反欺騙的藝術(shù):世界傳奇黑客的經(jīng)歷分享
定 價:49.8 元
叢書名:安全技術(shù)經(jīng)典譯叢
- 作者:[美] 米特尼克��,Mitnick(K. D.)���,[美] 西蒙��,Simon(W. L.) 著
- 出版時間:2014/9/1
- ISBN:9787302369738
- 出 版 社:清華大學(xué)出版社
- 中圖法分類:TP393.08
- 頁碼:336
- 紙張:膠版紙
- 版次:1
- 開本:大32開
凱文·米特尼克(Kevin D.Mitnick)曾經(jīng)是歷史上最令FBI頭痛的計算機頑徒之一�,現(xiàn)在他已經(jīng)完成了大量的文章��、圖書����、影片和記錄文件。自從2000年從聯(lián)邦監(jiān)獄中獲釋以來�,米特尼克改變了他的生活方式,成了全球廣受歡迎的計算機安全專家之一����。在他的首部將功補過的作品中,這位全世界最著名的黑客為“放下屠刀�,立地成佛”這句佛語賦予了新的含義。
在《反欺騙的藝術(shù):世界傳奇黑客的經(jīng)歷分享》中�����,米特尼克邀請讀者進(jìn)入到黑客的復(fù)雜思維中��,他描述了大量的實際欺騙場景���,以及針對企業(yè)的社交工程攻擊和后果����。他將焦點集中在信息安全所涉及到的人為因素方面�,解釋了為什么防火墻和加密協(xié)議并不足以阻止一個聰明的攻擊者入侵企業(yè)的數(shù)據(jù)庫系統(tǒng)��,也無法阻止一個憤怒的員工搞垮公司的計算機系統(tǒng)��。他舉例說明了�,即使是保護(hù)最為嚴(yán)密的信息系統(tǒng)�,在面對一個意志堅定的、偽裝成IRS(美國國稅局)職員或其他看似無辜角色的騙子老手時����,也會變得不堪一擊��!斗雌垓_的藝術(shù)——世界傳奇黑客的經(jīng)歷分享》從攻擊者和受害者兩方面入手����,分析了每一種攻擊之所以能夠得逞的原因,以及如何防止這些攻擊��。本書的敘述非常吸引人�����,有很強的可讀性����,仿佛是一部介紹真實刑事案例的偵探小說��。
最為重要的是,米特尼克為了補償他過去所犯過的罪�����,在《反欺騙的藝術(shù)——世界傳奇黑客的經(jīng)歷分享》中提供了許多指導(dǎo)規(guī)則���,讓企業(yè)在開發(fā)安全行為規(guī)程���、培訓(xùn)計劃和安全手冊的時候有所參考,以確保公司投入資金建立起來的高科技安全屏障不至于形同虛設(shè)�����。他憑借自己的經(jīng)驗���,提出了許多防止安全漏洞的建議�����,并且希望人們不要忘了提防最嚴(yán)重的安全危險——人性�����。
作者是全球首位被通緝和入獄的黑客�,他與幫助FBI抓捕他的日裔黑客之間的對戰(zhàn)頗具傳奇色彩。
展示信息安全的薄弱環(huán)節(jié)��,并指出為什么個人和企業(yè)處于社會工程師攻擊的危險之下���。
展示黑客如何利用人們的信任���、樂于助人的愿望和同情心使你上當(dāng)受騙,從而獲得他們想要的信息����。
以小說故事的形式來敘述典型的攻擊案例,給讀者演示黑客可以戴上許多面具并冒充各種身份�。
序 言
探索自己周圍的世界是人類與生俱來的天性。當(dāng)凱文·米特尼克和我年輕時�����,我們對這個世界充滿了強烈的好奇心����,并且急于表現(xiàn)自己的能力��。我們總是試圖學(xué)習(xí)新東西��、解決疑難問題以及力爭贏得游戲�����,以此來滿足自己的好奇心和表現(xiàn)欲望��。與此同時,周圍的世界也教給我們一些行為準(zhǔn)則���,以約束我們內(nèi)心想自由探索的沖動����,而不是為所欲為��。對于最勇敢的科學(xué)家和技術(shù)型企業(yè)家����,以及像凱文·米特尼克這樣的人,這種內(nèi)心的沖動可以帶給他們極大的刺激��,從而使他們完成別人認(rèn)為不可能的事情����。
