反欺骗的艺术--世界传奇黑客的经历分享/安全技术经典译丛

作者简介

Kevin D. Mitnick （凯文·米特尼克），曾是“黑客”的代名词，他开创了“社会工程学”，是历史上令FBI头痛的计算机顽徒之一，商业和政府机构都惧他三分；米特尼克的黑客生涯充满传奇，15岁就成功侵入北美空中防务指挥系统，翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。之后，防守严密的美国网络系统（美国国防部、五角大楼、中央情报局、美国国家税务局、纽约花旗银行）都成了他闲庭信步之处。米特尼克也是全球遭到通缉和逮捕的黑客，出狱后曾一度被禁用计算机和互联网，甚至包括手机和调制解调器。后来，米特尼克金盆洗手，洗心革面，成了全球广受欢迎的计算机安全专家之一，担任多家企业的安全顾问，并与他人合作成立了洛杉矶咨询公司Defensive Thinking。米特尼克曾登上CourtTV、“早安，美国”、“60分钟”、CNN的“头条新闻”等电视节目，也曾在洛杉矶的KFIAM 640主持每周一次的访谈节目。米特尼克的文章散见于各大新闻杂志和行业杂志，他已多次在重要活动上发表主题演讲。

内容简介

斯坦利·瑞夫金使用了欺骗的艺术——今天，这 样的技能(或者技巧)被称为社交工程。周密的计划和 健谈的天分就够了。 这正是本书要讲述的内容——社交工程的技巧( 敝人精于此道)以及如何防止别人使用这样的技巧来 对付你的公司。1．3 威胁的实质 瑞夫金的故事清楚地表明了我们的安全感是多么 误导人。这样的事件——可能不是上千万美元的抢劫 案，但也会造成一定程度的伤害——每天都在发生。 你可能立刻就会损失金钱，或者有人正在窃取你的新 产品计划，而你却尚未察觉。如果这样的事件在你的 公司里还没有发生过，那么，问题并非在于它“会不 会”发生，而是“何时”发生。1．3．1 日趋严重 的担忧 计算机安全协会在2001年度的计算机犯罪调查报 告中指出，在接受调查的机构中，有85％曾在过去的 12个月内检测到计算机安全攻陷。这是一个令人吃惊 的数字：每100家接受调查的公司中只有15家能够说 ，他们在过去的一年中没有发生安全攻陷。另外，那 些报告出来由于计算机攻陷而遭受经济损失的机构的 数量也同样惊人：64％。超过一半的公司遭受了经济 损失，而且“仅仅在一年之内”。 以我的个人经历来看，我认为像这样的报告中的 数字有些夸大。我对该调查的具体实施细节有些怀疑 。但这并不意味着这样的破坏不普遍；相反，这种破 坏非常普遍。那些没有准备好应对安全事件的人，就 得等待失败的降临。 部署在大多数公司内部的商业安全产品主要是为 了防范那些业余的计算机入侵者，比如被称为“脚本 小子”的攻击者。实际上，这些所谓的黑客仅仅使用 下载下来的软件，他们至多只是制造一些麻烦而已。 更大的损失，真正的威胁，则来自于那些老道的攻击 者。他们的目标很明确，那就是获取金钱。这些人每 次只瞄准一个目标，而不像业余人员那样企图侵入尽 可能多的系统。业余的计算机入侵者追求的是数量， 而专业人员的目标则是高质量的信息及其相应的价值 。 对于企业安全规程来说，有些技术是必要的，比 如认证用的设备(为了证明身份)、访问控制(为了管 理对文件和系统资源的访问)和入侵检测系统(相当于 电子的防盗报警器)。然而，目前的状况是，一家公 司针对安全攻击所采取的防范措施，其投入通常比花 在喝咖啡上的钱还少。 正像罪犯总是抵挡不住诱惑 一样，黑客也总是忍不住要寻找途径，以绕过强大的 安全技术防护。为了做到这一点，大多数情况下，他 们会把目标瞄准那些使用这一技术的人。1．3．2 欺骗手段的使用 一个流行的说法是，只有关掉的计算机才是真正 安全的计算机。这听起来很有道理，但其实并不对： 善骗者可以找到借口说服某人去办公室把计算机打开