针对敏感信息或计算资源的远程访问请求，进行严格的认证，而不是使用预先提供的静态口令。 ?更改所有的默认口令。
    
    使用一个深层防护模型，这样，即使在一个点上的防护措 施失败，也不会危害整个系统的安全，并且定期根据一些 基本原则检验这个模型。 ?建立一个组织内部的安全策略，对接入和接出的通信连接 都进行过滤。
    
    第9章人在大陆加强对所有请求访问敏感信息和计算资源的客户端系统的 管控。请不要忘记，执着的攻击者也会把客户端系统视为 目标，因为他们可以截获一个客户端与组织网络之间的合 法连接或是利用两者间的信任关系。 ?使用入侵检测设备，来确认可疑的通信，或是识破利用己 知漏洞的企图。这样的系统也可以揪出一个恶意的闯入者 或是攻击者，他或许己经侵入了安全边界。 ?幵启操作系统的审查功能和启用关键程序。另外，确保登 录信息保存在一个安全主机上，该主机不提供其他的服务， 拥有最小数量的用户账户信息。
    
    社交工程师的攻击手段 以及防御其攻击的措施社交工程师巧妙地利用我们每个人每天都在使用的一些说服 技巧。因为我们在日常生活中也会扮演各种社会角色，试图与他人 建立信任关系，呼吁彼此相互负责。然而，与我们大多数人不同的 是，社交工程师是利用一种具有操纵性、欺骗性和不道德的方式来 达到彻底毁灭对手的效杲。
    
    社会心理学家本章将要探讨的内容与前面几章略有不同。我们将要探讨黑客 攻击中最难察觉、最难防范的一种攻击策略。社交工程师，一种精 于伪装技艺的攻击者，他们利用人类本性的种种特质完成自己的工 作。这些特质包括：乐于助人、礼貌、支持他人、具有团队精神以 及完成工作的事业心。
    
    要应对那些潜在威胁我们的危险，第一步就是要了解对手的攻 击策略。因此，接下来让我们通过心理剖析先来探寻一下那些人类 行为的固有弱点，因为这些弱点通常会使得社交工程师的行动游刃 有余。
    
    首先，让我们来看一个详细讲述社交工程师如何具体工作的故 事。这一定会令你大幵眼界。故事源于一封读者来信。因为这个故入侵的艺术事既有趣又很典型，所以我们几乎没做任何改动。虽然看得出故事 本身有所保留，当事人也时而因其他事务分心落掉一些细节，时而 编造故事的部分情节，但是，即便其中部分是虚构的，这个故事对 于如何防范社交工程的攻击仍具有典型意义。
    
    全书各章中部分细节有所改动，旨在保护当事人和委托公司的 隐私。
    
    社交工程典型案例年夏天，拉斯维加斯一家娱乐业集团雇用了一位名叫 “Whuriey”的安全顾问，为集团作全面的安全审计。该集团当时 正在进行安全系统的重建工作，雇用Whuriey是为了 “尽可能地防 范任何或全部攻击过程”,帮助公司更好地完善安全系统。Whurley 有着丰富的技术经验，但是他却很少光顾赌场，对于赌场没有任何 经验。
    
    先花了一周时间，深入探究了 Strip的文化。然后， 他才幵始了真正的拉斯维加斯的工作。由于多年积攒的经验，他提 前幵始了工作，并打算在集团约定的幵始日期之前就完成工作。因 为，只有在审计工作正式幵始之前，公司高层才通常不会告知员工 任何审计工作的消息。“然而他们总是会提前通知员工审计工作即 将开始，尽管他们不应该这么做。”不过，Whuriey丝亳不受影响， 因为他总是提前两周就开始工作了。
    
    尽管到了晚上九点Whuriey才抵达酒店，他还是径直走入了那 家排在他工作日程表上第一位的赌场，幵始了他的现场勘查。在那 里，Whuriey呆了一会。虽然时间不长，他巳经大开眼界了。他最 先发现的是，这里的情况与旅行频道所描述的完全不同。在电视里， 无论是在脱口秀中还是在釆访节目中，每一位赌场人员都俨然是最 优秀的安全专家。然而在这儿，他们“不是在昏昏欲睡，就是对工 作完全掉以轻心”.这两种状况都能让他的工作变得比计划中的还 要简单。要赢得这场游戏，这些员工是最好利用的攻击目标。
    
