要么做出一个荣誉学位的毕业设计来加强学校的计算机安
全,要么由于黑客行为而中止学业
一种是通过诈骗、欺骗
来获得钱财,这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的,
这就是社会工程师。
人们对于绝对安全的渴望常常导致他们满足于
虚假的安全感之中。
人为因素才是安全的软肋。
二十世纪最受
尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。
著名的安全顾问布鲁斯·施尼尔(Bruce Schneier)所说:“安全不是一件产品,它
是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。
耐心、个性和坚持,这正是欺骗的艺术的切入点。
爱汝之邻
文明,终归只是一层脆弱的薄板。
可总是对他人怀有戒心,担心上当受
骗,会活得很累。
事实上,她的犹
豫给了我一个重要的线索,提醒我必须给她提供一个可信的理由。
激警(BURN THE SOURCE):攻击者如果让对方看出来攻击的意图称为激警。一旦对
方有所警觉并通知其他人员,以后再想套出类似的信息就十分困难了。
秘密通信地(Mail Drop):社会工程师把租来的邮箱称为秘密通信地,通常是用假名字
租用的,用来接收受骗者发来的文件和包裹。
有时仅仅知道内部的专用术语,就可以让社会工程师显得知道很多并可以信赖,攻击
者常常利用这个普遍的错误观念来操纵受骗者。
秘点(DEAD DROP):很难被别人发现的存放信息的地方。在传统的间谍活动中,秘点可
能是一堵墙壁上某块松动的石头。对于计算机黑客来说,一般都是位于遥远国度的互联网上
的一个站点。
软心糖安全:贝尔实验室的贝劳文和切斯威克提出的说法,用以描述一种安全状况。外
部防御十分强壮,如防火墙,但其后面的设施却十分脆弱。这个说法来自于 M&M 巧克力,
这种糖果有着坚硬的外壳和柔软的糖心。
地下酒吧式的安全:知道自己想要的信息在哪里,并且使用一个词或是名称来获得对此
信息或计算机系统的访问权的一种安全形式
隐晦安全:一种效率低下的计算机安全手段,通过对系统运转细节(协议、算法和内部
系统)的保密来达到防范目的。隐晦安全假定可信任成员组以外的人不能接近系统,因此这
种安全并不可靠。
双因素认证:用两种不同的验证方式对身份进行确认。比如,一个人必须从某个可确认
的地方打来电话并知道口令来确认自已的身份,然后工作人员从你的信息中选出某个条目
(通常为社会保险号码、出生日期或是母亲的姓氏)来询问你,如果你的答案正确,这就是
第二次的验证――基于你应该知道的信息。
欺骗网址 1 l
为什么人们可以注册欺骗性和不合适的域名?现行的法律和互联网政策规定,任何
人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者,但结果并不
理 想 。
安全套接层协议:网景开发的用于互联网上客户与服务器端的安全认证协议。
如果一个人在公司里地位相当低,通过提及权威人士工作的胁迫方式很有效,利用重要
人物的名字不仅可以消除正常的不愿和怀疑,而且经常让人热情的满足要求。
哑终端:一台没有处理器的终端。只能响应简单的控制码和显示字符及数字
逆向骗局:一种入侵手段,让被攻击者向攻击者寻求帮助。
当你偷钱或者商品时,会有人注意
到它的发生。当你偷窃信息时,大多数情况下没有人会发觉,因为他们仍然拥有这些信息。
P136 第十章
暂时搁置