凯文米特尼克(Kevin D. Mitnick)曾经是历史上最令FBI头痛的计算机顽徒之一,现在他已经完成了大量的文章、图书、影片和记录文件。自从2000年从联邦监狱中获释以来,米特尼克改变了他的生活方式,成了全球广受欢迎的计算机安全专家之一。在他的首部将功补过的作品中,这位全世界最著名的黑客为"放下屠刀,立地成佛"这句佛语赋予了新的含义。
在《反欺骗的艺术——世界传奇黑客的经历分享》中,米特尼克邀请读者进入到黑客的复杂思维中,他描述了大量的实际欺骗场景,以及针对企业的社交工程攻击和后果。他将焦点集中在信息安全所涉及到的人为因素方面,解释了为什么防火墙和加密协议并不足以阻止一个聪明的攻击者入侵企业的数据库系统,也无法阻止一个愤怒的员工搞垮公司的计算机系统。他举例说明了,即使是保护最为严密的信息系统,在面对一个意志坚定的、伪装成IRS(美国国税局)职员或其他看似无辜角色的骗子老手时,也会变得不堪一击。《反欺骗的艺术——世界传奇黑客的经历分享》从攻击者和受害者两方面入手,分析了每一种攻击之所以能够得逞的原因,以及如何防止这些攻击。本书的叙述非常吸引人,有很强的可读性,仿佛是一部介绍真实刑事案例的侦探小说。
最为重要的是,米特尼克为了补偿他过去所犯过的罪,在《反欺骗的艺术——世界传奇黑客的经历分享》中提供了许多指导规则,让企业在开发安全行为规程、培训计划和安全手册的时候有所参考,以确保公司投入资金建立起来的高科技安全屏障不至于形同虚设。他凭借自己的经验,提出了许多防止安全漏洞的建议,并且希望人们不要忘了提防最严重的安全危险——人性。
作者是全球首位被通缉和入狱的黑客,他与帮助FBI抓捕他的日裔黑客之间的对战颇具传奇色彩
展示信息安全的薄弱环节,并指出为什么个人和企业处于社会工程师攻击的危险之下
展示黑客如何利用人们的信任、乐于助人的愿望和同情心使你上当受骗,从而获得他们想要的信息
以小说故事的形式来叙述典型的攻击案例,给读者演示黑客可以戴上许多面具并冒充各种身份
Kevin D. Mitnick (凯文?米特尼克)曾是"黑客"的代名词,他开创了"社会工程学",是历令FBI头痛的计算机顽徒之一,商业和政府机构都惧他三分;米特尼克的黑客生涯充满传奇,15岁就成功侵入北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。之后,防守最严密的美国网络系统(美国国防部、五角大楼、中央情报局、美国国家税务局、纽约花旗银行)都成了他闲庭信步之处。米特尼克也是全球首个遭到通缉和逮捕的黑客,出狱后曾一度被禁用计算机和互联网,甚至包括手机和调制解调器。
后来,米特尼克金盆洗手,洗心革面,成了全球广受欢迎的计算机安全专家之一,担任多家企业的安全顾问,并与他人合作成立了洛杉矶咨询公司Defensive Thinking。米特尼克曾登上CourtTV、"早安,美国"、"60分钟"、CNN的"头条新闻"等电视节目,也曾在洛杉矶的KFIAM 640主持每周一次的访谈节目。米特尼克的文章散见于各大新闻杂志和行业杂志,他已多次在重要活动上发表主题演讲。
第Ⅰ部分事件的背后
第1章安全过程中最薄弱的环节3
1.1人的因素3
1.2一个经典的欺骗案例4
1.2.1获得代码4
1.2.2这家到瑞士银行…5
1.2.3大功告成5
1.3威胁的实质6
1.3.1日趋严重的担忧6
1.3.2欺骗手段的使用7
1.4滥用别人的信任7
1.4.1美国人的特征7
1.4.2机构的无罪论8
1.5恐怖分子和欺骗9
1.6关于本书9
第Ⅱ部分攻击者的艺术
第2章当看似无害的信息带来损害时15
2.1信息的潜在价值15
2.2信用检查公司16
2.2.1私人侦探的工作18
2.2.2骗局分析20
2.3工程师的陷阱21
2.4更多的"无用"信息25
2.5预防骗局26
第3章直接攻击:开门见山地索取29
3.1MLAC的不速之客29
3.1.1请告诉我电话号码29
3.1.2骗局分析30
3.2在逃的年轻人30
3.3在门前的台阶上31
