米特尼克信箱
允许一个陌生人进入到可以把便携式电脑连入公司内部网络的地方,会大大增加安全风险。这对于一名员工而言非常合理,但是对于一个想要到会议室查看他(或她)的电子邮件的外部人员,除非已经确定这名访客为可信任的员工或者网络已经被分割出来,阻止未经授权的连接,这可能是危及公司文件的薄弱环节。
必须明确指出的是:从法律的角度上看,安东尼进入大厅时,他并没有犯法;当他利用一个真实员工的名字时,他也没有犯法;当他进入会议室时,他也没有犯法;当他连入公司的内部网络并搜索目标主机时,他也没有犯法。
实际上直到他侵入了计算机系统时,他才违反了法律。
偷窥的凯文
很多年前,当我在一个小公司工作时,我注意到当我走进和其他三个人共用的IT部门办公室时,有一个特殊的人(乔,我在这里这样称呼他)会迅速地把他的电脑显示器切换到另一个窗口,我马上觉得这很可疑,当同一天发生超过两次这样的事时,我确信自己将要了解到某些事,这个人到底不想让我看见什么呢?
乔的电脑是公司小型机的终端,所以我在VAX小型机上安装了一个控制程序,这样我就可以监视他的一举一动。这个程序类似于一个在他肩膀上面的电视摄像机,把他在电脑上看到的东西精确地展示给我。
我的桌子就在乔的旁边:我可以把显示器转过来让他看不见,但是他随时都可以走过来,然后发觉我在监视他。这不是问题:他太专注于所做的事情了。
我看到的东西让我目瞪口呆,这个坏蛋调出了我的工单数据,他在查看我的工资!那时候我在那里才几个月,我猜乔是无法容忍我的工资比他高。
几分钟后我看见他在下载菜鸟黑客自己写不出来的黑客工具,这样看来乔没什么本事,并且还没有意识到美国最有经验的黑客就坐在他的右边,我觉得这很好玩。
他已经获得了我的工资信息:要阻止他已经太晚了。此外,任何电脑可以访问IRS(译者注:美国国税局)或社会保障总署的员工都可以看见你的工资。我当然不想让他发现我知道了他在干什么,我此时的主要目标是保持低调,一个好的社会工程师不会去到处宣传他的知识与才干。你通常想让人们低估你,不把你当成威胁。
所以我没有管他了,并且为乔认为他知道了我的一些秘密而暗自发笑。当这些都反过来时:我获得的信息会比他多得多。
我发现我在IT部门的三个同事全都喜欢查看这个或那个可爱秘书或(为公司里的一个女孩子)他们盯上的某位帅哥的实得工资,并且他们还喜欢找出公司里任何令他们好奇的人(包括高层管理人员)的工资和奖金。
过程分析
这个故事说明了一个很有趣的问题,维护公司电脑系统的人可以轻易地访问工资表文件,这带来的问题是:确定谁可以被信任。在某些情况下,IT人员会在四处察看时无法避免地看到它,他们可以这样做,因为他们有特权允许他们忽略这些文件的访问控制。
一个安全措施是审核对特别敏感的文件的访问,比如工资表。当然,任何必需有特权的人都可以关闭审核或移除任何指向他们的纪录,但是每一步额外的步骤都会使不道德的员工在隐藏部分上花费更多的时间。
预防措施
从翻寻你的垃圾到欺骗安全警卫或接待员,社会工程师可以全面侵入你的公司内部,但是你会很高兴听到这里有一些你可以采取的预防措施。
临时通行证
所有上班时忘记带证件的员工都必须到大厅前台或警卫室办理一张临时证件,如果这一章第一个故事中的安全警卫在遇到没有携带员工证件的人时仔细地进行了处理,一切就会大不相同。
对于安全等级不高的公司或公司区域,也许并不需要强调每个人每时每刻都带着有效证件,但是对于公司中的敏感区域,这些就需要被严格地强制实行。必须培训员工去质疑没有佩戴证件的人,高级员工必须允许这些质疑,不去为难那些把他们叫住的人。
公司政策应该忠告那些一直没有佩戴证件的员工:他们所受的处罚可能是直接回家并且拿不到任何报酬,或者在他的个人档案上写上一笔。一些公司制定了一系列更严厉的处罚,包括向员工经理报告问题,然后发布正式警告。
另外,在有受保护的敏感资料的地方,公司应该制定在非商业时间访问的授权程序。一个解决方案是:让公司的安全部门或某个其它指定组管理这些请求,这个组将通过回电给主管或其它一些相当合理的方法来核实任何请求在非工作时间访问的员工的身份。
慎重处理垃圾
垃圾搜寻的故事揭示了公司的垃圾存在的潜在危险。
下面是八条与之相关的至理名言:
1.基于敏感程度对敏感资料进行分类。
