關于我們
書單推薦
新書推薦
|
反入侵的藝術:黑客入侵背后的真實故事
四個志同道合的伙伴用口袋大小的計算機在拉斯維加大把掙錢。一個無聊的加拿大年輕人居然能順風順水地非法訪問南部的一家銀行。幾個毛頭小子受到蠱惑,被拉登手下的恐怖分子征召去攻擊LockheedMaritn公司!
這些都是真實故事!都是作者KevinD.Mitnick與黑客面談后,根據(jù)他們的真實經(jīng)歷撰寫的。事實上,《反入侵的藝術:黑客入侵背后的真實故事》中多個故事的主人公都對傳奇大師Mitnick頂禮膜拜,視其為偶像和英雄,所以也愿意推心置腹,道出埋在心底多年的隱秘故事。 攻擊行為其實是可以防范的!Mitnick在每個故事之后做了專業(yè)分析。Mitnick是推薦安全措施的不二人選。Mitnick對黑客的才氣與頑強精神有深入的了解,在《反入侵的藝術:黑客入侵背后的真實故事》中,他將一生積累的豐富技能和盤托出,指導你弄清入侵者的手段,幫你筑起固若金湯的安全防線。 如果讀者是自己所在單位的安全負責人,《反入侵的藝術:黑客入侵背后的真實故事》中的故事完全可能在你管轄的領域內發(fā)生。害怕國家安全官員深夜造訪嗎?對在真實生活中與黑客斗智斗勇的故事感興趣嗎?請認真閱讀本書,并在自己管轄的范圍內加以防范吧!
作者是全球首位被通緝和入獄的黑客,他與幫助FBI抓捕他的日裔黑客之間的對戰(zhàn)頗具傳奇色彩。
展示信息安全的薄弱環(huán)節(jié),并指出為什么個人和企業(yè)處于社會工程師攻擊的危險之下。 展示黑客如何利用人們的信任、樂于助人的愿望和同情心使你上當受騙,從而獲得他們想要的信息。 以小說故事的形式來敘述典型的攻擊案例,給讀者演示黑客可以戴上許多面具并冒充各種身份。
譯 者 序
Kevin D. Mitnick(凱文·米特尼克)曾是全球頭號電腦黑客,其傳奇黑客生涯是無人可比的;那時的他免費乘車、盜打電話,并駕輕就熟地出沒于世界上最大幾家公司的計算機系統(tǒng)。他自身的經(jīng)歷令人著迷,引人遐想,F(xiàn)在他將所采訪的多個黑客的入侵公司、政府和組織的故事記錄下來,并進行專業(yè)分析,與讀者分享。書中涉及的人員包括在校學生、監(jiān)獄囚犯、公司安全官員乃至政府執(zhí)法人員等,事實上,其中多個故事的主角都將米特尼克奉為宗師。讀者閱讀本書時,總可將故事情節(jié)與自己所處的環(huán)境結合起來,體會到原來我們自己所用的計算機系統(tǒng)和物理安全措施就有不少安全漏洞。 作者的前一部著作The Art of Deception(《反欺騙的藝術》)已經(jīng)成為一本暢銷書,其中闡述的一些技術手段和社會工程學知識已成為公司、政府以及國防信息安全等領域研究的熱點,大學教授們經(jīng)常引用這本書中的案例來充實現(xiàn)有理論。作為《反欺騙的藝術》的姊妹篇,本書所闡述的則是其他人的故事,我想,也只有作者這樣的前黑客高手才可能采訪到那些入侵者,讓他們說出埋藏于心底多年的隱秘故事吧。 翻譯本書時,我們時常感嘆大千世界,無奇不有,這些黑客們所利用的技術、耐心和對社會工程學的嫻熟運用常讓我們嘆為觀止,拍案叫絕。 書中的故事和入侵過程引人入勝,匪夷所思。但為了防止有人模仿,作者有意在部分技術細節(jié)上對原過程進行了篡改,但這并不影響我們對本書所闡述的精髓的理解。 找一個舒適的場所,泡一杯龍井,慢慢品嘗和感悟其中的美妙滋味吧! 譯 者 前 言 道高一尺,魔高一丈,聰明的黑客會利用黑客手段非法入侵我們公司的安全站點或個人系統(tǒng)。 另一方面,我們可以將黑客行為編成故事,讓讀者真切地了解黑客的入侵伎倆,做到知己知彼,有效地做好防范工作。由于這些故事讓我和我的合作者Simon深信不疑,因此我就把這些故事都收集在本書中。 當我們?yōu)榇藭霾稍L時,也面臨著一個頗為有趣的挑戰(zhàn),我們總是時不時地與被采訪者做著斗智斗勇的游戲。對大多數(shù)記者和作家來說,確保故事的真實性是一件相當困難的事情:故事里的那個人真的是我們認為的那個人嗎?這個人現(xiàn)在或曾經(jīng)真的在他或她所說的那個機構工作過嗎?這個人真的就職于他或她所說的那個工作崗位了嗎?這個人有文件支持他的故事,我能證實這些文件的有效性嗎?