content

传奇黑客献招“人身防火墙”是最佳防御

 2005-04-17 02:40 桌面版 正體 打赏 0
已洗手不干的传奇性黑客Kevin Mitnick 说,企业若想加强保护机密信息不外泄,不妨成立一个事件应变部门,专门处理可疑的信息查询。

Mitnick 说,这个部门应接受社会工程学的训练,能敏锐地察觉任何可疑的安全攻击并加以调查,且能有效、迅速地随机应变。

这位Mitnick 安全顾问公司(昔称Defensive Thinking)的创始人也呼吁,企业应妥善向员工宣导,巩固内部的“人身防火墙”(human firewall)。

本周在雪梨举行的一场社会工程学预防工作小组座谈会中,Mitnick 与商业合伙商人Alex Kasperavicius警告,黑客可能利用社会工程学的一些技巧,利用员工心理上的弱点,回避企业的安全技术防护。

CNET

Mitnick 说,若黑客能轻易说服公司的某个员工透露登录信息,企业就算砸下数百万美元安装最新型的软硬件保护企业网络,又有何用?

他说:“黑客会寻找最弱的环节切入。安全计划是由人员、程序与技术组成的。你的公司可能在某方面很强,例如技术方面,但或许员工未接受良好的训练,那正是歹徒下手的对象。黑客会找最方便的门路溜进去。”

Mitnick 和Kasperavicius 举例说,两人在离开洛杉矶之前,曾到某知名女艺人的办公室,取得她所属公司的一些垃圾袋。去除披萨盒、饮料罐等垃圾之后,留下的是大量印出来的电子邮件信息、传真、薪资单、电话帐单等文件。两人要求与会者搜索这些“垃圾”,看看能否找出任何有助于发动攻击之物。

在薪资清单和发票中,与会代表发现竟有知名流行歌手Christina Aguilera与另一知名摇滚乐吉他手的住宅电话号码及移动电话号码,以及印有某电视明星个人网站网址、使用者名称及密码的打印文件。

“在这堆垃圾中,你发现便利贴字条、行事录、帐单、系统名称以及通讯信件。翻寻企业垃圾的人士也找得到竞争情报,那不只是黑客或工业间谍的专利,”Mitnick 说。

他还示范社会工程学者如何运用假扮IT服务员、说服员工透露密码等伎俩,向不知情的员工套出重要的信息。有的人甚至精心安排复杂的骗术,在组织内潜伏数月,假冒他人身份,进行信息收集。

Mitnick 建议与会代表建立并落实安全政策,包括对这类社会工程技俩的防范措施在内。他说,不同部门的员工应训练他们提防不同类型的攻击,例如,锁定安全警卫或远距上班员工的攻击伎俩,就不大可能用来对付接待人员。

--版权所有,任何形式转载需看中国授权许可。 严禁建立镜像网站.
本文短网址:


【诚征荣誉会员】溪流能够汇成大海,小善可以成就大爱。我们向全球华人诚意征集万名荣誉会员:每位荣誉会员每年只需支付一份订阅费用,成为《看中国》网站的荣誉会员,就可以助力我们突破审查与封锁,向至少10000位中国大陆同胞奉上独立真实的关键资讯,在危难时刻向他们发出预警,救他们于大瘟疫与其它社会危难之中。

分享到:

看完这篇文章觉得

评论

畅所欲言,各抒己见,理性交流,拒绝谩骂。

留言分页:
分页:


Top
x
我们和我们的合作伙伴在我们的网站上使用Cookie等技术来个性化内容和广告并分析我们的流量。点击下方同意在网络上使用此技术。您要使用我们网站服务就需要接受此条款。 详细隐私条款. 同意