欺骗的艺术
The Art of Deception
凯文·米特尼克 著
1
目录
序
前言
内容介绍
第一部分
第一章 安全软肋………………………………………………………………………………1
第二部分
第二章 无害信息的价值 ……………………………………………………………………10
第三章 正面攻击—直接索取 ………………………………………………………………25
第四章 建立信任 ……………………………………………………………………………34
第五章 我来帮你 ……………………………………………………………………………46
第六章 你能帮我吗? ………………………………………………………………………67
第七章 假冒网站和危险附件 ………………………………………………………………81
第八章 利用同情、内疚和胁迫 ……………………………………………………………91
第九章 逆向骗局……………………………………………………………………………114
第三部分 入侵警报
第十章 进入内部…………………………………………………………………………126
第十一章 综合技术与社会工程学…………………………………………………………146
第十二章 攻击新进员工……………………………………………………………………164
第十三章 聪明的骗局………………………………………………………………………176
第十四章 商业间谍…………………………………………………………………………189
第四部分 加强防范
第十五章 信息安全知识与训练……………………………………………………………203
第十六章 推荐的信息安全策略……………………………………………………………213
序
人类天生就有一种探索周围环境的内在动力,作为年轻人,我和凯文·米特尼克(Kevin
Mitnick)对这个世界有着无比的好奇心并渴望证明自己的能力。我们努力学习新事物、解决
难题并赢得比赛,但同时这个世界又告诉我们一个行为规则――不要过于放任自己对探索自
由的强烈渴望。可对于最大胆的科学家和企业家,还有像凯文·米特尼克这样的人来说,跟
随内心的这种渴望会带来极大的兴奋,并使他们完成别人认为是无法做到的事情。
凯文·米特尼克是我认识的人中最杰出的一个。只要你问他,他便会坦率的告诉你他曾
经做过的事――社会工程学――包括骗人。但凯文已经不再是一个社会工程师了,即便在他
曾经是的时候,他的动机也绝不是发财和伤害他人。这并不是说这个社会不存在利用社会工
程学而给他人带来真正伤害的危险的破坏者,事实上,凯文写这本书的目的就是要提醒大家
警惕这些罪犯。
《欺骗的艺术》将会展示政府、企业和我们每一个人,在社会工程师的入侵面前是多么
的脆弱和易受攻击。在这个重视信息安全的时代,我们在技术上投入大量的资金来保护我们
的计算机网络和数据,而这本书会指出,骗取内部人员的信任和绕过所有技术上的保护是多
么的轻而易举。无论你是在政府还是在企业,这本书都如同一个清晰、明确的路标,它将帮
助你弄清社会工程师的手段,并且挫败他们的阴谋。
以小说故事的形式展开叙述,不仅有趣,还具有启发性,凯文和合著人比尔·西蒙将把
社会工程学这一不为人知的地下世界展现在你的面前。在每个故事叙述之后,他们还将提供
一个实用的技术指南来帮助你提防他们在书中所描述的威胁和泄露。
技术上的安全防护会留下很大的漏洞,凯文这样的人可以帮助我们去堵住它。阅读此书,
你会发现我们所有的人都终将需要得到“米特尼克”(译者注:指凯文·米特尼克这样的人)
的指导。
史蒂夫·沃尼亚克
作者: KEVIN D.MITNICK & William L.Simon
译/王小瑞jroclee[AT]163.com
龍之冰点 Hhacker [AT]Hhacker.com
前言
一些黑客毁坏别人的文件甚至整个硬盘,他们被称为电脑狂人(crackers)或计算机破
坏者(vandals)。另一些新手省去学习技术的麻烦,直接下载黑客工具侵入别人的计算机,
这些人被称为脚本小子(script kiddies)。而真正有着丰富经验和编程技巧的黑客,则开发黑
客程序发布到网站或论坛(BBS)。还有一些人对黑客技术没有丝毫兴趣,他们把计算机仅
仅当做窃取金钱、商品和服务的辅助工具。
尽管媒体神话了凯文·米特尼克,但我并不是一个用心险恶的黑客,我只是喜欢不断地
超越自己。
人之初
我的人生之路,也许在我很小的时候就注定了。三岁时,由于父亲的离去,使我无忧无