那些著名人士會相信這些故事,哪怕只是其中一部分嗎? 核對黑客們的真誠比較棘手。在這本書里出現(xiàn)的大多故事的主人公,并非那些已經(jīng)鋃鐺入獄者,一旦他們的真實身份被揭示,他們將面臨重罪指控。因此,故事里要求真實姓名,或者期待提供證據(jù)本身就是有爭議的問題。 這些黑客向我講述他們的故事是因為他們相信我。他們清楚我也曾是一名黑客,他們相信我不會出賣他們而使他們處于困境。然而,盡管存在風險,但許多黑客確實提供了一些有爭議的證據(jù)。 盡管如此,有可能—— 事實上,很可能—— 一些黑客夸大了他們故事的細節(jié)以使故事更有說服力;蛲耆笤旃适,但其周圍已出現(xiàn)的有力證據(jù)給他們敲響了“真相之鈴”。 正因為存在這樣的風險,所以我們一直在努力追求高度的可靠性。在采訪過程中,我對每個技術細節(jié)提出質疑,對故事中任何不太合理的地方都要求他們清楚地解釋,有時繼續(xù)跟進,分析故事前后是否保持一致,或者看看他們第二次講述時是否有差異;蛘撸绻巳吮粏柤肮适轮斜皇÷缘碾y實現(xiàn)的步驟而“無法回憶”;或者,如果此人不太清楚自己先前聲稱做過的事情或無法解釋他是如何從地點A到地點B。 除了有特殊說明外,本書中的每個故事都通過了我的“嗅覺檢驗”,我的合著者和我就此書中每一個故事的可信度都達成了一致。然而,為了保護黑客和受害者,我們常改動一些細節(jié)。在好幾個故事里,我們虛擬了公司,修改了名稱、行業(yè)和目標組織地點。從某種意義上講,為了保護受害者的身份并防止模仿犯罪,我們給出了一些誤導信息。但是,故事的性質和基本點還是準確的。 同時,由于軟件開發(fā)和硬件廠商通過開發(fā)新產品和進行版本升級來不斷修補安全性漏洞,因此在本書描述的事跡較少仍能產生作用。這樣可能導致自以為是的讀者認為不需要關注黑客,隨著致命缺陷的揭露及糾正,讀者和黑客所屬公司沒必要擔心這些。但這些故事,無論是6個月前還是6年前發(fā)生的故事,都給人留下了深刻的教訓,即黑客們每天都在發(fā)現(xiàn)新的脆弱點。閱讀本書不是學習專業(yè)產品中的具體缺陷,而是要改變讀者的態(tài)度,使之獲得新的決心。 本書中有些故事令人震驚,有些故事開闊視野,有些故事使你為黑客的靈感而發(fā)笑。如果你是一位IT或安全專業(yè)人士,就能從每個故事中吸取教訓以幫助你的公司加固安全。如果你并非技術人員,而只是對有關犯罪、膽大、冒險和公正樸實的故事感興趣,那么你也可以從本書中獲得樂趣。 致 謝 Kevin Mitnick 謹以此書獻給我親愛的家人和親密的朋友,并且特別要感謝的是那些講述故事的“黑帽”和“白帽”黑客們,他們使本書得以完成,并使我們從中受到教育和得到樂趣。 《入侵的藝術》這本書比我們寫的上一部作品《欺騙的藝術》更具有挑戰(zhàn)性,以往運用我們共有的創(chuàng)造才能構思一些奇聞佚事以說明社會管理的危害性,以及能夠采取什么措施來緩解這些危險,與之相反,寫本書時,我和Simon在很大程度上依靠采訪以前的黑客、電話線路竊聽者以及現(xiàn)已轉變?yōu)榘踩珜<业那昂诳蛡,我們想寫一本集犯罪懸疑和開拓視野于一體的書,從而幫助企業(yè)保護好其有價值的信息和計算機資源,我們堅信,通過揭露入侵網(wǎng)絡和系統(tǒng)的黑客們的常用方法和技巧,很大程度上可以引導大眾妥善應對技術性對手帶來的風險和威脅。 我非常有幸與暢銷書作家Simon一起致力于這本新書的寫作,Simon具有一個作家所擁有的卓越能力,能把黑客們提供的信息以通俗易懂的風格和方式表達出來,以至于祖母輩的老人都能看懂,更重要的是,Simon已經(jīng)不僅是我寫作工作上的搭檔,更是在整個寫作過程中一直支持我的一位忠誠的朋友。雖然在寫作過程中我們遇到過挫折并產生過分歧,但我們總能解決好這些問題并讓雙方都滿意。大約兩年后,政府的某些限制將會解除,我將可以完成和發(fā)表The Untold Story of Kevin Mitnick。我期待著能和他在這個項目上繼續(xù)合作。 Simon的漂亮妻子Argnne Simon的熱心令我備感溫暖,我感謝她過去三年里表現(xiàn)出的愛心、善良和大方。唯一遺憾是沒能享用到她高超的烹飪技術,現(xiàn)在這本書終于完成了,也許我可以懇求她為我們做一頓慶功宴了! 