内容简介

  科技的发展已经完全改变了人们的生活方式,尤其是电话和网络的普及,一方面缩短了人与人之间的距离,另一方面则导致信任关系的复杂化。在面对面的情况下,人们可以凭借自己的生活经验,以及对物理安全的感知来判断是否可以信任对方;但在电话或者网络上,生活中的经验不足以提供这样的依据,并且物理安全未受到威胁,于是人们变得轻信和盲从,毕竟人们宁可相信这个世界上诚实的人更多一些。在竞争激烈的企业世界中,这种轻信和盲从是一种风险,对于企业的持续运行是一种挑战。
  《反欺骗的艺术:世界传奇黑客的经历分享》正是揭露了攻击者如何利用人类的这种天性来达到攻击的目的。
  相信,阅读完《反欺骗的艺术:世界传奇黑客的经历分享》会令你眼界大开,从而在未来的工作和生活中,更好地保护好你的企业和自身的安全。

作者简介

  潘爱民,任职于阿里云OS,担任首席架构师职位。长期从事软件和系统技术的研究与开发工作,撰写了大量软件技术文章,翻译和撰写了多部经典计算机图书,在国内外学术刊物上发表了30多篇文章。曾任教于北京大学和清华大学(兼职)。后进入工业界,先后任职于微软亚洲研究院、盛大网络发展有限公司和阿里云计算有限公司。目前也是工信部移动操作系统专家组成员。
  潘爱民获得了数学学士学位和计算机科学博士学位,主要研究领域包括软件设计、信息安全、操作系统和互联网技术。
  
  KevinD.Mitnick(凯文·米特尼克)曾是“黑客”的代名词,他开创了“社交工程学”,是历史上令FBI头痛的计算机顽徒之一,商业和政府机构都惧他三分;米特尼克的黑客生涯充满传奇,15岁就成功侵入北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。之后,防守严密的美国网络系统(美国国防部、五角大楼、中央情报局、美国国家税务局、纽约花旗银行)都成了他闲庭信步之处。米特尼克也是全球遭到通缉和逮捕的黑客,出狱后曾一度被禁用计算机和互联网,甚至包括手机和调制解调器。
  后来,米特尼克金盆洗手,洗心革面,成了全球广受欢迎的计算机安全专家之一,担任多家企业的安全顾问,并与他人合作成立了洛杉矶咨询公司DefensiveThinking。米特尼克曾登上CourtTV、“早安,美国”、“60分钟”、CNN的“头条新闻”等电视节目,也曾在洛杉矶的KFIAM640主持每周一次的访谈节目。米特尼克的文章散见于各大新闻杂志和行业杂志,他已多次在重要活动上发表主题演讲。

精彩书评

  ★社交工程经典书籍,强烈推荐!
  很多安全顾问和企业将全部时间和金钱投入到硬件和软件解决方案上,但在现实中,社交工程将使所有这些失去价值。当“坏人”使用社交工程手段时,我们往往蒙在鼓里,浑然不觉。
  这本社交工程著作详细披露多个技术攻击和内部攻击场景,不仅列出执行过程,还分析思路和要点。每章末尾提出应对攻击的建议,《反欺骗的艺术:世界传奇黑客的经历分享》末尾给出建议采用的企业安全政策,可谓字字珠玑。
  ——ChristopherByrne
  
  ★一字千金,发人深思!
  这是我近7年来首次从头到尾品读一遍的书籍。《反欺骗的艺术:世界传奇黑客的经历分享》是制胜法宝,细节和指导意见堪称完美,指导我更好与黑客斗智斗勇,弄清入侵者的手段,从而捍卫自身权益,保护系统的安全。如果未读《反欺骗的艺术:世界传奇黑客的经历分享》,你终会后悔,因为在其他地方找不到如此珍贵的信息。米特尼克,你激励了我!
  ——KyleC
  
  ★凯文·米特尼克的一部力作!
  米特尼克对袭击者和被袭击者的想法和行为了如指掌。所有系统都是由人开发的,攻击者总能找出弱点,米特尼克了解其中的可怕之处。《反欺骗的艺术:世界传奇黑客的经历分享》如侦探小说般充满魅力,呈现的入侵过程情节曲折,扣人心弦。
  ——AmazonCustomer

