查看: 8438|回复: 30
收起左侧

[讨论] 对于“安全"的理解!!

 关闭 [复制链接]
woods12345
发表于 2009-2-4 02:20:37 | 显示全部楼层 |阅读模式
本帖最后由 107 于 2010-12-16 14:01 编辑

某公司也许购置了能用钱买到的最好的安全技术,员工们也训练有素,每晚回家前把所有的秘密都锁起来,并从业内最好的保安公司雇用了保安,但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理系统配置以及应用安全补丁,但他们仍然很不安全。


人为因素


在国会听证会前的一次证言中,我解释到我经常可以从企业获得密码口令或其他类似的敏感信息,只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主,他有一套麦迪科(译者注:Medico,知名品牌、价格昂贵)防撬锁装在屋子的大门上,以保护他的妻子、孩子和他的家。他觉得很心安,因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢?再安装一套强壮的安全系统么?虽然有用,但还是不够安全。无论防盗锁是昂贵还是便宜,屋主的安全仍然难以保障。为什么?因为人为因素才是安全的软肋。


安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者,我不敢确定。”最终,社会工程学的攻击,成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。


与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为其配置了精良的安全设备――防火墙、入侵检测,或是更为保险的身份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭遇安全事故。


正如著名的安全顾问布鲁斯·施尼尔(Bruce Schneier)所说:“安全不是一件产品,它是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断地创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。

一个欺骗的经典案例

企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子:

许多人都已记不起一个叫斯坦利·马克·瑞夫金(Stanley Mark Rifkin)的年轻人,和他在洛杉矶的美国保险太平洋银行(Security Pacific National Bank)的冒险小故事了。他的劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的报道。


获得密码


  1978的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。


电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。


转款入户


瑞夫金约在下午3点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克·汉森(Mike Hansen)。那次对话大概是这样的:


“喂,我是国际部的麦克·汉森。”他对接听电话的小姐说,小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司(Irving Trust Company)贷一千零二十万美元到瑞士苏黎士某银行(Wozchod Handels Bank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账号。”


瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)


成功结束


几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代-理处购置了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术,这种技巧和能力我们现在把它称为——社会工程学。


威胁的天然性

瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?

日益增长的安全事件



美国计算机安全协会在2001年计算机犯罪调查报告中声称,在接受调查的组织机构中,有85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字,只有15%的机构在过去的一年中没有发现安全事件。另一个数字同样惊人,有64%的机构由于计算机的问题而导致财务损失,超过一年中遭受财务损失企业的二分之一强。


我的经验告诉我这个数字有些夸大,并对这项调查的研究结果表示怀疑。但这并不是说安全事件的危害面不大,相反,它很大。那些未把安全事件考虑在内的人,迟早会出问题。大多数公司配置的安全产品主是应付业余入侵者的,比如被称为“脚本小子”的年轻人。实际上,这些利用别人的软件,并憧憬着成为真正黑客的人,大多数情况下只能引起一些麻烦。真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱动的攻击者。这些人一次只盯准一个目标,而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量,而职业黑客在乎的是信息的质量和价值。


认证设备(身份认证)、访问控制(对文件和系统资源的控制管理)和入侵检测系统(计算机化的防盗器)等技术,对公司的安全防护是十分必要的。然而,现在的公司在布置保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。


正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许多时候,他们把这种心思放在了人的身上。


欺骗的使用


许多人都说,关掉了的计算机才是安全的计算机,但这是错误的,找个借口让人去办公室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这只是时间的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。


要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到一个方法,从可信用户那里骗取信息,或是不露痕迹的获得访问权。当可信用户被欺骗、影响,并被操纵而吐露出敏感信息时,或是做出了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样,社会工程师通过欺骗你的雇员来绕过安全技术。


信任的弊端


  大多数情况下,成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、讨人喜欢,并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师,使用他自已的战略、战术,几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我们很聪明,但对我们人类——你、我、他的安全最严重的威胁,来自于我们彼此之间。


我们的国民性格


我们对危险漠不关心,尤其在西方,美国则更甚。我们没有受到要对别人保有怀疑态度的训练,我们接受的是“爱汝之邻”(译者注:此句引自《圣经》)的教育,人与人之间要相互信任和忠实,试想一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是很明显的,却似乎被许多宁愿活在理想世界里的人忽略,直至受到伤害。


