7.3、启示

爱沙尼亚的银行是一个很容易被攻破的目标。Juhan在他查看银行的Web网页源代码的时候发现了它的缺陷。这些代码使用的是包含表单模板文件名的隐含表单元素，用CGI脚本加载并通过他们的Web浏览器展示给用户。他更改了那些指向服务器口令文件的隐藏变量。瞧，在他的浏览器上马上出现了这个口令文件。令人惊喜的是，这个文件并不是隐藏的，他获得了所有的加密口令。随后，他破译了这些口令。

而Dixie银行黑客为我们提供了另外一个需要深度防御的实例。在这个事件中，银行的网络是扁平状的。也就是说，除Citrix服务器之外，网络没有强有力的保护措施。一旦网络中的某个系统被攻破，攻击者就都能够连接到网络中所有其他的系统。其实，只要有个深度防御模型就能够有效阻止Gabriel获得AS/400的访问权。

银行的信息安全人员麻痹大意，错误地认为，只要运行外部审计就可以高枕无忧了。这种感觉可能已经让他们在进行整体的安全措施时过度自信。要提高计算机对黑客攻击的防御能力，进行安全评估或审计是一个非常重要的环节，而更加重要的是要合理管理网络以及网络内部所有的系统。