她没有。他告诉她号码,她认真的记了下来,然后继续工作,并再一次地为受到热心的关怀感到欣慰。
过程分析
这个故事继续加强了此书的基本主题,你也将看到在整本书中都包含着这一主题:尽管社会工程师的最终目标不是从对方身上获取最普通的信息,但这些信息却是其目标的信任书。利用企业关健岗位上的员工那里得来的某个账号和密码,攻击者可以成功打入内部并找到任何他想找的信息。有了这些信息,如同找到开门的钥匙,把它们握在手中,他可以自由地出入企业的各个地方并找到他寻觅的宝藏。
米特尼克信箱
在企业的新员工可以访问任何计算机系统之前,必须进行培训以遵从良好的安全操作规程,尤其是有关绝不要泄露口令的规则。
不象你认为的那样安全
“在保护敏感信息上所做欠妥的企业仅仅是因为粗心大意。”许多人都会同意这个说法。而生活如果简单易懂的话,这个世界就会更好。事实却是即便企业付出相当的努力来保护机密信息,可还是存在着严重的风险。下面的故事再一次举例证明,认为由经验丰富、胜任的职业安全人员布置的安全操作规程牢不可破的想法,只是在愚弄自己。
斯蒂夫o克莱默(Steve Cramer)的故事
这片草地不大,没有播撒昂贵的草种,也没人羡慕。当然,也就没有足够的理由买一台坐式割草机了,那一定很好使,毕竟他一次也没用过。斯蒂夫很乐意用手工割草机割草,因为花的时间会更长些,而这种家务事还给他提供了一个便利,使自己专注于自己的想法,而不是听安娜(Anna)讲述她工作的银行里那些人的故事或是解释为他所做的各种事情,他讨厌“夫妻表”(译者注:夫妻间为增进感情而做的一些小事,如聊天、下厨等)上的内容成为他周末的全部。当12岁的皮特绝顶聪明地加入游泳队的时候,他的心里一下子亮堂起来。现在,他每个星期六都要在训练场或是去接他,不用再陷入没完没了的家务事上了。
有些人可能认为斯蒂夫在双星医疗产品厂(GeminiMed Medical Product)的工作十分无聊,斯蒂夫却认为他在挽救生命,他知道自己从事的是具有创造性的工作。画家、音乐家、工程师,在斯蒂夫看来都有着与他相同的挑战性——他们都创造别人从未做过的东西。他最近所做的,是一件新型的智能心脏支架,迄今为止,可能是他最值得骄傲的成就。
在这个不寻常的周六,斯蒂夫十分苦恼,都快11点半了,草地也几乎清理完,但是在思考如何降低心脏支架的动力消耗方面却没有丝毫的进展。这是他最后的障碍,虽然锄草时最适合思考这样的问题,但他一点办法也没想出来。
安娜来到门口,头上围着打扫卫生时总戴着的佩斯利(paisley)牛仔头巾。“电话,”她冲着他喊。“你公司的电话。”
“是谁?”斯蒂夫回喊道。
“叫什么拉尔夫(Ralph)的,好像。”
拉尔夫?斯蒂夫想不起医疗厂有叫拉尔夫的人会在周末打电话给他,也许安娜把名字听错了吧。
“斯蒂夫,我是技术支持部的雷蒙o派瑞兹(Ramon Perez)。”
雷蒙?天知道安娜怎么会听成一个西班牙人的名字拉尔夫?斯蒂夫很奇怪。
“这是一个善意的来电,”雷蒙接着说。“有三台服务器当掉了,我们认为可能是蠕虫,必须清除驱动器,然后恢复备份文件。我们应该能够在星期三或星期四令你的文件正常使用,如果幸运的话。”
“这真让人无法接受,”斯蒂夫尽量平静的说,努力压制住自己的沮丧。这些人怎么如此愚蠢?他们真的认为他没有这些文件也可以在整个周末和下个星期的多半个星期工作么?“不行,我要用家里的电脑连线,只需两个小时,我要访问我的文件。你听明白我的意思了吗?”
“清楚,到现在为止我打的每一个电话,对方都要求先处理他们的事情。我放弃我的周末来弄这件事,却让每个我与之通话的人对我指手画脚,你觉得这很好笑么?”
“我现在的工作处于关健时期,公司对此十分重视,我今天下午要完成它,你还有什么不明白的?”
“在我开始恢复前还有很多电话要打,”雷蒙说。“我们说定星期二恢复你文件的使用,怎么样?”
“星期二不行,星期一也不行,要今天,现在!”斯蒂夫边说边考虑如果说不通这个大脑迟钝的家伙,他该向谁打电话。
“好吧,好吧,”雷蒙说,斯蒂夫还能听到他无奈的叹了口气。“我看看我该怎么让你连线,你使用RM22服务器,对么?”
“RM22和GM16两台。”
“好,很好,我可以绕过一些程序来节省些时间——我需要你的用户名和口令。”
什么?斯蒂夫想,这是怎么了?为什么他需要我的口令?为什么所有IT部门的人都这样?
