入侵的藝術(shù)

內(nèi)容概要

　　四個(gè)志同道合的伙伴使用口袋大小的計(jì)算機(jī)在拉斯維加大把掙錢。一個(gè)無聊的加拿大小伙子居然能夠非法訪問南部的一家銀行。幾個(gè)年輕人被拉登的恐怖分子征召去攻擊Lockheed Maritn公司和防御信息系統(tǒng)網(wǎng)絡(luò)。　　所以這些故事都是真實(shí)的！　　如果讀者是自己所在單位的安全負(fù)責(zé)人，本書中的故事完全可能在您管轄的領(lǐng)域內(nèi)發(fā)生。害怕國(guó)家安全官員深夜造訪嗎？那就認(rèn)真閱讀本書并在自己管轄的范圍內(nèi)加以防范吧！而對(duì)在真實(shí)生活中斗智斗勇的故事感興趣的讀者，可以對(duì)本書進(jìn)行更深入的閱讀?！　≡诰W(wǎng)絡(luò)攻擊與利用方面的傳奇生涯使得Kevin Mitnick成為了真正的黑客英雄人物，這也是他能夠獲得其他黑客們真實(shí)故事的原因。在每一個(gè)故事的后面，Mitnick對(duì)其進(jìn)行了專業(yè)的分析——攻擊行為其實(shí)是可以防范的。而他確實(shí)是有資格推薦安全措施的不二人選。無論是在黑客社會(huì)的傳奇經(jīng)歷中，還是在與電腦犯罪的斗爭(zhēng)中，Kevin Mitnick都牢牢地掌握著關(guān)鍵武器——對(duì)黑客才氣與頑強(qiáng)精神的深入了解。

作者簡(jiǎn)介

　　KEVIN D. MITNICK是一位著名的黑客，不過他早已金盆洗手，不再做這一行了。如今，他將他一生積累下來的豐富技能奉獻(xiàn)給了企業(yè)、組織單位以及政府部門，幫助他們學(xué)會(huì)保護(hù)自身，不被這本書以及他的前一本暢銷書《欺騙的藝術(shù)》中所描述的種種攻擊行為所危害。KEVIN D. MITNICK是“防御思維”（defensivethinking.com）的創(chuàng)始人之一?！胺烙季S”是一家信息安全咨詢公司，致力于幫助企業(yè)，甚至政府部門保護(hù)其至關(guān)重要的信息。他曾受邀在《早安，美國(guó)》、《60分鐘》、以及CNN的《舉證責(zé)任》多個(gè)節(jié)目中出席，并在防范安全攻擊以及網(wǎng)絡(luò)犯罪方面確立了其領(lǐng)導(dǎo)地位。.