由于我一直專注于本書的寫作,一直沒能花時間陪我的家人和朋友,我差不多成了一個工作狂,長期過著敲著鍵盤探索黑暗空間角落的日子。 我要感謝我深愛的女友Darci Wood和她那酷愛游戲的女兒Briannah,她們對這項耗時的工作表現(xiàn)出極大的耐心和支持,謝謝你們,寶貝!謝謝你們在我完成這項工作以及其他挑戰(zhàn)性工作時對我的奉獻和支持。 如果沒有家人的支持和愛,這本書是不可能完成的。我的母親和我的祖母在生活上給予我無私的愛和支持,我很幸運能被這樣一位富有愛心和奉獻精神的母親所哺育,我也一直視母親為最好的朋友。我的祖母就像我母親一樣,給予我只有一位母親才能付出的養(yǎng)育和愛,她對于我的事業(yè)給予了非常大的幫助。有時我的事情和她自己的計劃相沖突,但在任何情況下她總是優(yōu)先考慮我的事情,哪怕這樣做會為她帶來不便。謝謝你,在我需要你的任何時候,你總是幫助我完成這項工作!她們極富愛心和同情心,總是教育我關心他人,對不幸的人伸出援手,通過學習她們付出和關心的方式,在某種意義上,我也緊跟上了她們的步伐。在寫書過程中,我總是以工作和交稿期限為借口推遲了許多去探訪她們的機會,我希望她們能夠原諒我把她們放在了次要位置上。如果沒有她們源源不斷給予的愛護和支持,這本書就不可能完成,我將永遠把這份愛深藏在心中。 我多么希望我的父親Alan Mitnick和哥哥Adam Mitnick活得長久些,能和我一起打開香檳慶祝我的第二本書首次在書店里上架。作為一名業(yè)務員和老板,我的父親教我認識了許多美好的東西,我將終生銘記在心。 媽媽已故的男友Sweve Knittle,在過去12年里,一直充當著父親的角色,當我知道你總在我無法照顧母親時照顧著她,我得到了莫大的安慰。你的去世深深地影響了我的家庭,我們懷念你的樂觀幽默、爽朗笑聲以及對家庭付出的愛。愿你安息吧! 我的嬸嬸Chickie Leventhal永遠在我心中占據(jù)著特殊位置,過去數(shù)年里,我們家庭關系得到加強,彼此間的交流也很好,每當我需要建議或者需要一個地方停留時,她總給予我愛護和支持,在我全身心投入寫書期間,我錯過了很多機會去參加她、表妹 Mitch Leventhal 和男友Robert Berkowitz博士的家庭聚會。 我的朋友Jack Biello是一個充滿愛心的人,他總是站出來為我說話,極力反對我在記者和政府檢察官那里所受到的極不公平的待遇。在自由凱文運動中,他是一位重要人物,他同時也是一位作家,文筆非凡,擅長寫有說服力的文章,揭露政府不讓人們了解的真相。Jack總為我挺身而出,毫不畏懼,和我一起準備演說稿和文章。在某些時候還充當我的媒體聯(lián)絡員。當我完成書稿《反欺騙的藝術》一書時,Jack的去世使我非常失落和悲傷,雖然事隔兩年,但Jack一直活在我心中。 我的密友Caroline Bergerdn一直非常支持我能在這部作品上取得成功。她很美麗,即將成為一名有前途的律師。她家住Great White North,我和她是在維多利亞的一次演講中認識的。我們很有緣。她發(fā)揮她的專長,校對、編輯、修正Alex Kasper和我舉辦的社會管理研討會的一些事項。謝謝你,Caroline! Alex Kasper不僅是我最好的朋友,也是我的同事,目前我們正在舉辦為期一天或兩天的研討會,這是關于公司如何認識和防范社會管理襲擊的研討會。同樣在洛杉磯KFI電臺,我們一起主持了一檔非常受歡迎的網(wǎng)絡電臺脫口秀節(jié)目“The Darkside of the Internet”。你是一位偉大的知己,謝謝你的寶貴意見和幫助,你超乎常人的善良和寬容一直積極地影響我,使我受益頗多。 Paul Dryman是一位我們全家深交多年的朋友,是先父的好友。我父親去世后,Paul一直充當著父親的角色。他總是很樂意幫助我,并和我交流想法。Paul,謝謝你這么多年來對父親和我一如既往的無私友情。 Amy Gray在過去三年里將我的演講事務打理得井井有條。我不只欣賞和尊敬她的人格,而且高度評價她尊重人和禮貌待人的行為。你的支持和敬業(yè)使我成功地成為一名公眾演說家和教練。非常感謝你不斷的友情支持和對完美的追求。 在我和政府多年的對抗期間,律師Gregory Vinson一直是我智囊團中的一員。