我们知道,并不是所有的人都诚实善良、友爱可亲,可我们在生活中却经常把他人想像成这样。这种可爱的无知一直都是美国人的生活方式,放弃这种习惯十分不易。做为美国人,自由和最适宜居住的地方就是锁和钥匙最没必要的地方,这种理念已经深入人心。大多数人持有不会被欺骗的想法是觉得被骗的可能性很低,而攻击者利用这种心理,编出不会引起怀疑的听上去十分合理的理由,充分的利用了受骗者的信任。

机构的无知
  
  无知是我们国民性格的一部分,这可以在回溯计算机首次远程联接时轻易的看出。APPANet(美国国防部高级研究项目署网络),互联网的前身,用来在政府、科研和教育机构之间共享信息,其目标是信息共享和科技进步,许多教育机构因此建立了几乎没有任何安全措施的早期计算机系统。一个著名的软件开发自由主义者,理查德·斯托曼,甚至拒绝为他的账号设置口令。但随着互联网电子商务的兴起,由于互联网脆弱的安全措施导致的危害性发生了极大的变化。


使用再多的安全技术也不能解决人为的安全因素,拿今天的机场为例,安全已经成为首要措施,然而我们仍然被媒体的报道所警告,还是有人可以避开安全措施、携带潜在性武器通过检测。在一个机场时刻处于警戒状态下的时期,这种事情又是怎么发生的呢?是那些金属仪器失效了么?不,问题不在机器,问题在于人,机器是由人操纵的。机场的官员虽然可以布署国民警卫队并安装检测器和面部识别系统,但如何培训一线保卫人员正确地检查旅客则更为重要。全世界的政府、商业、教育机构都有同样的问题,虽然各个地方的职业安全人员不敢懈怠,但信息仍然易受攻击,并被具备社会工程学技巧的攻击者视为可摘之果,除非安全链中最薄弱的环节——人为因素,被加固强化。


现在,我们比任何时候都需要停止幻想,同时对攻击计算机系统和网络机密性、完整性以及实用性的技术加深认识。我们已经认识到主动防御的必要,是接受和学习安全防护的时候了。


  对你的隐私、思想和公司信息系统的非法入侵似乎很遥远,直到它真的发生。为了避免付出昂贵的代价,我们所有的人都需加深认识、富有经验、保持警醒,并主动防卫我们的信息资产、个人信息,以及国家的关健基础设施。现在,我们必须实行严谨、周密的设防。
欺骗与恐怖分子



当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001年,发生在纽约的911事件把悲伤和恐惧植入每一个人的心中,不只是美国人,还有世界上所有善良的人们。我们已经开始警觉,因为这个世界上还分布着受到良好训练的极端恐怖分子,伺机再次发动对我们的攻击。


政府最近的强化努力已经提升了大众的安全意识,我们需要保持警醒,警惕各种形式的恐怖主义。我们需要了解恐怖分子是如何伪造各种身份,假扮学生、邻居而混入人群的,他们掩饰住自己真实的思想以密谋恐怖行动,而他们使用的就是类似于本书中介绍的欺骗手法。


然而,就我所认为,恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂,或其它关系国计民生的基础设施中,但可能性依然存在,这毕竟太容易做到了。我希望安全意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强,因为这本书恰逢其时。


关于此书


企业安全是一个平衡问题,安全性太差公司易受攻击,但过多的强调安全又会妨碍业务管理和公司的发展,其难点在于达到生产效率和安全之间的平衡。


  其它关于企业信息安全的书都把重点放在硬、软件技术上,而忽略了最重要的安全威胁——对人的欺骗。与之相反,此书的目的,就是要帮助大家理解自己、同事,和公司其他人员是如何被操纵的,并帮助大家建立屏障,谨防成为受害者。本书的重点放在入侵者用来盗取信息的非技术手段上,它能够对看似安全的信息完整性产生威胁,甚至破坏公司的工作成果。


  我的任务由于一个简单的事实而更加困难——每个读者都一直被社会工程学高级专家——他们的父母所控制着,他们有办法(比如:“这是为了你好”)让你去做他们认为最应该做的事。父母们就是使用类似社会工程学的方法,巧妙的编出看似有理的故事、理由以及借口,来达到他们的目的。是的,我们都被我们的父母所引导——那些乐善好施的(偶尔也不完全如此)社会工程师们。


  由于这种生长环境,导致我们软弱而容易被操纵。可总是对他人怀有戒心,担心上当受骗,会活得很累。在理想的世界里我们应对他人给予绝对信任,每个人都是诚实和值得信赖的。但我们并没有生活在理想世界中,我们必须锻炼我们的防欺诈能力以对付我们的敌人。