凱文·米特尼克是我所認(rèn)識的最杰出的人之一�����。如果有人問起的話�,他會很直率地講述他過去常做的事情——社交工程(social engineering)����,包括如何騙取他人的信任。但凱文·米特尼克現(xiàn)在已經(jīng)不再是一個社交工程師了���。即使當(dāng)年他從事社交工程活動期間����,他的動機也從來不是發(fā)財致富或者損害別人���。這并不是說沒有人利用社交工程來從事危險的破壞活動�,并且給社會帶來真正的危害����。實際上,這正是他寫作這本書的原因:提醒你警惕這些罪犯����。
通過閱讀本書可以深刻地領(lǐng)會到�,不管是政府部門�����,還是商業(yè)機構(gòu)����,或者我們個人,在面對社交工程師(social engineer)的入侵時是何等脆弱�。如今�,計算機安全的重要性已廣為人知,我們花費了巨資來研究各種技術(shù)���,以求保護(hù)我們的計算機網(wǎng)絡(luò)和數(shù)據(jù)��。然而�,本書指出�����,欺騙內(nèi)部人員���,并繞過所有這些技術(shù)上的保護(hù)措施是多么容易����。
不管你就職于商業(yè)機構(gòu)還是政府部門,本書都提供了一份權(quán)威指南��,幫助你了解社交工程師們是如何工作的��,也告訴你該如何對付他們��。 凱文·米特尼克和合著者西蒙利用一些既引人入勝又讓人大開眼界的虛構(gòu)故事����,生動地講述了社交工程學(xué)中鮮為人知的種種手段。在每個故事的后面�����,作者們給出了實用的指導(dǎo)建議�,來幫助你防范故事中所描述的攻擊和威脅。
僅從技術(shù)上保障安全還是不夠的�,這將留下巨大的缺口,像凱文·米特尼克這樣的人能幫助我們彌補這一點����。閱讀本書后���,你或許最終會意識到,我們需要像凱文·米特尼克這樣的人來指導(dǎo)我們做得更好����。
Steve Wozniak(史蒂夫·渥茲尼克),蘋果電腦公司聯(lián)合創(chuàng)始人
前 言
本書包含了有關(guān)信息安全和社交工程的大量信息���。為了讓你有個初步印象����,這里首先介紹一下本書的內(nèi)容組織結(jié)構(gòu)��。
第Ⅰ部分將揭示出安全方面最薄弱的環(huán)節(jié)���,并指出為什么你和你的公司正在面臨著遭受社交工程攻擊的危險。
在第Ⅱ部分中�����,你將會看到�,社交工程師如何利用你的信任、你好心助人的愿望�����、你的同情心以及人類易輕信的弱點,來得到他們想要的東西�。這一部分中有一些虛構(gòu)的故事反映了典型的攻擊行為,從中我們可以看出���,社交工程師可能會以多種面目出現(xiàn)��。如果你認(rèn)為自己從未與他們遭遇過��,那你可能錯了����。你是否發(fā)現(xiàn)自己曾有過與故事中類似的經(jīng)歷����,并開始懷疑自己曾經(jīng)遭遇過社交工程?多半會是這樣��。但一旦閱讀了第2章~第9章��,那么�����,當(dāng)社交工程師下次造訪時,你就知道該如何做才能使自己占據(jù)上風(fēng)����。
在第Ⅲ部分,通過一些編造的故事��,你能看到���,社交工程師如何以技高一籌的手段入侵你公司的領(lǐng)地��,竊取那些可能會決定你公司成敗的機密�,并挫敗你的高科技安全措施�����。這部分中給出的場景將使你意識到各種安全威脅的存在����,從簡單的職員報復(fù)行為到網(wǎng)絡(luò)恐怖主義,都有可能�。如果你對企業(yè)賴以生存的信息和數(shù)據(jù)的私密性足夠重視的話��,那你就要從頭至尾閱讀第10章~第14章����。
需要特別聲明的一點是���,除非特殊指明,否則本書中的故事都是虛構(gòu)的���。
在第Ⅳ部分�,我從企業(yè)防范的角度講解怎樣防止社交工程的成功攻擊���。第15章就如何進(jìn)行安全培訓(xùn)計劃給出了一個藍(lán)圖�����。而第16章則教你如何免受損失—— 這是一個全面的安全政策��,你可以根據(jù)自己組織機構(gòu)的情況進(jìn)行裁減�,選擇適當(dāng)?shù)姆绞絹肀U掀髽I(yè)和信息的安全�。
