了解IT技术
老九你最好的选择

欺骗的艺术-第十四章 商业间谍

针对政府、企业和大学机构的信息安全威胁已经很好地得到了介绍,几乎每一天都会有媒体报导新的计算机病毒、拒绝服务式攻击、电子商务网站的信用卡信息盗窃案。

我们经常读到关于商业间谍的新闻,比如,Borland指责Symantec盗窃商业机密,Cadence设计规划公司控诉竞争对手盗窃其产品源代码,许多商业人士认为在他们公司绝不会发生这种事情,但是,这种事情每天都在发生。

计划变更

下面故事中的骗局或许已经被实现过很多次了,虽然这很像是好莱坞电影(比如《The Insider》)里的情节或者约翰格雷森姆的法律惊险小说。

集体诉讼

假设有一场针对Pharmomedic制药公司的集体诉讼,该诉讼声称他们发现该公司的一种非常受欢迎的药物具有破坏性的副作用,这种副作用将在病人服药多年以后显露出来,该诉讼声称他们是从一系列的调查研究中得出这一结论的,但是这些证据被压下不用,并且没有在规定的时间内转交给FDA(食品及药物管理局)。

威廉•比利•钱尼(William “Billy” Chaney),处理此案的纽约律师行代理律师,得到了两个Pharmomedic医生的证词,但是两人全都退休了并且没有任何档案或文件,所以不能作为令人信服的证人。比利知道自己现在处于弱势,除非他能得到其中一份报告或者内部备忘录(或公司高层之间的通讯)的副本,否则他的整个案子都将崩溃。

因此他选择了和一家公司再次合作:安德雷森父子私人调查公司。比利不知道彼得和他的人是怎样获得这些资料的,他也不想知道,他只知道彼得•安德雷森(Peter Andreeson)是一个好侦探。

至于安德雷森,他把像这样的任务称为黑袋子秘密调查,第一条规则就是让雇用他的律师事务所和公司不知道他是怎样获得这些信息的,所以他们总是解释得模模糊糊似是而非。如果有人愿意自找麻烦的话,越难的任务他所收取的费用越高,他认为这值得冒险,除此之外,他还能从欺骗聪明人的过程中找到个人满足感。

如果钱尼希望他找到的那些文件确实存在并且没有被销毁,他们也许会把它放在存放文件的某个地方,但是要从堆积如山的文件中把它们找出来无疑是一项艰巨的任务。另一方面,假设他们已经把文件的副本交给了他们自己的律师事务所(詹金斯与派屈),如果辩护律师知道这些文件的存在并且不把它们转交到取证程序,那他们就违反了律师的职业道德并触犯了法律,在彼得看来,这制造了许多可攻击的对象。

彼得的攻击

彼得让他的人着手调查,几天后他弄清了詹金斯与派屈律师事务所存放异地备份的位置,他还了解到存储公司有一张律师事务所授权提取磁带的人员名单,名单的上的每个人都有各自的密码。彼得派了两个人进行这一次的黑袋子秘密调查。

他们用从网上(www.southord.com)买来的开锁工具开锁,几分钟后就溜进了存储公司的办公室(大概凌晨3点),其中一人打开一台PC机,屏幕上出现了Windows 98的图标,他们笑了,这简直就是小菜一碟,Windows 98没有任何形式的身份认证程序。稍加搜索之后,他们找到了含有授权名单的Microsoft Access数据库。他们在詹金斯与派屈律师事务所的授权名单上添加了一个伪造的名字,其中一人早就准备好了匹配的驾驶执照,当然也是假的。他们能闯入带锁的存储室并找到他们客户想要的磁带吗?当然能——但是,这家公司所有的客户(包括律师事务所)都会收到一张受损通知,这样一来攻击者就失去了应有的优势:专业人员总是为以后进出留下后门,以备不时之需。

按照商业间谍的常规做法,他们把一些也许以后要用的东西放进了后口袋,然后把包含授权名单的文件复制到了软盘上,他们谁都不知道这是否有用,但是“我们已经在这儿了,不如……”,事后常常证明了这样做的好处。

