凱文米特尼克(Kevin D. Mitnick)曾經是歷史上最令FBI頭痛的計算機頑徒之一,現在他已經完成了大量的文章、圖書、影片和記錄文件。自從2000年從聯邦監獄中獲釋以來,米特尼克改變了他的生活方式,成了全球廣受歡迎的計算機安全專家之一。在他的首部將功補過的作品中,這位全世界最著名的黑客為"放下屠刀,立地成佛"這句佛語賦予了新的含義。
在《反欺騙的藝術——世界傳奇黑客的經歷分享》中,米特尼克邀請讀者進入到黑客的復雜思維中,他描述了大量的實際欺騙場景,以及針對企業的社交工程攻擊和后果。他將焦點集中在信息安全所涉及到的人為因素方面,解釋了為什么防火墻和加密協議并不足以阻止一個聰明的攻擊者入侵企業的數據庫系統,也無法阻止一個憤怒的員工搞垮公司的計算機系統。他舉例說明了,即使是保護最為嚴密的信息系統,在面對一個意志堅定的、偽裝成IRS(美國國稅局)職員或其他看似無辜角色的騙子老手時,也會變得不堪一擊。《反欺騙的藝術——世界傳奇黑客的經歷分享》從攻擊者和受害者兩方面入手,分析了每一種攻擊之所以能夠得逞的原因,以及如何防止這些攻擊。本書的敘述非常吸引人,有很強的可讀性,仿佛是一部介紹真實刑事案例的偵探小說。
最為重要的是,米特尼克為了補償他過去所犯過的罪,在《反欺騙的藝術——世界傳奇黑客的經歷分享》中提供了許多指導規則,讓企業在開發安全行為規程、培訓計劃和安全手冊的時候有所參考,以確保公司投入資金建立起來的高科技安全屏障不至于形同虛設。他憑借自己的經驗,提出了許多防止安全漏洞的建議,并且希望人們不要忘了提防最嚴重的安全危險——人性。
作者是全球首位被通緝和入獄的黑客,他與幫助FBI抓捕他的日裔黑客之間的對戰頗具傳奇色彩
展示信息安全的薄弱環節,并指出為什么個人和企業處于社會工程師攻擊的危險之下
展示黑客如何利用人們的信任、樂于助人的愿望和同情心使你上當受騙,從而獲得他們想要的信息
以小說故事的形式來敘述典型的攻擊案例,給讀者演示黑客可以戴上許多面具并冒充各種身份
Kevin D. Mitnick (凱文?米特尼克)曾是"黑客"的代名詞,他開創了"社會工程學",是歷令FBI頭痛的計算機頑徒之一,商業和政府機構都懼他三分;米特尼克的黑客生涯充滿傳奇,15歲就成功侵入北美空中防務指揮系統,翻遍了美國指向前蘇聯及其盟國的所有核彈頭的數據資料。之后,防守最嚴密的美國網絡系統(美國國防部、五角大樓、中央情報局、美國國家稅務局、紐約花旗銀行)都成了他閑庭信步之處。米特尼克也是全球首個遭到通緝和逮捕的黑客,出獄后曾一度被禁用計算機和互聯網,甚至包括手機和調制解調器。
后來,米特尼克金盆洗手,洗心革面,成了全球廣受歡迎的計算機安全專家之一,擔任多家企業的安全顧問,并與他人合作成立了洛杉磯咨詢公司Defensive Thinking。米特尼克曾登上CourtTV、"早安,美國"、"60分鐘"、CNN的"頭條新聞"等電視節目,也曾在洛杉磯的KFIAM 640主持每周一次的訪談節目。米特尼克的文章散見于各大新聞雜志和行業雜志,他已多次在重要活動上發表主題演講。
第Ⅰ部分事件的背后
第1章安全過程中最薄弱的環節3
1.1人的因素3
1.2一個經典的欺騙案例4
1.2.1獲得代碼4
1.2.2這家到瑞士銀行…5
1.2.3大功告成5
1.3威脅的實質6
1.3.1日趨嚴重的擔憂6
1.3.2欺騙手段的使用7
1.4濫用別人的信任7
1.4.1美國人的特征7
1.4.2機構的無罪論8
1.5恐怖分子和欺騙9
1.6關于本書9
第Ⅱ部分攻擊者的藝術
第2章當看似無害的信息帶來損害時15
2.1信息的潛在價值15
2.2信用檢查公司16
2.2.1私人偵探的工作18
2.2.2騙局分析20
2.3工程師的陷阱21
2.4更多的"無用"信息25
2.5預防騙局26
第3章直接攻擊:開門見山地索取29
3.1MLAC的不速之客29
3.1.1請告訴我電話號碼29
3.1.2騙局分析30
3.2在逃的年輕人30
3.3在門前的臺階上31
3.3.1回路欺騙31