虑的生活发生变故。做招待的母亲支撑着家庭。那时的我(一个由深受没有工作规律之苦的
母亲养活着的独生子),除了睡觉以外,大部位时间都没人管,我就是我自己的保姆。
在圣费尔南多谷(San Fernanado Valley)的成长经历给予我探索整个洛杉矶的机会,十
二岁时,我发现了一个可以免费周游洛杉矶的方法。我发现到坐公车时购买的换乘券,是由
一种非常规的打孔机打出来的,公车司机用它来在换乘券上标记日期、时间和路线。一位司
机友好地回答了我精心准备的问题,于是我知道了在哪里可以买到这种特殊的打孔机。换乘
券用来改乘车次从而到达目的地,但是我想出的方法,可以让我使用换乘券免费到达我想去
的任何地方。
获得空白换乘券很容易,如同去公园散步般简单,因为公车终点站的废物箱中总是充斥
着公车司机换班时未用完的换乘券本子。用一叠空白换乘券加上打孔机,我可以制作出我自
己的换乘券,并用它行遍全洛杉机公车能够到达的任何地方。很快,我就差不多记住了整个
公交系统的公车时刻表。(我对某种信息的记忆力总是让人惊讶,这一个较早的例子。直到
现在,我还能记住远在童年时的电话号码、口令以及其它一些看上去十分琐碎的事情。)
另一个在小时候就显露出来的个人兴趣是对魔术的迷恋。一旦我知道了某个魔术的变
法,我就会不断的练习、练习,再练习,直到我完全掌握。从某种程度上说,正是由于魔术,
才让我发现获取秘密信息的乐趣。
从盗打电话到黑客
我首次接触社会工程学的时候是在中学时期,那时我遇到了一位喜欢盗打电话的同学。
“电话盗打”是一种利用电话公司雇员和电话系统来探测电话网络的黑客行为。他向我展示
了使用电话的高级窍门,比如从电话公司获取任何一位客户的资料,以及使用秘密测试号码
拔打免费长途电话。实际上这只是对我们来说免费,因为我后来发现这根本就不是一个秘密
测试号码,那些话费事实上从某些倒霉公司的 MCI(译者注:美国著名通讯公司)帐户上
划出了。
这就是我对社会工程学的入门,也可以说是我的启蒙阶段。我的朋友还有后来认识的另
外一个盗打电话的人,他们在给电话公司打电话时让我在旁边听,他们是如何让电话公司相
信他们所说的话。于是,我知道了许多电话公司的办公地点,他们的业内用语,还有办公程
序。这种“训练”并没有花多长时间,不久我便可以完全自己来做这些事情,甚至比我的启
蒙老师们做的还要好。
我生命中下一个15 年的生活已经注定。
在中学,我最为喜欢的恶作剧就是获得对电话交换机未授权的访问,然后改变某个电话
盗打者的话费设置。当他从家里打电话时,他的电话就会告诉他需要投入一角硬币,因为电
话公司交换机的记录被我更改,从而认为他拔打的是一个投币电话。
我开始关注有关电话的任何事情,不只是电子学、交换机和计算机,还有公司组织、业
务手续和行业术语。不久之后,我就比任何一个电话公司的雇员都更加了解电话系统。我对
社会工程学的运用也达到了娴熟的阶段,十七岁时,我就能与大多数电信公司的员工谈论几
乎任何事情,无论是当面聊还是打电话。
实际上我较为公开化的黑客之路,始于中学。尽管在这里我无法说清原委,但其实一句
话也能表达了。在我黑客生涯的早期,一个驱使我的动力就是被黑客圈子的人所接受。在那
时,黑客这个词是指一个花费大量的时间调置软硬件的人,或是开发更有效的程序,或是绕
过不必要的步骤来更快的完成工作。这个词如今已经是一个带有贬义的“恶意犯法者”的意
思了,但在本书中,我仍然按原来对它更为善意的理解使用这个词汇。
中学之后,我在洛杉矶计算机学习中心攻读计算机。没几个月的时间,学校的计算机管
理人员就意识到我发现了操作系统的漏洞,并取得了管理员权限,但是在学校的教学人员中,
最好的计算机专家也无法弄清我是如何这样做的。这也许是最早雇佣黑客的例子之一吧,他
们给了我一个无法拒绝的提议:要么做出一个荣誉学位的毕业设计来加强学校的计算机安
全,要么由于黑客行为而中止学业。当然,我选择了前者,以本科优等成绩荣誉学士毕业。
成为社会工程师
每天早晨,许多人从床上一爬起来,便开始对千篇一律的繁重工作犯愁。我却很幸运,
因为我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。
我的天份在称为社会工程学(使人们做在通常情况下不会为陌生人做的事情)的表演艺术中
得到磨练和回报。
对我来说,成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域,
