网络通信安全:人为因素才是安全软肋
来源:中国计算机报 更新时间:2012-04-13

编者按:在第一章《安全软肋》中,米特尼克一开始便强调了安全产品和技术并不代表安全,

安全更是人和管理的问题。

正如一个屋主安装防盗锁的例子中指出的“无论防盗锁昂贵还是便宜,屋主的安全仍然难以保障。为何?因为人为因素才是安全的软肋。”

“与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为他们配置了精良的安全设备——防火墙、入侵检测,或是更为保险的身份认证系统……”

“正如著名的安全顾问布鲁斯·施尼尔(Bruce Schneier)所说:‘安全不是一件产品,它是一个过程。’也就是说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越发困难。于是,越来越多的人转向利用人为因素进行攻击。穿越人这道防火墙十分容易,只需拨打一个电话的成本、承担最小的风险。”

点出了安全因素中最薄弱的环节(即人的因素)之后,米特尼克举出了一个社会工程学史上的经典案例。

20世纪70年代末期,一个叫做斯坦利·马克·瑞夫金(Stanley Mark Rifkin)的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划,“甚至无需计算机的协助”,仅仅依靠一个进入电汇室的机会并打了三个电话,便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是,这一事件却以‘最大的计算机诈骗案’为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金利用的就是欺骗的艺术,这种技巧我们现在把它称为—社会工程学。”

这个案例证明安全的威胁不可避免,“类似的事件每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。”

日益增长的安全事件给企业的资产带来威胁并导致越来越大的财务损失,米特尼克表示“大多数公司配置的安全产品只是应付业余入侵者,如被称为’脚本小子’的年轻人……”。实际上,“真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱使的攻击者。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。”

“正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。于是,在很多时候,他们把这种心思放在了人的身上……”

而人的弱点又在哪里?《欺骗的艺术》告诉你:那就是信任。

“攻击者正是利用人们的心理弱点,编出不会让人怀疑的且听上去十分合理的理由,充分利用了受骗者的信任。”

在上期,我们陈述了《欺骗的艺术》与其他相关信息安全书籍的区别和本书的主旨。

“而这本书的主要内容—第二和第三部分,则讲述了社会工程师如何实施欺骗的故事。在这两部分中,大家将会看到:

·电话盗打者早就发现的,一个从电话公司获得未刊登电话号码的方法;

·几个不同的社会工程学方法,甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令;

·信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息;

·隐私调查者是如何获得企业、个人的隐密信息的,也许真相会让你脊背发凉。”