書籍目錄

第1章 賭場(chǎng)黑客輕取百萬美金1.1 研究1.2 黑客技術(shù)日趨成熟1.3 重寫代碼1.4 重回賭場(chǎng)—— 進(jìn)入實(shí)戰(zhàn)1.5 新方法1.6 新一輪的攻擊1.7 被捕落網(wǎng)1.8 結(jié)局1.9 啟示1.10 對(duì)策1.11 小結(jié)第2章 當(dāng)恐怖分子來襲時(shí)2.1 恐怖主義者投下誘餌2.2 今晚的獵物：SIPRNET2.3 擔(dān)心的時(shí)刻來了2.4 Comrade被捕2.5 調(diào)查Khalid2.5.1 恐怖組織 Harkatul-Mujahideen2.5.2 9·11以后2.5.3 入侵白宮2.5.4 結(jié)局2.5.5 五年以后2.5.6 到底有多刺激2.6 啟示2.7 對(duì)策2.8 小結(jié)第3章 來自德克薩斯監(jiān)獄的入侵3.1 監(jiān)獄里：認(rèn)識(shí)了計(jì)算機(jī)3.2 不一樣的聯(lián)邦監(jiān)獄3.3 William獲取“城堡”鑰匙3.4 安全上網(wǎng)3.5 解決方法3.6 險(xiǎn)些被抓3.7 千鈞一發(fā)3.8 成長(zhǎng)歷程3.9 重返自由世界3.10 啟示3.11 對(duì)策3.12 小結(jié)第4章 警方與入侵黑客的較量4.1 入侵電話系統(tǒng)4.2 入侵法院計(jì)算機(jī)系統(tǒng)4.3 旅館來客4.4 大門開啟4.5 守衛(wèi)4.6 處于監(jiān)視之中4.7 包圍4.8 過去4.9 登上新聞4.10 被捕4.11 好運(yùn)不再4.12 入侵監(jiān)禁所電話系統(tǒng)4.13 打發(fā)時(shí)光4.14 他們現(xiàn)在的工作情況4.15 啟示4.16 對(duì)策4.17 小結(jié)第5章 黑客中的綠林好漢5.1 援救5.2 個(gè)人歷史回顧5.3 午夜會(huì)面5.4 入侵MCI Worldcom（美國(guó)電信巨頭）5.5 在微軟公司內(nèi)部5.6 英雄，但非圣人：攻擊《紐約時(shí)報(bào)》5.7 Adrian的過人之處5.8 唾手可得的信息5.9 這些日子5.10 啟示5.11 對(duì)策5.12 小結(jié)第6章 滲透測(cè)試中的智慧與愚昧6.1 寒冬6.1.1 初次會(huì)晤6.1.2 基本規(guī)則6.1.3 攻擊6.1.4 燈火管制6.1.5 語音信箱泄漏6.1.6 最終結(jié)果6.2 驚險(xiǎn)游戲6.2.1 結(jié)合的規(guī)則6.2.2 計(jì)劃6.2.3 攻擊6.2.4 工作中的IOphtCrack6.2.5 訪問6.2.6 報(bào)警6.2.7 幽靈6.2.8 未遭受挑戰(zhàn)6.2.9 暖手游戲6.2.10 測(cè)試結(jié)束6.3 回顧6.4 啟示6.5 對(duì)策6.6 小結(jié)第7章 銀行是否絕對(duì)可靠7.1 遙遠(yuǎn)的愛沙尼亞7.1.1 Perogie銀行7.1.2 個(gè)人觀點(diǎn)7.2 遠(yuǎn)距離的銀行黑客7.2.1 黑客是學(xué)出來的，不是天生的7.2.2 入侵銀行7.2.3 你對(duì)瑞士銀行賬戶感興趣嗎7.2.4 結(jié)局7.3 啟示7.4 對(duì)策7.5 小結(jié)第8章 知識(shí)產(chǎn)權(quán)并不安全8.1 長(zhǎng)達(dá)兩年的黑客攻擊8.1.1 一顆探險(xiǎn)之星8.1.2 