因此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时,这
就是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种,一种是通过诈骗、欺骗
来获得钱财,这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的,
这就是社会工程师。从我使用诡计免费乘车的时候(我那时还小,并没有认识到这样做有什
么不对),就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了
解术语和培养良好的操纵技巧,更为加强了这种天份。一个用来发展我的专业技艺(如果这
可以称为一个专业的话)的方法就是看我是否能与电话另一端的人攀谈,并获得相关信息,
即便这些信息对我毫无用处,这样做只是为了证明我的专业技巧。同样,我还用此种方法,
练习奇巧的计谋、托辞,不久我发现我可以取得我想关注的任何信息。正如我在数年后的国
会听证会上,在利伯曼(Lieberman)和汤姆森(Tompson)参议员面前所做的证词中描述的
那样:
“我未经授权进入了世界上最大的几家公司的计算机系统,并成功渗透了一些防范最好
的电脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码,以研究它
们的漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么,并
发现其中的秘密,比如操作系统、移动电话以及任何能引起我好奇心的东西。”
最后的想法
自从被捕以后,我已经承认了自己这些行为的非法,侵犯了他人的秘密。我的错误行为
是由于好奇心引起的,我抑制不住的想知道电话网络是如何运转的,以及了解计算机安全的
每个细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。
当我反省过去的这30 年时,我承认自己做出了极其拙劣的选择,被好奇心驱使,被学习技
术的欲望和智力挑战的虚荣所驾驭。
但我现在已经转变,我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮
助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍
给他人,以避免那些怀有恶意的信息盗贼可能带来的危害。我相信,你将会从本书中得到乐
趣、教育和启发。
内容介绍
本书包含丰富的信息安全与社会工程学的知识,为有助阅览,下面对本书内容做一个简
要介绍:
在本书的第一部分(第一章),我将展示信息安全的薄弱环节,并指出为什么你和你们
的企业处于社会工程师攻击的危险之下。
本书的第二部分(第二至九章),大家将会看到社会工程师是如何利用人们的信任、乐
于助人的愿望和同情心使你上当受骗,从而获得他们想要的信息。本书通过小说故事的形式
来叙述典型的攻击案例,给读者演示社会工程师可以戴上许多面具并冒充各种身份。如果你
认为自己从来没有遇到过这种事情,你很可能错了。你能从本书的故事中认出自己似曾相识
的场景么?你想知道自己是否经历过社会工程学的攻击么?这些都极有可能。但当你看完了
第二章到第九章时,便知道下一个社会工程师打来电话时你该如何占取主动了。
接下来的部分将展示一个社会工程师如何铤而走险,进入企业内部,盗取关健信息并越
过高级安全防控措施的过程。此部分内容会让人意识到安全威胁存在于各个方面,从普通员
工对企业的报复一直到电脑空间的网络恐怖主义。如果你对保持公司业务运转的数据和秘密
信息十分重视并为之感到担心,请仔细的阅读本书第三部分(第十至第十四章)。这里需要
注明的是:“除非另做声明,本书中的故事情节纯属虚构。”
本书第四部分(第十五至十六章)我将谈到,在业务对话中如何成功的防止社会工程学给
企业带来的攻击。第十五章提供一套有效的安全防范培训计划;第十六章也许正解你的燃眉
之急――它包含一个完整的安全策略,你可以按公司的需要来立刻应用,以保证企业的信息
安全。
最后,本书提供一个由列表、表格组成的“安全一瞥”,用来概括说明一些关健信息,
以帮助员工在工作中阻止社会工程学带来的攻击。这些方法还可以为你做出自己的信息安全
培训计划提供颇具价值的帮助。
纵览全书,你还可以发现一些非常有用的内容条目:“术语箱”提供社会工程学和计算