他為我寫辯護書的日子里,我們風雨同舟,一起經(jīng)歷了許多。目前,他是我的事務律師,每天不斷地與我就新合同簽訂和新業(yè)務洽談而辛勤地工作著。感謝你強有力的支持和辛勤的工作,特別是在緊急情況下獲得了你的幫助! Eric Corley(他的另一個名字是Emmanuel Goldstein)是一位交往了十多年的密友,他一直積極地支持我?偸顷P心我的切身利益,當我被Miramax電影公司和一些記者丑化時,他總站出來為我公開辯護。當政府起訴我時,他也一直幫我走出困境,我無法用言語贊美你的好心、慷慨和友情。謝謝你,我忠誠而又值得信賴的朋友! Steve Wozniak和Sharon Akers長時間援助并幫助我走出困境。非常感謝你們?yōu)榱酥С治叶l繁變更計劃。有你們兩個這樣的朋友讓我備感溫暖。我希望,一旦這本書完稿,我們將有多一些時間聚會。Steve,我絕不會忘記那次你、Jeff Samuels還有我一起開著你的越野車連夜趕到拉斯維加斯的DEFCON的歷程,一路上我們輪流駕駛,那樣我們就都可以通過GPRS無線連接方式用電子郵件與朋友聊天了。 我意識到,我要向很多人表示感謝,并對他們?yōu)槲姨峁┑膼坌、友誼和支持表示感激。但我無法一下子想起近年來所有遇到的慷慨相助之士的名字。可以說,我需要一個大容量的U盤來存儲他們的名字,因為有這么多來自世界各地的人寫信為我打氣,給予支持。他們的鼓勵對我意義重大,尤其在我最需要他們的時候。 我特別感謝我所有的支持者。他們站在我這一邊,花費他們許多寶貴的時間和精力爭取任何一個有可能傾聽他們心聲的人。對我受到的不公平待遇表示關切,為我受到那些企圖從“Kevin Mitnick神話”中牟利的人的中傷而感到憤怒。 衷心感謝那些出現(xiàn)在我職業(yè)生涯中用他們特殊的方式為我付出的人。David Fugate,他是Waterside Productions的員工,我的代理書商,在簽訂合同書前后多次因為我而被監(jiān)禁。 非常感謝John Wiley and Sons給我寫此書的機會,以及他們對我寫出暢銷書能力的信賴。我要感謝下面所有Wiley集團的人,他們使我夢想成真:Ellen Gerstein、Bob Ipsen以及Carol Long,他總是樂意回答我的問題并給予關注(我與他在Wiley簽署了第一份合同,他當時是執(zhí)行編輯)。還有Emilie Herman和Kevin Shafer(技術編輯),他們和我構成一個團體,共同致力于完成這份工作。 我有很多與律師打交道的經(jīng)歷,但我希望在這里留一席之地向他們表達謝意,多年來,當我與刑事司法制度發(fā)生不良互動時,他們對我噓寒問暖,關懷之至,從言語上的問候直到深入案件中,我遇到了許多律師,他們與律師一貫的自我為中心的職業(yè)形象完全不一樣,我尊重、欽佩、感謝這么多人毫無保留地給予我的慷慨支持和善意關心,他們每個人都值得用一段文字來感謝,至少我要提到他們所有人的名字:Greg Aclin、FranCampbell、Lauren Colby、John Dusenbury、Sherman Ellison、Omar Figueroa、Jim French、Carolyn Hagin、Rob Hale、David Mahler、Ralph Peretz、Alvin Michaelson、Donald C. Randolph、Alan Rubin、Tony Serra、Skip Slates、Richard Steingard、Honorable Robert Talcott、Barry Tarlow、John Yzurdiaga和Gregory Vinson。 其他家庭成員、朋友和生意合伙人也為我提供了建議和支持,在許多方面伸出援手,有必要認識和感謝他們。