的人忽略，直至受到傷害。我們知道，并不是所有的人都誠實(shí)善良、友愛可親，可我們在生活中卻經(jīng)常把他人想像成這樣。這種可愛的無知一直都是美國人的生活方式，放棄這種習(xí)慣十分不易。做為美國人，自由和最適宜居住的地方就是鎖和鑰匙最沒必要的地方，這種理念已經(jīng)深入人心。大多數(shù)人持有不會(huì)被欺騙的想法是覺得被騙的可能性很低，而攻擊者利用這種心理，編出不會(huì)引起懷疑的聽上去十分合理的理由，充分的利用了受騙者的信任。機(jī)構(gòu)的無知無知是我們國民性格的一部分，這可以在回溯計(jì)算機(jī)首次遠(yuǎn)程聯(lián)接時(shí)輕易的看出。APPANet（美國國防部高級研究項(xiàng)目署網(wǎng)絡(luò)），互聯(lián)網(wǎng)的前身，用來在政府、科研和教育機(jī)構(gòu)之間共享信息，其目標(biāo)是信息共享和科技進(jìn)步，許多教育機(jī)構(gòu)因此建立了幾乎沒有任何安全措施的早期計(jì)算機(jī)系統(tǒng)。一個(gè)著名的軟件開發(fā)自由主義者，理查德?斯托曼，甚至拒絕為他的賬號(hào)設(shè)置口令。但隨著互聯(lián)網(wǎng)電子商務(wù)的興起，由于互聯(lián)網(wǎng)脆弱的安全措施導(dǎo)致的危害性發(fā)生了極大的變化。使用再多的安全技術(shù)也不能解決人為的安全因素，拿今天的機(jī)場為例，安全已經(jīng)成為首要措施，然而我們?nèi)匀槐幻襟w的報(bào)道所警告，還是有人可以避開安全措施、攜帶潛在性武器通過檢測。在一個(gè)機(jī)場時(shí)刻處于警戒狀態(tài)下的時(shí)期，這種事情又是怎么發(fā)生的呢？是那些金屬儀器失效了么？不，問題不在機(jī)器，問題在于人，機(jī)器是由人操縱的。機(jī)場的官員雖然可以布署國民警衛(wèi)隊(duì)并安裝檢測器和面部識(shí)別系統(tǒng)，但如何培訓(xùn)一線保衛(wèi)人員正確地檢查旅客則更為重要。全世界的政府、商業(yè)、教育機(jī)構(gòu)都有同樣的問題，雖然各個(gè)地方的職業(yè)安全人員不敢懈怠，但信息仍然易受攻擊，并被具備社會(huì)工程學(xué)技巧的攻擊者視為可摘之果，除非安全鏈中最薄弱的環(huán)節(jié)——人為因素，被加固強(qiáng)化?，F(xiàn)在，我們比任何時(shí)候都需要停止幻想，同時(shí)對攻擊計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)機(jī)密性、完整性以及實(shí)用性的技術(shù)加深認(rèn)識(shí)。我們已經(jīng)認(rèn)識(shí)到主動(dòng)防御的必要，是接受和學(xué)習(xí)安全防護(hù)的時(shí)候了。對你的隱私、思想和公司信息系統(tǒng)的非法入侵似乎很遙遠(yuǎn)，直到它真的發(fā)生。為了避免付出昂貴的代價(jià)，我們所有的人都需加深認(rèn)識(shí)、富有經(jīng)驗(yàn)、保持警醒，并主動(dòng)防衛(wèi)我們的信息資產(chǎn)、個(gè)人信息，以及國家的關(guān)健基礎(chǔ)設(shè)施?，F(xiàn)在，我們必須實(shí)行嚴(yán)謹(jǐn)、周密的設(shè)防。欺騙與恐怖分子當(dāng)然，欺騙并不是社會(huì)工程師的專用工具。暴戾的恐怖主義制造了聳人聽聞的新聞事件，我們前所未有地意識(shí)到我們居住的世界充滿了危險(xiǎn)。文明，終歸只是一層脆弱的薄板。2001年，發(fā)生在紐約的911事件把悲傷和恐懼植入每一個(gè)人的心中，不只是美國人，還有世界上所有善良的人們。我們已經(jīng)開始警覺，因?yàn)檫@個(gè)世界上還分布著受到良好訓(xùn)練的極端恐怖分子，伺機(jī)再次發(fā)動(dòng)對我們的攻擊。政府最近的強(qiáng)化努力已經(jīng)提升了大眾的安全意識(shí)，我們需要保持警醒，警惕各種形式的恐怖主義。我們需要了解恐怖分子是如何偽造各種身份，假扮學(xué)生、鄰居而混入人群的，他們掩飾住自己真實(shí)的思想以密謀恐怖行動(dòng)，而他們使用的就是類似于本書中介紹的欺騙手法。然而，就我所認(rèn)為，恐怖分子目前尚未利用社會(huì)工程學(xué)的手法滲透到水處理廠、發(fā)電廠，或其它關(guān)系國計(jì)民生的基礎(chǔ)設(shè)施中，但可能性依然存在，這畢竟太容易做到了。我希望安全意識(shí)和相應(yīng)的安全策略將會(huì)得到正確的應(yīng)用并得到企業(yè)上層管理的加強(qiáng)，因?yàn)檫@本書恰逢其時(shí)。關(guān)于此書企業(yè)安全是一個(gè)平衡問題，安全性太差公司易受攻擊，但過多的強(qiáng)調(diào)安全又會(huì)妨礙業(yè)務(wù)管理和公司的發(fā)展，其難點(diǎn)在于達(dá)到生產(chǎn)效率和安全之間的平衡。其它關(guān)于企業(yè)信息安全的書都把重點(diǎn)放在硬、軟件技術(shù)上，而忽略了最重要的安全威脅——對人的欺騙。與之相反，此書的目的，就是要幫助大家理解自己、同事，和公司其他人員是如何被操縱的，并幫助大家建立屏障，謹(jǐn)防成為受害者。本書的重點(diǎn)放在入侵者用來盜取信息的非技術(shù)手段上，它能夠?qū)此瓢踩男畔⑼暾援a(chǎn)生威脅，甚至破壞公司的工作成果。我的任務(wù)由于一個(gè)簡單的事實(shí)而更加困難——每個(gè)讀者都一直被社會(huì)工程學(xué)高級專家——他們的父母所控制著，他們有辦法（比如：“這是為了你好”）讓你去做他們認(rèn)為最應(yīng)該做的事。父母們就是使用類似社會(huì)工程學(xué)的方法，巧妙的編出看似有理的故事、理由以及借口，來達(dá)到他們的目的。是的，我們都被我們的父母所引導(dǎo)——那些樂善好施的（偶爾也不完全如此）社會(huì)工程師們。由于這種生長環(huán)境，導(dǎo)致我們軟弱而容易被操縱?？煽偸菍λ藨延薪湫模瑩?dān)心上當(dāng)受騙，會(huì)活得很累。在理想的世界里我們應(yīng)對他人給予絕對信任，每個(gè)人都是誠實(shí)和值得信賴的。但我們并沒有生活在理想世界中，我們必須