第二天,其中一人打电话到存储公司,使用他们添加到授权名单上的名字和相应的密码通过了验证,然后请求提取詹金斯与派屈律师事务所上个月所有的磁带,并说将会有信使服务来拿包裹。大概下午三点,安德雷森拿到了那些磁带,他的人把所有的数据复制到了他们自己的电脑系统上,准备在空闲时间进行搜索。让安德雷森感到高兴的是,律师事务所和其它大多数商业公司一样,并没有加密他们的备份数据。

磁带在第二天就送回了存储公司,没有引起任何人的注意。

米特尼克语录

有价值的信息无论在哪儿都必须受到保护(不管是哪种形式)。一家公司的客户名单,不管是存储箱里印刷文档还是办公室的电子文档,具有同样的价值。社会工程师总是喜欢轻松地绕开安全措施,选择最薄弱的环节作为攻击目标。窃取一家公司的异地备份储存设备被发现或被抓住的风险很低,每一家公司在存储任何有价值、敏感或者关键的数据之前,都应当将其加密以保护数据的机密性。

过程分析

因为松懈的物理安全,坏人们轻易地打开了存储公司的锁,获得了计算机的访问权限,然后修改了包含存储室授权名单的数据库,用名单上伪造的名字获得了他们需要的计算机备份磁带,而不是闯入这家公司的存储室。因为大多数的商业公司没有加密备份数据,他们得到的是可用的信息。

一家没有采取合理的安全措施的服务公司让攻击者轻易地获得了他们的客户信息资源,这只是其中的一个例子。

新的商业伙伴

社会工程师比起骗子来有一个巨大的优势,那就是距离。骗子骗你的时候你肯定在场,你可以对他有一个直观的描述,如果你发现得早,甚至还可以打电话叫警察。

社会工程师通常会像躲避瘟疫一样躲避风险,但是有时候必须要冒一定的风险,为了潜在的回报,这样做是值得的。

杰西卡的故事

杰西卡•安多弗(Jessica Andover)对自己在快车数控公司的工作非常满意,当然了,一切才刚刚开始,他们付的钱不多,但是这里的人都很友好,并且她很兴奋地了解到她的员工认股权能够让她变得有钱,也许不会像公司创始人那样成为百万富翁,但是对她而言,这已经足够了。

八月的星期二上午,瑞克•戴高特(Rick Daggot)一走进大厅就收到了一个灿烂的微笑,昂贵的衣服(阿玛尼)和重金表(劳力士),完美的发型,他的男子气概和自信在杰西卡的高中时代足够让所有的女生为之疯狂。

“你好,”他说:“我是瑞克•戴高特,我找拉里。”

杰西卡淡淡地微笑,“拉里?”她说,“拉里这个星期休假。”“我和他约在一点,我刚从路易斯维尔飞过来。”瑞克说,然后他拿出他的掌上电脑,把它打开来给她看。

她看了一下然后轻轻地摇了摇头。“20号,”她说,“是下个星期。”他把掌上电脑收回来仔细看了看,“喔,不!”他惊叹道,“真不敢相信我犯了这么愚蠢的错误。”

“我帮你订回程机票吧,好吗?”她很同情瑞克。

在她打电话的时候,瑞克说他和拉里准备建立战略营销同盟,瑞克的公司为生产装配线制造的产品可以和他们的新产品C2Alpha完美的结合起来。瑞克的产品与C2Alpha的合作将为两家公司打开重要的工业市场。

当杰西卡预定好下午晚些时候的航班时,瑞克说,“好吧,至少我可以和史蒂夫谈谈,如果他在的话。”但是史蒂夫,这家公司的副总裁和共同创办人,通常都不在办公室。

瑞克很友好地和杰西卡开了几个玩笑,然后暗示在下午回去之前他还有很多时间,他可以和一些关键人物一起吃午餐,接着他补充道,“当然,也包括你——如果没有其他人邀请你共进午餐的话。”

瑞克很友好地和杰西卡开了几个玩笑,然后提出他可以和一些关键人物一起吃午餐,在下午回去之前他还有很多时间。“当然,也包括你——如果没有其他人邀请你共进午餐的话。”他补充道。