他們是JJ Abrams、Sharon Akers、Matt “NullLink” Beckman、Alex “CriticalMass” Berta、Jack Biello、Serge、Susanne Birbrair、Paul Block、Jeff Bowler、Matt “404” Burke、Mark Burnett、Thomas Cannon、GraceAnn、Perry Chavez、Raoul Chiesa、Dale Coddington、Marcus Colombano、Avi Corfas、Ed Cummings、Jason “Cypher” Satterfield、Robert Davies、Dave Delancey、Reverend Digital、Oyvind Dossland、Sam Downing、John Draper、Ralph Echemendia、Ori Eisen、Roy Eskapa、Alex Fielding、Erin Finn、Gary Fish、Fishnet Security、Lisa Flores、Brock Frank、Gregor Freund、Sean Gailey、Jinx全體人員、Michael、Katie Gardner、Steve Gibson、Rop Gonggrijp、Jerry Greenblatt、Thomas Greene、Greg Grunberg、Dave Harrison、G. Mark Hardy、Larry Hawley、Leslie Herman、Michael Hess、Roadwired全體人員、Jim Hill、Ken Holder、Rochell Hornbuckle、Andrew “Bunnie” Huang、Linda Hull、Steve Hunt、IDC主要成員、Marco Ivaldi、Virgil Kasper、Stacey Kirkland、Erik Jan Koedijk、Lamo一家、Leo、Jennifer Laporte、Pat Lawson、Candi Layman、Arnaud Le-hung、Karen Leventhal、Bob Levy、David、Mark Litchfield、CJ Little、Jonathan Littman、Mark Loveless、Lucky 225、Mark Maifrett、Lee Malis、Andy Marton、Lapo Masiero、Forrest McDonald、Kerry McElwee、Jim “GonZo” McAnally、Paul、Vicki Miller、Elliott Moore、Michael Morris、Vincent、Paul、Eileen Navarino、Patrick、Sarah Norton、John Nunes、Shawn Nunley、Janis Orsino、Tom Parker、Marco Plas、Kevin、Lauren Poulsen、Scott Press、Linda、Art Pryor、Pyr0、John Rafuse、Mike Roadancer、HOPE 2004安全團隊、RGB、Israel、Rachel Rosencrantz、Mark Ross、Bill Royle、William Royer、Joel “ch0l0man” Ruiz、Martyn Ruks、Ryan Russell、Brad Sagarin、Martin Sargent、Loriann Siminas、Te Smith、Dan Sokol、Trudy Spector、Matt Spergel、Gregory Spievack、Jim、Olivia Sumner、Douglas Thomas、Cathy Von、Ron Wetzel、Andrew Williams、Willem、Don David Wilson、Joey Wilson、Dave、Dianna Wykofka以及Labmistress.com和《2600》雜志的所有朋友和支持者。 William L. Simon 在我們寫《反欺騙的藝術》一書時,我和Kevin Mitnick結下了友誼,我們一起不斷發(fā)現(xiàn)新的工作方法,同時加深了彼此間的友誼,所以我最先要感謝的就是他,在我們共同的第二次旅程中一位杰出的“旅途伴侶”! Duid Fugate,我的Waterside Productions的經(jīng)紀人,他首先把我和Kevin帶到一起合作,挖掘出他的耐心和聰明才智,以尋求解決那些已出現(xiàn)的少見的不良狀況。