您现在的位置: 书新闻
2017年07月21日 来源:百道网
时间:
『黑客似乎离我们的生活非常遥远,但信息安全却与每个人的生活息息相关,我们的信息安全知识和防护能力是否足以应对潜在的安全隐患?百道2017年6月的好书榜中有一本有趣的书——《安全简史:从隐私保护到量子密码》,这本书风趣幽默,又深入浅出,把高深的安全理论和技术,演绎得生动、活泼,我们可以在笑声中,了解更多安全知识。』
《安全简史:从隐私保护到量子密码》
点击图书封面可在三大网店购买
出版社:电子工业出版社
作者:杨义先,钮心忻
出版时间:2017年06月
【书摘】
伙计,听说过吗,“社会工程学”这个名词?
如果没听说过,那就太正常不过了。不但普通百姓没听过,就算是网络空间安全界的专家们,对它也比较陌生;因为,直到最近这几年,“社会工程学”这个名词才慢慢浮出水面;但是,别忘了,在水下,这家伙可是一座巨大无比的冰山哟!
如果你不想听,也不想了解“社会工程学”的话,那么,你就又错了,而且还大错特错!因为,它可不是吃素的,就算你不理它,它也可能不会放过你哟。万一被它击中,你就惨了,后悔都来不及了!与黑客的所有其它工具不同,“社会工程学”对你的电脑几乎不感兴趣,对你的硬件、软件、系统等所有你严加防范的东西,也几乎都不感兴趣;因为,这些东西对它来说,简直是小菜一碟,根本就用不着亲自劳它大驾,只需它的喽啰出手就行了。它自己则有更重要的事情要做,是的,它只攻击一样东西,就是那个有血有肉、能说会道、还自以为是的活物。对,就是你!听明白了吗,就是你!如果你不理它,那么,它基本上可以百发百中,打得你哭爹喊娘;当然,如果你关注了它,那么,你就会马上掌握主动权,因为,“社会工程学”其实是易守难攻的,就怕你不屑一守。
好了,吓着了吧!那么,下面就请你跟我来一起了解“社会工程学”吧。
首先,别以为“XX学”这些带“学”的学问,都像“数学、化学、物理学”那样,是高大上的阳春白雪。虽然“社会工程学”确有白富美的成分(这也是本章将介绍的主流),但是,我必须提醒你:像坑、蒙、拐、骗等“下三烂”东西,也充斥其间,也是“社会工程学”不可或缺的内容。比如,大家深恶痛绝的电信诈骗,所使用的手法,大部分都属于“社会工程学”;也许这些人渣并未系统学习过这门学问,甚至,不知道世上还有“社会工程学”这回事,但是,他们却仅凭那一点鸡鸣狗盗,就能把你搞得狼狈不堪。因此,本章繁简程度的拿捏,就非常困难:太仔细了吧,就好像我在教人犯罪似的;太粗略了吧,又怕伙计您受骗!不过,有一点可以肯定,那就是,我们不能采取驼鸟政策,对“社会工程学”中的恶,假装视而不见,听而不闻。对于普通用户来说,防范电信诈骗,还相对比较容易;毕竟,骗子看重的只是你的钱;所以,你只需要记住“别谈钱,谈钱就翻脸”就行了。但是,要对付“社会工程学者”这样的黑客,就困难多了,因为,他们的目标千变万化,让你防不胜防;而且,整个攻击行动的路线清晰、节奏分明。若没有足够的警惕性和应对措施,那么,你必定就范。“社会工程学”既可能直接攻击你本人,包括但不限于你知道的信息、你的小辫子、你的财产、隐私、软肋等;轻者让你名利俱损;重者被牵住鼻子,任人摆布,生不如死;更有甚者,逼你从事危害国家和社会的违法活动。“社会工程学”还可能间接攻击你,包括但不限于,把你当作攻击别人的跳板,比如,先获取你的身份,然后,冒充你去攻击别人等;或者从你身上收集别人信息,为后续的进攻打下坚实基础等。总之,“社会工程学”所能够发动的进攻,招数之多,只有你想不到,没有它做不到;真实案例之精彩,完全不亚于任何小说、科幻和谍战片。
其次,“社会工程学”的名称虽然是新的,但其内容却绝不是新的,是典型的“旧酒装新瓶”。古今中外的正史、野史、传说、神话等,无一不留下它的明晰身影。你看,当年在伊甸园中,那条蛇就是利用“社会工程学”,引诱夏娃吃了一粒苹果,并让亚当也吃了;好处是,从此人类有了“明白是非善恶的智慧”;坏处是,上帝震怒了,作为惩罚,把人类赶出了伊甸园,从此,子孙世代便在尘世间承受各种苦难;要不然,没准你我这时还正在伊甸园里荡秋千呢。在另一个“当年”,铜制兵器精良坚利、部众勇猛剽悍、生性善战、擅长角牴的蚩尤,本来可以轻松战胜炎帝和黄帝联军的,但是,由于后者善于利用“社会工程学”,政治和军事两手抓,而且两手都较硬,最后竟然以弱胜强,奠定了华夏集团占据广大中原地区的基础;否则,本来我们汉族应该躲在深山老林,像现在的某些边远少数民族那样,正与刘三姐对情歌呢;当然,如今炎帝、黄帝和蚩尤,仍然是我们共同祭奠的祖先,称为“三祖”。