第17章

    第17章 (第1/3页)

我们故事中那家生产安全无线电系统的公司，每一名有权访问计算机的职员都有自己的账号和口令，并另外配备一个叫做安全ID的电子小设备，这就是时间令牌。它有两种型号：一种只有一张信用卡的一半大小，但稍厚些。另一种小到可以挂到钥匙链上。

      这个特殊的装置由加密技术衍生而来，它的上面有一个显示六位数字的小窗口，每六十秒改变一次。当一位得到授权的用户从外部访问网络时，她首先必须输入她的PIN码和令牌上的数字，依此来确认自己的身份。内部系统一旦予以确认，她就可以输入用户名和口令进行认证。

      对于觊觎着源代码的年轻黑客丹尼来说，他不仅要解决用户名和口令的问题（对于经验丰富的社会工程师来说这算不上什么难题）还要绕过时间令牌的检测。攻破基于时间令牌和用户PIN码的双因素认证听起来像是一个“不可能的任务”，但对于社会工程师来说，这种挑战类似于一个能够占尽对方优势的有着高超观察能力的牌手，再加上一点儿小运气，当他在桌子旁坐下来时，就知道别人口袋里的钱基本已是他的囊中之物了。

      冲击堡垒

      丹尼先是做准备工作，很快他就得到假扮一个真正的雇员所需的各种信息。姓名、部门、电话号码和员工号码，还有部门经理的姓名和电话号码。现在，是攻击前的平静期。按照计划，丹尼在采取下一步行动前还需要一个条件，而此事他毫无把握：丹尼需要大自然母亲的帮助，他需要一场暴风雪，一个阻止人们去办公室上班的恶劣天气。在南达科他州的冬季，那家生产商的所在地，一个恶劣气候从不会让希望它的人等太久。星期五晚，一场暴风雪到了。雪迅速的转成冰雨，到了早晨路面就会结一层薄薄的冰，十分危险。这对丹尼来说，简直太好了。

      他打电话给那家厂商，转到计算机机房，找到一名自称罗杰o科瓦斯基（Roger Kowalski）的计算机操作员。

      丹尼：“我是安全通讯部的鲍伯o比林斯（Billings），我现在家中，因为冰雪的缘故我无法开车。我现在需要访问我的工作站和服务器，但我把安全ID忘到办公桌上了，你能帮我拿回来么？或者让别人帮一下忙，然后当我登录的时候给我念一下好么？我的工作任务有一个最后期限，我没有别的办法。而且，我也没办法去办公室，路况太糟糕了。

      操作员科瓦斯基：“我不能离开计算机中心……”，

      丹尼：“你自己有安全ID么？”

      科瓦斯基：“计算机中心有一个，我们保留它是为了操作员应对紧急情况的。”

      丹尼：“听着，你能帮我这个忙么？我拨号入网的时候，借用一下你的安全ID可以么？路况一能驾车就不用了。”

      科瓦斯基：“你是谁来着？你的上司是谁？”

      丹尼：“埃德o特伦顿（Ed Trenton）。”

      科瓦斯基：“哦，我认识他。”

      当事情比较棘手时，优秀的社会工程师会多做一些调查工作。“

    （本章未完，请点击下一页继续阅读）