杰西卡明白了这句话的意思,面色有些红晕,她问,“你想要哪些人来?”他再一次打开了他的掌上电脑,然后列举了一些人的名字——研发部(R&D)的两个工程师,新来的营销员,还有负责项目经费的财务人员。瑞克建议她告诉他们他和这家公司之间的关系,并且他想向他们介绍自己。他说出了这一区最好的餐厅的名字,那是杰西卡一直想去的地方,他说他已经订好了12:30的桌子,上午晚些时候他会打电话来确认事情都已经安排好了。

当他们聚集在餐厅的时候——他们四个加上杰西卡,他们的桌子还没准备好,所以他们在吧台旁边坐了下来,瑞克很清楚地表示饮料和午餐都算他的。瑞克很有风度也很合群,是那种刚见面就让人觉得很舒服的人,你甚至会觉得已经认识他很多年了。他似乎总是知道应该说什么好,在冷场的时候总是能进行生动的评论或者谈论一些有趣的东西,让人觉得有他在真好。

他共享了一些他自己公司的产品资料,足以让他们对合作方案展开想像。他举出了几个已经成为他的公司客户的财富500强公司,然后所有人都开始想像他们的产品一经推出就大受欢迎的样子。

然后瑞克走向了其中一个工程师布莱恩。当其他人各自聊着天的时候,瑞克私下里和布莱恩进行了交流,布莱恩向他的描述了C2Alpha的特色和一些其它竞争者没有的功能,他发现了几个布莱恩非常喜欢并认为“非常棒”但没有得到公司重视的功能。

瑞克一个一个地走过去和他们聊天,那个营销员为自己有机会谈论首次展出日期和销售计划而感到高兴,而精于计算的瑞克则从口袋里拿出了一个信封,详细地写下了生产成本、价格底线、预期盈利和每一个供应商(按名称排列)的销售价格。

当他们的桌子准备好的时候,瑞克和每一个人都交换了看法并赢得了大家的尊敬。在午餐的最后,他们依次和瑞克握手并向他表示感谢,而瑞克则和他们交换了各自的名片,顺便和布莱恩(那个工程师)提起他想在拉里回来的时候和他进行深入的讨论。

第二天布莱恩就接到了瑞克的电话,他说他刚和拉里通完话。“我星期一会来和他讨论一些具体的问题,”瑞克说,“他想让我为你们的产品提速,他要你把最新的设计与规格Email给他,他会从中挑选要转交给我的部分。”

布莱恩说没问题,瑞克继续说道,“拉里想告诉你他的常用邮箱出了问题,无法接收Email,为此他在宾馆的商务中心申请了一个Yahoo邮箱帐号,他说你可以把文件发送到larryrobotics@yahoo.com。”

星期一上午,当拉里轻松地走进办公室的时候,杰西卡正在滔滔不绝地说着瑞克,“他人真好,请了好多人一起吃午餐,连我都去了。”拉里一脸的茫然,“瑞克?那该死的瑞克是谁?”

“你在说什么啊?他是你的商业伙伴啊。”“什么!!!???”

“所有人对他印象都很深,他问了一些很好的问题。”“我不认识什么瑞克……”

“你怎么了?你在开玩笑吗?拉里——你是在忽悠我,对吧?”

“让所有的主管到会议室来,马上,不管他们在做什么,还有每一个去吃了那餐饭的人,包括你。”

他们忧郁地坐在桌子四周,几乎没有人说话。拉里走进会议室,说,“我不认识这个叫瑞克的人,也没有什么新的商业伙伴,这件事我是最后一个知道的,我认为这很明显了,如果这是我们中的某个人开的玩笑,我希望他现在大声地说出来。”

鸦雀无声,会议室陷入了沉寂。

最终,布莱恩说话了,“为什么我发产品规格和源代码的email给你的时候你不说呢?”

“什么email?”

布莱恩呆住了,“噢,该死的!”