历史上“社会工程学”的成功案例,多如牛毛:诸葛亮七擒孟获,就是要用“社会工程学”最终征服南人,达到长期维稳的效果;猛张飞在长坂坡,“当阳桥头一声吼,喝断桥梁水倒流”,吓退数十万曹军,就是平时积累的“社会工程学”信息,在关键时刻突然爆发的结果;身在曹营心在汉的关羽,更是典型的“社会工程学”者;至于那位三天一大哭,两头一小哭的刘备,则早已出神入化,用泪水把“社会工程学”玩到了极致;观音菩萨教唐僧用“社会工程学”,愣是骗得悟空,把紧箍咒戴在了自己的头上;大师兄依靠“社会工程学”,钻进了铁扇公主的肚子;二师兄更是常常采用“社会工程学”激将法,把那石猴指挥得滴溜儿转。可以这样说吧,历史上的成功人士,没有一个不是“社会工程学”的高手。关于“社会工程学”的学术专著,绝对不止车载斗量,只不过书名有所变化而已。《三十六计》中,计计皆含“社会工程学”之精华,特别是金蝉脱壳、借刀杀人、趁火打劫、浑水摸鱼、打草惊蛇、瞒天过海、反间计、调虎离山、指桑骂槐、暗渡陈仓、欲擒故纵、空城计、苦肉计、偷梁换柱、美人计、借尸还魂、围魏救赵、连环计等等,简直把“社会工程学”演绎得目不暇接、眼花缭乱。《孙子兵法》八十二篇中,篇篇都是“社会工程学”的杰作,甚至连再明白不过的“间谍”概念,也都还要更进一步地细分为:敌方普通人做间谍的“因间”;敌方的官吏做间谍的“内间”;收买或利用敌方派来的间谍为我效力的“反间”;故意散布虚假情况给对方间谍,让其误导敌方并被处死的“死间”;派往敌方侦察后,能活着回报敌情的“生间”等等。当五种间谍同时使用,更能使敌人莫测高深,而无从应付。总之,虽不敢说整个人类史,就是一部“社会工程学”史;但是,如果抽去“社会工程学”,历史可能将会变得相当苍白、无趣。
再其次,别以为“社会工程学”这个名称看上去很面善,其实它很凶险。过去人们都习惯于,把网络看成一个由硬件和软件组成的系统,认为可以通过不断的软件升级、硬件加固、严防死守等办法来保障安全;但是,却往往忽略了一个最重要、最薄弱的关键环节,那就是人!这个“人”,既包括网络的合法用户及其亲朋好友,又包括网络的保卫者及其亲朋好友等;因为,完整地看,只有将软件、硬件和人,三者结合在一起来考虑,才可能形成一个闭环;而只有保证了这个闭环的整体安全后,才能真正建成有效的安全保障体系。更明白地说,硬件和软件其实是没有“天敌”的,只要不断地“水涨船高”,总能够解决已有的软硬件安全问题;但是,“社会工程学”却是“人”的天敌,每一招对所有人来说,都有效;每一招还都不会过时,都长期具有杀伤力;“旧招”不但不会被淘汰,新招还层出不穷。针对人性的每一处弱项,迟早会产生至少一项“社会工程学”狠招,而随着社会信息化步伐的加快,人性的缺陷和漏洞将暴露得越来越多,当然就会被“社会工程学”揍得越来越惨。如果你还不知道“社会工程学”到底有多厉害,那就请看下面这个真实的故事吧。
美国联邦调查局,俗称FBI,厉害吧!其局长直接由美国总统任命,并经参议院批准。FBI不但在反暴、反毒、反有组织犯罪、反外国间谍和反白领犯罪等方面享有最高特权;而且,在“社会工程学”的资源、积累和能力等方面,如果它谦虚点自称老二的话,那么,没人敢号称老大,包括前苏联的克格勃。可是,就是这么一个巨无霸,竟然被一位单枪匹马的黑客,凯文·米特尼克,只利用“社会工程学”就玩得死去活来。在这匹黑马面前,FBI的所谓通缉令简直就像手纸一张,完全没有任何约束力。费了九牛二虎之力,当然也主要是“社会工程学”手段,好容易才将其捉拿归案吧,刚要严禁他与外界联系,结果,就在监狱中,当着狱长的面,这家伙却略施小计,就拨通了外界电话,让官方大跌眼镜。刑满释放了,为了不重蹈尴尬,政府还不得不赶紧拍其马屁,为他安排一个光荣而高薪的“网络安全咨询师”职业。如今,这位世界“头号电脑黑客”,已将其传奇的“社会工程学”应用经历,写成了多本畅销书:《反欺骗的艺术》、《反入侵的艺术》和《线上幽灵:世界头号黑客米特尼克自传》等。
你看看,这家伙竟然将“社会工程学”玩成了艺术,简直不可思议!
好了,现在插播有关这位超级黑客的几则小故事,就算是课间休息吧。也顺便让你头上冒点汗,背上发点凉。
相信,米特尼克的“事迹”,会促使你从此认真了解“社会工程学”,因为,你将肯定不愿意成为这种“社会工程学者”的牺牲品。当然,必须承认,凯文·米特尼克的“成功”,主要取决于他强大心理素质和娴熟的运用技巧;幸好,并非每位学过“社会工程学”的黑客都能这么牛。
(本文编辑:June)北京百道世纪网络信息技术有限公司及其平行公司北京百道世纪教育科技有限公司下属的网络媒体平台百道网、百道网微信、帮书店微信,以及百道学习APP和小程序等平台上发布的文章,版权属于北京百道世纪网络信息技术有限公司所有,或北京百道世纪网络信息技术有限公司与著作权人共同拥有,严禁转载。任何纸媒、网媒或社交媒体需要发布或转载,请与版权专员联系(service@bookdao.biz),获得授权后,方可转载。对于任何未经授权的转载,我们将依法追究其侵权责任。
扫描二维码 分享文章