當情況日趨嚴峻時,每個作家應該有一位像朋友一樣明智而又好心的經(jīng)紀人。同樣我不得不提及另一位多年的朋友—— Bill Gladstone,Waterside Productions的創(chuàng)始人和我的主要執(zhí)行伙伴。Bill是我成功寫作生涯中的一位重要人物,我將永遠感激他。 我的妻子Arynne用她的愛心和對完美的追求孜孜不倦地激勵我,讓我每天都能有勇氣重新開始。我無法用言語來表達對她的感激。她聰明并且直言不諱地指出我寫作中的不足,這樣使我的寫作水平不斷提高。有時我對她的建議反唇相譏,讓她氣憤不已,但她還是平息了憤怒,最終我也接受了她明智的建議并做了修改。 Mark Wilson給予我很大的幫助。Emilie Herman是一位資深編輯。接替Emilie工作的Kevin Shafer的力量也不能忽視。 到寫第16本書時我已欠下了太多人情,他們一路上對我的幫助真可謂不小。這些人中,我特別要提到Waterside公司的Kimberly Valentini和Maureen Maloney,以及Josephine Rodriguez。Marianne Stuber通常做快速轉譯工作(處理那些陌生的術語以及黑客俚語可不是件容易的事情),Jessica Dudgeon保持辦公室工作有條不紊。Darci Wood則幫助Kevin安排時間,以保證他能按時完成。 特別感謝女兒Victoria和兒子Sheldon對我的理解,同時感謝我的雙胞胎外孫Vincent和Elena,我相信一旦這本書稿完成,我就能經(jīng)常和他們見面了。 Kevin和我都十分感謝那些給我們提供故事的人,特別是其故事被我們采用的那些人。盡管風險很大,但他們仍然講述了自己的故事。他們的身份一旦被暴露,很可能面臨被氣憤難平的人攻擊的危險。有些人勇敢地講出了他們的故事,雖然沒有被采用,但他們確實是值得欽佩的。
Kevin D. Mitnick (凱文·米特尼克),曾是“黑客”的代名詞,他開創(chuàng)了“社會工程學”,是歷史上最令FBI頭痛的計算機頑徒之一,商業(yè)和政府機構都懼他三分;米特尼克的黑客生涯充滿傳奇,15歲就成功侵入北美空中防務指揮系統(tǒng),翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料。之后,防守最嚴密的美國網(wǎng)絡系統(tǒng)(美國國防部、五角大樓、中央情報局、美國國家稅務局、紐約花旗銀行)都成了他閑庭信步之處。米特尼克也是全球首個遭到通緝和逮捕的黑客,出獄后曾一度被禁用計算機和互聯(lián)網(wǎng),甚至包括手機和調制解調器。
后來,米特尼克金盆洗手,洗心革面,成了全球廣受歡迎的計算機安全專家之一,擔任多家企業(yè)的安全顧問,并與他人合作成立了洛杉磯咨詢公司Defensive Thinking。米特尼克曾登上CourtTV、“早安,美國”、“60分鐘”、CNN的“頭條新聞”等電視節(jié)目,也曾在洛杉磯的KFIAM 640主持每周一次的訪談節(jié)目。米特尼克的文章散見于各大新聞雜志和行業(yè)雜志,他已多次在重要活動上發(fā)表主題演講。
第1章 賭場黑客輕取百萬美金
1.1 研究 1.2 黑客技術日趨成熟 1.3 重寫代碼 1.4 重回賭場-- 進入實戰(zhàn) 1.5 新方法 1.6 發(fā)起新一輪的攻擊 1.7 落網(wǎng) 1.8 結局 1.9 啟示 1.10 對策 1.11 小結 第2章 當恐怖分子來襲時 2.1 恐怖主義者投下誘餌 2.2 今晚的獵物:SIPRNET 2.3 令人擔心的時刻來了 2.4 Comrade被捕 2.5 調查Khalid 2.5.1 恐怖組織Harkatul-Mujahideen 2.5.2 9·11以后 2.5.3 入侵白宮 2.5.4 結局 2.5.5 5年以后 2.5.6 到底有多刺激 2.6 啟示 2.7 對策 2.8 小結 第3章 來自德克薩斯監(jiān)獄的入侵 3.1 監(jiān)獄里:認識了計算機 3.2 不一樣的聯(lián)邦監(jiān)獄 3.3 William獲取"城堡"鑰匙 3.4 安全上網(wǎng) 3.5 解決方法 3.6 差點被抓 3.7 千鈞一發(fā) 3.8 成長歷程 3.9 重返自由世界 