資源描述:
《第十四章 商業(yè)間諜.doc》由會員上傳分享,免費在線閱讀����,更多相關內容在學術論文-天天文庫。
1���、第十四章商業(yè)間諜針對政府��、企業(yè)和大學機構的信息安全威脅已經(jīng)很好地得到了介紹���,幾乎每一天都會有媒體報導新的計算機病毒、拒絕服務式攻擊�����、電子商務網(wǎng)站的信用卡信息盜竊案��。我們經(jīng)常讀到關于商業(yè)間諜的新聞���,比如���,Borland指責Symantec盜竊商業(yè)機密���,Cadence設計規(guī)劃公司控訴競爭對手盜竊其產(chǎn)品源代碼,許多商業(yè)人士認為在他們公司絕不會發(fā)生這種事情���,但是���,這種事情每天都在發(fā)生。計劃變更下面故事中的騙局或許已經(jīng)被實現(xiàn)過很多次了��,雖然這很像是好萊塢電影(比如《TheInsider》)里的情節(jié)或者約翰格雷森姆的
2��、法律驚險小說��。集體訴訟假設有一場針對Pharmomedic制藥公司的集體訴訟���,該訴訟聲稱他們發(fā)現(xiàn)該公司的一種非常受歡迎的藥物具有破壞性的副作用,這種副作用將在病人服藥多年以后顯露出來����,該訴訟聲稱他們是從一系列的調查研究中得出這一結論的,但是這些證據(jù)被壓下不用,并且沒有在規(guī)定的時間內轉交給FDA(食品及藥物管理局)���。威廉?比利?錢尼(William"Billy"Chaney)���,處理此案的紐約律師行代理律師,得到了兩個Pharmomedic醫(yī)生的證詞��,但是兩人全都退休了并且沒有任何檔案或文件��,所以不能作為令人
3�、信服的證人。比利知道自己現(xiàn)在處于弱勢����,除非他能得到其中一份報告或者內部備忘錄(或公司高層之間的通訊)的副本,否則他的整個案子都將崩潰�����。因此他選擇了和一家公司再次合作:安德雷森父子私人調查公司��。比利不知道彼得和他的人是怎樣獲得這些資料的��,他也不想知道�����,他只知道彼得?安德雷森(PeterAndreeson)是一個好偵探。至于安德雷森�����,他把像這樣的任務稱為黑袋子秘密調查�����,第一條規(guī)則就是讓雇用他的律師事務所和公司不知道他是怎樣獲得這些信息的��,所以他們總是解釋得模模糊糊似是而非���。如果有人愿意自找麻煩的話���,越難的任務
4、他所收取的費用越高�,他認為這值得冒險,除此之外�,他還能從欺騙聰明人的過程中找到個人滿足感。如果錢尼希望他找到的那些文件確實存在并且沒有被銷毀��,他們也許會把它放在存放文件的某個地方��,但是要從堆積如山的文件中把它們找出來無疑是一項艱巨的任務�����。另一方面�����,假設他們已經(jīng)把文件的副本交給了他們自己的律師事務所(詹金斯與派屈)�,如果辯護律師知道這些文件的存在并且不把它們轉交到取證程序,那他們就違反了律師的職業(yè)道德并觸犯了法律�,在彼得看來,這制造了許多可攻擊的對象�����。彼得的攻擊彼得讓他的人著手調查����,幾天后他弄清了詹金斯與派
5、屈律師事務所存放異地備份的位置�����,他還了解到存儲公司有一張律師事務所授權提取磁帶的人員名單��,名單的上的每個人都有各自的密碼。彼得派了兩個人進行這一次的黑袋子秘密調查����。他們用從網(wǎng)上(www.southord.com)買來的開鎖工具開鎖,幾分鐘后就溜進了存儲公司的辦公室(大概凌晨3點)�����,其中一人打開一臺PC機���,屏幕上出現(xiàn)了Windows98的圖標���,他們笑了,這簡直就是小菜一碟�,Windows98沒有任何形式的身份認證程序。稍加搜索之后����,他們找到了含有授權名單的MicrosoftAccess數(shù)據(jù)庫。他們在詹金斯與
6�、派屈律師事務所的授權名單上添加了一個偽造的名字,其中一人早就準備好了匹配的駕駛執(zhí)照����,當然也是假的�。他們能闖入帶鎖的存儲室并找到他們客戶想要的磁帶嗎���?當然能——但是,這家公司所有的客戶(包括律師事務所)都會收到一張受損通知�����,這樣一來攻擊者就失去了應有的優(yōu)勢:專業(yè)人員總是為以后進出留下后門�����,以備不時之需����。按照商業(yè)間諜的常規(guī)做法,他們把一些也許以后要用的東西放進了后口袋�,然后把包含授權名單的文件復制到了軟盤上,他們誰都不知道這是否有用���,但是“我們已經(jīng)在這兒了����,不如……”����,事后常常證明了這樣做的好處���。第二天,其中
7�、一人打電話到存儲公司,使用他們添加到授權名單上的名字和相應的密碼通過了驗證�,然后請求提取詹金斯與派屈律師事務所上個月所有的磁帶,并說將會有信使服務來拿包裹����。大概下午三點,安德雷森拿到了那些磁帶���,他的人把所有的數(shù)據(jù)復制到了他們自己的電腦系統(tǒng)上���,準備在空閑時間進行搜索。讓安德雷森感到高興的是�����,律師事務所和其它大多數(shù)商業(yè)公司一樣����,并沒有加密他們的備份數(shù)據(jù)��。磁帶在第二天就送回了存儲公司���,沒有引起任何人的注意。米特尼克語錄有價值的信息無論在哪兒都必須受到保護(不管是哪種形式)��。一家公司的客戶名單���,不管是存儲箱里印刷
8、文檔還是辦公室的電子文檔��,具有同樣的價值���。社會工程師總是喜歡輕松地繞開安全措施��,選擇最薄弱的環(huán)節(jié)作為攻擊目標���。竊取一家公司的異地備份儲存設備被發(fā)現(xiàn)或被抓住的風險很低,每一家公司在存儲任何有價值���、敏感或者關鍵的數(shù)據(jù)之前�,都應當將其加密以保護數(shù)據(jù)的機密性。過程分析因為松懈的物理安全���,壞人們輕易地打開了存儲公司的鎖��,獲得了計算機的訪問權限����,然后修改了包含存儲室授權名單的數(shù)據(jù)庫�,用名單上偽造的名字獲得了他們需要的計算機備份磁帶,而不是
