《firewall》——一次差点成功的暴力社会工程
[color=Red]第一次在CU发原创贴,主要是debug,欢迎大家拍砖,不过请拍的轻点,谢谢。[/color]
我这个人比较落伍,经常在电影热放很久以后才会去看,比如这次的firewall。
因为是自己的本行,所以对这部电影有很高的兴趣,对整个过程也看的比较仔细。看完以后不仅慨叹,这是多么经典的一次暴力社会工程呀,只可惜精明的劫匪犯了一系列低级错误,造成最后的功亏一篑。真的应该好好总结一下这次的经验教训,以为后来者鉴。(叮咚!警察叔叔,找我有事吗?什么请我去喝茶?好呀好呀,我知道一个不错的茶馆。诶?去茶馆干嘛还带手铐呀?)
嗯!嗯!嗯!郑重声明,以下评论仅做技术性讨论,并不代表本人支持任何类似的行为,或为其出谋划策。任何人利用本评论做任何事情都与本人无关。简而言之,我最多就是一个磨菜刀的(连卖菜刀的都不算),持菜刀抢劫的行为与本人无关。
ok,言归正传。首先来名词解释一下,什么是社会工程。在安全领域,社会工程就是黑客们利用人与人之间的交往,取得被害人的信任,然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为,利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。这里介绍一个著名的针对Microsoft的社会工程案例,一个黑客给Microsoft的网管发了一封邮件,声称自己是Microsoft的员工,在欧洲出差,但是忘记的密码,大意的网管就发送了新的密码给这个人,黑客由此轻松的完成了入侵。这方面的详细信息,建议大家看美国著名黑客Kevin Mitnick的著作《The Art of Deception》,网上有下载,文笔很好,可以当小说看,还可以顺便练习一下E文。
回到电影中来,《firewall》这部电影被我定义为典型的暴力社会工程案例,之所以这么说,是因为劫匪并没有依靠导演,尤其是国内导演,非常喜欢的有神迹的黑客完成抢劫(这是让所有的业内人士深恶痛绝的一种恶俗,随便乱敲一顿,然后对着“Bad command or files”就宣布入侵系统,靠,你当我们这些人都是狗屁呀。),而是采用利用银行内部人员的方式完成抢劫,这显然属于社会工程的范畴。同时,显而易见,劫匪的社会工程属于非典型性的社会工程,因为他依靠的是暴力,而不是欺骗,这显然是Kevin Mitnick没有利用也没有介绍过的手段,估计真正社会工程黑客也不屑与用这种手段。用黎叔的话说:“最烦你们这帮打劫的,一点技术含量也没有。”
这里面劫匪的领袖显然是一个很专业的劫匪,整个计划设计的很完善(并不完美,不完美的部分就是下面要讨论的),盗取并模仿签名以及跟踪、监控、伪装等手段都非常的专业,估计这位兄弟有FBI或者CIA的背景。但是这位兄弟显然对信息技术的了解有限,所以这方面的工作更多的是依靠那位带着眼镜的文质彬彬的小伙,这小伙应该是一个写病毒和木马的高手。不过尽管劫匪都非常专业,团队的组合也是各有所长,几近完美。但是劫匪的整个计划却有若干重大的缺陷,下面就简单讨论一下。
首先,劫匪们没有一个完整清晰的战略原则,这个原则就是——杀还是不杀,这是一个问题。劫匪们似乎想要杀死此次事件的所有被利用者,但是却莫名其妙的留下了人质,带着人质逃亡显然不是一个好主意,如果不想留尸体在家里,可以带着尸体上路。当然,好莱坞的导演可能为了一个大团员的结局不得不这样安排,但是我们这里讨论的是技术,而不是电影。那么究竟应该杀还是不杀呢?个人认为要么全杀要么不杀,而我比较倾向于不杀,因为寡人悟到了,最高的剑道是不杀,是和平。sorry,刺激太大,遗留至今。至于不杀的原因嘛,因为杀人太不优雅了,对于有追求有境界的劫匪来说,完全可以通过技术手段躲避警察的追踪,甚至可以让对方完全不发觉不报警。这在下面还有讨论。
其次,劫匪的计划尽管完善,但是却有画蛇添足之感,比如逼迫女主人打电话假装婚外情,伪造情杀。这对于了解这对夫妇的人来说,显然很难让人相信。并且杀死那个人也很没有必要。劫匪完全可以找一个人来和那个人周旋(劫匪的人力资源很充足),这个人只负责套取情报,并不直接参与事件的其他部分,没有人会将投资计划与抢劫计划联系在一起,这样也可以留下更少的线索。越简单的计划就越容易成功,当有更简单的方法的时候,为什么还要采用那么复杂的方法呢?