克利夫,另一个工程师,插话说,“他给了我们所有人名片,我们只要打电话给他看看到底是怎么回事。”

布莱恩拿出他的掌上电脑,调出一条记录,并把它递给桌子对面的拉里。当拉里拨电话的时候,他们还抱着一线希望,所有人都出神地看着拉里。片刻之后,他按下了免提键,所有人都听到了电话里的忙音。在超过20分钟的时间尝试拨打这个号码几次之后,拉里只好打给接线员请求紧急中断。

几分钟后,接线员的声音出现在了电话里,她用质问的口气说,“先生,你从哪儿得到的这个号码?”拉里告诉她是从一个他很想联系上的人的名片上,接线员说,“我很抱歉,这是电话公司的测试号码,永远都是忙音。”

拉里开始列举瑞克得到的信息,情况不容乐观。

两个便衣警察来做了笔录,在听了这个故事之后,他们指出这没有违反任何州法,他们帮不上忙。他们建议拉里联系FBI,因为他们有权制止任何涉及州际贸易的犯罪行为。当瑞克•戴高特伪造身份让工程师寄出测试结果时,他可能违反了一项联邦法律,但是要等到瑞克和FBI谈话的时候才知道

三个月后,当拉里吃完早餐在厨房读早报的时候,他的咖啡差一点洒了出来,自从他第一次听到关于瑞克的事以后就一直在担心,而现在,他最坏的恶梦变成了现实。商业版的头条上白纸黑字写着:一家他从未听说过的公司发布了一个新产品,似乎很像是他的公司已经开发了两年的C2Alpha。

通过骗局,这些人在市场上打败了他,他的梦想破灭了。投资研发的百万美元浪费了,他还找不到任何证据证明是他们干的。

山米•桑福德的故事

足够聪明,找一份高薪工作不是问题,但是不够安分,宁愿靠行骗谋生,山米•桑福德(Sammy Sanford)一直做得非常好,直到他遇见了一个因饮酒问题而被迫提前退休的特工,这个人已经找到了用政府要求他熟练的技能赚钱的方法,他一直在寻找能用的人,然后他发现了山米,在他们第一次见面的时候。山米觉得这很简单,回报也很高,就把他的重心从诈骗转移到了盗窃公司机密上。

大部分人不知道我在做什么。通过电话或者互联网和人们聊天,任何时候都不会有人看见你,但是任何一个优秀的骗子,都能够用传统的、面对面的方式撒下弥天大谎,并让你相信它(现在还有很多这样的人,超乎你的想像)。我认识的一个检察官认为这是犯罪,但我觉得这是一种天分。

但是你不能盲目前进,首先你必须制定计划。在街头行骗中,你可以用友好的对话试探目标,然后措辞小心地提出建议,如果得到了正面的回应,嘿!——你就抓住了一只鸽子。

公司任务和我们的大型骗局差不多,你得要一步一步来,找出他们的“按钮”,了解他们想要什么、需要什么,制定攻击计划,耐心地做你的功课,了解你将要扮演的角色,背好台词,在你做好准备之前不要走进那张门。

我花了三个星期调查目标,然后与客户商讨了两天怎样介绍“我的”公司和怎样解释两家公司的商业合作联盟。

接下来的事情很顺利,我打电话到那家公司说我是风险投资公司的,我们要安排一次会议,我想在下个月找出一个所有股东都用空的时间,有没有我应该避开的、拉里的不在的时间段?然后她说,自从他们创办了这家公司以来,两年里他几乎没有休息过,但是这一次他的妻子把他拽了出来,他会在八月的第一个星期度过一个高尔夫假期。

离现在还有两个星期,我可以等。

在此期间一家业内杂志给了我该企业的公关公司名称,我说我很喜欢他们为数控公司提供的服务,我想让同一个人负责我的公司,结果我见到了一位精力充沛的年轻女士,她大概认为她会得到一个新的客户。在一顿昂贵的午餐(她实际上并不想要这么多酒,但是我想喝)上,她尽全力让我相信他们非常擅于理解客户的问题并找出正确的公关解决方案。我假装不是很相信,想得到一些详细的资料。在我的提醒下,她把新产品的很多情况和这家公司的一些问题全都告诉了我,超出了我的预期目标。