3.3.1回路欺骗31
3.3.2史蒂夫的诡计32
3.4瓦斯攻击33
3.4.1詹尼·艾克顿的故事33
3.4.2阿特·西里的调查项目34
3.4.3骗局分析35
3.5预防骗局36
第4章取得信任37
4.1信任:欺骗的关键37
4.1.1多利·劳尼根的故事39
4.1.2骗局分析40
4.2计谋的变种:取得号码40
4.2.1没想到吧,老爸40
4.2.2骗局分析41
4.3一分钱的手机42
4.4侵入联邦调查局44
4.4.1进入系统45
4.4.2骗局分析46
4.5预防骗局46
4.5.1保护你的客户47
4.5.2明智的信任47
4.5.3你的内部网上有什么?48
第5章"让我来帮助你"49
5.1网络中断49
5.1.1攻击者的故事52
5.1.2骗局分析53
5.2帮新来的女孩一点忙54
5.3并不如你想象的那么安全57
5.3.1史蒂夫·克莱默的故事57
5.3.2克雷格·考格博尼的故事59
5.3.3进入内部61
5.3.4骗局分析63
5.4预防骗局65
5.4.1教育,教育,再教育65
5.4.2保持敏感信息的安全性66
5.4.3考虑源头66
5.4.4不要遗漏任何人67
第6章"你能帮我吗?"69
6.1城外人69
6.1.1盯上琼斯69
6.1.2一次商务旅行70
6.1.3骗局分析71
6.2地下酒吧式的安全71
6.2.1我在电影上看到过72
6.2.2欺骗电话公司73
6.3漫不经心的计算机管理员74
6.3.1收听电台74
6.3.2窃听者丹尼74
6.3.3猛攻堡垒76
6.3.4进入后的工作78
6.3.5骗局分析80
6.4预防骗局80
第7章假冒的站点和危险的附件83
7.1你不想要免费的吗?83
7.1.1伴随电子邮件而来84
7.1.2识别恶意软件85
7.2来自朋友的消息86
7.3一种变种形式87
7.3.1祝圣诞快乐87
7.3.2骗局分析88
7.4变种的变种89
7.4.1不正确的链接89
7.4.2保持警惕91
7.4.3了解病毒92
第8章利用同情心、内疚感和胁迫手段95
8.1对摄影棚的一次造访95
8.1.1DavidHarold的故事96
8.1.2骗局分析96
8.2"立即行动"97
8.2.1Doug的故事97
8.2.2Linda的故事97
8.2.3骗局分析99
8.3"老总要的"99
8.3.1Scott的故事100
8.3.2骗局分析100
8.4社会保险管理局都知道你的哪些信息101
8.4.1KeithCarter的故事102
8.4.2骗局分析104
8.5仅仅一个电话105
8.5.1MaryH的电话105
8.5.2Peter的故事106
8.5.3骗局分析108
8.6警察突袭108
8.6.1请出示搜查证108
8.6.2诓骗警察109
8.6.3掩盖行踪110
8.6.4骗局分析111
8.7转守为攻112
8.7.1毕业——不怎么光彩112
8.7.2登录并陷入麻烦112
8.7.3乐于助人的登记员113
8.7.4骗局分析114
8.8预防骗局114
8.8.1保护数据115
8.8.2关于密码115
8.8.3统一的中心报告点116
8.8.4保护你的网络116
8.8.5训练的要点117
第9章逆向行骗119
9.1善意说服别人的艺术119
9.1.1Angela的电话119
9.1.2VinceCapelli的故事122
9.1.3骗局分析125
9.2让警察受骗上当126
9.2.1Eric的骗局126
9.2.2交换机127
9.2.3一个给DMV的电话128
9.2.4骗局分析129
9.3预防骗局130
第Ⅲ部分入侵警报
第10章侵入公司领地135
10.1尴尬的保安135
10.1.1保安的故事135
10.1.2JoeHarper的故事137
10.1.3骗局分析139
10.2垃圾翻寻141
10.2.1付钱买垃圾142
10.2.2骗局分析143
10.3丢脸的老板143
10.3.1埋下炸弹144