机黑客的术语;“米特尼克信箱”发出精典短语,有助于加深安全策略的印象;注释与工具
条则带来一些有趣的背景知识等附加信息。
1
第一部 幕后的故事
第一章 安全软肋
某公司也许购置了能用钱买到的最好的安全技术,员工们也训练有素,每晚回家前把所
有的秘密都锁起来,并从业内最好的保安公司雇用了保安,但这家公司仍然易受攻击。一些
人可能遵从了专家所有最好的安全建议,安装了各种受推荐的安全产品,并十分谨慎的处理
系统配置以及应用安全补丁,但他们仍然很不安全。
人为因素
在国会听证会前的一次证言中,我解释到我经常可以从企业获得密码口令或其他类似的
敏感信息,只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于
虚假的安全感之中。想像一位负责任的可爱的屋主,他有一套麦迪科(译者注:Medico,知
名品牌、价格昂贵)防撬锁装在屋子的大门上,以保护他的妻子、孩子和他的家。他觉得很
心安,因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢?再安装
一套强壮的安全系统么?虽然有用,但还是不够安全。无论防盗锁是昂贵还是便宜,屋主的
安全仍然难以保障。为什么?因为人为因素才是安全的软肋。
安全,通常情况下仅仅是个幻想,由其是轻信、好奇和无知存在的时候。二十世纪最受
尊敬的科学家爱因斯坦这样说道:“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对
于前者,我不敢确定。”最终,社会工程学的攻击,成功于人们的愚蠢或更为普遍的对信息
安全实践上的无知。
与这位屋主一样,有许多信息技术(IT)从业者都有着类似的错误观念。他们认为自己
的公司固若金汤,因为其配置了精良的安全设备――防火墙、入侵检测,或是更为保险的身
2
份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会
满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭
遇安全事故。
正如著名的安全顾问布鲁斯·施尼尔(Bruce Schneier)所说:“安全不是一件产品,它
是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断地创
造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人
转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本
和冒最小的风险。
一个欺骗的经典案例
企业资产安全最大的威胁是什么?很简单,社会工程师。一个无所顾忌的魔术师,用他
的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上
他是件荣幸的事情。我们来看一个社会工程学的例子:
许多人都已记不起一个叫斯坦利·马克·瑞夫金(Stanley Mark Rifkin)的年轻人,和
他在洛杉矶的美国保险太平洋银行(Security Pacific National Bank)的冒险小故事了。他的
劣迹很多,瑞夫金(同我一样)从未把自己的事情告诉过别人,因此下面的叙述基于公开的
报道。
获得密码
1978 的一天,瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室,
这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的
数据备份系统,这给了他了解转账程序的机会,包括银行职员拔出账款的步骤。他了解到被
授权进行电汇的交易员每天早晨都会收到一个严密保护的密码,用来进行电话转帐交易。
3
电汇室里的交易员为了记住每天的密码,图省事把密码记到一张纸片上,并把它贴到很
容易看得见的地方。11月的一天,瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后,
他做了一些操作过程的记录,装做在确定备份系统的正常工作。借此机会偷看纸片上的密码,
并用脑子记了下来,几分钟后走出电汇室。瑞夫金后来回忆道:“感觉就像中了大奖”。
转款入户
瑞夫金约在下午3 点离开电汇室,径直走到大厦前厅的付费电话旁,塞入一枚硬币,打