CEO的計(jì)算機(jī)8.1.3 入侵CEO的計(jì)算機(jī)8.1.4 CEO發(fā)現(xiàn)了黑客入侵8.1.5 獲取應(yīng)用程序的訪問權(quán)8.1.6 被逮8.1.7 返回?cái)撤筋I(lǐng)地8.1.8 此地不再留8.2 Robert，垃圾郵件發(fā)送者之友8.2.1 獲取郵件列表8.2.2 色情作品盈大利8.2.3 Robert是條漢子8.2.4 軟件的誘惑8.2.5 發(fā)現(xiàn)服務(wù)器名稱8.2.6 Helpdesk.exe的小幫助8.2.7 黑客的錦囊妙計(jì)：“SQL注入”攻擊8.2.8 備份數(shù)據(jù)的危險(xiǎn)8.2.9 口令觀測(cè)8.2.10 獲取完整訪問權(quán)限8.2.11 把代碼發(fā)回家8.3 共享：一個(gè)破解者的世界8.4 啟示8.5 對(duì)策8.5.1 公司防火墻8.5.2 個(gè)人防火墻8.5.3 端口掃描8.5.4 了解你的系統(tǒng)8.5.5 事故應(yīng)變和警告8.5.6 檢查應(yīng)用程序中經(jīng)過授權(quán)了的改動(dòng)8.5.7 許可8.5.8 口令8.5.9 第三方軟件8.5.10 保護(hù)共享空間8.5.11 避免DNS猜測(cè)8.5.12 保護(hù)Microsoft SQL 服務(wù)器8.5.13 保護(hù)敏感文件8.5.14 保護(hù)備份8.5.15 保護(hù)MS 免遭SQL 注入攻擊8.5.16 利用Microsoft VPN服務(wù)8.5.17 移除安裝文件8.5.18 重命名管理員賬戶8.5.19 讓W(xué)indows更健壯—— 避免存儲(chǔ)某些資格8.5.20 深度防御8.6 小結(jié)第9章 人在大陸9.1 倫敦的某個(gè)地方9.1.1 潛入9.1.2 映射網(wǎng)絡(luò)9.1.3 確定一個(gè)路由器9.1.4 第二天9.1.5 查看3COM設(shè)備的配置9.1.6 第三天9.1.7 關(guān)于“黑客直覺”的一些想法9.1.8 第四天9.1.9 訪問公司的系統(tǒng)9.1.10 達(dá)到目標(biāo)9.2 啟示9.3 對(duì)策9.3.1 臨時(shí)解決方案9.3.2 使用高端口9.3.3 口令9.3.4 確保個(gè)人膝上計(jì)算機(jī)的安全9.3.5 認(rèn)證9.3.6 過濾不必要的服務(wù)9.3.7 加強(qiáng)措施9.4 小結(jié)第10章 社交工程師的攻擊手段以及防御其攻擊的措施10.1 社交工程典型案例10.2 啟示10.2.1 角色的陷阱10.2.2 信任度10.2.3 迫使攻擊目標(biāo)進(jìn)入角色（反轉(zhuǎn)角色）10.2.4 偏離系統(tǒng)式思維10.2.5 順從沖動(dòng)10.2.6 樂于助人10.2.7 歸因10.2.8 喜好10.2.9 恐懼10.2.10 抗拒10.3 對(duì)策10.3.1 培訓(xùn)指導(dǎo)方針10.3.2 如何對(duì)付社交工程師10.3.3 值得注意：家里的操縱者—— 孩子10.4 小結(jié)第11章 小故事11.1 消失了的薪水支票11.2 歡迎來到好萊塢，天才小子11.3 入侵軟飲料售貨機(jī)11.4 沙漠風(fēng)暴中陷于癱瘓的伊拉克陸軍11.5 價(jià)值十多億美元的購(gòu)物券11.6 德克薩斯撲克游戲11.7 追捕戀童癖的少年11.8 你甚至不必當(dāng)一名黑客

