对于关注安全问题的朋友来说,凯文·米特尼克(Kevin Mitnick)的名字应该是大名鼎鼎的了。在今年的Citrix iForum上,这位世界头号黑客谈了他对于安全问题的一些看法,并提出了一些自己的建议。他认为,应付针对敏感信息的社会工程攻击的最好武器是训练有素的人,而不是技术。
米特尼克在疯狂地进行了两年的黑客活动后,在联邦监狱度过了五年的岁月,同时禁止上网八年。现在,他要给曾经攻击过的公司提建议了。
他说:“人们通常习惯于用技术来解决问题,但社会工程学(social engineering)绕过了所有技术,包括防火墙。技术很关键,但我们更应该看重人和方法。社会工程学是一种利用诱惑策略的攻击方式。它不单单是个技术性问题,更是关于人的问题。
“那么黑客们为什么要使用社会工程学方式?因为这比寻找技术漏洞更简单。互联网是如此宽广,而社会工程学无需花费或者花费很低,没什么风险,可以避开所有的防护系统,在任何操作系统上都能进行,不会留下犯罪痕迹,几乎百分之百有效,而且人们还没有普遍意识到这个问题。它可以很简单,也可以很复杂;可以只花几分钟时间,也可以花上好几年。
“苦心积虑的借口或者托辞是社会工程学的关键所在,因为人们需要有合理的理由才能去满足一个请求。
“为了达到目的,黑客们会给自己定义一个身份或者角色,带着和善的面孔去和人联系,慢慢诱惑对方步入自己的圈套。不过他们不会直接下狠手,总是会留下余地,免得一无所获。”
米特尼克还讲述了自己如何利用社会工程学从银行里提取数百万美元以及如何利用摩托罗拉研发部门的一个雇员盗取其手机源代码的经历。
不过,米特尼克表示自己也不能摆脱社会工程学的束缚:今年早些时候他就收到一封“钓鱼式”E-mail,让他泄漏了自己的PayPal帐户信息。
为了对抗社会工程攻击,米特尼克认为必须组建“由人组成的防火墙”,并且抛弃刀枪不入之类的幻想。他对公司的建议是:“建立雇员参与机制,制定简单的规则,确定什么是敏感信息,组建由人组成的防火墙,提高安全意识。”
最后,米特尼克表达了自己的一点期望:“攻击是真实的,威胁也是真实的,所以我希望每个人都行动起来,做点儿什么。”