此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克?汉森(mikehansen)。那次对话大概是这样的:
“喂,我是国际部的麦克?汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司(irvingtrustpany)贷一千零二十万美元到瑞士苏黎士某银行(wozchodhandelsbank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”
瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)
成功结束
几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利?瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为――社会工程学。
威胁的天然性
瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?
日益增长的安全事件
美国计算机安全协会在2001年计算机犯罪调查报告中声称,在接受调查的组织机构中,有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字,只有15%的机构在过去的一年中没有发现安全事件。另一个数字同样惊人,有64%的机构由于计算机的问题而导致财务损失,超过一年中遭受财务损失企业的二分之一强。
我的经验告诉我这个数字有些夸大,并对这项调查的研究结果表示怀疑。但这并不是说安全事件的危害面不大,相反,它很大。那些未把安全事件考虑在内的人,迟早会出问题。大多数公司配置的安全产品主是应付业余入侵者的,比如被称为“脚本小子”的年轻人。实际上,这些利用别人的软件,并憧憬着成为真正黑客的人,大多数情况下只能引起一些麻烦。真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱动的攻击者。这些人一次只盯准一个目标,而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。
认证设备(身份认证)、访问控制(对文件和系统资源的控制管理)和入侵检测系统(计算机化的防盗器)等技术,对公司的安全防护是十分必要的。然而,现在的公司在布置保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。
正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许多时候,他们把这种心思放在了人的身上。
欺骗的使用
许多人都说,关掉了的计算机才是安全的计算机,但这是错误的,找个借口让人去办公室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。
要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到一个方法,从可信用户那里骗取信息,或是不露痕迹的获得访问权。当可信用户被欺骗、影响,并被操纵而吐露出敏感信息时,或是做出了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样,社会工程师通过欺骗你的雇员来绕过安全技术。
信任的弊端
大多数情况下,成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师,使用他自已的战略、战术,几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我们很聪明,
但对我们人类――你、我、他的安全最严重的威胁,来自于我们彼此之间。
我们的国民性格
我们对危险漠不关心,尤其在西方,美国则更甚。我们没有受到要对别人保有怀疑态度的训练,我们接受的是“爱汝之邻”(译者注:此句引自《圣经》)的教育,人与人之间要相互信任和忠实,试像一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是很明显的,却似乎被许多宁愿活在理想世界里的人忽略,直至受到伤害。
我们知道,并不是所有的人都诚实善良、友爱可亲,可我们在生活中却经常把他人想像成这样。这种可爱的无知一直都是美国人的生活方式,放弃这种习惯十分不易。做为美国人,自由和最适宜居住的地方就是锁和钥匙最没必要的地方,这种理念已经深入人心。大多数人持有不会被欺骗的想法是觉得被骗的可能性很低,而攻击者利用这种心理,编出不会引起怀疑的听上去十分合理的理由,充分的利用了受骗者的信任。
机构的无知
无知是我们国民性格的一部分,这可以在回溯计算机首次远程联接时轻易的看出。appa(美国国防部高级研究项目署网络),互联网的前身,用来在政府、科研和教育机构之间共享信息,其目标是信息共享和科技进步,许多教育机构因此建立了几乎没有任何安全措施的早期计算机系统。一个著名的软件开发自由主义者,理查德?斯托曼,甚至拒绝为他的账号设置口令。但随着互联网电子商务的兴起,由于互联网脆弱的安全措施导致的危害性发生了极大的变化。
使用再多的安全技术也不能解决人为的安全因素,拿今天的机场为例,安全已经成为首要措施,然而我们仍然被媒体的报道所警告,还是有人可以避开安全措施、携带潜在性武器通过检测。在一个机场时刻处于警戒状态下的时期,这种事情又是怎么发生的呢?是那些金属仪器失效了么?不,问题不在机器,问题在于人,机器是由人操纵的。机场的官员虽然可以布署国民警卫队并安装检测器和面部识别系统,但如何培训一线保卫人员正确地检查旅客则更为重要。全世界的政府、商业、教育机构都有同样的问题,虽然各个地方的职业安全人员不敢懈怠,但信息仍然易受攻击,并被具备社会工程学技巧的攻击者视为可摘之果,除非安全链中最薄弱的环节――人为因素,被加固强化。
现在,我们比任何时候都需要停止幻想,同时对攻击计算机系统和网络机密性、完整性以及实用性的技术加深认识。我们已经认识到主动防御的必要,是接受和学习安全防护的时候了。
对你的隐私、思想和公司信息系统的非法入侵似乎很遥远,直到它真的发生。为了避免付出昂贵的代价,我们所有的人都需加深认识、富有经验、保持警醒,并主动防卫我们的信息资产、个人信息,以及国家的关健基础设施。现在,我们必须实行严谨、周密的设防。
欺骗与恐怖分子
当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001年,发生在纽约的911事件把悲伤和恐惧植入每一个人的心中,不只是美国人,还有世界上所有善良的人们。我们已经开始警觉,因为这个世界上还分布着受到良好训练的极端恐怖分子,伺机再次发动对我们的攻击。
政府最近的强化努力已经提升了大众的安全意识,我们需要保持警醒,警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份,假扮学生、邻居而混入人群的,他们掩饰住自己真实的思想以密谋恐怖行动,而他们使用的就是类似于本书中介绍的欺骗手法。
然而,就我所认为,恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂,或其它关系国计民生的基础设施中,但可能性依然存在,这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强,因为这本书恰逢其时。
关于此书
企业安全是一个平衡问题,安全性太差公司易受攻击,但过多的强调安全又会妨碍业务管理和公司的发展,其难点在于达到生产效率和安全之间的平衡。
其它关于企业信息安全的书都把重点放在硬、软件技术上,而忽略了最重要的安全威胁――对人的欺骗。