凯文•米特尼克(KevinD.Mitnick)以前是在历史上最令FBI头疼的电子计算机顽徒之一,如今他早已完成了很多的文章内容、书籍、电影和纪录文档。自打2001年从联邦政府牢房中出狱至今,米特尼克更改了他的生活习惯,变成全世界广火爆的网络信息安全权威专家之一。在他的第一部不知者无罪的著作中,这名全球最知名的黑客为“放下屠刀,立地成佛”这句话佛语授予了新的含意。
在《反欺骗的艺术——世界传奇黑客的经历分享》中,米特尼克邀约阅读者进到到黑客的繁杂逻辑思维中,他叙述了很多的具体蒙骗情景,及其对于公司的社交媒体工程项目攻击和不良影响。他将聚焦集中化在网络信息安全所涉及的人为失误层面,表述了为何服务器防火墙和加密协议并不能阻拦一个聪慧的攻击者侵入公司的数据库管理,也没法阻拦一个愤怒的员工弄垮企业的计算机软件。他举例子了,即便是维护更为严实的信息管理系统,在应对一个意志坚定的、装扮成IRS(美国国税局)员工或别的看起来可怜人物角色的骗子公司高手时,也会越来越不堪一击。《反欺骗的艺术——世界传奇黑客的经历分享》从攻击者和受害人两层面下手,剖析了每一种攻击往往可以反咬一口的缘故,及其如何防止这种攻击。这书的描述十分吸引人,有较强的易读性,好像是一部详细介绍真正刑事案例的侦探小说。
更为关键的是,米特尼克以便赔偿他以往所犯过的罪,在《反欺骗的艺术——世界传奇黑客的经历分享》中出示了很多具体指导标准,让公司在开发设计安全性个人行为技术规范、培训方案和安全手册的情况下有一定的参照,以保证企业资金投入资产创建起來的新科技安全性天然屏障不会名存实亡。他凭着自身的工作经验,明确提出了很多避免网络安全问题的提议,而且期待大家不必忘记了防备最比较严重的安全性风险——人的本性。
目录
- 第Ⅰ部分 事件的背后
- 第1章 安全过程中最薄弱的环节 3
- 1.1 人的因素 3
- 1.2 一个经典的欺骗案例 4
- 1.2.1 获得代码 4
- 1.2.2 这家到瑞士银行… 5
- 1.2.3 大功告成 5
- 1.3 威胁的实质 6
- 1.3.1 日趋严重的担忧 6
- 1.3.2 欺骗手段的使用 7
- 1.4 滥用别人的信任 7
- 1.4.1 美国人的特征 7
- 1.4.2 机构的无罪论 8
- 1.5 恐怖分子和欺骗 9
- 1.6 关于本书 9
- 第Ⅱ部分 攻击者的艺术
- 第2章 当看似无害的信息带来损害时 15
- 2.1 信息的潜在价值 15
- 2.2 信用检查公司 16
- 2.2.1 私人侦探的工作 18
- 2.2.2 骗局分析 20
- 2.3 工程师的陷阱 21
- 2.4 更多的“无用”信息 25
- 2.5 预防骗局 26
- 第3章 直接攻击:开门见山地索取 29
- 3.1 MLAC的不速之客 29
- 3.1.1 请告诉我电话号码 29
- 3.1.2 骗局分析 30
- 3.2 在逃的年轻人 30
- 3.3 在门前的台阶上 31
- 3.3.1 回路欺骗 31
- 3.3.2 史蒂夫的诡计 32
- 3.4 瓦斯攻击 33
- 3.4.1 詹尼•艾克顿的故事 33
- 3.4.2 阿特•西里的调查项目 34
- 3.4.3 骗局分析 35
- 3.5 预防骗局 36
- 第4章 取得信任 37
- 4.1 信任:欺骗的关键 37
- 4.1.1 多利•劳尼根的故事 39
- 4.1.2 骗局分析 40
- 4.2 计谋的变种:取得信用卡号码 40
- 4.2.1 没想到吧,老爸 40
- 4.2.2 骗局分析 41
- 4.3 一分钱的手机 42
- 4.4 侵入联邦调查局 44
- 4.4.1 进入系统 45
- 4.4.2 骗局分析 46
- 4.5 预防骗局 46
- 4.5.1 保护你的客户 47
- 4.5.2 明智的信任 47
- 4.5.3 你的内部网上有什么? 48
- 第5章 “让我来帮助你” 49
- 5.1 网络中断 49
- 5.1.1 攻击者的故事 52
- 5.1.2 骗局分析 53
- 5.2 帮新来的女孩一点忙 54
- 5.3 并不如你想象的那么安全 57
- 5.3.1 史蒂夫•克莱默的故事 57
- 5.3.2 克雷格•考格博尼的故事 59
- 5.3.3 进入内部 61
- 5.3.4 骗局分析 63
- 5.4 预防骗局 65
- 5.4.1 教育,教育,再教育... 65
