Mitnick是全球最著名的黑客之一,就在今年他离开了人世。他是由单身母亲抚养长大的独生子女,从小穿梭在70年代的洛杉矶。Mitnick的头衔和大冰一样多,有作者、私人侦探、黑客、电话飞客、社工之神、网络安全咨询师等...监狱也是他老家,年轻时期进进出出的直到步入中年才开始做网络安全。从令fbi最头痛的黑客到最著名的网络空间安全专家的过程就是他的后半生。
这本书的原名是欺骗的艺术,翻译为中文后改为了反欺骗的艺术,要是真叫欺骗的艺术那就有股地摊味儿,会和厚黑学、成功学放在一个书摊,然后江湖骗子买来看后发现完全看不懂。何况读者也不想别人看到自己读的书叫欺骗的艺术。
全书都在反复一句话,人才是信息安全的核心。“我公司的防火墙是市面上最硬的!安保团队是请的贵的!我的密码设置的超级长!”这些有用吗?有,但也没有那么有用。只依靠物质上的保护是无法做到合理的信息安全的。成熟的工业间谍或者社交工程师、黑客总是能从各个大组织、大机构拿到自己需要的文件。企业唯一能做的就是增加安全设备和培养安全意识,而后者才是更为重要的环节,特别是有自主研发的公司。所有的数据泄露、恶意删库等行为多数是内部人员有意无意造成的。
心理操控常见的有6种:扮权威、获得好感、索取回报、言行一致的表演、行为和其他人一样(模仿他人的行为掩饰真实目的)、供不应求。结合计算机技术就是一个个社交工程师干的事。书中也点到了nerd、geek群体,他们在专业技术方面没得说,但在有组织的渗透任务中不能全是nerd、geek,因为需要有人去开口(社工)获得网络中无法得到或者很难得到的信息。这是nerd、geek无法做到的。在电影《我是谁:没有绝对安全的系统》中也是各种社工加上技术入侵。为什么我只举例电影、书里的例子,因为现实也是这样的:西北工业大学被NSA网络攻击,后来cctv报道NSA所有参加攻击西北工业大学的人员名单已被咱们拿到。现实事件不会有人告诉大众细节,但是其中一定有大量的社工角力与技术对抗。Mitnick兼具两者特征,又精通专业技术,又精通社工,不愧为让FBI最头痛的黑客。
Mitnick除了热爱计算机技术,还喜欢魔术,小时候就能够开各种锁。他读书时期的技术同伴后来进入fbi成为了Mitnick的对手。各种细节都让我感慨他的一生是很传奇的,包括参加操作系统发布会当场攻破(root)新系统等。到他成年后做私家侦探,让我联想到电影《性本恶》(《Inherent Vice》)中的主角,同样也是洛城80年代的私家侦探,其眼线、信息源从街头小贩到议员,追寻、整合着无法估值的信息。让人很是羡慕这样精彩的人生。
信息安全是人们的美好愿望,如果不停歇地追求它,它也不会完美。但如果忽视它,它会让忽视它的人知道什么是灾难。
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