3.3.2史蒂夫的詭計32
3.4瓦斯攻擊33
3.4.1詹尼·艾克頓的故事33
3.4.2阿特·西里的調查項目34
3.4.3騙局分析35
3.5預防騙局36
第4章取得信任37
4.1信任:欺騙的關鍵37
4.1.1多利·勞尼根的故事39
4.1.2騙局分析40
4.2計謀的變種:取得號碼40
4.2.1沒想到吧,老爸40
4.2.2騙局分析41
4.3一分錢的手機42
4.4侵入聯邦調查局44
4.4.1進入系統45
4.4.2騙局分析46
4.5預防騙局46
4.5.1保護你的客戶47
4.5.2明智的信任47
4.5.3你的內部網上有什么?48
第5章"讓我來幫助你"49
5.1網絡中斷49
5.1.1攻擊者的故事52
5.1.2騙局分析53
5.2幫新來的女孩一點忙54
5.3并不如你想象的那么安全57
5.3.1史蒂夫·克萊默的故事57
5.3.2克雷格·考格博尼的故事59
5.3.3進入內部61
5.3.4騙局分析63
5.4預防騙局65
5.4.1教育,教育,再教育65
5.4.2保持敏感信息的安全性66
5.4.3考慮源頭66
5.4.4不要遺漏任何人67
第6章"你能幫我嗎?"69
6.1城外人69
6.1.1盯上瓊斯69
6.1.2一次商務旅行70
6.1.3騙局分析71
6.2地下酒吧式的安全71
6.2.1我在電影上看到過72
6.2.2欺騙電話公司73
6.3漫不經心的計算機管理員74
6.3.1收聽電臺74
6.3.2竊聽者丹尼74
6.3.3猛攻堡壘76
6.3.4進入后的工作78
6.3.5騙局分析80
6.4預防騙局80
第7章假冒的站點和危險的附件83
7.1你不想要免費的嗎?83
7.1.1伴隨電子郵件而來84
7.1.2識別惡意軟件85
7.2來自朋友的消息86
7.3一種變種形式87
7.3.1祝圣誕快樂87
7.3.2騙局分析88
7.4變種的變種89
7.4.1不正確的鏈接89
7.4.2保持警惕91
7.4.3了解病毒92
第8章利用同情心、內疚感和脅迫手段95
8.1對攝影棚的一次造訪95
8.1.1DavidHarold的故事96
8.1.2騙局分析96
8.2"立即行動"97
8.2.1Doug的故事97
8.2.2Linda的故事97
8.2.3騙局分析99
8.3"老總要的"99
8.3.1Scott的故事100
8.3.2騙局分析100
8.4社會保險管理局都知道你的哪些信息101
8.4.1KeithCarter的故事102
8.4.2騙局分析104
8.5僅僅一個電話105
8.5.1MaryH的電話105
8.5.2Peter的故事106
8.5.3騙局分析108
8.6警察突襲108
8.6.1請出示搜查證108
8.6.2誆騙警察109
8.6.3掩蓋行蹤110
8.6.4騙局分析111
8.7轉守為攻112
8.7.1畢業——不怎么光彩112
8.7.2登錄并陷入麻煩112
8.7.3樂于助人的登記員113
8.7.4騙局分析114
8.8預防騙局114
8.8.1保護數據115
8.8.2關于密碼115
8.8.3統一的中心報告點116
8.8.4保護你的網絡116
8.8.5訓練的要點117
第9章逆向行騙119
9.1善意說服別人的藝術119
9.1.1Angela的電話119
9.1.2VinceCapelli的故事122
9.1.3騙局分析125
9.2讓警察受騙上當126
9.2.1Eric的騙局126
9.2.2交換機127
9.2.3一個給DMV的電話128
9.2.4騙局分析129
9.3預防騙局130
第Ⅲ部分入侵警報
第10章侵入公司領地135
10.1尷尬的保安135
10.1.1保安的故事135
10.1.2JoeHarper的故事137
10.1.3騙局分析139
10.2垃圾翻尋141
10.2.1付錢買垃圾142
10.2.2騙局分析143
10.3丟臉的老板143
10.3.1埋下炸彈144
10.3.2吃驚的George145