    第10章社交工程师的攻击手段以及防御其攻击的措施走近一位相当放松的员工，试探性地和他攀谈起来。 Whiiriey发现这位员工很乐于和他人讨论自己工作的细节。极具讽 刺意味的是，这位员工还曾经受雇于Whuriey的雇主赌场。“嗯， 我猜这里的条件要好得多吧？,' Whurley问道。
    
    员工回答说：”没有啊。在这里我得一直接受审计。然而在那 里，他们很难察觉到我到底是否在偷懒。不过，其他方面也基本一 样，像时间、胸牌、日程表，诸如此类的。总之，他们的右手永远 不知道左手在做什么。“第二天清晨，Whurley计划好了他的工作目标：单刀直入，尽 可能地进入赌场每一片保护区域，保存到场证据，尽力入侵安全系 统。可能的话，他还想试试能否获取访问财务系统或者其他系统的 权限，比如说，存有客户信息的系统等。
    
    那天晚上，在从目标赌场回到酒店的路上，Whurley从广播里 听到了一则广告，健康俱乐部向员工提供特价服务。晚上，他睡了 一宿，第二天一大早就去了健康俱乐部。
    
    在俱乐部，他将名叫Lenore的一位女士定为攻击目标。”15 分钟后我们之间就建立了 ‘精神联系，.“这让Whuriey欣喜万分， 因为Lenore是财务审计，而他想了解的一切都和”财务“、”审 计“息息相关。如果他能入侵财务系统，那么雇主集团就显然在安 全系统上存有较大的漏洞。
    
    作为一位社交工程师，Whuriey最擅长的把戏之一就是”冷阅 读“.与Lenore交谈的时候，他仔细地洞察她的每一个非言语动 作，而后做出回应，使得她不断地说。？ ”哦，天哪！我也是如此啊！,' 谈话结束后，他邀请她共进午餐。
    
    用餐时，Whurley告诉Lenore,他初来乍到，正在找工作。他 有名牌大学的金融学位证书。不过他刚和女友分手，来到拉斯维加 斯是想换个环境，好缓解一下失恋的痛苦。然后，他坦言自己对在 拉斯维加斯找个审计方面的工作有点儿担心，因为他不想以最后落 个“与狼共舞”的下场。于是，在接下来的一两个小时中，Lenore 一直在安慰他。她告诉他找个财务方面的工作并没有他想像中的那入侵的艺术么难。为了帮人帮到底，她还讲了一些自己的工作细节和身边的同 事。她提供的这些信息比Whuriey需要的还要多。“她真是，目前 为止，我的这次特别演出中最棒的一幕了。我很幵心地付了餐费一 一我总得要花费点什么回报她啊！ ”回首这次经历，他说当时的他有点自大了。“这让我后来吃了 亏。”现在，工作应该正式拉开帷幕了。他的包里早已装好“一台 手提计算机、一个Orinoco宽带无线网关、一架天线以及其他一些 附件。”他的目标很简单：首先进入赌场的办公区，在自己无权进 入地方自拍几张数码相片（显示时间戳），然后在网络上安装无线访 问点，以便能从远程入侵赌场的系统来收集机密信息，最后在第二 天拿回网关，完成任务。
    
    趁着员工换班，Whuriey到了赌场的员工入口外，他找了一 个位置隐蔽起来，想观察一下入口处的情况。“我觉得自己很像 詹姆？邦德。”他本以为自己还有时间稍做观察，但是似乎大多 数人这时候都已经到了，他被晾在那，只能自己走进去。
    
    没过几分钟入口通道上就空无一人了，这可不是Whuriey所希 望的。这时他注意到，有一名保安似乎正要离开，但另一名保安叫 住了他，于是两个人就一起站在出口外吸起了烟，吸完烟后两个人 各自朝相反方向走开。
    
    我穿过马路向正在离开大楼的保安走过去，准备用我最檀长的 一句问话来套近乎。他迎面走近了我，在刚好要擦肩而过的时候， 我开始了行动。
    
    向这个保安问道：“打扰了，请问现在几点？” 这都是计划好的。“我注意到一个现象，如果你向迎面走近的 某人搭话，他们的警备心几乎总是比较强，但如果你等快要擦肩而 过时再说话，他们就不那么戒备了。”这名保安告诉Whuriey时间 时，Whuriey仔细地审视了他一番，看到他的胸牌上写着Charlie. “就在我们站在那时，我幸运地听到另一名刚走出来的员工称他 为Cheesy,于是我问Charlie别人是不是总那么叫他，他就告诉了第10章社交工程师的攻击手段以及防御其攻击的措施我这个绰号的由来。”

　　请记住本书首发域名：www.llskw.org。来奇网电子书手机版阅读网址：m.llskw.org