3.10 啟示 3.11 對策 3.12 小結 第4章 警方與入侵黑客的較量 4.1 入侵電話系統(tǒng) 4.2 入侵法院計算機系統(tǒng) 4.3 旅館來客 4.4 大門開啟 4.5 守衛(wèi) 4.6 處于監(jiān)視之中 4.7 包圍 4.8 過去 4.9 登上新聞節(jié)目 4.10 被捕 4.11 好運不再 4.12 入侵監(jiān)禁所電話系統(tǒng) 4.13 打發(fā)時光 4.14 他們目前的工作狀況 4.15 啟示 4.16 對策 4.17 小結 第5章 黑客中的綠林好漢 5.1 援救 5.2 個人歷史回顧 5.3 午夜會面 5.4 入侵美國電信巨頭MCI Worldcom 5.5 在微軟公司內部 5.6 英雄,但非圣人:攻擊《紐約時報》 5.7 Adrian的過人之處 5.8 唾手可得的信息 5.9 這些日子 5.10 啟示 5.11 對策 5.12 小結 第6章 滲透測試中的智慧與愚昧 6.1 寒冬 6.1.1 初次會晤 6.1.2 基本規(guī)則 6.1.3 攻擊 6.1.4 燈火管制 6.1.5 語音信箱泄漏 6.1.6 最終結果 6.2 驚險游戲 6.2.1 結合的規(guī)則 6.2.2 計劃 6.2.3 攻擊 6.2.4 工作中的IOphtCrack 6.2.5 訪問 6.2.6 報警 6.2.7 幽靈 6.2.8 未遭遇挑戰(zhàn) 6.2.9 暖手游戲 6.2.10 測試結束 6.3 回顧 6.4 啟示 6.5 對策 6.6 小結 第7章 銀行是否絕對可靠 7.1 遙遠的愛沙尼亞 7.1.1 Perogie銀行 7.1.2 個人觀點 7.2 遠距離的銀行黑客 7.2.1 黑客是學出來的,不是天生的 7.2.2 入侵銀行 7.2.3 你對瑞士銀行賬戶感興趣嗎 7.2.4 結局 7.3 啟示 7.4 對策 7.5 小結 第8章 知識產權并不安全 8.1 為時長達兩年的黑客攻擊 8.1.1 一顆探險之星 8.1.2 CEO的計算機 8.1.3 入侵CEO的計算機 8.1.4 CEO發(fā)現(xiàn)了黑客入侵 8.1.5 獲取應用程序的訪問權 8.1.6 被人察覺 8.1.7 返回敵方領地 8.1.8 此地不再留 8.2 Robert,垃圾郵件發(fā)送者之友 8.2.1 獲取郵件列表 8.2.2 色情作品盈利頗豐 8.2.3 Robert是條漢子 8.2.4 軟件的誘惑 8.2.5 發(fā)現(xiàn)服務器名稱 8.2.6 Helpdesk.exe的小幫助 8.2.7 黑客的錦囊妙計:"SQL注入"攻擊 8.2.8 備份數(shù)據(jù)的危險 8.2.9 口令觀測 8.2.10 獲取完整訪問權限 8.2.11 把代碼發(fā)回家 8.3 共享:一個破解者的世界 8.4 啟示 8.5 對策 8.5.1 公司防火墻 8.5.2 個人防火墻 8.5.3 端口掃描 8.5.4 了解你的系統(tǒng) 8.5.5 事故應變和警告 8.5.6 檢查應用程序中經(jīng)過授權的改動 8.5.7 許可 8.5.8 口令 8.5.9 第三方軟件 8.5.10 保護共享空間 8.5.11 避免DNS猜測 8.5.12 保護Microsoft SQL服務器 8.5.13 保護敏感文件 8.5.14 保護備份 8.5.15 免遭MS SQL注入攻擊 8.5.16 利用Microsoft VPN服務 8.5.17 移除安裝文件 8.5.18 重命名管理員賬戶 8.5.19 讓Windows更健壯-- 避免存儲某些憑證 8.5.20 深度防御 8.6 小結 第9章 人在大陸 9.1 倫敦的某個地方 9.1.1 潛入 9.1.2 映射網(wǎng)絡 9.1.3 確定一個路由器 9.1.4 第二天 9.1.5 查看3COM設備的配置 9.1.6 第三天 9.1.7 關于"黑客直覺"的一些想法 9.1.8 第四天 9.1.9 訪問公司的系統(tǒng) 9.1.10 達到目標 9.2 啟示 9.3 對策 9.3.1 臨時解決方案 9.3.2 使用高端口 9.3.3 口令 9.3.4 確保個人便攜式計算機的安全 9.3.5 認證 9.3.6 過濾不必要的服務 9.3.7 強化管理 9.4 小結 