按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
“关键是研发中心的那个人,”卡尔解释说,“他会认为他只是在帮一个美国同事的忙,从你那里收到文件并帮你转发出去。”
哈里最终明白了。他打电话到研发公司让接线员帮他转接到电脑中心,然后请求和电脑操作员谈话。一个听上去和哈里一样年轻的人拿起了电话,哈里向他表示了问候并解释说他是芝加哥制造分公司的,他要发送一个文件给他们的合作伙伴,项目才能继续下去,但是,他说,“我们的路由器出了问题,无法连接到他们的网络,我想把文件先传给你,在你收到之后,我会打电话告诉你怎样转发给我们的合作伙伴。”
到目前为止,一切都很顺利。接着,哈里询问那个年轻人电脑中心是否有匿名FTP(允许任何人上传或下载文件而无需密码)账户,得到的回答是有一个匿名FTP,然后他把内部的Internet协议(IP)地址告诉了哈里。
注释
匿名FTP:无需账户也能通过文件传输协议(FTP)访问远程计算机。虽然匿名FTP可以在没有密码的情况下访问,但是用户的访问权限通常会限制在几个指定的文件夹内。
得到这一信息之后,哈里又打电话到了海外的研发中心,这时压缩文件已经准备好了,于是哈里指引电话里的人把文件上传到那个匿名的FTP站点,不到五分钟,研发中心的年轻人就收到了被压缩的源代码文件。
设定受害人
计划已经完成了一半,现在哈里和卡尔需要等待并确认文件已经到达,利用这段时间,他们穿过房间走到导师的办公桌旁,开始实施另外两个必要的步骤。首先他们在他的机器上设置了一个匿名FTP服务器作为计划中的文件传输终点站。
而第二步则解决了另一个难题。显然他们不能告诉研发中心的人把文件发送到一个像这样的地址,warren@rms。ca。edu,“edu”域名将成为死穴,即使是半清醒的电脑人员也会认出这是学校的地址,整个行动都将暴露无遗。为了避免出现这种情况,他们进入了导师的Windows系统,查看了他的IP地址,他们会用它来发送文件。
现在是时候回电给研发中心的电脑操作员了,哈里在电话里对他说,“我刚刚上传了我跟你说的那个文件,你看一下有没有?”
有,收到了。于是哈里要他转发文件,并说出了IP地址。当这个年轻人开始连接并传送文件的时候,哈里一直拿着电话,然后他们开心地看见穿过房间导师的电脑硬盘指示灯不停地闪啊闪——忙着接收文件。
哈里和那个人交换了一些看法,关于电脑和外围设备怎样才能更加可靠,然后向他表示了谢意并说,再见。
两人把导师机器里的文件复制了一份到两张Zip磁盘上,每人一张,这样以后他们就可以拿出来看看,就像是从博物馆偷来的一副油画,你可以自己欣赏,却不能把它给你的朋友们看。除此之外,在这种情况下,他们更像是偷了一副油画的复制品,而原画仍在博物馆那里。
然后卡尔让哈里移除导师机器上的FTP服务器并抹去日志文件,这样就没有任何证据证明是他们做的——只剩下放在显著位置上的源代码文件。
作为最后一步,他们直接在导师的电脑上把部分源代码提交到了Usenet,只有一部分,不会对那家公司造成任何重大损失,但是能留下足够清晰的痕迹,他们的导师恐怕要解释一些难以解释的事情了。
过程分析
虽然实施这种恶作剧需要很多方面的知识,但绝对少不了赢得同情和帮助的精彩表演:我被我的上司教训了一顿,管理人员很生气,等等,再加上对电话另一头的人说,你可以怎样怎样帮助我解决这个问题,这是一种十分有说服力的骗局,在这里有效,并且在其它许多地方也有效。
第二个关键要素是:这个人知道这些文件的价值并把它发送到了一个公司内部的地址。
第三个值得思考的问题是:电脑操作员可以看到这个文件是从公司内部发来的,这就意味着——或者看上去如此——这个把文件发给他的人,其实可以自己把文件发送到最终目的地去,只要他的外部网络连接还能用的话。帮他发送一个文件能出什么问题呢?
