前黑客为企业安全进言：保护网络勇敢说“不”

　　CNET科技资讯网3月7日国际报道 知名的前黑客Kevin Mitnick 为企业的信息安全策略提出警告。他指出，教会你的员工如何说“不”将有助于公司的网络安全。

　　Mitnick 这位电脑世界里的传奇人物曾经入侵过诸如Motorola及诺基亚等世界最知名企业的公司网络。上周在东芝于澳大利亚墨尔本所举行的MobileXchange 大会上演讲。

　　FBI 在经过15年的搜捕之后，才于1995年抓到Mitnick，并让他蹲了四年苦窑。但随着年岁增长似乎也变得越来越有智能，现在他则把自己的鬼才用在正途，担任洛杉矶一家公司的安全顾问。

　　许多公司都砸下重金在保护公司网络上，但Mitnick 直接挑明说，没有什么铜墙铁壁挡得了他。反而，有些精心规划的社交工程(social engineering )──或者甚至只要花些时间去垃圾堆里翻一翻──往往就能够很有效入侵公司企业安全的最弱点(weakest link)：就是公司员工。

　　“你在垃圾桶里可以找到的东西相当惊人。”Mitnick 表示。“大家丢掉的包括了各种文件：笔记、书信草稿，源代码的输出本，专案计划书的打印文件，以及存取信息，甚至包括了开会中每个人讨论内容的日程管理等等。”

　　这些信息给有心的黑客相当大的帮助，为他们入侵企业网络做暖身：例如，他们会先假冒公司员工打电话给公司内的服务台，或者是专门拜访公司假装要套业务关系。由于人不习惯说“不”，就算面对了可疑的陌生人也是一样。Mitnicks表示，狡滑的言谈技巧比暴力入侵攻击，可能让黑客进入企业网络。

　　现代技术让这样的黑客更是如虎添翼。如果一个黑客可以进入到会议室，只要几分钟时间，就可以装一台无线的AP(access point，桥接器)让它成为户外的AP，为企业网络开一个后门，甚至只要在大楼外的停车场就可入侵。

　　这样的安全漏洞要了解很简单，但要防备却很困难。要拟定清楚的安全政策，明确说明对陌生人如何应对，对于访客在接触实体设备时如何处理信息及存取权限。教导员工，当遇到可疑情况时要记住这些政策，而不是随兴反应，或者是很自然的照黑客的要求去做。

　　甚至只要进一步问一下连络信息，公司员工可能就能够让陌生人收回协助的要求，足以让黑客转身逃走。

　　“我们无法要求员工成为测谎机。”Mitnick 表示。“企业文化中最难改变的挑战之一就是，要大家改变过去的谦谦君子。”