第10章 社交工程師的攻擊手段以及相應的防御措施 10.1 社交工程典型案例 10.2 啟示 10.2.1 角色的陷阱 10.2.2 信任度 10.2.3 迫使攻擊目標進入角色(反轉角色) 10.2.4 偏離系統(tǒng)式思維 10.2.5 順從沖動 10.2.6 樂于助人 10.2.7 歸因 10.2.8 喜好 10.2.9 恐懼 10.2.10 抗拒 10.3 對策 10.3.1 培訓指導方針 10.3.2 如何對付社交工程師 10.3.3 值得注意:家里的操縱者-- 孩子 10.4 小結 第11章 小故事 11.1 消失不見的薪水支票 11.2 歡迎來到好萊塢,天才小子 11.3 入侵軟飲料售貨機 11.4 沙漠風暴中陷入癱瘓的伊拉克陸軍 11.5 價值逾十億美元的購物券 11.6 德克薩斯撲克游戲 11.7 追擊戀童癖者的少年 11.8 你甚至不必當一名黑客
道高一尺,魔高一丈,聰明的黑客會利用黑客手段非法入侵我們公司的安全站點或個人系統(tǒng)。
另一方面,我們可以將黑客行為編成故事,讓讀者真切地了解黑客的入侵伎倆,做到知己知彼,有效地做好防范工作。由于這些故事讓我和我的合作者Simon深信不疑,因此我就把這些故事都收集在本書中。 當我們?yōu)榇藭霾稍L時,也面臨著一個頗為有趣的挑戰(zhàn),我們總是時不時地與被采訪者做著斗智斗勇的游戲。對大多數(shù)記者和作家來說,確保故事的真實性是一件相當困難的事情:故事里的那個人真的是我們認為的那個人嗎?這個人現(xiàn)在或曾經(jīng)真的在他或她所說的那個機構工作過嗎?這個人真的就職于他或她所說的那個工作崗位了嗎?這個人有文件支持他的故事,我能證實這些文件的有效性嗎?那些著名人士會相信這些故事,哪怕只是其中一部分嗎? 核對黑客們的真誠比較棘手。在這本書里出現(xiàn)的大多故事的主人公,并非那些已經(jīng)鋃鐺入獄者,一旦他們的真實身份被揭示,他們將面臨重罪指控。因此,故事里要求真實姓名,或者期待提供證據(jù)本身就是有爭議的問題。 這些黑客向我講述他們的故事是因為他們相信我。他們清楚我也曾是一名黑客,他們相信我不會出賣他們而使他們處于困境。然而,盡管存在風險,但許多黑客確實提供了一些有爭議的證據(jù)。 盡管如此,有可能—— 事實上,很可能—— 一些黑客夸大了他們故事的細節(jié)以使故事更有說服力;蛲耆笤旃适,但其周圍已出現(xiàn)的有力證據(jù)給他們敲響了“真相之鈴”。 正因為存在這樣的風險,所以我們一直在努力追求高度的可靠性。在采訪過程中,我對每個技術細節(jié)提出質疑,對故事中任何不太合理的地方都要求他們清楚地解釋,有時繼續(xù)跟進,分析故事前后是否保持一致,或者看看他們第二次講述時是否有差異;蛘,如果此人被問及故事中被省略的難實現(xiàn)的步驟而“無法回憶”;或者,如果此人不太清楚自己先前聲稱做過的事情或無法解釋他是如何從地點A到地點B。 除了有特殊說明外,本書中的每個故事都通過了我的“嗅覺檢驗”,我的合著者和我就此書中每一個故事的可信度都達成了一致。然而,為了保護黑客和受害者,我們常改動一些細節(jié)。在好幾個故事里,我們虛擬了公司,修改了名稱、行業(yè)和目標組織地點。從某種意義上講,為了保護受害者的身份并防止模仿犯罪,我們給出了一些誤導信息。但是,故事的性質和基本點還是準確的。 同時,由于軟件開發(fā)和硬件廠商通過開發(fā)新產品和進行版本升級來不斷修補安全性漏洞,因此在本書描述的事跡較少仍能產生作用。這樣可能導致自以為是的讀者認為不需要關注黑客,隨著致命缺陷的揭露及糾正,讀者和黑客所屬公司沒必要擔心這些。但這些故事,無論是6個月前還是6年前發(fā)生的故事,都給人留下了深刻的教訓,即黑客們每天都在發(fā)現(xiàn)新的脆弱點。閱讀本書不是學習專業(yè)產品中的具體缺陷,而是要改變讀者的態(tài)度,使之獲得新的決心。 本書中有些故事令人震驚,有些故事開闊視野,有些故事使你為黑客的靈感而發(fā)笑。如果你是一位IT或安全專業(yè)人士,就能從每個故事中吸取教訓以幫助你的公司加固安全。如果你并非技術人員,而只是對有關犯罪、膽大、冒險和公正樸實的故事感興趣,那么你也可以從本書中獲得樂趣。
你還可能感興趣
我要評論
|