这本书的主要内容——第二和第三部分,讲述社会工程师如何实施欺骗的故事。在这两部分中,大家将会看到如下内容:


·电话盗打者早就发现的,一个从电话公司弄到未刊登电话号码的方法;
·几个不同的社会工程学方法,甚至可以让有所警觉和怀疑的职员吐露出自己的用户名和口令;
·信息中心的管理人员如何被控制以配合攻击者窃取企业最机密的产品信息;
·隐私调查者是如何弄到你的企业、你本人的隐密信息的,我可以保证,这会让你脊背发凉。


你也许会认为这两部分中讲述的故事实际上不可能发生,没有人能够使用书中的谎言、卑鄙的方法和计划真正的达到目的。事实上,在每个案例中,这些故事都是可以成为现实而且已经成为现实的,这些事情每天都在世界的某个地方发生,甚至在你阅读此书的时候都有可能。本书中的内容不仅对你的商务信息保护上有所启迪,还可以让你亲自阻挠社会工程师的攻击以保护你的私有信息。


===========================================================================================
   上面引用欺骗的艺术第一章!!是为了让卡饭的兄弟们对安全概念有一个深度的了解,不要局限于XX+XX+XX组合或者是软件厂商的无敌广告词上面。矛于盾永远是对立的 相互的存在,每一方都缺一不可,也不能多也不能少。好比我们中国祖先老子的阴阳学说,世间万物都是围绕阴阳调和五行相生相克的规律而存在的,一个也不能多一个也不能少,阴阳调和五行相生,方能共存!反之的话必然不协调了!
  
    通俗点说就是有男的和有女的一样,要是全世界都是男的或者都是女的,大家想想那是什么世界呢???

   科学点解释就如同生物圈中的食物链,其中的一个物种突然因为人类捕杀而灭绝了,那就会导致被食的物种泛滥!
     
       回正题!网络世界中安全与不安全是同样对立性的 相互性的,安软是人开发出来的也是会有缺陷的不要把XX安软当作神,因此你”系统安全“和你”网络的安全“不是在于软件厂商的XX无敌技术的软件,或者是XXX+XX+XXX无敌的安软组合,或者是XX公司的无敌防火墙。人为因素对于安全的威胁占的比重是很大帝滴!所以请大家以后要正视安全这个概念,不要看别人使用XX软件很顺手很牛X,自己时候的时候却中毒了挂了,就说这个安软垃圾啊怎么怎么滴。搞半天都是自己不会用,所以选择安软也要选适合自己水平的或者自己用的觉得顺手的,不然会得不偿失滴。
    说了这么多,还是老话“没有绝对的,只有相对的”。希望我的一番心得能让大家对安全有新的理解!欢迎大家在下面拍砖,切勿人身攻击![:27:]

[ 本帖最后由 woods12345 于 2009-2-4 02:32 编辑 ]

评分

参与人数 1人气 +1 收起 理由
fufuji97 + 1 人妻一枚

查看全部评分

ssyknuwyg
发表于 2009-2-4 07:53:47 | 显示全部楼层
以高自由度为前提的安全才是需要的安全
woods12345
 楼主| 发表于 2009-2-4 08:13:48 | 显示全部楼层
第一的观看者,!!!!

欢迎拍砖!!!!
ktango
发表于 2009-2-4 08:22:53 | 显示全部楼层
原帖由 ssyknuwyg 于 2009-2-4 07:53 发表
以高自由度为前提的安全才是需要的安全


这句说话经典。
cqpreson
发表于 2009-2-4 08:32:45 | 显示全部楼层
楼主说得好,支持,反省之。
大少爷
发表于 2009-2-4 12:05:02 | 显示全部楼层
安全性与宜用性是一对矛盾体。
fufuji97
头像被屏蔽
发表于 2009-2-4 12:21:10 | 显示全部楼层
最近在于大将军争论他那个FD锁定规则的意义
woods12345
 楼主| 发表于 2009-2-4 13:12:32 | 显示全部楼层

回复 7楼 fufuji97 的帖子

他那个规则我看了滴,很牛B
fufuji97
头像被屏蔽
发表于 2009-2-4 13:37:36 | 显示全部楼层
原帖由 woods12345 于 2009-2-4 13:12 发表
他那个规则我看了滴,很牛B


最起码不适合影子用户,开了影子还锁这锁那的,太不方便了。不过对某些人还是适用的
peter08
发表于 2009-2-4 13:45:29 | 显示全部楼层
确实啊,安全和易用性都很重要,但是他们两又是对立存在的.
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 23:12 , Processed in 0.123756 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表