最后,我給出了名為“安全一覽表”的一章���,其中包含一些清單�����、表格和圖示��,就如何幫助職員們挫敗社交工程攻擊給出了一份重要的摘要信息�。如果你要設(shè)計自己的安全培訓(xùn)計劃,則這些資料也會非常有價值�����。
你會發(fā)現(xiàn)�����,有幾大要素將貫穿全書的始終:“行話(lingo box)”給出了社交工程和計算機黑客術(shù)語的定義��;“米特尼克的提示”用簡短的警示語幫助你增強安全策略�����;“注記和補充”給出了有趣的背景資料或附加信息�����。
Kevin D. Mitnick (凱文·米特尼克)曾是“黑客”的代名詞��,他開創(chuàng)了“社會工程學(xué)”��,是歷史上最令FBI頭痛的計算機頑徒之一���,商業(yè)和政府機構(gòu)都懼他三分����;米特尼克的黑客生涯充滿傳奇���,15歲就成功侵入北美空中防務(wù)指揮系統(tǒng)�����,翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料����。之后�����,防守最嚴(yán)密的美國網(wǎng)絡(luò)系統(tǒng)(美國國防部����、五角大樓����、中央情報局��、美國國家稅務(wù)局���、紐約花旗銀行)都成了他閑庭信步之處����。米特尼克也是全球首個遭到通緝和逮捕的黑客����,出獄后曾一度被禁用計算機和互聯(lián)網(wǎng),甚至包括手機和調(diào)制解調(diào)器�。
后來,米特尼克金盆洗手�,洗心革面,成了全球廣受歡迎的計算機安全專家之一����,擔(dān)任多家企業(yè)的安全顧問,并與他人合作成立了洛杉磯咨詢公司Defensive Thinking����。米特尼克曾登上CourtTV����、“早安�����,美國”���、“60分鐘”、CNN的“頭條新聞”等電視節(jié)目�����,也曾在洛杉磯的KFIAM 640主持每周一次的訪談節(jié)目����。米特尼克的文章散見于各大新聞雜志和行業(yè)雜志,他已多次在重要活動上發(fā)表主題演講�。
第Ⅰ部分 事件的背后
第1章 安全過程中最薄弱的環(huán)節(jié)
1.1 人的因素
1.2 一個經(jīng)典的欺騙案例
1.2.1 獲得代碼
1.2.2 這家到瑞士銀行…
1.2.3 大功告成
1.3 威脅的實質(zhì)
1.3.1 日趨嚴(yán)重的擔(dān)憂
1.3.2 欺騙手段的使用
1.4 濫用別人的信任
1.4.1 美國人的特征
1.4.2 機構(gòu)的無罪論
1.5 恐怖分子和欺騙
1.6 關(guān)于本書
第Ⅱ部分 攻擊者的藝術(shù)
第2章 當(dāng)看似無害的信息帶來損害時
2.1 信息的潛在價值
2.2 信用檢查公司
2.2.1 私人偵探的工作
2.2.2 騙局分析
2.3 工程師的陷阱
2.4 更多的"無用"信息
2.5 預(yù)防騙局
第3章 直接攻擊:開門見山地索取
3.1 MLAC的不速之客
3.1.1 請告訴我電話號碼
3.1.2 騙局分析
3.2 在逃的年輕人
3.3 在門前的臺階上
3.3.1 回路欺騙
3.3.2 史蒂夫的詭計
3.4 瓦斯攻擊
3.4.1 詹尼·艾克頓的故事
3.4.2 阿特·西里的調(diào)查項目
3.4.3 騙局分析
3.5 預(yù)防騙局
第4章 取得信任
4.1 信任:欺騙的關(guān)鍵
4.1.1 多利·勞尼根的故事
4.1.2 騙局分析
4.2 計謀的變種:取得信用卡號碼
4.2.1 沒想到吧,老爸
4.2.2 騙局分析
4.3 一分錢的手機
4.4 侵入聯(lián)邦調(diào)查局
4.4.1 進(jìn)入系統(tǒng)
4.4.2 騙局分析
4.5 預(yù)防騙局
4.5.1 保護(hù)你的客戶
4.5.2 明智的信任
4.5.3 你的內(nèi)部網(wǎng)上有什么���?