- 5.4.2 保持敏感信息的安全性 66
- 5.4.3 考虑源头 66
- 5.4.4 不要遗漏任何人 67
- 第6章 “你能帮我吗?” 69
- 6.1 城外人 69
- 6.1.1 盯上琼斯 69
- 6.1.2 一次商务旅行 70
- 6.1.3 骗局分析 71
- 6.2 地下酒吧式的安全 71
- 6.2.1 我在电影上看到过 72
- 6.2.2 欺骗电话公司 73
- 6.3 漫不经心的计算机管理员 74
- 6.3.1 收听电台 74
- 6.3.2 窃听者丹尼 74
- 6.3.3 猛攻堡垒 76
- 6.3.4 进入后的工作 78
- 6.3.5 骗局分析 80
- 6.4 预防骗局 80
- 第7章 假冒的站点和危险的附件 83
- 7.1 你不想要免费的吗? 83
- 7.1.1 伴随电子邮件而来 84
- 7.1.2 识别恶意软件 85
- 7.2 来自朋友的消息 86
- 7.3 一种变种形式 87
- 7.3.1 祝圣诞快乐 87
- 7.3.2 骗局分析 88
- 7.4 变种的变种 89
- 7.4.1 不正确的链接 89
- 7.4.2 保持警惕 91
- 7.4.3 了解病毒 92
- 第8章 利用同情心、内疚感和胁迫手段 95
- 8.1 对摄影棚的一次造访 95
- 8.1.1 David Harold的故事 96
- 8.1.2 骗局分析 96
- 8.2 “立即行动” 97
- 8.2.1 Doug的故事 97
- 8.2.2 Linda的故事 97
- 8.2.3 骗局分析 99
- 8.3 “老总要的” 99
- 8.3.1 Scott的故事 100
- 8.3.2 骗局分析 100
- 8.4 社会保险管理局都知道你的哪些信息 101
- 8.4.1 Keith Carter的故事 102
- 8.4.2 骗局分析 104
- 8.5 仅仅一个电话 105
- 8.5.1 Mary H的电话 105
- 8.5.2 Peter的故事 106
- 8.5.3 骗局分析 108
- 8.6 警察突袭 108
- 8.6.1 请出示搜查证 108
- 8.6.2 诓骗警察 109
- 8.6.3 掩盖行踪 110
- 8.6.4 骗局分析 111
- 8.7 转守为攻 112
- 8.7.1 毕业——不怎么光彩 112
- 8.7.2 登录并陷入麻烦 112
- 8.7.3 乐于助人的登记员 113
- 8.7.4 骗局分析 114
- 8.8 预防骗局 114
- 8.8.1 保护数据 115
- 8.8.2 关于密码 115
- 8.8.3 统一的中心报告点 116
- 8.8.4 保护你的网络 116
- 8.8.5 训练的要点 117
- 第9章 逆向行骗 119
- 9.1 善意说服别人的艺术 119
- 9.1.1 Angela的电话 119
- 9.1.2 Vince Capelli的故事 122
- 9.1.3 骗局分析 125
- 9.2 让警察受骗上当 126
- 9.2.1 Eric的骗局 126
- 9.2.2 交换机 127
- 9.2.3 一个给DMV的电话 128
- 9.2.4 骗局分析 129
- 9.3 预防骗局 130
- 第Ⅲ部分 入 侵 警 报
- 第10章 侵入公司领地 135
- 10.1 尴尬的保安 135
- 10.1.1 保安的故事 135
- 10.1.2 Joe Harper的故事 137
- 10.1.3 骗局分析 139
- 10.2 垃圾翻寻 141
- 10.2.1 付钱买垃圾 142
- 10.2.2 骗局分析 143
- 10.3 丢脸的老板 143
- 10.3.1 埋下炸弹 144
- 10.3.2 吃惊的George 145
- 10.3.3 骗局分析 145
- 10.4 寻求升迁的人 146
- 10.4.1 Anthony的故事 147
- 10.4.2 骗局分析 148
- 10.5 居然窥视凯文 150
- 10.6 预防骗局 151
- 10.6.1 非工作时间时的保护 151
- 10.6.2 对垃圾要有足够的重视 152
- 10.6.3 向员工说再见 152
- 10.6.4 不要忽略任何人 153
- 10.6.5 安全的IT! 154
- 第11章 技术和社交工程的结合 155
- 11.1 在狱中作黑客 155