再次,劫匪犯了一个非常低级的错误,就是在资金到位以后没有立刻更改那五个帐户的密码,正式这个疏忽造成了最后的功败垂成。如果抢劫成功后立刻更改密码,那么主人公的反击手段就不会成功。当然劫匪安排了干掉主人公的计划,但是任何行动都有成功与失败两种可能,所谓小心使得万年船,改个密码不是什么难事,却可以保证万无一失。况且我是不支持杀人的。
最后讨论一下劫匪的一个非常好的方法,就是调出资金额度最高的一万个帐户,从每个帐户划取1万美元。这么做其实是降低案发的可能性的手段。这是因为一般人,除非对数字特别敏感的人比如会计什么的,一般只会关注数字的头两位,能够记住的也只是头两位,最多到第三位。比如现在我的帐户的头两位就是16,后面的就记不住了。那么如此大银行的前一万名大户应该都在千万百万的级别,少个1万什么的很难被发现,即使发现了也不会太在乎。比如我的帐户的第四位如果少了1,我也很难发现,即使发现了也绝对不会报案,你问我为什么?废话帐户少一毛钱就报案,你不怕警察告你妨碍公务呀,在说了,跨行查询还要3毛呢,谁知道这一毛钱是被黑客黑了还是被银行黑了。因为降低了案发的可能性,杀人的必要就更加不大了。
需要注意的是,现在很多钓鱼的骇客们其实用的就是这种方法,钓鱼者们成功得到被害人的帐号及密码,取得了自由划拨资金的权限的时候,一般不会划走大量的资金,往往只是划走几十块钱就收手。你也许会认为这么点钱有点得不偿失,其实一个用户几十块,一万个用户就是就是几十万,十万个用户就是几百万,所谓积少成多集腋成裘是也。每个帐户由于损失很小,受害人常常不会发现,即使发现一般也不会报案,即使报案警察也不会重视,即使最终案发由于案值小也不会受到很严重的刑罚,甚至不会判刑,教育两句关几天就算了。所以作贼一定要做毛贼而不要做大盗,树大招风,做大盗虽然风光,但是下场嘛……
ok,现在总结一下,这个劫案其实可以更加完美。改进的方案是,由单独的人充当投资方出面和主人公的朋友接触套取情报,甚至真的可以注册一个这样的公司,完事以后继续经营。然后一拨兄弟出面绑架跟踪干脏活,但注意对人质要和气,向对待客户一样对待他们,毕竟要靠他们才有钱赚嘛,做人要讲道理,做匪更要讲道理,要做匪先做人呀。资金到位后立刻更改帐户密码,然后释放人质从人间蒸发,地点推荐南美,那里银行提出来的款直接就干净了,没有记录的。况且最近巴西的事情大家都知道吧,能让警察惶惶不可终日的国家是什么样的境界呀,简直是匪的天堂。如果匪一并有了仁慈之心的话,临走之前可以与主人公神谈一次,分析一下案发的可能性和案发后主人公有嘴说不清的现实,再分几百万美元给主人公以示感谢和收买。当然不排除正义感极强的人还是会报案,但是绝大多数情况下,在有口难辩和有利可图之间,你会选择什么?这样一来,有了钱又不伤人,这是什么样的境界呀!这才是新一代有理想有道德有文化有知识有仁慈之心的匪呀!