给电汇室。此时,他改变身份,装扮成一名银行职员――工作于国际部的麦克·汉森(Mike
Hansen)。那次对话大概是这样的:
“喂,我是国际部的麦克·汉森。”他对接听电话的小姐说,小姐按正常工作程序让他
报上办公电话。“286。”他已有所准备。小姐接着说:“好的,密码是多少?”瑞夫金曾回
忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信
托公司(Irving T rust Co mpany)贷一千零二十万美元到瑞士苏黎士某银行(Wozchod
Handels Bank),他已经建立好的账户上。对方说:“好的,我知道了,现在请告诉我转账
号。”
瑞夫金吓出一身冷汗,这个问题事先没有考虑到,他的骗钱方案出现了纰漏。但他尽量
保持自己的角色,十分沉稳,并立刻回答对方:“我看一下,马上给你打过来。”这次,他装
扮成电汇室的工作人员,打给银行的另一个部门,拿到帐号后打回电话。对方收到后说:“谢
谢。”(在这种情况下说“谢谢”,真是莫大的讽刺。)
成功结束
几天后,瑞夫金乘飞机来到瑞士提取了现金,他拿出八百万通过俄罗斯一家代理处购置
了一些钻石,然后把钻石封在腰带里通过了海关,飞回美国。瑞夫金成功的实施了历史上最
大的银行劫案,他没有使用武器,甚至勿需计算机的协助。奇怪的是,这一事件以“最大的
4
计算机诈骗案”为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术,这
种技巧和能力我们现在把它称为——社会工程学。
威胁的天然性
瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件(也许到不了一千
万美元,但终归有所损失)每天都在发生,你的资金可能正在流失,新产品方案正在被窃取,
而你却一无所知。即使你的公司还没有这样的事情出现,那也会终将出现。但它何时出现呢?
日益增长的安全事件
美国计算机安全协会在2001 年计算机犯罪调查报告中声称,在接受调查的组织机构中,
有85%的组织在过去的12 个月中发现了计算机安全事件。这是一个惊人的数字,只有15%
的机构在过去的一年中没有发现安全事件。另一个数字同样惊人,有64%的机构由于计算机
的问题而导致财务损失,超过一年中遭受财务损失企业的二分之一强。
我的经验告诉我这个数字有些夸大,并对这项调查的研究结果表示怀疑。但这并不是说
安全事件的危害面不大,相反,它很大。那些未把安全事件考虑在内的人,迟早会出问题。
大多数公司配置的安全产品主是应付业余入侵者的,比如被称为“脚本小子”的年轻人。实
际上,这些利用别人的软件,并憧憬着成为真正黑客的人,大多数情况下只能引起一些麻烦。
真正的损失和威胁,来自于经验丰富、目标清晰,受商业利益驱动的攻击者。这些人一次只
盯准一个目标,而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量,而职业黑
客在乎的是信息的质量和价值。
认证设备(身份认证)、访问控制(对文件和系统资源的控制管理)和入侵检测系统(计
算机化的防盗器)等技术,对公司的安全防护是十分必要的。然而,现在的公司在布置保护
企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。
5
正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。在许
多时候,他们把这种心思放在了人的身上。
欺骗的使用
许多人都说,关掉了的计算机才是安全的计算机,但这是错误的,找个借口让人去办公
室打开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息,这只是时间
的问题。耐心、个性和坚持,这正是欺骗的艺术的切入点。
要击败安全措施,一个攻击者、入侵者,或是社会工程师,必须找到一个方法,从可信
用户那里骗取信息,或是不露痕迹的获得访问权。当可信用户被欺骗、影响,并被操纵而吐
露出敏感信息时,或是做出了不当的举动,从而让攻击者有漏洞可钻时,什么样的安全技术
也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一
样,社会工程师通过欺骗你的雇员来绕过安全技术。
信任的弊端
大多数情况下,成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、