事情发展得很顺利,因为我的“失误”,到了那里才发现会议在下个星期,但是我想在这段时间里和公司的团队见一下面,接待员轻易地相信了我,她甚至同情起了我。午餐花了我足足150美元,包括小费,但是我得到了我想要的东西,电话号码、工作头衔和一个关键人物的信任。

布莱恩被我给骗了,我承认。他看上去就像是那种会把所有我请求的资料发给我的人,但是当我说出项目名称时,听上去他还是犹豫了一会儿,这在意料之中。那个email账户用的是拉里的名字,为了以防万一,我把它放在了后口袋里。Yahoo的安全人员也许还期待着有人再次登录那个账户好让他们追踪他,他们可有得等了。胖妞开始唱歌了,我又有新的任务了。

过程分析

任何街头骗子都能够很好地伪装自己,他会让自己在赛马场是一个样子,在当地的酒吧是一个样子,在梦幻旅馆的高消费吧台又是另一个样子。

这对商业间谍而言是一样的。如果要伪装成一家公司的主管、顾问或者销售代表,一套合适的衣服和领带是少不了的,当然,还要有一个昂贵的公文包。在不同的任务中,扮演软件工程师、技术人员或者邮件收发员所穿的衣服(或制服)都各不相同。

为了渗透进这家公司,这个自称是瑞克•戴高特的人知道他必须表现出足够的自信和能力,之前他就已经对这家公司的产品和整个行业做了充分的调查。

要得到他需要的信息并不很难。他发现了一个简单的方法可以找出这家公司的CEO外出的时间。要找到足够的工程资料是个小小的挑战,但不是很难,这让他可以了解他们在做什么的“内部消息”。这些信息通常可以从很多地方获得,比如各种各样的服务公司、投资者、风险投资商、他们的银行家和他们的律师事务所。尽管如此,攻击者还是很小心:如果找对了人还好,要是两三次遇到不配合的人,就会有被发觉的危险。这条路充满了危险,所有的瑞克•戴高特都需要谨慎地选择并遵守每条路只走一次的法则。

午餐是另一件难事。首先他要安排一段时间和每个人单独相处,在别人听不到的地方。他告诉杰西卡的时间是12:30,但是却在一家高消费的餐厅订了下午1点的桌子。按照他的计划,他们不得不在吧台上喝东西,这样一来,他就可以到处走动和每个人单独聊天了。

尽管如此,瑞克还是有被发现的危险——只要一句错误的回答或者粗心的评论就够了。只有无比自信和狡猾的商业间谍才敢冒这样的险,但是多年街头行骗的经验让瑞克充满了自信,即使出现失误,他也可以很好的掩饰并消除任何怀疑。这是整个行动中最有挑战性,也是最危险的一部分,完成像这样的骗局让他清楚地认识到,为什么他没有飚车、跳伞或者婚外恋——因为这份工作让他充满了激情。有多少人能像他一样?他想知道。

米特尼克语录

虽然大部分的社会工程学攻击都出现在电话或email上,但是不要认为不会有胆大的攻击者出现在你的公司。在大多数情况下,行骗者能够用普通的常用软件,比如Photoshop,伪造一张员工证件进入大楼。

写有电话公司测试专线的名片是怎么来的?在《罗克福德档案》(关于一个聪明、幽默的私家侦探的故事)中,罗克福德(由James Garner扮演)的车上有一部便携式名片印刷机,他可以在不同的地方打印不同的名片。现在,社会工程师可以到复印店打印名片,或者用激光打印机打印。

注释

《冷战谍魂》、《完美间谍》等优秀小说的作者约翰•勒•卡雷(John Le Carre)讲述了许多完美、动人的故事。勒•卡雷在很小的时候就认识到,被他父亲骗了的人,通常很容易受骗,并且会被骗很多次。这正说明每个人都有可能被社会工程师利用。

是什么让一群聪明人接受了一个骗子?综合起来,是因为骗子塑造了一个可信的形象,而我们通常会因此放松警惕。一个成功的骗子(或社会工程师)与失败者的差距就这里。

问问你自己有多大的把握不会被瑞克的故事吸引?如果你确定你不会,那就问有没有人曾经成功地欺骗过你,如果第二个问题的回答是有,或许第一个问题的正确答案也一样。

跳背游戏

下面的故事并不涉及商业间谍活动,在你阅读的时候,试着去理解为什么我要把它放在这一章!

