论坛: 黑客进阶 标题: 关于《欺骗的艺术》之2 复制本贴地址    
作者: coki [coki]    论坛用户   登录
  What Every Company Needs To Know 
To Prevent The Release of “Innocuous” Information 
As detailed by Kevin Mitnick in 
THE ART OF DECEPTION


¨ The Information Security Department needs to conduct awareness training detailing the methods used by social engineers.  

Social engineers often obtain seemingly nonsensitive information and use it as a poker chip to gain short-term trust.  Each and every employee needs to be aware that when a caller has knowledge about company procedures, lingo, and internal identifiers it does not in any way shape, or form authenticate the requestor or authorize him or her as having a need to know.  A caller could be a former employee or contractor with the requisite insider information.  Accordingly, each corporation has a responsibility to determine the appropriate authentication method to be used when employees interact with people they don’t recognize in person or over the telephone.

¨ The person or persons with the role and responsibility of drafting the data classification policy should examine the types of details that may be used to gain access for legitimate employees that seem innocuous, but could lead to information that is sensitive.

Though you’d never give out the access code for your ATM card, would you tell somebody what server you use to develop company software products?  Could that information be used by a person pretending to be somebody who has legitimate access to the corporate network?

¨ Sometimes just knowing inside terminology can make the social engineer appear authoritative and knowledgeable.

The attacker often relies on this common misconception to dupe his or her victims into compliance.  For example, a Merchant ID is an identifier that people in the New Accounts department of a bank casually use every day.  But such an identifier is exactly the same as a password.  If each and every employee understood the nature of this identifier―that it is used to positively authenticate a requestor―they may treat it with more respect.

¨ Few companies give out the direct-dial phone numbers of their CEO or board chairman.  Most companies, though, have no concern about giving out phone numbers to most departments and workgroups in the organization―especially to someone who is, or appears to be, an employee.

A possible countermeasure: Implement a policy that prohibits giving out internal phone numbers of employees, contractors, consultants, and temps, to any outsiders.  More importantly, develop the step-by-step procedure to positively identify whether a caller asking for phone numbers is really an employee.

¨ Accounting codes for workgroups and departments, as well as copies of the corporate directory (whether hardcopy, data file, or electronic phone book on the Intranet) are frequent targets of social engineers.

Every company needs a written, well-publicized policy on disclosure of this type of information.  The safeguards should include maintaining an audit log that records instances when sensitive information is disclosed to people outside the company.

¨ Information such as an employee number, by itself, should not be used as any sort of authentication.

Every employee must be trained to verify not just the identity of a requestor, but also the requestor’s need to know.

¨ In your security training, consider teaching employees this approach: Whenever asked a question or asked for a favor by a stranger, learn first to politely decline until the request can be verified.

Before giving in to the natural desire to be Mr. or Ms. Helpful, follow company policies and procedures with respect to verification and disclosure of non-public information.  This style may go against our natural tendencies to help others, but a little healthy paranoia may be necessary to avoid being the social engineer’s next dupe.
  
   




  



地主 发表时间: 06/01 15:53

回复: coki [coki]   论坛用户   登录
 大家来看一看吧,这也许不是什么坏事呀

B1层 发表时间: 06/01 16:21

回复: shengqishi [shengqishi]   论坛用户   登录
有中文的吗?


B2层 发表时间: 06/03 13:43

回复: coki [coki]   论坛用户   登录
 我正试着翻译好,谢谢你的意思,我也是这么想的,可是一时没有时间,又不想让消息这么过时了,所以,我会的

B3层 发表时间: 06/03 19:22

回复: kevin007 [kevin007]   论坛用户   登录
靠,英文的,大哥,看这很累的

B4层 发表时间: 06/08 22:59

回复: coki [coki]   论坛用户   登录
 这也是我们的基本功呀

B5层 发表时间: 06/25 11:06

回复: asolos [asolos]   论坛用户   登录
这本书在哪有下载呢?<中文版>?????????

B6层 发表时间: 07/27 07:20

回复: jianphu [jianphu]   论坛用户   登录
chinese

B7层 发表时间: 07/29 12:57

回复: coki [coki]   论坛用户   登录
我试着找一下吧,这是米特尼克刚才出的书,他的精典技术都有介绍呀

B8层 发表时间: 12/03 21:34

回复: jbcsk [jbcsk]   论坛用户   登录
晕~你发英文就不说你了~
也不注意格式
乱套!往下顶

B9层 发表时间: 12/03 23:59

回复: jiantan [jiantan]   论坛用户   登录
看了两句就头晕!
不过是有用的帖子。
顶一下!