10.3.3騙局分析145
10.4尋求升遷的人146
10.4.1Anthony的故事147
10.4.2騙局分析148
10.5居然窺視凱文150
10.6預防騙局151
10.6.1非工作時間時的保護151
10.6.2對垃圾要有足夠的重視152
10.6.3向員工說再見152
10.6.4不要忽略任何人153
10.6.5安全的IT!154
第11章技術和社交工程的結合155
11.1在獄中作黑客155
11.1.1打電話給MaBell(AT&T)157
11.1.2找到Gondorff158
11.1.3對好時間159
11.1.4騙局分析160
11.2快速下載160
11.3輕松賺錢161
11.3.1當場賭現金162
11.3.2接受挑戰163
11.4用詞典做攻擊工具165
11.4.1密碼攻擊166
11.4.2比你想得還要快167
11.4.3騙局分析169
11.5預防騙局170
11.5.1盡管說不170
11.5.2保潔人員171
11.5.3提醒同伴:保護你的密碼171
第12章針對低級別員工的攻擊173
12.1樂于助人的保安173
12.1.1在Elliot的角度看來173
12.1.2Bill的故事174
12.1.3騙局分析176
12.2緊急補丁177
12.2.1一個幫忙電話177
12.2.2騙局分析178
12.3新來的女孩178
12.3.1KurtDillon的故事180
12.3.2騙局分析182
12.4預防騙局182
12.4.1欺騙毫無戒心的人182
12.4.2提防間諜軟件184
第13章巧妙的騙術187
13.1起誤導作用的來電顯示187
13.1.1Linda的電話187
13.1.2Jack的故事188
13.1.3騙局分析189
13.2變種:美國總統來電話了189
13.3看不見的員工191
13.3.2Shirley的攻擊192
13.3.2騙局分析192
13.4樂于助人的秘書193
13.5交通法庭194
13.5.1騙局194
13.5.2騙局分析195
13.6SAMANTHA的報復行動196
13.6.1報復197
13.6.2騙局分析198
13.7預防騙局198
第14章工業間諜201
14.1陰謀的變種形式201
14.1.1集體訴訟201
14.1.2Pete的攻擊202
14.1.3騙局分析203
14.2新的商業合作伙伴203
14.2.1Jessica的故事204
14.2.2SammySanford的故事207
14.2.3騙局分析208
14.3跳背游戲210
14.3.1在家做好準備工作211
14.3.2設計圈套212
14.3.3騙局分析213
14.4預防騙局214
14.4.1辦公場所之外的安全性215
14.4.2那人是誰?216
第Ⅳ部分進階內容
第15章信息安全意識和培訓219
15.1通過技術、培訓和規定來達到安全219
15.2理解攻擊者如何利用人的天性220
15.2.1220
15.2.2討人喜歡221
15.2.3回報221
15.2.4言行一致221
15.2.5跟其他人一樣222
15.2.6供不應求222
15.3建立起培訓和安全意識計劃222
15.3.1目標223
15.3.2建立起安全培訓和安全意識計劃224
15.3.3培訓的組成結構225
15.3.4培訓課程的內容226
15.4測試227
15.5持續的安全意識228
15.6我會得到什么?229
第16章建議采用的企業信息安全政策231
16.1什么是安全政策232
16.1.1開發一個信息安全計劃的步驟232
16.1.2如何使用這些政策233
16.2數據分類234
16.2.1分類的類別和定義235
16.2.2分類數據中用到的術語236
16.3驗證和授權規程237
16.3.1可信人員提出的請求237
16.3.2未經核實人員的請求237
16.4管理政策241
附錄A安全一覽表291
附錄B參考資源299