哈里•塔迪(Harry Tardy)被送回家了,他心情很不好。海军陆战队似乎早就准备好了要刷下一大批人,在他被踢出新兵营之前。现在他回到了他痛恨的家乡,在当地的社区大学进修计算机课程,并寻找着向这个世界发泄的机会。最终他想出了一个计划。在和一个同班同学喝了几杯啤酒之后,他开始抱怨他们的导师,一个自认为无所不知的人,然后他们一起制定了一个缺德的计划来戏弄他:他们要弄到一款掌上电脑(PDA)的源代码并把它放进他们导师的电脑里,然后留下线索让PDA公司的人找到“做坏事”的人。

这位新朋友,卡尔•亚历山大(Karl Alexander),说他“知道一些骗局”,并告诉了哈里具体的实现方法。乏味的是,他们又成功了。

完成他们的家庭作业

经过前期调查之后,哈里发现该产品主要是在PDA厂商的海外总部开发的,但是在美国也有一家研发机构。这很好,卡尔指出,这家研发公司肯定也需要访问产品的源代码。

然后哈里准备打电话到海外的研发中心,上演一场同情心大作战,“哎呀,我遇到麻烦了,拜托,拜托,帮帮我。”卡尔写了一个剧本,但是哈里似乎不能搞定这些台词,最后他和卡尔一起进行了练习,学会了他所需要的谈话语气。

最终哈里是这样说的(卡尔坐在他的旁边):

“明尼阿波利斯研发中心,我们整个部门的服务器全都感染了蠕虫病毒,我们只好重新安装了操作系统,然后当我们从备份数据恢复的时候,我们发现没有一个是能用的。猜猜是谁对这些备份数据的完整性负责?正是我。我刚被我的上司教训了一顿,管理人员对我们失去了这些数据感到很生气。你看,我需要最近修订的完整的源代码,我希望你能够尽快地gzip(压缩)源代码并它发给我。”

这时卡尔草草地写了张纸条给他,然后哈里告诉电话另一头的人,他只是想让他把文件发送到明尼阿波利斯研发中心。这一点非常重要:当电话里的这个人认为他只不过是把文件发到公司的另一个地方去,他的心里就会觉得很踏实——这样能出什么问题呢?

注释

GZIP:使用一个Linux GNU工具把多个文件压缩到一个单独的文件中。

他答应了。在卡尔的帮助下,哈里一步步地指引电话里的人把庞大的源代码压缩到一个单一的、紧凑的文件中去,他还给了他一个文件名,“newdata”,并解释说这样可以避免与他们被破坏的旧数据混淆。

卡尔把下一个步骤解释了两遍哈里才明白过来,这是卡尔精心设计的跳背小游戏中十分关键的一部分,哈里打电话到明尼阿波利斯研发部,对某个人说“我想发一个文件给你,请你帮忙转发到另一个地方”——一个合理的借口当然是少不了的。令哈里感到困惑的是:他需要说“我会发送一个文件给你”,但是他根本就没有发送。当研发中心真的收到从欧洲发来的产品源代码时,他必须让电话里的人认为那个文件是他发来的。“为什么我要告诉他那个文件是我发的?不是从国外发来的吗?”哈里想知道。

“关键是研发中心的那个人,”卡尔解释说,“他会认为他只是在帮一个美国同事的忙,从你那里收到文件并帮你转发出去。”

