第三章 正面攻擊――直接索取
很多時候,社會工程學的攻擊是十分複雜的,包括一系列的步驟和精心的策劃,並同時具備操作技巧和透徹的背景知識。但令人驚奇的是一位技藝高超的社會工程師經常可以使用簡單、直接、正面的攻擊方式來達到目標。直接了當的開口要求所需的資訊,也許僅此一點就已經足夠,正如下文中你即將看到的。
快速搞定線路分配中心
想知道某人未登記的**號碼麼?乙個社會工程師可以告訴你半打的方法(你也可以在本書中的其它故事內容中看到),但最簡單的辦法就是呼出這樣的乙個**……
請告訴我號碼
攻擊者撥打線路分配中心(
mechanized line assignment center
)未公開的**公司號碼,接聽**的是個女子,攻擊者說道:「嗨,我是保羅·安東尼(
paul anthony
),我是線路員。是這樣,這裡有乙個接線盒在火災中燒毀,警察認為是有人故意燒掉自己的房子來騙保險。他們讓我乙個人來為二百對接線柱接線。現在,我真得需要幫忙了。南大街
6723
號的線路是怎樣分配的?」
**公司的人都知道,對於非公開的號碼查詢資訊只能讓已授權的**公司知道,線路分配中心的的號碼只能告訴本公司的職員。然而,即使他們從不會將這些資訊公之於眾,誰又能拒絕幫助一位身負繁重工作任務的公司員工呢?她對他保羅起了同情之心,她今天的工作也很不順,於是她小小地破了個例,來幫助這個遇到麻煩的同事。她告訴他電纜線的配對,以及每個分配到相應位址的號碼。
公尺特尼克信箱
人們都很容易相信自己的同事,尤其是在其要求滿足合理的測試之後。社會工程師便利用這種知識從受騙者身上獲取資訊以達到他們的目標。
過程分析
正如你不斷地在這些故事中看到的,企業專業術語的知識和它的結構組織――各個辦公室和部門都是做什麼的、具備什麼樣的資訊,是乙個優秀社會工程師的騙術箱中的必備品。
逃亡者
乙個我們將稱之為弗蘭克·帕森斯(
frank parsons
)的人已經在逃多年,作為
60年代地下反戰組織的一分子,他仍然被聯邦**通輯。在餐館裡,他總面對著門口坐著,習慣於左顧右盼,偶爾會被人注意到神色緊張。
弗蘭克每隔幾年都會搬家。有一次,他來到乙個陌生的城市,準備找個工作。對於弗蘭克這樣有著精湛計算機技術的人(同樣,還有嫻熟的社會工程學技術,即便他從不會把這寫到應聘簡歷上),找到乙個不錯的工作還是很容易的。只要不是處於經濟特別緊張的時期,具備良好計算機知識的人很容易得到施展才能的機會並擺脫困境。弗蘭克很快的看中了乙份薪資優厚的工作,一家龐大、高階的長期療養院,而且離他住的地方很近。
他想,這真合適。但當他埋頭苦幹地填寫申請表時,忽然碰到乙個麻煩。雇用方要求應聘者提供乙份犯罪歷史記錄的影印件,這份影印件他只能親自去州警察局去拿。在工作申請表裡就包含著一張需要這個影印件的**,上面還有乙個用來按指紋的地方。即便他們只需要右手食指的指紋,但如果把這個指紋與聯邦調查局資料庫中的指紋做比較的話,他可能很快就要到聯邦**資助的地方(譯者注:指監獄)食堂工作了。
另一方面,對於弗蘭克來說,還可能(僅僅是可能),仍然平安無事,州警察局也許根本不會把指紋樣發到聯邦調查局。但他如何獲知這一點呢?
怎麼辦?他是乙個社會工程師,你認為他會怎麼做呢?
當本地的專家拿起**時,弗蘭克詢問了一系列有關他們使用的指紋系統的問題,以及檢索和儲存指紋資料的能力。他們的系統是否出過故障?他們在國家犯罪資訊中心(
ncic
)還是僅在本州進行指紋檢索?這套系統對於每個人來說容易學習使用麼?
狡猾的弗蘭克悄悄地得到了其中的關鍵資訊。答案對他來說如**般動聽――不,他們不在
ncic
檢索,他們只在州犯罪資訊索引(
cii)中查詢。
軟體測試的藝術第三章總結
所謂 檢查是以組為單位閱讀 它是一系列規程和錯誤檢查技術的集合。對 檢查的大多數討論都集中在規程 所要填寫的 等。協調人,協調人應該是個稱職的程式設計師,但不是該程式的編碼人員,不需要對程式的細節了解得很清楚 程式的編碼人員 程式設計人員 測試專家 由程式編碼人員逐條語句講述程式的邏輯結構。在講述的...
軟體測試的藝術第三章閱讀(一)
研讀 也是測試工作的一部分。是兩種主要的人工測試方法。要求組成乙個小組 3 4人,包含一位開發者 來閱讀或直觀檢查特定的程式 會議上所謂的brandstrom 可能這就是 review 只需找出錯誤,不必找出改錯誤的方法。即,是測試,不是除錯。1.檢查以組為單位,是一系列規程和錯誤檢查技術的集合 2...
第三章 SQL的程式設計
use myschool go create table shengfu time datetime not null result nvarchar not null insert into shengfu time,result values 2005 05 09,勝 insert into s...