- 11.1.1 打电话给Ma Bell(AT&T) 157
- 11.1.2 找到Gondorff 158
- 11.1.3 对好时间 159
- 11.1.4 骗局分析 160
- 11.2 快速下载 160
- 11.3 轻松赚钱 161
- 11.3.1 当场赌现金 162
- 11.3.2 接受挑战 163
- 11.4 用词典做攻击工具 165
- 11.4.1 密码攻击 166
- 11.4.2 比你想得还要快 167
- 11.4.3 骗局分析 169
- 11.5 预防骗局 170
- 11.5.1 尽管说不 170
- 11.5.2 保洁人员 171
- 11.5.3 提醒同伴:保护你的密码 171
- 第12章 针对低级别员工的攻击 173
- 12.1 乐于助人的保安 173
- 12.1.1 在Elliot的角度看来 173
- 12.1.2 Bill的故事 174
- 12.1.3 骗局分析 176
- 12.2 紧急补丁 177
- 12.2.1 一个帮忙电话 177
- 12.2.2 骗局分析 178
- 12.3 新来的女孩 178
- 12.3.1 Kurt Dillon的故事 180
- 12.3.2 骗局分析 182
- 12.4 预防骗局 182
- 12.4.1 欺骗毫无戒心的人 182
- 12.4.2 提防间谍软件 184
- 第13章 巧妙的骗术 187
- 13.1 起误导作用的来电显示 187
- 13.1.1 Linda的电话 187
- 13.1.2 Jack的故事 188
- 13.1.3 骗局分析 189
- 13.2 变种:美国总统来电话了 189
- 13.3 看不见的员工 191
- 13.3.2 Shirley的攻击 192
- 13.3.2 骗局分析 192
- 13.4 乐于助人的秘书 193
- 13.5 交通法庭 194
- 13.5.1 骗局 194
- 13.5.2 骗局分析 195
- 13.6 SAMANTHA的报复行动 196
- 13.6.1 报复 197
- 13.6.2 骗局分析 198
- 13.7 预防骗局 198
- 第14章 工业间谍 201
- 14.1 阴谋的变种形式 201
- 14.1.1 集体诉讼 201
- 14.1.2 Pete的攻击 202
- 14.1.3 骗局分析 203
- 14.2 新的商业合作伙伴 203
- 14.2.1 Jessica的故事 204
- 14.2.2 Sammy Sanford的故事 207
- 14.2.3 骗局分析 208
- 14.3 跳背游戏 210
- 14.3.1 在家做好准备工作 211
- 14.3.2 设计圈套 212
- 14.3.3 骗局分析 213
- 14.4 预防骗局 214
- 14.4.1 办公场所之外的安全性 215
- 14.4.2 那人是谁? 216
- 第Ⅳ部分 进 阶 内 容
- 第15章 信息安全意识和培训 219
- 15.1 通过技术、培训和规定来达到安全 219
- 15.2 理解攻击者如何利用人的天性 220
- 15.2.1 权威 220
- 15.2.2 讨人喜欢 221
- 15.2.3 回报 221
- 15.2.4 言行一致 221
- 15.2.5 跟其他人一样 222
- 15.2.6 供不应求 222
- 15.3 建立起培训和安全意识计划 222
- 15.3.1 目标 223
- 15.3.2 建立起安全培训和安全意识计划 224
- 15.3.3 培训的组成结构 225
- 15.3.4 培训课程的内容 226
- 15.4 测试 227
- 15.5 持续的安全意识 228
- 15.6 我会得到什么? 229
- 第16章 建议采用的企业信息安全政策 231
- 16.1 什么是安全政策 232
- 16.1.1 开发一个信息安全计划的步骤 232
- 16.1.2 如何使用这些政策 233
- 16.2 数据分类 234
- 16.2.1 分类的类别和定义 235
- 16.2.2 分类数据中用到的术语 236
- 16.3 验证和授权规程 237
- 16.3.1 可信人员提出的请求 237
- 16.3.2 未经核实人员的请求 237
- 16.4 管理政策 241
- 附录A 安全一览表 291
- 附录B 参考资源 299