86浪

       在你上班的时候，有多少次在走廊里与陌生人擦肩而过，有多少次为不认识的人打开了受到刷卡保护的房门，又有多少次把办公室的访客单独留在了休息室里？

      这一切也许看上去并不是那么危险，但是游戏危险的人正是利用这些轻信的举动来获取你的个人信息——同样这样做的还有TraceSecurity的工作人员。很多公司都会雇佣TraceSecurity来测试自己系统的安全性。具体做法也许是这样的，由TraceSecurity的工作人员装扮为害虫防治人员或者消防人员尝试进入服务器房间或者窃取机密的用户信息。据该公司的首席技术官兼技术副总裁，吉姆·斯蒂克利介绍，装扮为消防人员是进入公司内部最为容易的方式，因为法律规定此类人员的进入是不能被阻止的。

      为了展示他们出色的化装技术，同时为了证明是他们导致用户安全系统失效，TraceSecurity的操作人员在进入公司之后，会在成功实现控制的设备上贴上贴纸加以标记。有时候他们也会真的将一些设备带出建筑物（当然会在检查后归还）。他们或者也会进行远程操作，向系统中植入特洛伊木马或者蠕虫病毒以获取数据，并用视频截图作为成功的证据。

      PC Magazine跟随斯蒂克利和他的搭档马修·布里顿参与了他们最近为东海岸的一家财务协会进行的一次检测。斯蒂克利和布里顿装扮为害虫防治官员，成功地侵入了这家公司六个分支机构中的三个，并逗留长达数小时。为了此次行动，他们的前期工作在几天前就已经做好，主要是伪造这家公司的网域发出一封看上去来自该分支机构高层的内部邮件。这封电子邮件告知雇员们近期将会有一次害虫防治工作，并要求他们陪同工作人员在办公室内彻查害虫的滋生情况。

      “人们已经对电子邮件产生了相当的信任感，所以通过技术手段可以轻松地对他们实施欺骗。”斯蒂克利介绍说。其实很多管理严格的公司都对电子邮件的使用制定有相关的规定，但认真遵守的人很少。斯蒂克利建议公司在通过电子邮件进行事项处理或者日程安排时为邮件植入一条内部代码语句，这样雇员们就可以确信这些信件来自于正常渠道。

      斯蒂克利和布里顿首先在租来的车上贴好害虫防治的标志，然后在10点左右进入了第一个目标地点。布里顿在陪同下最后到达了通向该机构电脑系统的外层大门。负责陪同的人员在那里逗留了片刻之后就立即返回了大楼的主体部分，留下了布里顿一个人，以及对于整个网络的访问权限。他在设备上贴上了TraceSecurity的贴纸加以标记，然后拍照记录下工作成果。“我们只需在他们的网络干路上架设起一个无线控制装置，就能远程访问整个网络。”

      同时，斯蒂克利也被允许单独地留在了装有该机构监视系统和安全系统的房间。“我只是找了一个借口说他们待在房间里有可能会导致害虫的滋生。在这个时候，我可以轻松地瘫痪他们的警报系统。”斯蒂克利如此介绍当时的情况。

      总之，整个行动只花费了20分钟。第二天，TraceSecurity的潜入者们身着便服，再一次回到了这些办公室里，并简要地向雇员们介绍如何在将来避免类似的欺骗发生。

      某些公司的主管会因为TraceSecurity成功潜入他们的公司感到恼怒，但是IT人员却常常会为此欢欣鼓舞，因为他们在过去总是因为保卫工作不到位而深受指责。“而现在，他们终于知道他们应该关注的对象是谁了。”斯蒂克利说道。