章節(jié)摘錄

　　在所有作業(yè)顯著的安全控制辦法中，能有效地發(fā)現(xiàn)和防止內(nèi)部人員作 梗的辦法有這些： ·經(jīng)管責(zé)任：現(xiàn)行的引發(fā)諸多問題的經(jīng)管責(zé)任方案有兩種：一種是所 謂的賬戶身份——多個(gè)用戶共同使用一個(gè)賬戶；另一種是共享賬戶或口令 信息，以便員工不在辦公室或無法取得聯(lián)系時(shí)可以登錄。但當(dāng)出現(xiàn)嚴(yán)重失 誤時(shí)，這兩種方法都容易造成員工以各自的理由推卸責(zé)任的局面。 很簡(jiǎn)單，如果不能完全禁止共享賬戶信息的話，至少也不應(yīng)鼓勵(lì)這樣 做。這包括員工使用的工作站，即使是要求提供注冊(cè)信息的工作站。 ·多目標(biāo)環(huán)境：在大多數(shù)公司里，能設(shè)法進(jìn)入放置設(shè)備的工作區(qū)域的 入侵者，也能輕易找到途徑進(jìn)入系統(tǒng)。很少有員工在離開工作崗位時(shí)會(huì)鎖 住計(jì)算機(jī)或使用屏幕保護(hù)程序或者啟動(dòng)口令。對(duì)于心懷不軌者來說，在未 受保護(hù)的工作站上安裝秘密監(jiān)控程序軟件只需要幾秒鐘。在銀行，出納員 離開時(shí)總會(huì)鎖上存放現(xiàn)金的抽屜。不幸的是，我們幾乎沒有看到這一方法 被其他機(jī)構(gòu)采用。 可以考慮執(zhí)行這樣一種策略：使用屏幕保護(hù)口令或其他程序鎖住計(jì)算 機(jī)。并確保IT部門通過結(jié)構(gòu)管理執(zhí)行這一策略。 ·口令管理：我的女朋友最近被一家在《財(cái)富》雜志排名前50的公司 聘用，這個(gè)公司采用可預(yù)測(cè)模式為進(jìn)入公司內(nèi)部互聯(lián)網(wǎng)的用戶設(shè)置口令： 用戶名后隨機(jī)帶上3個(gè)阿拉伯?dāng)?shù)字。雇員被聘上時(shí)口令也就已經(jīng)設(shè)定好了， 并不能由雇員自己更改。這樣對(duì)于任何一位雇員來說，寫一份簡(jiǎn)單的腳本 ，通過它用不了1000次，就能套到到口令——幾秒鐘而已。雇員的口令， 不管是由公司設(shè)定還是由雇員自己選擇，決不能采用能被輕易預(yù)測(cè)的模式 。 ·物理訪問：熟悉公司網(wǎng)絡(luò)的聰明雇員，趁旁邊沒人時(shí)，能充分利用 自己的地理位置，攻擊系統(tǒng)。我曾經(jīng)是加利福尼亞GTE(一家電信公司)的雇 員。能進(jìn)入他們的辦公樓就如同獲得了這個(gè)王國(guó)的鑰匙——所有的信息都 盡收眼底。任何人都能進(jìn)入雇員小隔間或辦公室里的工作站，并能訪問敏 感的系統(tǒng)。 如果雇員通過使用安全BIOS(基本輸出系統(tǒng))口令并注銷，或鎖定計(jì)算 機(jī)，來保護(hù)自己的桌面、工作站、編寫器和個(gè)人數(shù)字助理裝置，內(nèi)部不法 人員就需要花相當(dāng)多的時(shí)間才能達(dá)到自己的目的。 訓(xùn)練雇員能輕松應(yīng)付身份不明的人，特別是在機(jī)密的區(qū)域。使用安全 控制設(shè)備，如攝像機(jī)和／或徽章讀取系統(tǒng)以控制入口，以及監(jiān)視內(nèi)部的運(yùn) 作。要考慮定期檢查出入口登記，以確認(rèn)是否有詭異的行為存在，特別是 在安全事故發(fā)生時(shí)。 ·“報(bào)廢”工作間和其他入口點(diǎn)：當(dāng)雇員離開公司或被調(diào)任到其他部 門時(shí)，其工作間就空在那里，心懷不軌的內(nèi)部人員就通過工作間空置的網(wǎng) 絡(luò)插孔連接上網(wǎng)，同時(shí)掩蓋了自己的真實(shí)身份。更糟糕的是，工作站通常 位于隔間的后面，與網(wǎng)絡(luò)相聯(lián)，供所有人使用，包括心懷不軌的內(nèi)部人員f 除此之外還有發(fā)現(xiàn)了擱置工作間的非授權(quán)人員。 