“你刚才说你姓什么?谁是你的主管?”
“雷蒙o派瑞兹。听着,听我说,当你被雇用的时候,必须填一个表格来取得自己的用户名,同时写下密码。我可以在存档中找到这个文件,然后告诉你,好么?”
斯蒂夫考虑了一会儿,表示同意。他拿着电话尽量耐心的等着雷蒙从文件柜中取出文件,最终返回到电话前,斯蒂夫可以听到他在摆弄一堆文件。
“哈,找到了,”雷蒙说,“你写的密码是Janice。”
Janice,斯蒂夫想,是他母亲的名字,实际上有时他会用这个名字做密码,很可能在他填雇用登记表时就用它做密码了。
“是的,是这样。”他承认道。
“那好,我们正在浪费时间。你知道我是真的,你想让我走捷径帮你快速的取回文件,你就必须给予我帮助。”
“我的用户名是s d 下划线 cramer,c…r…a…m…e…r,密码是pelican1。”
“我会把它恢复正常,”雷蒙说,听上去还比较友好。“给我二三个小时。”
斯蒂夫清理完草坪,吃过午饭,到时间便来到他的计算机前,发现他的文件已经恢复了。他很满意自己强有力的说服了那个不太合作的IT小子,并希望安娜听到了他是多么的果断。最好对那个小子或是他的上司表示一下他的满意,但他知道他抽不出时间做这些事情。
克雷格o科格伯恩的故事
克雷格o科格伯恩(Craig Cogburne)曾是一家高科技公司的销售,业绩良好。一段时间后,他逐渐意识到自己有一种读懂客户的能力,理解对方反对什么,以及利用对方的弱点和漏洞轻松完成销售任务。他开始思考这种才能的其他用途,和那条最终导致他获利颇丰的道路——商业间谍。
这是个紧急任务,不会花费很长时间,也不值得花钱去趟夏威夷,或是塔希提(Tahiti)。那个人雇用了我,他没说客户是谁。当然,不用说也是一些想一下子轻松、迅速地赶上竞争对手的公司。我的工作是拿到那个叫做心脏支架的小玩意的设计书和产品说明,管它是什么。对方公司叫做双星医疗,以前从没听说过,是一家500强企业,在不同的地方有六个分公司。对于我的工作来说,大公司比小公司容易得多。因为,在小公司里你很可能会被谈话的对方认出来不是自己所声称的那个人,而这种情况就像飞行员说发生空中碰撞一样,可以把你的一切都毁了。
客户发过来一封传真,说是一些医疗杂志上报道了双星医疗正在研究一种全新设计的心脏支架,可能叫做STH…100。由于事情炒得很热,记者们已经替我做了许多前期调查工作,包括我在开始工作前必须知道的事情,这个新产品的名字。
第一个问题:取得可能会看到这个设计的以及研究STH…100的那些人的名字。于是我打电话给接线员:“我答应与你们的一位工程师联系,但我记不起他姓什么了,只记得他的名字是以S开头。”接线员说:“有两个人,一个叫斯科特o亚谢尔(Scott Archer),一个叫塞姆o大卫森(Sam Davidson)。”我冒着风险问:“哪一个在STH…100工作组?”她不知道,我只好随意选了斯科特o亚谢尔,她帮我接通了电话。
对方拿起电话,我说:“嗨,我是麦克,收发室的。我们收到一个寄给STH…100心脏支架方案组的联邦快递,应该给谁?”他告诉我方案组长的名字,杰瑞o曼德尔(Jerry Mendel),我甚至还让他帮我查到了电话。
我打给曼德尔,没有在。但他的语音留言说他在度假,一直到13号,也就是说他还有一个星期的时间滑雪或者其它什么事情。在此期间,任何人有事的话打9137找米歇尔(Michelle)。太好了,这些信息太有用了。我挂了电话接着打给米歇尔,她接起电话,我说:“我是比尔o托玛斯(Bill Thomas),杰瑞说我一旦准备好产品说明书就打给你,他想让组里的人看看。你是心脏支架组的,对吧?”她回答是。
现在,我们到了整个布局的攻坚点了。如果她有所怀疑,我就打出预先准备好的牌,我会说是杰瑞让我帮他这个忙的。我问:“你们用哪个系统?”
“系统?”
“你们成员组使用哪些服务器?”
“哦,”她说:“RM22,组里有些人还会用GM16。”
很好,这正是我需要从她哪里得到的信息,并且没有引起她的怀疑。接下来,为了尽量麻痹她,我尽可能的令语气自然,“杰瑞说你可以给我一个研发组成员的电子邮件列表,”说完,我屏住呼吸。
“当然,这个表太长了,不便阅读,发邮件给你可以吗?”
坏了!任何一个不以shubao2。com结尾的邮箱都会带来无比的麻烦。“你能发传真给我么?”
她顺利的应允了。
“我们的传真机坏了,我得问问另一台的号码,一会打给你。”说完,我挂了电话。
现在,你可