防攻擊最好武器是人而不是技術

　　 

對于關注安全問題的朋友來說，凱文·米特尼克(Kevin Mitnick)的名字應該是大名鼎鼎的了。在今年的Citrix iForum上，這位世界頭號黑客談了他對于安全問題的一些看法，并提出了一些自己的建議。

他認為，應付針對敏感信息的社會工程攻擊的最好武器是訓練有素的人，而不是技術。

米特尼克在瘋狂地進行了兩年的黑客活動后，在聯邦監獄度過了五年的歲月，同時禁止上網八年?，F在，他要給曾經攻擊過的公司提建議了。

他說:“人們通常習慣于用技術來解決問題，但社會工程學(social engineering)繞過了所有技術，包括防火墻。技術很關鍵，但我們更應該看重人和方法。社會工程學是一種利用誘惑策略的攻擊方式。它不單單是個技術性問題，更是關于人的問題。

“那么黑客們為什么要使用社會工程學方式?因為這比尋找技術漏洞更簡單?；ヂ摼W是如此寬廣，而社會工程學無需花費或者花費很低，沒什么風險，可以避開所有的防護系統，在任何操作系統上都能進行，不會留下犯罪痕跡，幾乎百分之百有效，而且人們還沒有普遍意識到這個問題。它可以很簡單，也可以很復雜;可以只花幾分鐘時間，也可以花上好幾年。

“苦心積慮的借口或者托辭是社會工程學的關鍵所在，因為人們需要有合理的理由才能去滿足一個請求。

“為了達到目的，黑客們會給自己定義一個身份或者角色，帶著和善的面孔去和人聯系，慢慢誘惑對方步入自己的圈套。不過他們不會直接下狠手，總是會留下余地，免得一無所獲?！?/P>

米特尼克還講述了自己如何利用社會工程學從銀行里提取數百萬美元以及如何利用摩托羅拉研發部門的一個雇員盜取其手機源代碼的經歷。

不過，米特尼克表示自己也不能擺脫社會工程學的束縛:今年早些時候他就收到一封“釣魚式”E-mail，讓他泄漏了自己的PayPal帳戶信息。

為了對抗社會工程攻擊，米特尼克認為必須組建“由人組成的防火墻”，并且拋棄刀槍不入之類的幻想。他對公司的建議是:“建立雇員參與機制，制定簡單的規則，確定什么是敏感信息，組建由人組成的防火墻，提高安全意識?！?/P>

最后，米特尼克表達了自己的一點期望:“攻擊是真實的，威脅也是真實的，所以我希望每個人都行動起來，做點兒什么?！?/span>

原文轉自：http://www.kjueaiud.com