其他的訪問點(diǎn)如會(huì)議室，也經(jīng)常為蓄意搞破壞的內(nèi)部人員打開方便之 門。因此要注意將已經(jīng)停用的網(wǎng)絡(luò)插孔關(guān)閉，以防止匿名或未授權(quán)的人員 利用。并確保閑置工作間里的任何計(jì)算機(jī)都處于安全狀態(tài)下，以防止未授 權(quán)人員鉆了空子。 ·監(jiān)督職員：應(yīng)該將所有被通知解雇的員工視為潛在的危險(xiǎn)。對(duì)這樣 的員工訪問機(jī)密信息都應(yīng)該給予監(jiān)視，特別是復(fù)制或下載大量資料時(shí)?，F(xiàn) 在的一個(gè)u盤能容納上千兆字節(jié)，用它只需要花幾分鐘就可以存下大量的機(jī) 密資料，并帶著它走出大門。 在通知解雇員工降職或不如愿的調(diào)離前，對(duì)他們?cè)L問權(quán)限設(shè)限，這應(yīng) 該作為一項(xiàng)常用的策略。同樣，要考慮監(jiān)視雇員的計(jì)算機(jī)使用，以檢查他 們是否有未授權(quán)的訪問或潛在的不利行動(dòng)。 ·安裝未授權(quán)硬件：心懷不軌的內(nèi)部人員能輕易進(jìn)入其他雇員的工作 隔間，安裝硬件或擊鍵記錄程序以捕獲口令和其他機(jī)密信息。同樣，U盤也 能幫助輕易盜取資料。應(yīng)對(duì)的安全措施就是：禁止安裝任何未經(jīng)書面認(rèn)可 的硬件設(shè)備。但這種方法實(shí)施起來也有問題，品行端正的員工會(huì)對(duì)此感到 不方便，而心懷不軌者則根本無視這一規(guī)定。 在某些處理特別機(jī)密信息的組織內(nèi)，在工作站上轉(zhuǎn)移或關(guān)閉USB接口是 一個(gè)必要的控制方法。 全范圍的檢查必須定期進(jìn)行。檢查必須要確保這些事情：計(jì)算機(jī)里沒 有未授權(quán)的無線設(shè)備，硬件擊鍵記錄程序或附加的調(diào)制調(diào)解器；沒有安裝 未受權(quán)的軟件。 安全和IT人員可以通過使用一個(gè)支持802.11的PDA，甚至可以通過安裝 了Microsoft Windows XP和無線網(wǎng)卡的膝上型電腦，來檢查鄰近區(qū)域的未 受權(quán)的無線接入點(diǎn)(access point)。Windows XP有一個(gè)零設(shè)置的實(shí)用程序 ，當(dāng)它檢測(cè)到鄰近區(qū)域有一個(gè)無線接入點(diǎn)時(shí)，就會(huì)彈出一個(gè)對(duì)話框。 ·阻撓信息竊?。寒?dāng)職員在進(jìn)入公司并逐漸了解內(nèi)部關(guān)鍵的業(yè)務(wù)流程 后，他們處在了一個(gè)有利的位置上，通過“制約與平衡”原則發(fā)現(xiàn)公司的 弱點(diǎn)，然后進(jìn)行欺詐與偷竊。不誠(chéng)實(shí)的工人有可能偷竊或?qū)驹斐善渌?嚴(yán)重的傷害，因?yàn)樗麄兒芮宄镜倪\(yùn)作。內(nèi)部人員可以自由出入辦公室 ，接觸文件柜和內(nèi)部郵件系統(tǒng)，了解日常事務(wù)流程。 因此要通過分析機(jī)密和關(guān)鍵業(yè)務(wù)流程，找出自己的薄弱環(huán)節(jié)，以此來 制定措施。在某些情況下，建立工作中的職權(quán)分離機(jī)制。某個(gè)人完成的機(jī) 密操作要被另一個(gè)人單獨(dú)檢測(cè)，這樣能夠減少安全風(fēng)險(xiǎn)。 ·現(xiàn)場(chǎng)訪問政策：建立一個(gè)外來訪問者安全確認(rèn)方案，確認(rèn)象包括其 他辦室地點(diǎn)的人員。一個(gè)有效的安全措施是，要求訪問者進(jìn)入安全區(qū)域前 ，出示州級(jí)以上身份證明，然后在安全記錄本上記錄這些來訪信息。一旦 安全事件發(fā)生，就可以幫助確認(rèn)始作俑者。 P70-74