第5章 "讓我來幫助你"
5.1 網(wǎng)絡(luò)中斷
5.1.1 攻擊者的故事
5.1.2 騙局分析
5.2 幫新來的女孩一點忙
5.3 并不如你想象的那么安全
5.3.1 史蒂夫·克萊默的故事
5.3.2 克雷格·考格博尼的故事
5.3.3 進(jìn)入內(nèi)部
5.3.4 騙局分析
5.4 預(yù)防騙局
5.4.1 教育���,教育��,再教育...
5.4.2 保持敏感信息的安全性
5.4.3 考慮源頭
5.4.4 不要遺漏任何人
第6章 "你能幫我嗎����?"
6.1 城外人
6.1.1 盯上瓊斯
6.1.2 一次商務(wù)旅行
6.1.3 騙局分析
6.2 地下酒吧式的安全
6.2.1 我在電影上看到過
6.2.2 欺騙電話公司
6.3 漫不經(jīng)心的計算機管理員
6.3.1 收聽電臺
6.3.2 竊聽者丹尼
6.3.3 猛攻堡壘
6.3.4 進(jìn)入后的工作
6.3.5 騙局分析
6.4 預(yù)防騙局
第7章 假冒的站點和危險的附件
7.1 你不想要免費的嗎����?
7.1.1 伴隨電子郵件而來
7.1.2 識別惡意軟件
7.2 來自朋友的消息
7.3 一種變種形式
7.3.1 祝圣誕快樂
7.3.2 騙局分析
7.4 變種的變種
7.4.1 不正確的鏈接
7.4.2 保持警惕
7.4.3 了解病毒
第8章 利用同情心、內(nèi)疚感和脅迫手段
8.1 對攝影棚的一次造訪
8.1.1 David Harold的故事
8.1.2 騙局分析
8.2 "立即行動"
8.2.1 Doug的故事
8.2.2 Linda的故事
8.2.3 騙局分析
8.3 "老總要的"
8.3.1 Scott的故事
8.3.2 騙局分析
8.4 社會保險管理局都知道你的哪些信息
8.4.1 Keith Carter的故事
8.4.2 騙局分析
8.5 僅僅一個電話
8.5.1 Mary H的電話
8.5.2 Peter的故事
8.5.3 騙局分析
8.6 警察突襲
8.6.1 請出示搜查證
8.6.2 誆騙警察
8.6.3 掩蓋行蹤
8.6.4 騙局分析
8.7 轉(zhuǎn)守為攻
8.7.1 畢業(yè)--不怎么光彩
8.7.2 登錄并陷入麻煩
8.7.3 樂于助人的登記員
8.7.4 騙局分析
8.8 預(yù)防騙局
8.8.1 保護(hù)數(shù)據(jù)
8.8.2 關(guān)于密碼
8.8.3 統(tǒng)一的中心報告點
8.8.4 保護(hù)你的網(wǎng)絡(luò)
8.8.5 訓(xùn)練的要點
第9章 逆向行騙
9.1 善意說服別人的藝術(shù)
9.1.1 Angela的電話
9.1.2 Vince Capelli的故事
9.1.3 騙局分析
9.2 讓警察受騙上當(dāng)
9.2.1 Eric的騙局
9.2.2 交換機
9.2.3 一個給DMV的電話
9.2.4 騙局分析
9.3 預(yù)防騙局
第Ⅲ部分 入 侵 警 報
第10章 侵入公司領(lǐng)地
10.1 尷尬的保安
10.1.1 保安的故事
10.1.2 Joe Harper的故事
10.1.3 騙局分析
10.2 垃圾翻尋
10.2.1 付錢買垃圾
10.2.2 騙局分析
10.3 丟臉的老板
10.3.1 埋下炸彈
10.3.2 吃驚的George
10.3.3 騙局分析
10.4 尋求升遷的人
10.4.1 Anthony的故事
10.4.2 騙局分析
10.5 居然窺視凱文
10.6 預(yù)防騙局
10.6.1 非工作時間時的保護(hù)
10.6.2 對垃圾要有足夠的重視
10.6.3 向員工說再見
10.6.4 不要忽略任何人
10.6.5 安全的IT!
