傳奇黑客獻招「人身防火牆」是最佳防禦

發表:2005-04-17 02:40
手機版 简体 打賞 0個留言 列印 特大

已洗手不幹的傳奇性黑客Kevin Mitnick 說,企業若想加強保護機密信息不外泄,不妨成立一個事件應變部門,專門處理可疑的信息查詢。

Mitnick 說,這個部門應接受社會工程學的訓練,能敏銳地察覺任何可疑的安全攻擊並加以調查,且能有效、迅速地隨機應變。

這位Mitnick 安全顧問公司(昔稱Defensive Thinking)的創始人也呼籲,企業應妥善向員工宣導,鞏固內部的「人身防火牆」(human firewall)。

本週在雪梨舉行的一場社會工程學預防工作小組座談會中,Mitnick 與商業合夥商人Alex Kasperavicius警告,黑客可能利用社會工程學的一些技巧,利用員工心理上的弱點,迴避企業的安全技術防護。

CNET

Mitnick 說,若黑客能輕易說服公司的某個員工透露登錄信息,企業就算砸下數百萬美元安裝最新型的軟硬體保護企業網路,又有何用?

他說:「黑客會尋找最弱的環節切入。安全計畫是由人員、程序與技術組成的。你的公司可能在某方面很強,例如技術方面,但或許員工未接受良好的訓練,那正是歹徒下手的對象。黑客會找最方便的門路溜進去。」

Mitnick 和Kasperavicius 舉例說,兩人在離開洛杉磯之前,曾到某知名女藝人的辦公室,取得她所屬公司的一些垃圾袋。去除披薩盒、飲料罐等垃圾之後,留下的是大量印出來的電子郵件信息、傳真、薪資單、電話帳單等文件。兩人要求與會者搜索這些「垃圾」,看看能否找出任何有助於發動攻擊之物。

在薪資清單和發票中,與會代表發現竟有知名流行歌手Christina Aguilera與另一知名搖滾樂吉他手的住宅電話號碼及行動電話號碼,以及印有某電視明星個人網站網址、使用者名稱及密碼的列印文件。

「在這堆垃圾中,你發現便利貼字條、行事錄、帳單、系統名稱以及通訊信件。翻尋企業垃圾的人士也找得到競爭情報,那不只是黑客或工業間諜的專利,」Mitnick 說。

他還示範社會工程學者如何運用假扮IT服務員、說服員工透露密碼等伎倆,向不知情的員工套出重要的信息。有的人甚至精心安排複雜的騙術,在組織內潛伏數月,假冒他人身份,進行信息收集。

Mitnick 建議與會代表建立並落實安全政策,包括對這類社會工程技倆的防範措施在內。他說,不同部門的員工應訓練他們提防不同類型的攻擊,例如,鎖定安全警衛或遠距上班員工的攻擊伎倆,就不大可能用來對付接待人員。



短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。



【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
榮譽會員

看完這篇文章您覺得

評論


加入看中國會員
捐助

看中國版權所有 Copyright © 2001 - Kanzhongguo.com All Rights Reserved.

blank
x
我們和我們的合作夥伴在我們的網站上使用Cookie等技術來個性化內容和廣告並分析我們的流量。點擊下方同意在網路上使用此技術。您要使用我們網站服務就需要接受此條款。 詳細隱私條款. 同意