入侵fbi
人們通常不住地去想他們的公司會在**上提供什麼資料。我在洛杉磯乙個電台做每週一次的脫口秀節目,節目製作者在網上做了一次搜尋,發現了乙份訪問國家犯罪資訊中心(ncic)的操作說明拷貝。不久他發現,真正的ncic操作說明原件就在網上,這是乙份相當敏感的文件,它記錄著從fbi的國家犯罪記錄資料庫中提取資訊的所有操作說明。對於執法部門,這份說明就是一本從國家資料庫中提取犯罪記錄和罪犯資訊的格式和**的操作手冊。國家的所有執法部門都可以依據他們所屬的許可權從同乙個資料庫中查詢有助於辦案的資訊,手冊裡包含了資料庫中用來標明各種資訊的**,從各種各樣的紋身到各式各樣的輪船外殼,再到失竊紙幣和債券的面額。
任何人接觸到這本手冊的人都可以在上面找出從國家資料庫中查詢資訊的命令和語法規則,然後依據手冊上的步驟指導,再加一點膽量,人人都可以從資料庫中提取資訊,而且手冊還提供使用資料庫系統的服務支援**。也許你的公司也有這樣的包含著產品**或是查詢敏感資訊的**手冊。
fbi幾乎肯定不知道如此敏感的資料暴露在網上,我想如果他們知道此事一定會很惱火的。乙份拷貝是由奧勒岡州**部門放到網上的,另乙份是由德克薩斯州的執法機構傳到網上。為什麼?這都是因為,也許某人覺得這些資訊可能沒什麼價值,放到網上也不會有什麼害處。也許有人為了內部人員使用上的方便,而它放到內網上,卻從未想到會被在網上使用搜尋引擎(如google)的人找到,包括僅僅是好奇的人、還有想當警察的人、黑客,以及有組織的犯罪團夥。
接入系統
利用這樣的資訊來欺騙有**或企業背景的人,使用的準則是相同的:由於社會工程師知道如何訪問特定的資料庫或應用程式,或是知道公司的伺服器名稱等類似的事情,他因此具備可信性,這種可信導致信任。一旦社會工程師擁有了這樣的**,獲得所需資訊就十分簡單。在這個例子中,他首先給當地的州警察局電訊室打**,針對手冊上的乙個**,提出問題。比如,犯罪**。他可能這樣說,「我在ncic做犯罪記錄查詢時,碰到『系統發生問題』的錯誤提示。你做記錄查詢時碰到過這種情況麼?能幫我試一下麼?」或者他會說正在查詢wpf(**用語,被通輯人的檔案)。**另一端,電訊室的工作人員就會意識到對方熟悉查詢ncic資料庫的操作程式和命令,除了受過訓練的人,誰會知道這些操作程式呢?
工作人員確定她的系統執行正常後,談話可能像這樣進行:
「我可以幫點兒忙。你要查什麼?」
「我要查瑞爾頓·馬丁的犯罪記錄,出生日期66年10月18日。」
「索什(sosh,執行部門的人有時把社會保險號簡稱為索什)是多少?」
「700-14-7435。」
找到名單後,她可能這樣說:「他的犯罪記錄**是2602。」
現在,攻擊者只需到ncic的**上查一下這個號碼的含義了――這個人有一樁詐騙的犯罪記錄。
過程分析
乙個出色的社會工程師一刻也不會停止思考闖入ncic資料庫的辦法,往當地警察局打上乙個**,花言巧語一番讓對方認為自己是內部人員,這就足以能夠得到他所需的資訊。下一次,他只需使用相同的藉口往另乙個警察局打**就是了。為什麼獲得資訊如此容易?
欺騙的藝術(第四章 建立信任三)
主題變奏 攫取信用卡 建立信任感,不一定非得給受騙者打上一系列的 如上文中講述的案例。我想起乙個親身經歷的故事,它建立信任感只用了5分鐘。驚奇吧,爸爸 有一次,我與漢瑞 henry 和他父親坐在一家餐館。談話中,漢瑞責怪他父親把信用卡號像 號碼一樣隨便洩露給別人。當然,買東西時必須使用信用卡號,漢瑞...
欺騙的藝術(第四章 建立信任一)
這些故事可能會導致你認為我把業務中接觸到的每乙個人都看成十足的傻瓜,都很樂意地 甚至是渴望著把他或她所擁有的每乙個秘密洩露出去。社會工程師知道,這是不可能的。為什麼社會工程的攻擊容易得手呢?這不是因為人們的愚蠢或是缺乏常識,而是因為,我們人類很容易被操縱而把信任用錯了地方,因此被欺騙。社會工程師早已...
第四章 繼承
一 為什麼要繼承 在物件導向中我們將具有很多重複內容的類中的內容提取出來,寫成乙個單獨的類 其他類只需要繼承就能取得這些功能,同時可以在自己類中寫入獨特的自定義方法 二 繼承語法 inte ce circle nsobject 繼承是在介面中定義的 冒號後的類名是要整合的類,nsobject 是co...