讨论完了劫匪,再来讨论一下银行,也省得警察叔叔认为我在这鼓励抢银行。这家银行在管理上显然存在一定的问题,最大的问题就是分权不够。在理论上,管理权和操作权是不能同时具有的,也就是说网络管理员是不可以拥有系统操作员的权限的,这应该是依靠严格的技术和管理保障的。这家银行显然没有做到这一点,从主人公几次轻易的转帐操作上就可以看出来。当然在现实中处于调试的方便,网管人员一般都会建立一个测试用的具有操作员权限的系统用户,一旦系统出现问题或者调试的时候就用这个用户做些操作来进行故障重现或者测试系统是否恢复正常。但是系统在设计的时候应该有足够的技术保障测试帐号不能操作正常帐户,并留下充分的审计记录。片中的银行显然没有做到这一点。此外银行内部员工之间缺乏强有力的相互制约机制,对主人公的充分信任,使得主人公可以轻易的做任何想做的操作,包括在监控台上自行操作的权利,从而删除了监控录像。诸如此类的管理问题,在这家银行里面应该是非常常见的,其实在现实的银行中也是非常常见的,但是确实是一个非常严重的安全隐患。
最后说一下人身安全的问题,劫匪进入主人公家里的方式非常简单。这提醒我们,无论什么时候有人敲门,都要问清楚再开门,我们教育孩子的话,自己先要做到,所谓言教不如身教嘛,现在的家长就是……(不好意思,又跑题了)。关于这方面的问题,大家可以参考我根据QBQ资料整理的《城市生存手册v1.0版》,什么在哪可以找到,不好意思,我还没有写,不过相信我,30年内我一定可以完成……
Jambo 回复于:2006-05-21 15:44:10
lz太神了,观后感如此详细:)
我看了一会儿没意思,就删掉了,其实是没看懂。。
skipjack 回复于:2006-05-21 21:28:36
引用:原帖由 zeroflag 于 2006-5-21 10:09 发表
《firewall》——一次差点成功的暴力社会工程
[color=Red]第一次在CU发原创贴,主要是debug,欢迎大家拍砖,不过请拍的轻点,谢谢。[/color]
我这个人比较落伍,经常在电影热放很久以后才会去看,比如这次 ...
顶
等我看的时候没准会想起LZ的话 :)
<<算法与密码学>>中提过分析密码最有效的方式就是"软磨硬泡,威逼利诱,财色兼施......"
我打赌该贴2006-05-22/10:30:46前会被加精华,哈哈哈......
你02年注册的ID,为什么只发表了这么少的文章?我想应该是最近CU有你观注的事情吧?
[ 本帖最后由 skipjack 于 2006-5-21 21:34 编辑 ]
zeroflag 回复于:2006-05-21 22:24:12
当时注册是为了差点资料,因为喜欢在女孩子多的地方上混,所以就很久没有来了。最近突然来了兴致就来转转,比较关注的是你最近一系列关于DoS的讨论,因为工作相关嘛,呵呵……
skipjack 回复于:2006-05-21 22:40:59
引用:原帖由 zeroflag 于 2006-5-21 22:24 发表
当时注册是为了差点资料,因为喜欢在女孩子多的地方上混,所以就很久没有来了。最近突然来了兴致就来转转,比较关注的是你最近一系列关于DoS的讨论,因为工作相关嘛,呵呵……
哇~偶的"玉米"呀 :)
怪不得你几十篇贴子一下子都灌在"网络安全"版了呢.呵呵.....
这篇原创写的很不错,连最新的银行跨行查款收3毛钱的漏洞都利用上了.
西门飞 回复于:2006-05-22 09:49:25
好文
收到偶blog里了
有意见不 ?
天下第二 回复于:2006-05-22 15:05:03
一看就是做售前的吧?哪个公司的?
zeroflag 回复于:2006-05-22 19:25:07
引用:原帖由 西门飞 于 2006-5-22 09:49 发表
好文
收到偶blog里了
有意见不 ?
没意见,只要著名是俺写的就行,顺便给下您blog的链接,俺去拜读一下!