2.在整个公司范围内建立敏感资料丢弃程序。
3.坚持在丢弃敏感信息时先将其粉碎,并使用一个安全的方法去除无法再剪碎的小纸片上的重要信息。碎纸机绝对不能处于低档粉碎状态,一个坚定的攻击者,加上足够的耐心,就可以把这些低档粉碎出来的纸片拼起来。只要很好的使用了交叉碎纸机,他们得到的就会是无用的纸浆。
4.将那些电脑媒体——软盘、Zip盘、被用来存储文件的CD和DVD、可移动磁盘、旧硬盘等——完全清除或使其无法使用,在它们被丢掉之前。记住,删除文件事实上并没有将其清除,它们还可以被恢复——就像Enron主管和其他许多人从他们的惊讶中学到的那样,把电脑媒体扔到垃圾桶里是在向当地友好的垃圾搜寻者发出邀请。(处理媒体与设备的详细指导方针见第16章)
5.在选择清洁队成员上保持适当程度的控制,如果允许的话进行后台检查。
6.周期性地提醒员工回想他们扔到垃圾桶里的资料种类。
7.锁定垃圾搜寻者。
8.对敏感资料使用分散存储空间,与可信赖的专业资料处理公司签订合同。
对员工说再见
这一点在这几页之前就谈到了,当一名离职员工想要获得敏感信息、密码、拨入号码等等时,需要执行严格的程序。你的安全程序需要提供一个多种系统的授权纪录。也许很难阻止一个坚定的社会工程师突破你的防御网,但是不要让一个离职员工都可以轻易做到。
另一个措施很容易被忽视:当一名可以从存储器恢复备份数据的员工离开时,应当为存储器调用一个写好的策略,马上通知将她的名字从授权列表中删除。
这本书的第十六章详细讲述了这个重要主题,但是在这里列出某些适当的安全措施很有帮助,就像通过那个故事强调的那样:
按照一张完整、严格的步骤列表上的内容处理一名员工的离职,对于访问过敏感数据的员工要有特殊的规定。
关闭员工的直接访问权限——最好在其离开公司之前。
不仅恢复员工ID证件需要按程序进行,任何密匙或电子访问设备也同样需要。
规定在允许任何没有安全密码的员工进入之前安全警卫要查看他或她的照片ID,在验证列表上核实姓名,确定这个人仍是这家公司的员工。
更多的步骤对于一些公司而言未免太繁琐或太昂贵了;但是却适合一些其他的公司,下面是一些更严格的安全措施:
电子ID证件结合入口处的扫描器,当每个员工将他的证件从扫描器上划过时,电子实时判断会得出此人为当前员工并有权进入大楼。(注意,无论如何还是必须被培训安全警卫提防蒙混过关者——一个未经认证紧跟在合法员工身后的人。)
所有员工都必须在同一组内,当某个人离开时(尤其是如果这个人被解雇了)更改他们的密码。(看上去很偏激?在通用电器公司工作的那一段时间之后很多年,我了解到当太平洋电话的警卫听到通用电器公司把我解雇了时,“到处都是笑声。”但是对于通用电器公司的信任,当他们了解到一个有名的黑客曾经为他们工作时,在解雇了我之后,他们就必须更改公司里所有人的密码!)
你不想让你的公司变得像牢房一样,但是同时你需要防范那些刚被解雇就跑来想做坏事的人。
不要忘记任何人
安全警卫要注意入门级的员工,比如并不处理公司敏感信息的接待员。我们曾经在其它地方看到过,接待员是最受攻击者青睐的目标,本章中闯入汽车零配件公司的故事则是另一个例子:一个友好的穿着很专业的人,可能并不是他所声称的来自其它区域分公司的员工。需要良好的培训接待员,如何在适当的时候礼貌地请求公司ID,培训不只是针对主要的接待员,还包括每一个在午餐或下午茶时间零时坐在接待处的人。
对于公司外部的访客,需要查看其照片ID并记录信息。伪造ID并不很难,但至少严格的ID验证可以让攻击者使用电话冒充更加困难。
在一些公司,实行全程陪同访客(从大厅到会议室)的安全策略很有意义,程序应该规定陪同人员在把访客送到会面地点之前要先弄清楚这个人是员工还是非员工。为什么这很重要?因为就像我们在之前的故事中看到的那样,攻击者经常会变换角色,在大厅中表演对他们而言实在是太简单了,使接待员相信他有一个会议要参加,说,有个工程师……陪他到那个工程师的办公室……与工程师会谈之后,他才可以自由行动。
在允许一名异地员工进入之前,必须履行适当的程序,确认此人真的是公司的员工。接待员和警卫必须要了解攻击者伪造身份所使用的方法。
怎样阻止攻击者进入大楼并把便携式电脑连入公司的内部网络?拜当今的技术所赐,这的确是个挑战