媒體關(guān)注與評(píng)論

　　坐在自己舒適的座位上，零距離接觸計(jì)算機(jī)犯罪。Mitnick所書寫的內(nèi)容中，每一章都是與黑客面談他們真實(shí)攻擊故事之后編寫的。這是一本對(duì)計(jì)算機(jī)安全感興趣的人必讀的書籍?！　　猅omParker，GlobalInterSecLLC的創(chuàng)始人　　很難理解這些違法行為會(huì)如此聰明，如此天衣無縫。試想一下吧，如果這些天才們運(yùn)用他們擁有的技巧為社會(huì)做點(diǎn)好事，　　這將會(huì)是多么了不起的成就啊!無論是為了娛樂還是教育，我都推薦這本書?！　　狝bout.com　　數(shù)據(jù)安全問題發(fā)生的源頭往往是人們的無知。Mitnick讓我們發(fā)現(xiàn)了“它們”的完美伎倆，并告知我們應(yīng)該如何防范。　　——StephenManes，《財(cái)富》雜志

編輯推薦

　　★挖掘黑客背后的真實(shí)故事?！　　镌缫呀鹋柘词值闹诳蚄EVIN D. MITNICK將其一生積累下來的豐富技能匯集成書，使大家免受黑客攻擊！　　　★入侵案例加對(duì)策，在每一個(gè)故事的后面，Mitnick都進(jìn)行了專業(yè)的分析--攻擊行為其實(shí)是可以防范的！　　　凱文·米特尼克(Kevin D. Mitnick)作為一名前黑客和安全技術(shù)人員，在信息安全的世界里，他免費(fèi)乘車、盜打電話、未經(jīng)授權(quán)進(jìn)入世界上最大的幾家公司的計(jì)算機(jī)系統(tǒng)，并成功滲透一些防范最好的計(jì)算機(jī)系統(tǒng)的傳奇黑客生涯是無人比擬的。他本身的經(jīng)歷就非常讓人著迷、好奇和揣測(cè)，現(xiàn)在他將所采訪的多個(gè)信息安全入侵者的入侵故事記錄下來，與讀者分享。書中涉及的人物從學(xué)校的學(xué)生、監(jiān)獄的囚犯、公司的安全官員到政府的執(zhí)法人員，涉及的故事包括入侵公司、政府、組織等，事實(shí)上，書中多個(gè)故事的主人公正是以作者為榜樣來效尤的。讀者閱讀本書時(shí)，總可以與自己所處的環(huán)境結(jié)合起來，原來我們自己所使用的計(jì)算機(jī)系統(tǒng)和物理安全措施就存在不少的安全漏洞?！　∽髡叩那耙徊恐鱐he Art of Deception(《欺騙的藝術(shù)》)已經(jīng)成為了一本暢銷書，The Art of Deception中所闡述的某些技術(shù)手段和社會(huì)工程學(xué)知識(shí)已經(jīng)成了公司、政府以及國(guó)防信息安全等領(lǐng)域研究的熱點(diǎn)，大學(xué)教授們經(jīng)常引用這本書中的案例來充實(shí)書面上的理論。本書作為The Art of Deception的姊妹篇，所闡述的則是其他人的故事，我想，也只有作者這樣的前黑客高手才可能采訪到那些入侵者，讓他們說出埋藏在心底多年的隱秘故事吧?！　》g本書時(shí)，我們時(shí)常感嘆大千世界，無奇不有，這些黑客們所利用的技術(shù)、耐心和對(duì)社會(huì)工程學(xué)的嫻熟理解常常讓我們嘆為觀止，拍案叫絕?！　械墓适潞腿肭诌^程引人入勝，匪夷所思。但是為了防止有人模仿，作者在有些技術(shù)的細(xì)節(jié)上有意對(duì)原來的過程進(jìn)行了篡改，但這并不影響我們對(duì)本書所闡述的精髓的理解。　　找一個(gè)舒適的地方，泡一杯龍井，慢慢品嘗它吧！

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    入侵的藝術(shù) PDF格式下載

---