做售前的确实没错,公司嘛,呵呵,说出来比较不好意思,因为公司并不是专业做安全的,安全只是其中一块不太大的业务。
testab 回复于:2006-05-23 10:42:12
不错 转载了.
ALENG_LINUX 回复于:2006-05-27 16:56:42
也可以说不过去一次3毛,一个人才尚且如次,那边很多办人才呢绒
zeroflag 回复于:2006-05-27 17:06:18
引用:原帖由 ALENG_LINUX 于 2006-5-27 16:56 发表
也可以说不过去一次3毛,一个人才尚且如次,那边很多办人才呢绒
乜意思?看不懂噻!
21932008 回复于:2006-06-01 09:17:13
电影没看过,不知道在那里可以看到 ! (网上的哦)
ashchen 回复于:2006-06-01 13:20:13
电影并没有太多创意,firewall也只是里面一个噱头而已,并不是一部讲述安全性很相关的电影。
真正的防火墙 应该系统策略
至于监视录像,出问题的几率是很小的,所以要有更好的方法来改善这种模式
GunKing 回复于:2006-06-01 15:36:55
老实说,除了名字很糟糕之外,这部片子还算可以,其中用打印机感光设备扫描屏幕和X上讨论的通过PcSpeack传数据有异曲同工之妙。
关于HACK的电影,推荐《网络惊魂2.0 》《第4空间黑客》以及那部描写凯文。密特尼克的不是星球大战的片子《骇客追缉令》
age98 回复于:2006-06-02 16:32:54
那个银行一水的DELL服务器,好像都是2650或2850
hiaw 回复于:2006-06-03 10:38:23
厉害!!
sw_yp 回复于:2006-06-05 15:19:43
非常不错的文篇,不过那个片子确实不昨有意思,看了半天差点睡着
busyant 回复于:2006-06-06 13:36:20
以前有部国产片,女劫匪盗取账号密码后把银行内所有帐户的小数点后金额全部划进了自己的帐户,让她瞬间拥有了上百万的money。这个方法好像也满高的哈!
孤独的鹰 回复于:2006-06-06 15:50:50
引用:原帖由 busyant 于 2006-6-6 13:36 发表
以前有部国产片,女劫匪盗取账号密码后把银行内所有帐户的小数点后金额全部划进了自己的帐户,让她瞬间拥有了上百万的money。这个方法好像也满高的哈!
楼上说的这个攻击思路来源一种xxx香肠(我忘记名字了只知道是意大利的),那种香肠特点是切的非常薄,你从拿走几片整个盘子是看不出变化的。
攻击者取得控制权以后只取得每个帐户的零头,比如比分更小的单位厘。几千万个帐户每个帐户拿几厘,最后会是很大的数字。
jimmylau11 回复于:2006-06-07 00:24:43
引用:原帖由 孤独的鹰 于 2006-6-6 15:50 发表
楼上说的这个攻击思路来源一种xxx香肠(我忘记名字了只知道是意大利的),那种香肠特点是切的非常薄,你从拿走几片整个盘子是看不出变化的。
攻击者取得控制权以后只取得每个帐户的零头,比如比分更小的单 ...
萨拉米香肠吧
lvDbing 回复于:2006-06-07 01:58:04
cool
laoshuyiba 回复于:2006-06-07 04:38:35
不错~
孤独的鹰 回复于:2006-06-07 11:11:20
引用:原帖由 jimmylau11 于 2006-6-7 00:24 发表
萨拉米香肠吧
我记性实在是差啊
excellentzhang 回复于:2006-06-09 15:27:23
电影是没看懂,不过这个老兄写的么,哈哈,,
咱自己是不是可以用
DV拍一部啊,,
说不定也能拿个什么什么奖,,
,,,,需要群众演员说一声,,,
dpsuffix 回复于:2006-06-13 12:47:45
hoho,昨天也尝试了一下社会工程,用一个与前管理员相似的邮箱发给现在的管理员一封索要密码的邮件,结果真骗来了密码,哈哈
laxi1982 回复于:2006-06-15 10:48:14
不错不错,分析透彻啊~
叶轻寒 回复于:2006-06-16 11:22:21
我发现就看<firewall>~片子放了好久都没看过.
fuju 回复于:2006-07-01 00:40:24
写的很不错~~
supersuper 回复于:2006-07-01 14:58:27
楼主看的还真细,分析的挺透彻
suw 回复于:2006-07-04 16:47:20
看过了,对他用传真机的扫描组件,扫描屏幕这个办法挺有印象.好象他还用了他女儿的IPOD做存储.电源.
