第16章

    第16章 (第1/3页)

大部分情况下，这种保护措施是不够的。

      上面的故事符合这个定义，利用得到的拨号和账户，攻击者甚至不用费力去攻击防火墙。而且，一旦他进入内部，内网的大部分系统就十分危险了。由于我我的经历，我知道这种骗局曾在世界最大的软件生产商身上起过作用。依据我的经验，在一个聪明的具有说服力的社会工程师面前，没有人是绝对安全的。

      专业术语

      软心糖安全：贝尔实验室的贝劳文和切斯威克提出的说法，用以描述一种安全状况。外部防御十分强壮，如防火墙，但其后面的设施却十分脆弱。这个说法来自于M＆M巧克力，这种糖果有着坚硬的外壳和柔软的糖心。

      地下酒吧式的安全：知道自己想要的信息在哪里，并且使用一个词或是名称来获得对此信息或计算机系统的访问权的一种安全形式。

      地下酒吧式的安全

      对于早期的地下酒吧——那些在禁酒令时期提供自酿酒的夜总会，一个顾客需要走到门前敲门，然后门上会打开一个小口，伸出一张冷冰冰的脸。如果来人熟悉情况，他就会说出此地的老主顾（一句“乔让我来的”就可以了），看门的护卫就会打开门让他进来。

      这个事情的关健在于知道地下酒吧的位置，门上没有标志，而酒吧老板也不会挂一盏霓虹灯在门口来表示这儿有个酒吧。通常，只要能找到地方就基本可以进入。很不幸，同样的安全措施在企业中广泛存在，这种没有任何保护的安全级别我称之为地下酒吧式的安全。

      我在影片中见到过它

      这儿有一个例子，来自一部许多人都会想起来的电影。《英雄不流泪》（Three Days of the Condor）中的主角，特纳（罗伯特o瑞德福特饰演）为一家与中央情报局签约的小调查公司工作。一天，他吃完午饭后回来发现他的同事们都被枪杀了，他决定找出凶手和真相，同时那些坏人也一直在找他。故事的后面部分，特纳（Turner）设法得到了其中一个坏人的电话号码，但这个人是谁？特纳又如何确定他的在哪儿呢？他很幸运。编剧大卫o瑞菲尔轻松的给了特纳一个美国陆军通讯兵的受训背景，使他在电话方面有着丰富的知识和经验。特纳当然知道该如何利用手中的电话号码，在剧本中，那幕场景是这样的：

      特纳重新拿起电话拨出另一个号码

      叮呤！

      女性的声音从电话中传来：CNA，我是科尔曼（Coleman）夫人。

      特纳：科尔曼夫人，我是哈罗德o托马斯，客户服务CNA202-555-7389，谢谢。

      科尔曼夫人：请稍等。（几乎是同时）兰纳德o亚特伍德，马里兰州切维柴斯区麦克肯色街765号。

      虽然编剧错误地把华盛顿特区的电话区号用到了马里兰州，但我们没必要注意这个细节。关健是弄明白刚才的对话是怎么一回事。

      特纳由于有通讯兵的受训背景，他知道如何给电话公司的CNA部门（Customer Nam

    （本章未完，请点击下一页继续阅读）