讨人喜欢,并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师,使用他自
已的战略、战术,几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安
全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。尽管我
们很聪明,但对我们人类——你、我、他的安全最严重的威胁,来自于我们彼此之间。
我们的国民性格
我们对危险漠不关心,尤其在西方,美国则更甚。我们没有受到要对别人保有怀疑态度
的训练,我们接受的是“爱汝之邻”(译者注:此句引自《圣经》)的教育,人与人之间要相
互信任和忠实,试想一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是
6
很明显的,却似乎被许多宁愿活在理想世界里的人忽略,直至受到伤害。
我们知道,并不是所有的人都诚实善良、友爱可亲,可我们在生活中却经常把他人想像
成这样。这种可爱的无知一直都是美国人的生活方式,放弃这种习惯十分不易。做为美国人,
自由和最适宜居住的地方就是锁和钥匙最没必要的地方,这种理念已经深入人心。大多数人
持有不会被欺骗的想法是觉得被骗的可能性很低,而攻击者利用这种心理,编出不会引起怀
疑的听上去十分合理的理由,充分的利用了受骗者的信任。
机构的无知
无知是我们国民性格的一部分,这可以在 回溯计算机首次远程联接时轻易的看出。
APPANet(美国国防部高级研究项目署网络),互联网的前身,用来在政府、科研和教育机
构之间共享信息,其目标是信息共享和科技进步,许多教育机构因此建立了几乎没有任何安
全措施的早期计算机系统。一个著名的软件开发自由主义者,理查德·斯托曼,甚至拒绝为
他的账号设置口令。但随着互联网电子商务的兴起,由于互联网脆弱的安全措施导致的危害
性发生了极大的变化。
使用再多的安全技术也不能解决人为的安全因素,拿今天的机场为例,安全已经成为首
要措施,然而我们仍然被媒体的报道所警告,还是有人可以避开安全措施、携带潜在性武器
通过检测。在一个机场时刻处于警戒状态下的时期,这种事情又是怎么发生的呢?是那些金
属仪器失效了么?不,问题不在机器,问题在于人,机器是由人操纵的。机场的官员虽然可
以布署国民警卫队并安装检测器和面部识别系统,但如何培训一线保卫人员正确地检查旅客
则更为重要。全世界的政府、商业、教育机构都有同样的问题,虽然各个地方的职业安全人
员不敢懈怠,但信息仍然易受攻击,并被具备社会工程学技巧的攻击者视为可摘之果,除非
安全链中最薄弱的环节——人为因素,被加固强化。
现在,我们比任何时候都需要停止幻想,同时对攻击计算机系统和网络机密性、完整性
以及实用性的技术加深认识。我们已经认识到主动防御的必要,是接受和学习安全防护的时
7
候了。
对你的隐私、思想和公司信息系统的非法入侵似乎很遥远,直到它真的发生。为了避免
付出昂贵的代价,我们所有的人都需加深认识、富有经验、保持警醒,并主动防卫我们的信
息资产、个人信息,以及国家的关健基础设施。现在,我们必须实行严谨、周密的设防。
欺骗与恐怖分子
当然,欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件,
我们前所未有地意识到我们居住的世界充满了危险。文明,终归只是一层脆弱的薄板。2001
年,发生在纽约的911 事件把悲伤和恐惧植入每一个人的心中,不只是美国人,还有世界上
所有善良的人们。我们已经开始警觉,因为这个世界上还分布着受到良好训练的极端恐怖分
子,伺机再次发动对我们的攻击。
政府最近的强化努力已经提升了大众的安全意识,我们需要保持警醒,警惕各种形式的
恐怖主义。我们需要了解恐怖分子是如何伪造各种身份,假扮学生、邻居而混入人群的,他
们掩饰住自己真实的思想以密谋恐怖行动,而他们使用的就是类似于本书中介绍的欺骗手
法。
然而,就我所认为,恐怖分子目前尚未利用社会工程学的手法渗透到水处理厂、发电厂,
或其它关系国计民生的基础设施中,但可能性依然存在,这毕竟太容易做到了。我希望安全
意识和相应的安全策略将会得到正确的应用并得到企业上层管理的加强,因为这本书恰逢其
时。
关于此书
企业安全是一个平衡问题,安全性太差公司易受攻击,但过多的强调安全又会妨碍业务
管理和公司的发展,其难点在于达到生产效率和安全之间的平衡。
8