哈里最终明白了。他打电话到研发公司让接线员帮他转接到电脑中心,然后请求和电脑操作员谈话。一个听上去和哈里一样年轻的人拿起了电话,哈里向他表示了问候并解释说他是芝加哥制造分公司的,他要发送一个文件给他们的合作伙伴,项目才能继续下去,但是,他说,“我们的路由器出了问题,无法连接到他们的网络,我想把文件先传给你,在你收到之后,我会打电话告诉你怎样转发给我们的合作伙伴。”

到目前为止,一切都很顺利。接着,哈里询问那个年轻人电脑中心是否有匿名FTP(允许任何人上传或下载文件而无需密码)账户,得到的回答是有一个匿名FTP,然后他把内部的Internet协议(IP)地址告诉了哈里。

注释

匿名FTP:无需账户也能通过文件传输协议(FTP)访问远程计算机。虽然匿名FTP可以在没有密码的情况下访问,但是用户的访问权限通常会限制在几个指定的文件夹内。

得到这一信息之后,哈里又打电话到了海外的研发中心,这时压缩文件已经准备好了,于是哈里指引电话里的人把文件上传到那个匿名的FTP站点,不到五分钟,研发中心的年轻人就收到了被压缩的源代码文件。

设定受害人

计划已经完成了一半,现在哈里和卡尔需要等待并确认文件已经到达,利用这段时间,他们穿过房间走到导师的办公桌旁,开始实施另外两个必要的步骤。首先他们在他的机器上设置了一个匿名FTP服务器作为计划中的文件传输终点站。

而第二步则解决了另一个难题。显然他们不能告诉研发中心的人把文件发送到一个像这样的地址,warren@rms.ca.edu,“edu”域名将成为死穴,即使是半清醒的电脑人员也会认出这是学校的地址,整个行动都将暴露无遗。为了避免出现这种情况,他们进入了导师的Windows系统,查看了他的IP地址,他们会用它来发送文件。

现在是时候回电给研发中心的电脑操作员了,哈里在电话里对他说,“我刚刚上传了我跟你说的那个文件,你看一下有没有?”

有,收到了。于是哈里要他转发文件,并说出了IP地址。当这个年轻人开始连接并传送文件的时候,哈里一直拿着电话,然后他们开心地看见穿过房间导师的电脑硬盘指示灯不停地闪啊闪——忙着接收文件。

哈里和那个人交换了一些看法,关于电脑和外围设备怎样才能更加可靠,然后向他表示了谢意并说,再见。

两人把导师机器里的文件复制了一份到两张Zip磁盘上,每人一张,这样以后他们就可以拿出来看看,就像是从博物馆偷来的一副油画,你可以自己欣赏,却不能把它给你的朋友们看。除此之外,在这种情况下,他们更像是偷了一副油画的复制品,而原画仍在博物馆那里。

然后卡尔让哈里移除导师机器上的FTP服务器并抹去日志文件,这样就没有任何证据证明是他们做的——只剩下放在显著位置上的源代码文件。

作为最后一步,他们直接在导师的电脑上把部分源代码提交到了Usenet,只有一部分,不会对那家公司造成任何重大损失,但是能留下足够清晰的痕迹,他们的导师恐怕要解释一些难以解释的事情了。

过程分析

虽然实施这种恶作剧需要很多方面的知识,但绝对少不了赢得同情和帮助的精彩表演:我被我的上司教训了一顿,管理人员很生气,等等,再加上对电话另一头的人说,你可以怎样怎样帮助我解决这个问题,这是一种十分有说服力的骗局,在这里有效,并且在其它许多地方也有效。

第二个关键要素是:这个人知道这些文件的价值并把它发送到了一个公司内部的地址。

第三个值得思考的问题是:电脑操作员可以看到这个文件是从公司内部发来的,这就意味着——或者看上去如此——这个把文件发给他的人,其实可以自己把文件发送到最终目的地去,只要他的外部网络连接还能用的话。帮他发送一个文件能出什么问题呢?

