[转载]黑客Mitnick讲授Social Engineering 意识
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])安全顾问以及著名黑客Kevin Mitnick指出,对职员进行适当的训练要比科技更能避免敏感信息受到Social Engineering的进攻。
“人们原先使用技术来解决这类问题,但Social Engineering可以绕开这些技术保护,包括防火墙,”Mitnick说,“技术是重要的,但我们必须看到人和过程的价值。Social Engineering是通过使用影响手段而达到入侵的目的。”
在今年于悉尼召开的Citrix iForum会议上的演讲中,Mitnick说黑客们现在正在分析更长远的计划,并在寻找最薄弱的环节---“像你和我这样的普通人。”
“为什么黑客们使用Social Engineering?因为这比寻找一个技术上的漏洞要简单。” 他说,“你不会以为容易受骗而去下载一个Windows的升级程序。”
Mitnick说Social Engineering之所以受到黑客的欢迎是因为在广阔的互联网空间中,它可以躲开所有的反入侵系统,并只需要相当低的花费,有时甚至是免费,而且低风险,在每个操作系统上都能运行,不留痕迹,几乎百分之百见效,而且公众普遍对这个问题缺乏认识。
“Social Engineering入侵可以很简单也可以很复杂,有时只需几分钟,有时需要几年。”他说道。调查显示十分之九的人在交换复活节彩蛋的时候会给出他们的密码。
Mitnick讲到了黑客们如何使用Social Engineering来从银行里抽取数以百万记的美元,以及他是如何通过以一个雇员的身份进入摩托罗拉的R&D部门,并获取了手机的源代码。
Miotnick说他自己也无法对Social Engineering入侵免疫,并在今年早些时候发了一封”phishing”电子邮件来从他的PayPal的用户名中获取资料。
“这个入侵是真实的,威胁也是真实的,所以我希望大家对此采取行动。”他说。他还指出维修组是主要的目标,因为他们是提供帮助的人。
他说,那些说Social Engineering的中心是黑客谣言的说法都是些推辞。因为大众需要一个合理的证明来满足他们的需求。
黑客们建立了一个身份和角色,并通过连接或其他手段建立了联系,并销毁资源。
情报收集活动也许会包括公司位置的标题,这使得黑客们有的放矢,而且老式的“钻垃圾车”依然奏效---公司的垃圾显示了大量的信息。
Mitnick说就连一些大公司也从垃圾中寻找信息,比如Oracle最近就被发现在从微软的垃圾中筛选信息。当Mitnick17岁的时候就从一些里垃圾中发现了一份雇员名单以及一些源代码。
Mitnick说要与Social Engineering入侵做斗争,机构们需要建立一个“人类防火墙”来填补已经存在的漏洞比如不会受到入侵的错觉。这可以发生在每个人身上,因为人们本能的想要帮助他人,又低估了信息的价值。
缓和技术是从顶级管理的介入以及证明个人弱点开始的。
Mitnick说要建立一个雇员参与计划,并设立一个简单的条例来明确那些是敏感信息,并建立一个人类防火墙来提高这方面的意识。
“关于使用技术来取代雇员的决策最大的挑战是在工作效率和灵敏度之间保持平衡”。
页:
[1]