欺骗的艺术（第一章 安全软肋一）

 第一部　幕后的故事

 

第一章　安全软肋

 

 

某公司也许购置了能用钱买到的最好的安全技术，员工们也训练有素，每晚回家前把所有的秘密都锁起来，并从业内最好的保安公司雇用了保安，但这家公司仍然易受攻击。一些人可能遵从了专家所有最好的安全建议，安装了各种受推荐的安全产品，并十分谨慎的处理系统配置以及应用安全补丁，但他们仍然很不安全。

 

人为因素

 

在国会听证会前的一次证言中，我解释到我经常可以从企业获得密码口令或其他类似的敏感信息，只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假的安全感之中。想像一位负责任的可爱的屋主，他有一套麦迪科（译者注：Medico,知名品牌、价格昂贵）防撬锁装在屋子的大门上，以保护他的妻子、孩子和他的家。他觉得很心安，因为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢？再安装一套强壮的安全系统么？虽然有用，但还是不够安全。无论防盗锁是昂贵还是便宜，屋主的安全仍然难以保障。为什么？因为人为因素才是安全的软肋。

 

安全，通常情况下仅仅是个幻想，由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬的科学家爱因斯坦这样说道：“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者，我不敢确定。”最终，社会工程学的攻击，成功于人们的愚蠢或更为普遍的对信息安全实践上的无知。

 

与这位屋主一样，有许多信息技术（IT）从业者都有着类似的错误观念。他们认为自己的公司固若金汤，因为其配置了精良的安全设备――防火墙、入侵检测，或是更为保险的身份认证系统，如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中，这就是一个生活在幻想世界中的例子，他们迟早会不可避免的遭遇安全事故。

 

正如著名的安全顾问布鲁斯·施尼尔（Bruce Schneier）所说：“安全不是一件产品，它是一个过程。”近一步说，安全不是技术问题，它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品，攻击者利用技术上的漏洞变得越来越困难。于是，越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易，只需打一个电话的成本和冒最小的风险。

 

一个欺骗的经典案例

 

企业资产安全最大的威胁是什么？很简单，社会工程师。一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。我们来看一个社会工程学的例子：

 

许多人都已记不起一个叫斯坦利·马克·瑞夫金（Stanley Mark Rifkin）的年轻人，和他在洛杉矶的美国保险太平洋银行（Security Pacific National Bank）的冒险小故事了。他的劣迹很多，瑞夫金（同我一样）从未把自己的事情告诉过别人，因此下面的叙述基于公开的报道。

 

获得密码

 

　　1978的一天，瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室，这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的数据备份系统，这给了他了解转账程序的机会，包括银行职员拔出账款的步骤。他了解到被授权进行电汇的交易员每天早晨都会收到一个严密保护的密码，用来进行电话转帐交易。

 

电汇室里的交易员为了记住每天的密码，图省事把密码记到一张纸片上，并把它贴到很容易看得见的地方。11月的一天，瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后，他做了一些操作过程的记录，装做在确定备份系统的正常工作。借此机会偷看纸片上的密码，并用脑子记了下来，几分钟后走出电汇室。瑞夫金后来回忆道：“感觉就像中了大奖”。

 

转款入户

 

瑞夫金约在下午3点离开电汇室，径直走到大厦前厅的付费电话旁，塞入一枚硬币，打给电汇室。此时，他改变身份，装扮成一名银行职员――工作于国际部的麦克·汉森（Mike Hansen）。那次对话大概是这样的：

 

“喂，我是国际部的麦克·汉森。”他对接听电话的小姐说，小姐按正常工作程序让他报上办公电话。“286。”他已有所准备。小姐接着说：“好的，密码是多少？”瑞夫金曾回忆到他那时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司（Irving Trust Company）贷一千零二十万美元到瑞士苏黎士某银行（Wozchod Handels Bank），他已经建立好的账户上。对方说：“好的，我知道了，现在请告诉我转账号。”

 

瑞夫金吓出一身冷汗，这个问题事先没有考虑到，他的骗钱方案出现了纰漏。但他尽量保持自己的角色，十分沉稳，并立刻回答对方：“我看一下，马上给你打过来。”这次，他装扮成电汇室的工作人员，打给银行的另一个部门，拿到帐号后打回电话。对方收到后说：“谢谢。”（在这种情况下说“谢谢”，真是莫大的讽刺。）

 

成功结束

 

几天后，瑞夫金乘飞机来到瑞士提取了现金，他拿出八百万通过俄罗斯一家代理处购置了一些钻石，然后把钻石封在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历史上最大的银行劫案，他没有使用武器，甚至勿需计算机的协助。奇怪的是，这一事件以“最大的计算机诈骗案”为名，收录在吉尼斯世界纪录中。斯坦利·瑞夫金用的就是欺骗的艺术，这种技巧和能力我们现在把它称为――社会工程学。

 

威胁的天然性

 

瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件（也许到不了一千万美元，但终归有所损失）每天都在发生，你的资金可能正在流失，新产品方案正在被窃取，而你却一无所知。即使你的公司还没有这样的事情出现，那也会终将出现。但它何时出现呢？