目录

第I部分事件的背后
第1章安全过程中最薄弱的环节
1.1人的因素
1.2一个经典的欺骗案例
1.2.1获得代码
1.2.2这家到瑞士银行
1.2.3大功告成
1.3威胁的实质
1.3.1日趋严重的担忧
1.3.2欺骗手段的使用
1.4滥用别人的信任
1.4.1美国人的特征
1.4.2机构的无罪论
1.5恐怖分子和欺骗
1.6关于《反欺骗的艺术:世界传奇黑客的经历分享

第II部分攻击者的艺术
第2章当看似无害的信息带来损害时
2.1信息的潜在价值
2.2信用检查公司
2.2.1私人侦探的工作
2.2.2骗局分析
2.3工程师的陷阱
2.4更多的“无用”信息
2.5预防骗局
第3章直接攻击:开门见山地索取
3.1MLAC的不速之客
3.1.1请告诉我电话号码
3.1.2骗局分析
3.2在逃的年轻人
3.3在门前的台阶上
3.3.1回路欺骗
3.3.2史蒂夫的诡计
3.4瓦斯攻击
3.4.1詹尼·艾克顿的故事
3.4.2阿特·西里的调查项目
3.4.3骗局分析
3.5预防骗局
第4章取得信任
4.1信任:欺骗的关键
4.1.1多利·劳尼根的故事
4.1.2骗局分析
4.2计谋的变种:取得信用卡号码
4.2.1没想到吧,老爸
……

第III部分入侵警报
第IV部分进阶内容

精彩书摘

  《反欺骗的艺术:世界传奇黑客的经历分享》:
  为了取得对方的信任,并不一定需要像前面的故事中那样,与同一个受害者通一连串电话。我记得自己曾经见过一个案例,在那里只需五分钟就够了。
  4.2.1没想到吧,老爸
  有一次,我跟亨利及亨利的父亲坐在饭馆的一张桌子旁边。在谈话过程中,亨利责备他爸爸不应该把自己的信用卡号码像电话号码一样告诉别人。“不错,你购物时应该出示信用卡号码,”他说。“但是你却把号码给了一家店,而且这家店把你的号码记录下来——这太蠢了。”
  “我只在画室音像租赁店才这么做,”康克林先生说道,他提到了同一家音像连锁店。“但我每月都检查自己的Visa账单。如果他们多收了钱,我马上就会知道的。”
  “没错,”亨利说,“但是一旦他们有了你的号码,别人很容易偷到它。”
  “你是说不诚实的职员?”
  “不。任何人——不仅仅是职员。”
  “你在瞎说,”康克林先生说。
  “现在我就能打电话,让他们告诉我你的Visa号码,”亨利反驳道。
  “不可能的,你办不到,”他爸爸说。
  “五分钟之内我就能办到,就在你面前,不用离开这张桌子。”
  康克林先生使劲揉了一下眼睛,其表情看起来似乎是虽然对自己确信无疑,但又不想表现出来。“我说,你根本不知道自己在说什么,”他大声嚷道。“如果你真能做到像你说的那样,那我就听你的。”
  “我不要你的钱,老爸,”亨利说。
  他掏出自己的手机,问清了父亲去的是哪家分店,然后向查号台要了这家店的电话号码,同时还要了谢尔曼橡树附近一家店的号码。
  随后他给谢尔曼橡树那家分店打电话,利用跟前面的故事中几乎同样的方法,很快就获悉了经理的姓名和店号。
  然后他打电话给那家为他父亲开了户的分店。凭着刚刚得到的经理名字和店号,他使用了同样的冒充经理的伎俩。然后他使用同样的策略:“你们的计算机今天有问题吗?我们的计算机时好时坏。”他听了对方的回答,然后说,“好,听着,这里有你的一个客户,他想租一部电影,但我们的计算机这会儿不灵了。我需要你帮忙查看一下顾客账户,确认他确实是你们分店的顾客。”
  亨利把父亲的名字告诉了对方,然后使用稍微不同的技巧,他要求对方把账户资料读给他听:地址、电话号码和开户日期。然后他说,“嘿,听着,我这里顾客排起了长队。他的信用卡号码和有效期限是多少?”
  亨利用一只手把手机放在耳边,用另一只手在餐巾纸上作记录。打完电话后,他把餐巾纸放在父亲面前。他的父亲张大了嘴巴看着餐巾纸,呆若木鸡,好像自己的整个信任系统已经消失殆尽。
  4.2.2骗局分析
  想一想,当一个你不认识的人问你一些事情时,你会怎么做呢。如果一个衣衫不整的陌生人来到你家门前,你可能不会让他进来;如果这个陌生人衣着整齐,皮鞋锃亮,发型得体,态度友好,面带微笑,那么你的疑心会减少很多。或许他真的是《黑色星期五》电影中的詹森,然而,只要这个人外表正常,而且手里也没有攥着菜刀,那么你还是很愿意信任他的。
  ……

