有这样一种工作,银行或机构付钱给黑客,让黑客通过社会工程和物理攻击的方法入侵自己,以测试机构本身对社会工程和物理攻击的抵抗力。
杰森·史崔特就是专门从事此种特殊工作的黑客。史崔特曾受雇入侵过酒店、企业数据中心、银行,金融中心,甚至金库。安全牛之前的一篇长篇报道中曾讲述过他的光荣事迹(关注“信息安全知识”,回复“黑客迈阿密”可阅读《黑客迈阿密纪实》),今天我们来看一看他是如何利用社会工程入侵银行的。
下图为摄像头实时拍摄一个典型的银行营业厅场景。大厅的人并不很多,一名银行职员在窗口工作。过了一会,银行主管走到左边跟顾客打招呼。在摄像时间35秒的时候,杰森穿着一件黑色的印有“DEF CON”字样的上衣出现了。
他不只是出现在银行里,他出现的地方,即使是银行里的工作人员也要授权进入的地方。而且,这所银行并不在美国,杰森在这里即不是顾客,也不是本地人。在这里,他是一名外国人。
杰森在做针对这家银行的渗透测试,包括物理安全和网络安全,但银行里的职员并不知道这些。几秒钟后,银行主管指向一台银行工作人员正在使用的计算机,杰森点头示意自己知道了。过了一会儿,他可以物理访问银行的计算机系统了。
他在柜台内一台计算机上插入一个U盘,运行上面的软件,而银行工作人员则需要给他腾出地方,并停止给客户服务。杰森目前所做的行为,意味着已经完全进入银行的安全保护领域。之后,他又在另外的几台计算机上重复了上述行为。
尽管杰森在银行里忙来忙去,但到银行工作人员似乎毫不在意。摄像时间记录显示,他在银行共呆了超过20分钟,然后才离开。
为什么他能如此自由?从视频上看,杰森径直走进银行,接着就开始工作,如同他是这个地方的老板。那么问题来了,“信心”在社会工程师的工作中占有多大比例呢?
“给别人一种知道自己在做什么的感觉,99.9%的社会工程工作就在于此。但并不是只有社会工程师才拥有这种绝地武士般的心理控制力。“
在一段时间内,杰森·斯崔特能够访问整个银行。工作人员站在那里看着他安装软件、收集用户账号、口令,和银行计算机上的智能卡。是因为他是个外国人的缘故,所以银行工作人员怕有什么不礼貌的言行吗?
“这不是文化背景的问题,也不是国别的事情。无论世界上哪一个地方的人,其大多数反应是一样的。”
原因就在于“凡事往好处想的思维模式”。
杰森称这个过程为“可爱的基础型破坏”(BAD),因为实施这种行为并不需要高端的技术,顶多在进入“工作”地点前,到谷歌上花点时间。实际上,视频中看到 的银行只是此次工作中的其中一家。其他几家银行均被杰森进入,安装软件、自由访问限制区域,甚至在一家银行杰森还带走了一台计算机。
“人们不愿意去想坏事情会发生在自己的身上,因为这有违人性。”
没有人期待坏事情发生,比如黑客随机的闯入并破坏企业的安全。人类不会去想,也不愿意去想坏事情发生在自己身上。这种想法,很容易在人群中传播开来。
“如果我能给他们一个合理的解释,而不是坏消息,他们会相信好的一面。他们会努力去相信好的一面,否则就只能去考虑坏事发生,而那是人类所不愿接受的。”
杰森·斯崔特还提供了另一个在纽约市某机构进行社会工程渗透的例子。
当斯崔特进入这家机构的时候,大厅里已经有特警队和搜查队在工作了,另外还有8名警卫和其他的保护措施。他的目标是楼上,但首先他需要通过设立着安全检查点的前厅。与银行相比,这家机构应该很难渗透,但事实并非如此。
“我必须穿过8名警卫守着的电梯前厅,而不是办公区前厅。”
带着一封伪造的电子邮件,斯崔特等到下午晚些时候才开始行动。挑选这个时间,是因为这个时间段人特别多。
先是与一名警卫交谈,最终斯崔特攀谈上了一位要上楼到目标办公室的人。这样就给看守检查点的警卫带来一种错觉,好像他与内部人员是一起的。于是,斯崔特得到了一个标有他名字和照片的安全标牌。手里拿这个标牌,斯崔特来到了目标楼层。
他走进目标办公室,在首席财务官助理的计算机中安上恶意软件。他的行为引起了一位网络管理员的注意。这位网络管理员来到办公室,跟斯崔特说,他发现了来自财务官计算机的网络流量的激增,于是来看看是怎么回事。
斯崔特把伪造的邮件让管理员查看,邮件上写着斯崔特前来做一个特别检测,因为机构老板很不高兴。结果,这位管理员带着斯崔特走到每一台计算机前,安装他的恶意软件。因为,管理员认为他即然有安全标牌也有说明问题的电子邮件,就相信了他的合法身份。
“最可怕的事情不是没有安全,而是认为自己很安全。”
避免甜言蜜语和微笑
大人们老是告诫孩子陌生人是危险的,而斯崔特认为成年人也应该警醒这一告诫,尤其是涉及到信息安全问题的时候。
“我们应该谨记,陌生人的危险不仅仅针对孩子。在你保护的区域发现陌生人,如同孩子在操作或工作人员在办公区一样。如果你不认识这个人,就去弄明白他到底是谁。”
保护企业和员工的关键点在于,让他们用所能使用的信息来武装自己。比如,打一个电话报告可疑的事情,一封不寻常的邮件,某人在不该在的地方转悠,异常的网络活动,甚至是与平常不一样的业务程序。再强调一遍,关键点在于赋予员工权力并鼓励他们拨打报告电话。
“可能会有成千上万封垃圾邮件需要响应,但里面可能就会有一封摧毁塔吉特的HVAC邮件。这些人,这些员工将会是企业拥有的最大的入侵检测系统。”
然而,除非这个庞大的员工入侵检测系统(IDS)设置到正确的位置,否则它与IT部门把一台闪着灯光的机器(指IDS)扔到架子上后一走了之没有什么区别。 而且,即使一台没有设置好的IDS可以在安全审计时起到帮助作用,但对企业长期来说却没什么实际意义。如同,信息安全意识培训一般都可以帮助企业通过审 计,但除非意识培训设置的恰当并保持下去,否则便毫无作用。
表面上看,信息安全意识是一个很容易达到的安全标准,容易实施和管理,但实际并不是这样。“陌生人的危险”在大多数成年人的意识中并不存在。这又是为什么呢?
“我们觉得自己是安全的是因为我们的安全控制,我们认为安全控制是没有漏洞的,有漏洞的只是我们人类。但实际上,安全控制与人类一样有着漏洞。我们必须认识到这一点,并去改善我们的安全措施和我们自己。”
安全行业长久以来,都有着一种“建立围墙”的观念。这种观念认为,如果墙建的足够高足够厚,就能够提供足够可靠的安全。但现如今,这种思想已经站不住脚。
“我们要开始理解,我们的围墙永远不可能建得足够高或足够厚。我们要开始在这些围墙上设立岗哨,注意那些向墙内窥视的人。我们不仅要显示出入侵何时发生,还要 显示出入侵发生时我们是如何快速检测到的。因此,我们不是要建立一堵只是抵抗入侵的围墙,而是要建立一堵能够轻松检测出入侵何时发生的围墙。正是这种应急 响应机制才是最关键的,而不是完全依靠防止入侵的机制。”
下一篇:勇于对数据泄露说NO!