为什么要更改压缩后的文件名呢?这似乎只是个小步骤,但事实上非常重要,攻击者不能让写有“源代码”字样(或者涉及到产品的名字)的文件直接发送出去,请求发送这样的文件可能会引发警报,选择用一个无关紧要的名字对文件重命名非常重要。就像攻击者设计的那样,第二个年轻人毫不犹豫地把文件发送到了公司外部:一个new data文件,没有任何可以查看的真实文件信息,很难让人产生怀疑。

米特尼克语录

每一个员工都应该牢牢地记住下面这条规定:除非得到管理人员同意,不要把文件发送给任何你不认识的人,即使目的地似乎是你们公司的内部网络。

最终,你找出上面这个故事与商业间谍活动的联系了吗?如果没有,请看答案:这两个学生的恶作剧行为专业的商业间谍可以轻易地完成,或者受雇于竞争对手,或者受雇于国外政府,无论是哪种方式,都能对公司造成巨大的损失,如果市场上提前出现同类产品,将严重损害他们新产品的销售。

对你的公司实施同种类型的攻击有多么容易?

防范措施

长久以来一直困扰着企业的商业间谍活动,现在已经成为了传统间谍的谋生手段。冷战已经结束了,外国政府和企业现在正利用独立的商业间谍窃取信息。国内的公司同样也雇用违法的信息猎手获取竞争对手的情报。在很多种情况下,曾经的军事间谍成为了商业信息猎手,他们有足够的知识与经验,可以轻易地渗透企业,特别是那些没有训练员工并且未能配置安全措施保护他们的信息的企业。

远距离安全

有什么可以帮助遇到异地存储设施问题的公司?这种威胁本来是可以消除的,如果这家公司加密了他们的数据的话。没错,加密需要额外的时间和费用,但这样做非常值得。已加密文件需要定期抽查以确认文件能够正常加密/解密。

总是有密钥丢失的危险,或者惟一一个知道密钥的人出了车祸,但是危险等级被最小化了。把敏感文件放在存储公司又不将其加密的人,恕我直言,是个白痴。这就像是走在治安不好的街道上,把口袋里的20美元露出来,摆明了要让别人抢。

在不安全的地方留下备份媒体可以说是安全通病了。几年以前,我在一家本来可以更好地保护他们的客户资料的公司工作。业务人员每天都会把备份磁盘放在锁住了的机房外边给信使取,任何人都能够顺手牵羊带走这张备份磁盘,里面有这家公司所有的文字处理文档,并且没有加密。如果备份数据被加密了,丢失磁盘只是件麻烦的事情,如果没有被加密——你应该比我更清楚这将对公司造成什么样的影响。

大一点的公司对可靠的异地存储的需要几乎是毋庸置疑的,但是你的公司的安全程序需要包含一项对合作的存储公司的调查,看他们的安全策略和做法是否到位,如果他们没有关注这些,你在安全方面的所有努力可能都白费了。

小一点的公司则有更好的备份选择:每天晚上把新文件和更改过的文件发送到一个提供在线存储的公司去。重复一次,必须要对数据进行加密。另外,并不是只有存储公司的员工可以接触到这些文件,每一个成功入侵这家在线存储公司的计算机系统或网络的入侵者都可以。

当然,当你设置了加密系统保护你的备份文件安全时,你还必须设置一个高度安全的程序存储解开它们的加密密匙或者密码短语,常用于加密数据密匙应当存储在一个安全或者密封的地方。标准的公司程序需要应对一些可能性,比如处理这些数据的员工突然离职、去世或者跳槽,必须要有至少两个人知道这个存储地点和加密/解密程序,以及规定什么时候和怎样更改密码,曾经管理加密密匙的员工离职之后必须马上更改密码。

那是谁?

在这一章中的举例中,聪明的行骗艺术家利用个人魅力获取员工的信任,因此身份验证变得更加重要。能否响应将源代码发送到一个FTP站点的请求,关键是你是否了解请求者。

在第十六章中,你将看到详细的身份验证策略,以应对请求信息或者执行某项操作的陌生人,我们已经在这本书里讨论过很多次身份验证的必要性了:在第十六章你将了解应该如何去做。

赞(0) 打赏
未经允许不得转载:老九IT技术网 » 欺骗的艺术-第十四章 商业间谍
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

老九为IT技术人提供最全面的IT资讯和交流互动

友情链接广告合作