前言/序言

  科技的发展已经完全改变了人们的生活方式,尤其是电话和网络的普及,一方面缩短了人与人之间的距离,另一方面则导致信任关系的复杂化。在面对面的情况下,人们可以凭借自己的生活经验,以及对物理安全的感知来判断是否可以信任对方;但在电话或者网络上,生活中的经验不足以提供这样的依据,并且物理安全未受到威胁,于是人们变得轻信和盲从,毕竟人们宁可相信这个世界上诚实的人更多一些。在竞争激烈的企业世界中,这种轻信和盲从是一种风险,对于企业的持续运行是一种挑战。《反欺骗的艺术:世界传奇黑客的经历分享》正是揭露了攻击者如何利用人类的这种天性来达到攻击的目的。我相信,阅读完这《反欺骗的艺术:世界传奇黑客的经历分享》会令你眼界大开,从而在未来的工作和生活中,更好地保护好你的企业和自身的安全。
  在数字世界中,科学研究人员一直在努力寻求最佳的信息保护方案,甚至已经找到了可以实现理论上绝对安全的量子密码学方法。大多数企业信息系统已经融入了先进的、成熟的研究成果,因而,在一定的假设条件下,这些信息系统可以被证明是安全的。然而,理论上的安全与现实中的安全有很大的差距。首先,理论安全的假设条件并不总是切实可行,甚至屡屡被违反,比如,让每个人都维护一个强密码并不是那么容易做到的。其次,在实现信息系统的过程中,由于软件技术方面的原因,也会出现新的安全漏洞。因此,科学家们在不断加固企业的信息系统,但是现实中的企业却打开了一扇又一扇的大门,让攻击者总是有机可乘。
  我们常常从各种新闻媒体上看到有关网络攻击事件的报道,这些攻击大多针对一些门户网站或者一些敏感机构的Web站点。但是,针对企业信息系统或者企业运营的攻击事件却少有报道。实际上,这是两种截然不同的攻击事件。针对Web网站的攻击很大程度上依赖于各种技术手段,以及网站管理员的失误,Internet上有大量的资料介绍这些攻击技术和软件工具;而在针对企业信息系统或者企业运营的攻击事件中,攻击者的目标不限于信息系统中的电子资料,也有可能是其他形式的信息资产,而且,攻击者使用的手段并不局限于技术性的工具,而更多地利用企业日常运营过程中的疏忽或者漏洞,甚至犹如《反欺骗的艺术:世界传奇黑客的经历分享》中展示的那样,攻击者利用人性中的缺陷来达到目的。
  《反欺骗的艺术:世界传奇黑客的经历分享》主要针对后一种攻击类型,通过大量的案例说明了社交工程师如何利用各种非技术手段来获得他想要的信息,这样的攻击事例并不神奇,它有可能正发生在你我的身边。攻击者无需高超的技术,也无需超人一等的智商,只需善于利用人们的心理倾向和目标公司的管理漏洞,再加上多一点耐心,就会有很高的成功率。所以,阅读这《反欺骗的艺术:世界传奇黑客的经历分享》,有助于我们了解社交工程师的常用伎俩,以及相应的应对策略。

其他推荐