昔日传奇黑客献招“人身防火墙”是最佳防御

　　CNET科技资讯网4月15日国际报道 已洗手不干的传奇性黑客Kevin Mitnick 说，企业若想加强保护机密信息不外泄，不妨成立一个事件应变部门，专门处理可疑的信息查询。

　　Mitnick 说，这个部门应接受社会工程学的训练，能敏锐地察觉任何可疑的安全攻击并加以调查，且能有效、迅速地随机应变。

　　这位Mitnick 安全顾问公司(昔称Defensive Thinking)的创始人也呼吁，企业应妥善向员工宣导，巩固内部的“人身防火墙”(human firewall)。

　　本周在雪梨举行的一场社会工程学预防工作小组座谈会中，Mitnick 与商业合伙商人Alex Kasperavicius警告，黑客可能利用社会工程学的一些技巧，利用员工心理上的弱点，回避企业的安全技术防护。

　　Mitnick 说，若黑客能轻易说服公司的某个员工透露登录信息，企业就算砸下数百万美元安装最新型的软硬件保护企业网络，又有何用？

　　他说：“黑客会寻找最弱的环节切入。安全计划是由人员、程序与技术组成的。你的公司可能在某方面很强，例如技术方面，但或许员工未接受良好的训练，那正是歹徒下手的对象。黑客会找最方便的门路溜进去。”

　　Mitnick 和Kasperavicius 举例说，两人在离开洛杉矶之前，曾到某知名女艺人的办公室，取得她所属公司的一些垃圾袋。去除披萨盒、饮料罐等垃圾之后，留下的是大量印出来的电子邮件信息、传真、薪资单、电话帐单等文件。两人要求与会者搜索这些“垃圾”，看看能否找出任何有助于发动攻击之物。

　　在薪资清单和发票中，与会代表发现竟有知名流行歌手Christina Aguilera与另一知名摇滚乐吉他手的住宅电话号码及移动电话号码，以及印有某电视明星个人网站网址、使用者名称及密码的打印文件。

　　“在这堆垃圾中，你发现便利贴字条、行事录、帐单、系统名称以及通讯信件。翻寻企业垃圾的人士也找得到竞争情报，那不只是黑客或工业间谍的专利，”Mitnick 说。

　　他还示范社会工程学者如何运用假扮IT服务员、说服员工透露密码等伎俩，向不知情的员工套出重要的信息。有的人甚至精心安排复杂的骗术，在组织内潜伏数月，假冒他人身份，进行信息收集。

　　Mitnick 建议与会代表建立并落实安全政策，包括对这类社会工程技俩的防范措施在内。他说，不同部门的员工应训练他们提防不同类型的攻击，例如，锁定安全警卫或远距上班员工的攻击伎俩，就不大可能用来对付接待人员。