10.3.2吃惊的George145
10.3.3骗局分析145
10.4寻求升迁的人146
10.4.1Anthony的故事147
10.4.2骗局分析148
10.5居然窥视凯文150
10.6预防骗局151
10.6.1非工作时间时的保护151
10.6.2对垃圾要有足够的重视152
10.6.3向员工说再见152
10.6.4不要忽略任何人153
10.6.5安全的IT!154
第11章技术和社交工程的结合155
11.1在狱中作黑客155
11.1.1打电话给MaBell(AT&T)157
11.1.2找到Gondorff158
11.1.3对好时间159
11.1.4骗局分析160
11.2快速下载160
11.3轻松赚钱161
11.3.1当场赌现金162
11.3.2接受挑战163
11.4用词典做攻击工具165
11.4.1密码攻击166
11.4.2比你想得还要快167
11.4.3骗局分析169
11.5预防骗局170
11.5.1尽管说不170
11.5.2保洁人员171
11.5.3提醒同伴:保护你的密码171
第12章针对低级别员工的攻击173
12.1乐于助人的保安173
12.1.1在Elliot的角度看来173
12.1.2Bill的故事174
12.1.3骗局分析176
12.2紧急补丁177
12.2.1一个帮忙电话177
12.2.2骗局分析178
12.3新来的女孩178
12.3.1KurtDillon的故事180
12.3.2骗局分析182
12.4预防骗局182
12.4.1欺骗毫无戒心的人182
12.4.2提防间谍软件184
第13章巧妙的骗术187
13.1起误导作用的来电显示187
13.1.1Linda的电话187
13.1.2Jack的故事188
13.1.3骗局分析189
13.2变种:美国总统来电话了189
13.3看不见的员工191
13.3.2Shirley的攻击192
13.3.2骗局分析192
13.4乐于助人的秘书193
13.5交通法庭194
13.5.1骗局194
13.5.2骗局分析195
13.6SAMANTHA的报复行动196
13.6.1报复197
13.6.2骗局分析198
13.7预防骗局198
第14章工业间谍201
14.1阴谋的变种形式201
14.1.1集体诉讼201
14.1.2Pete的攻击202
14.1.3骗局分析203
14.2新的商业合作伙伴203
14.2.1Jessica的故事204
14.2.2SammySanford的故事207
14.2.3骗局分析208
14.3跳背游戏210
14.3.1在家做好准备工作211
14.3.2设计圈套212
14.3.3骗局分析213
14.4预防骗局214
14.4.1办公场所之外的安全性215
14.4.2那人是谁?216
第Ⅳ部分进阶内容
第15章信息安全意识和培训219
15.1通过技术、培训和规定来达到安全219
15.2理解攻击者如何利用人的天性220
15.2.1220
15.2.2讨人喜欢221
15.2.3回报221
15.2.4言行一致221
15.2.5跟其他人一样222
15.2.6供不应求222
15.3建立起培训和安全意识计划222
15.3.1目标223
15.3.2建立起安全培训和安全意识计划224
15.3.3培训的组成结构225
15.3.4培训课程的内容226
15.4测试227
15.5持续的安全意识228
15.6我会得到什么?229
第16章建议采用的企业信息安全政策231
16.1什么是安全政策232
16.1.1开发一个信息安全计划的步骤232
16.1.2如何使用这些政策233
16.2数据分类234
16.2.1分类的类别和定义235
16.2.2分类数据中用到的术语236
16.3验证和授权规程237
16.3.1可信人员提出的请求237
16.3.2未经核实人员的请求237
16.4管理政策241
附录A安全一览表291
附录B参考资源299