第11章 技術(shù)和社交工程的結(jié)合
11.1 在獄中作黑客
11.1.1 打電話給Ma Bell(AT&T)
11.1.2 找到Gondorff
11.1.3 對好時間
11.1.4 騙局分析
11.2 快速下載
11.3 輕松賺錢
11.3.1 當(dāng)場賭現(xiàn)金
11.3.2 接受挑戰(zhàn)
11.4 用詞典做攻擊工具
11.4.1 密碼攻擊
11.4.2 比你想得還要快
11.4.3 騙局分析
11.5 預(yù)防騙局
11.5.1 盡管說不
11.5.2 保潔人員
11.5.3 提醒同伴:保護(hù)你的密碼
第12章 針對低級別員工的攻擊
12.1 樂于助人的保安
12.1.1 在Elliot的角度看來
12.1.2 Bill的故事
12.1.3 騙局分析
12.2 緊急補丁
12.2.1 一個幫忙電話
12.2.2 騙局分析
12.3 新來的女孩
12.3.1 Kurt Dillon的故事
12.3.2 騙局分析
12.4 預(yù)防騙局
12.4.1 欺騙毫無戒心的人
12.4.2 提防間諜軟件
第13章 巧妙的騙術(shù)
13.1 起誤導(dǎo)作用的來電顯示
13.1.1 Linda的電話
13.1.2 Jack的故事
13.1.3 騙局分析
13.2 變種:美國總統(tǒng)來電話了
13.3 看不見的員工
13.3.2 Shirley的攻擊
13.3.2 騙局分析
13.4 樂于助人的秘書
13.5 交通法庭
13.5.1 騙局
13.5.2 騙局分析
13.6 SAMANTHA的報復(fù)行動
13.6.1 報復(fù)
13.6.2 騙局分析
13.7 預(yù)防騙局
第14章 工業(yè)間諜
14.1 陰謀的變種形式
14.1.1 集體訴訟
14.1.2 Pete的攻擊
14.1.3 騙局分析
14.2 新的商業(yè)合作伙伴
14.2.1 Jessica的故事
14.2.2 Sammy Sanford的故事
14.2.3 騙局分析
14.3 跳背游戲
14.3.1 在家做好準(zhǔn)備工作
14.3.2 設(shè)計圈套
14.3.3 騙局分析
14.4 預(yù)防騙局
14.4.1 辦公場所之外的安全性
14.4.2 那人是誰��?
第Ⅳ部分 進(jìn) 階 內(nèi) 容
第15章 信息安全意識和培訓(xùn)
15.1 通過技術(shù)��、培訓(xùn)和規(guī)定來達(dá)到安全
15.2 理解攻擊者如何利用人的天性
15.2.1 權(quán)威
15.2.2 討人喜歡
15.2.3 回報
15.2.4 言行一致
15.2.5 跟其他人一樣
15.2.6 供不應(yīng)求
15.3 建立起培訓(xùn)和安全意識計劃
15.3.1 目標(biāo)
15.3.2 建立起安全培訓(xùn)和安全意識計劃
15.3.3 培訓(xùn)的組成結(jié)構(gòu)
15.3.4 培訓(xùn)課程的內(nèi)容
15.4 測試
15.5 持續(xù)的安全意識
15.6 我會得到什么�?
第16章 建議采用的企業(yè)信息安全政策
16.1 什么是安全政策
16.1.1 開發(fā)一個信息安全計劃的步驟
16.1.2 如何使用這些政策
16.2 數(shù)據(jù)分類
16.2.1 分類的類別和定義
16.2.2 分類數(shù)據(jù)中用到的術(shù)語
16.3 驗證和授權(quán)規(guī)程
16.3.1 可信人員提出的請求
16.3.2 未經(jīng)核實人員的請求
16.4 管理政策
附錄A 安全一覽表
附錄B 參考資源
書單推薦