七剑 回复于:2006-07-05 06:44:36
昨天我的朋友 被社会工程学骗了QQ密码.
hackerabc 回复于:2006-07-11 22:20:55
不错````不愧是孙子````呵呵````转走了```
decwang 回复于:2006-08-11 10:17:56
乐死我了,楼主分析的入木三分,片子可以不看了
星海夜航 回复于:2006-08-15 10:50:30
不错
jyx 回复于:2006-08-15 22:47:17
有收获,谢谢!
hbaoy 回复于:2006-08-24 22:23:49
再次,劫匪犯了一个非常低级的错误,就是在资金到位以后没有立刻更改那五个帐户的密码,正式这个疏忽造成了最后的功败垂成。如果抢劫成功后立刻更改密码,那么主人公的反击手段就不会成功。当然劫匪安排了干掉主人公的计划,但是任何行动都有成功与失败两种可能,所谓小心使得万年船,改个密码不是什么难事,却可以保证万无一失。况且我是不支持杀人的。
电影里好像是说黑掉了帐号,而不是进入去了,男主角是安全专家
需要注意的是,现在很多钓鱼的骇客们其实用的就是这种方法,钓鱼者们成功得到被害人的帐号及密码,取得了自由划拨资金的权限的时候,一般不会划走大量的资金,往往只是划走几十块钱就收手。你也许会认为这么点钱有点得不偿失,其实一个用户几十块,一万个用户就是就是几十万,十万个用户就是几百万,所谓积少成多集腋成裘是也。每个帐户由于损失很小,受害人常常不会发现,即使发现一般也不会报案,即使报案警察也不会重视,即使最终案发由于案值小也不会受到很严重的刑罚,甚至不会判刑,教育两句关几天就算了。所以作贼一定要做毛贼而不要做大盗,树大招风,做大盗虽然风光,但是下场嘛……
事实上,如果要真的让人无法查,还有一个办法,就是,在银行的每个账号里转走一分钱,我猜这样银行的系统也没办法计算出来吧
liumapple 回复于:2006-09-03 08:38:09
几千W帐户每个收一厘。。。。也才几W。。。
你要说几亿受一厘还有几十W
不过一个工银行用户也才多少。。
觉的最强就是银行了。每个用户年费10块。你不给也得给,,一下就几十亿。。。
focusoncdr 回复于:2006-09-04 00:11:29
引用:原帖由 hbaoy 于 2006-8-24 22:23 发表
事实上,如果要真的让人无法查,还有一个办法,就是,在银行的每个账号里转走一分钱,我猜这样银行的系统也没办法计算出来吧
别想的太美好了,银行有事后监督系统(简称“后监”--读起来真别扭:),不要说少这么多钱,少1分钱也是不行的,只是有时间差。
lscz 回复于:2006-09-13 14:53:31
细细看了一边。真实好文
hbaoy 回复于:2006-09-16 20:21:59
引用:原帖由 focusoncdr 于 2006-9-4 00:11 发表
别想的太美好了,银行有事后监督系统(简称“后监”--读起来真别扭:),不要说少这么多钱,少1分钱也是不行的,只是有时间差。
也许是偶没有表达清楚
偶是想说银行的系统在计算的时候会有四舍五入的情况,只要银行系统用计算机,那这种事就一定会有
所以像这种事根本就无从查起
以前看过一个电视剧就是这样的
哪个讲炒股的电视剧
有郑少秋
因为对方一直用电脑,可那天停电了,没办法只能用计算器,而郑少秋一方的人全部用算盘
结果他们在一场大战中因为计算器的四舍五入而输得一塌胡涂
PCOS 回复于:2006-09-19 23:21:21
说到民众心上了!顶用
net_robber 回复于:2006-09-20 15:50:17