B10层 发表时间: 12/07 19:15

回复: coki [coki]   论坛用户   登录

����世界上有史以来最牛的黑客老大凯文・米特尼克,目前正在写一本有关黑客的小说,其中披露了大量长期以来鲜为人知的黑客手段。预计这部小说即将在今年10月出版。
����  
����由于他在黑客领域的地位,他的这本书尚未出版就已经引起了各界关注。据悉,鉴于目前恐怖分子即将对美国的计算机网络发动全面攻击的传闻不断,各大公司已经纷纷把这本书圈定为反恐必读教材。
����  
����凯文・米特尼克,第一位被美国联邦调查局FBI通缉的著名黑客,现年38岁。
����  
����他已经被报纸、书籍和电影描绘成全能的邪恶程序员,一个天才黑客。
����  
����他只要对手机吹声口哨就能发动核战争,一念之差就能让市政府的计算机系统瘫痪……
����  
����因为从摩托罗拉、Novell、诺基亚、太阳微系统公司以及南加州大学等知名企业和学校中偷窃软件并篡改数据,他被判5年监禁。2000年1月,他因表现良好出狱,开始了为期3年的假释生活。但这位有“美国第一黑客”之称的电脑奇才假释的代价是―――不得与电脑有任何接触。
����  
����根据这项严格的缓刑法令,米特尼克将不准接触电脑、手机,甚至其他已成为许多工作场所常用工具的高科技电子器材。假释官甚至禁止他到便利店当售货员,因为收银机也是电脑操作的。以至米特尼克自己也颇有几分自嘲地表示:“呵呵,从技术上说,俺连到健身房使用跑步机、测量体重、查阅时间等也算违法。”
����  
����无聊之下,米特尼克转而把兴趣投向别的行当。去年11月,他在ABC最热门的惊险间谍系列剧Alias中扮演一位CIA计算机专家,引起了不小轰动;而现在,他又在写一本关于他的老本行的小说―――书名暂且定为《欺骗的艺术》。
����  
����“呵呵,这可不是一本黑客凯文・米特尼克的自传哦。”目前居住在加州的米特尼克悠然自得地声明,“这书说的不是俺,只不过书里主人公用的黑客技术是俺和其他人曾经使用过的而已。”
����  
����鉴于目前恐怖分子即将对美国的计算机网络发动全面攻击的传闻不断,各大公司已经纷纷把这本书圈定为反恐必读教材。
����  
����米特尼克也说,他这本书主要是写给那些专业计算机安全工作人员看的,以便帮助他们对付像他这样的人。但是他同时也承认说,书中的这些黑客窍门难保不会成为黑客菜鸟DD们的绝好示范教材。
����  
����“坐牢和俺的改变没啥关系!”米特尼克说,“不当黑客完全是因为俺长大了,变成熟了。俺今年都38岁了呀!―――你啥时候见过38岁的人还当黑客来着?”


原文引自:人民网 


B11层 发表时间: 12/11 16:39

回复: xiaoht [xiaoht]   论坛用户   登录
hao i likeit!!!

B12层 发表时间: 12/16 18:18

回复: yufirst [yufirst]   论坛用户   登录
好牛的人!我能在38岁的时候过一下瘾都不错了

B13层 发表时间: 12/18 10:57

回复: huang520 [huang520]   论坛用户   登录
佩服呀
不仅佩服凯文・米特尼克 还要佩服老兄为我们找来着片文章
好 顶 不顶对不起我的心

B14层 发表时间: 12/20 12:46

回复: coki [coki]   论坛用户   登录
我会在今后给大家提供更多这样的贴子呀

B15层 发表时间: 03-12-24 17:46

回复: realpope [realpope]   论坛用户   登录
谢谢你了~~

B16层 发表时间: 03-12-26 12:48

回复: huang520 [huang520]   论坛用户   登录
这骗文章我看第二次了     
好 好好

B17层 发表时间: 03-12-28 09:31

回复: coki [coki]   论坛用户   登录
这么客气要做什么,大家都是朋友吗,大家有什么好文章也可以发表一下吗

B18层 发表时间: 03-12-28 15:37

回复: nhqtq [nhqtq]   论坛用户   登录
边个会那些英文啊

B19层 发表时间: 04-06-13 15:13

回复: kailangq [kailangq]   版主   登录
我晕,.什么时候的帖了

B20层 发表时间: 04-06-13 15:26

回复: iamzhaokun [iamzhaokun]      登录
那你还灌!

B21层 发表时间: 04-06-15 13:14

回复: mooncry [mooncry]   论坛用户   登录
好看好看,
多多意善!

B22层 发表时间: 04-06-16 10:16

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号