为什么要更改压缩后的文件名呢?这似乎只是个小步骤,但事实上非常重要,攻击者不能让写有“源代码”字样(或者涉及到产品的名字)的文件直接发送出去,请求发送这样的文件可能会引发警报,选择用一个无关紧要的名字对文件重命名非常重要。就像攻击者设计的那样,第二个年轻人毫不犹豫地把文件发送到了公司外部:一个new data文件,没有任何可以查看的真实文件信息,很难让人产生怀疑。
米特尼克语录
每一个员工都应该牢牢地记住下面这条规定:除非得到管理人员同意,不要把文件发送给任何你不认识的人,即使目的地似乎是你们公司的内部网络。
最终,你找出上面这个故事与商业间谍活动的联系了吗?如果没有,请看答案:这两个学生的恶作剧行为专业的商业间谍可以轻易地完成,或者受雇于竞争对手,或者受雇于国外政府,无论是哪种方式,都能对公司造成巨大的损失,如果市场上提前出现同类产品,将严重损害他们新产品的销售。
对你的公司实施同种类型的攻击有多么容易?
防范措施
长久以来一直困扰着企业的商业间谍活动,现在已经成为了传统间谍的谋生手段。冷战已经结束了,外国政府和企业现在正利用独立的商业间谍窃取信息。国内的公司同样也雇用违法的信息猎手获取竞争对手的情报。在很多种情况下,曾经的军事间谍成为了商业信息猎手,他们有足够的知识与经验,可以轻易地渗透企业,特别是那些没有训练员工并且未能配置安全措施保护他们的信息的企业。
远距离安全
有什么可以帮助遇到异地存储设施问题的公司?这种威胁本来是可以消除的,如果这家公司加密了他们的数据的话。没错,加密需要额外的时间和费用,但这样做非常值得。已加密文件需要定期抽查以确认文件能够正常加密/解密。
总是有密钥丢失的危险,或者惟一一个知道密钥的人出了车祸,但是危险等级被最小化了。把敏感文件放在存储公司又不将其加密的人,恕我直言,是个白痴。这就像是走在治安不好的街道上,把口袋里的20美元露出来,摆明了要让别人抢。
在不安全的地方留下备份媒体可以说是安全通病了。几年以前,我在一家本来可以更好地保护他们的客户资料的公司工作。业务人员每天都会把备份磁盘放在锁住了的机房外边给信使取,任何人都能够顺手牵羊带走这张备份磁盘,里面有这家公司所有的文字处理文档,并且没有加密。如果备份数据被加密了,丢失磁盘只是件麻烦的事情,如果没有被加密——你应该比我更清楚这将对公司造成什么样的影响。
大一点的公司对可靠的异地存储的需要几乎是毋庸置疑的,但是你的公司的安全程序需要包含一项对合作的存储公司的调查,看他们的安全策略和做法是否到位,如果他们没有关注这些,你在安全方面的所有努力可能都白费了。
小一点的公司则有更好的备份选择:每天晚上把新文件和更改过的文件发送到一个提供在线存储的公司去。重复一次,必须要对数据进行加密。另外,并不是只有存储公司的员工可以接触到这些文件,每一个成功入侵这家在线存储公司的计算机系统或网络的入侵者都可以。
当然,当你设置了加密系统保护你的备份文件安全时,你还必须设置一个高度安全的程序存储解开它们的加密密匙或者密码短语,常用于加密数据密匙应当存储在一个安全或者密封的地方。标准的公司程序需要应对一些可能性,比如处理这些数据的员工突然离职、去世或者跳槽,必须要有至少两个人知道这个存储地点和加密/解密程序,以及规定什么时候和怎样更改密码,曾经管理加密密匙的员工离职之后必须马上更改密码。
那是谁?
在这一章中的举例中,聪明的行骗艺术家利用个人魅力获取员工的信任,因此身份验证变得更加重要。能否响应将源代码发送到一个FTP站点的请求,关键是你是否了解请求者。
在第十六章中,你将看到详细的身份验证策略,以应对请求信息或者执行某项操作的陌生人,我们已经在这本书里讨论过很多次身份验证的必要性了:在第十六章你将了解应该如何去做。
第十五章 信息安