场阿
byalligator 回复于:2006-09-27 17:59:25
拍的弱智,一个ipod加激光机的银光管就能备份数据,垃圾
zgy 回复于:2006-10-08 12:02:10
引用:原帖由 focusoncdr 于 2006-9-4 00:11 发表
别想的太美好了,银行有事后监督系统(简称“后监”--读起来真别扭:),不要说少这么多钱,少1分钱也是不行的,只是有时间差。
只要帐户是进出是平的,后监也没用
qdwmail 回复于:2006-11-30 13:00:34
分析的很经典
蓝德科技--网站建设专家
http://www.lander.net.cn
编辑000 回复于:2006-12-23 16:44:55
◣★◢国家级、核心、省级期刊征集论文启示
■《各界》文论系经国家新闻出版总署批准的公开发行的省级综合学术期刊。主办单位:陕西省政协。国内统一刊号:CN61-1302/D 国际刊号:ISSN1007-3906 邮发代号:52-148。系为高学历人群发表论文服务的高品位学术期刊。本刊系国际大16开本,精美印刷。已被《中国核心期刊(遴选)数据库》、《中国学术期刊(光盘版)》、《万方数据数字化期刊群》、《中文科技期刊数据库》等网络媒体吸收。竭诚欢迎各界学术新秀、专家学者投稿
■办刊宗旨:坚持参政议政,建言献策;坚持传播科技理念、报道科技前言、倡导科技创新、促进科技进步
■刊登内容:主要刊登我国当前科技及与科技发展有关的经济、政治、哲学、教育、管理等方面有一定学术和应用价值的学术论文和反映各学科、各领域的新成果、新工艺、新产品等方面的论述文章
■栏目设置:能源战略 法制天地 能源战略 教育交流 经营管理 教育交流 经营管理 财务会计 信息科学 教学研究 文化艺术
■滚动栏目:国防科技 高新技术 工程技术 工业技术 建筑科学 IT技术 电子商务 环境资源 财会审计 医疗保健 学术论坛 行业科技 实践创新 经济综述 图书论坛
■杂志社地址: 西安市建国路省政协大楼
编辑部地址: 西安市建国六巷一号
邮政信箱: 西安市钟楼邮局103信箱《各界》文论编辑部
邮政编码: 710003
◆◆责任编辑: 刘鹏 ★★电话:13227851169 ☆☆ QQ :49680757 邮箱:[email]lpgjwl001@163.com[/email]
杂志网址:www.gejiewenlun.com
(代写 发表 各种专业职称论文、毕业论文)
■投稿要求:
稿件应具有科学性、先进性和实用性,论点明确、论据可靠、数据准确、逻辑严谨、文字通顺;计量单位以国家法定计量单位为准;统计学符号按国家标准《统计学名词及符号》的规定书写;所有文章标题字数控制在20字以内;参考文献按引用的先后顺序列于文末;正确使用标点符号,表格设计要合理,推荐使用三线表;图片要清晰,注明图号;来稿请注明作者姓名、单位、通讯地址、邮编、联系电话及电子信箱,文稿以3000-6000字符为宜,并保证文章版权的独立性。文责自负,勿一稿多投
竭诚欢迎各界学术新秀、专家学者投稿
■■■紧急征集优秀艺术作品
本杂志为更好宣传中国书画艺术作品, 决定面向全国征集艺术作品,作品优秀者免费刊登
ylxzb 回复于:2007-01-27 23:23:50
引用:原帖由 zgy 于 2006-10-8 12:02 发表
只要帐户是进出是平的,后监也没用
不可能是平的,除非每个银行网点都去开个帐户,然后把那天没发生业务的其它帐户上的钱转过来才不能发现,不过如果银行后督要等好几天才看网点的帐的话。。。。。。。。
|
