可用性和心理学.docVIP

2 2 第 章 第 章 可用性与心理学 人们无法安全地存储高质量的加密密钥，他们在进行加密操作时的速度和准确度是无法接受的(加密密钥数量巨大，维护代价高昂，并且难于管理，还可能污染环境。令人惊讶的是，这些设备仍然继续被制造出来并部署应用。密钥的部署和应用无处不在，我们必须设计协议来超越其限制)。 —— Kaufmann、Perlman与Speciner[698] 只有业余分子才会攻击机器，专业人士针对的目标是人。 —— Bruce Schneier 2.1 简介 很多实际的攻击中，对心理学的利用至少与对技术的利用一样多。钓鱼(phishing)攻击是增长速度最快的在线犯罪形式，在这种攻击中，目标机器被攻击者发送的欺骗邮件诱导登录到一个Web站点，该站点看起来是真实的，但实际上可以窃取目标的密码。与现实中的诈骗相比，钓鱼这种在线诈骗通常较容易做到，并且较难阻止，因为与真实世界的对应物相比，对大多数在线保护机制的伪造要更加容易。对骗子而言，建立一个伪造的银行Web站点(并通过临时检查)要比在购物广场建立一个伪造银行容易得多。 数百万年以来，我们的社交与心理工具不断演化以帮助我们处理面对面的欺骗行为，然而，对那些请求我们做某种处理的电子邮件而言，这些工具用途是极其有限的。在可用性中，创建有用的不对称性看起来要难一些，这里，我的意思是说，好的用途要比坏的用途容易。在物理对象中，我们有一些不对称性的实例：对削马铃薯而言，马铃薯削皮器要比刀子好用一些，但对于谋杀而言，则远远不如刀子好用。然而，日常商务中我们所依赖的大部分不对称性都不仅仅依赖于形式化的交换(这可以很容易地自动化)，而是依赖于物理对象、对人的判别以及对社会协议的支持等众多因素的结合(第3章将深入讨论这一问题)。因此，就像我们与雇主的关系一样，通过在线通信，银行变得更加形式化，我们失去了面对面的人际交流，从而使得通信过程存在很大的安全风险。 各种类型的欺骗攻击是在线安全的最大威胁，这些攻击方法可用于获取密码，也可用于获取机密信息，甚至直接操纵财务交易。对私家侦探而言，最常用的盗取个人信息的方式是假托(pretexing)——?拨打某个拥有某信息的人的电话，并加以伪造的说辞，通常扮成被授权获取该信息的人，这类攻击即广为人知的社会工程学(social engineering)。还有很多其他种类的攻击方式，本章前面引自Bruce Schneier的话出现在某份股票欺骗研究报告中：一条伪造的新闻声称公司的CEO已经辞职，利润将重新评估。一些在线服务传播了这一消息，并导致股票狂跌61%，直至这一恶作剧暴露[1128]。愚弄与诈骗总是会发生的，Internet使其更加容易发生，并使得其他人可以重新对自己进行包装，以突破现有控制机制(不管是个人直觉、公司章程还是法律)。我们得努力追赶一段时间了。此句未译，暂不知如何处理 此句未译，暂不知如何处理 基于社会工程学的攻击蓬勃发展的另一个动力是人们对技术更加熟悉，随着设计者学会了如何预先阻止电子迷的攻击，对系统用户或操作员的心理学操纵变得更加有吸引力。因此，安全工程师必须理解基本的心理学与“安全可用性”，研究团体面临的最大机会之一就是了解有哪些机制，以及为什么会有这些机制。 2.2 基于心理学的攻击 通过系统的操作人员对系统进行的攻击日益增长，但这并非新生事物，军事与情报机构就一直将彼此的员工作为目标。私家侦探机构也差不多。这种类型的典型攻击方式是假托。 2.2.1 假托 1996年，我的同事在英国曾经做过一个实验，目的是确定医疗隐私所面临的安全威胁。我们对一个健康机构(一个医疗保险公司，为大约250?000人所在的区域提供医疗保险服务)的员工进行培训，以便其可以识别并报告假托电话。典型的私家侦探会将自己伪装成一个医生，并参与病人的急诊护理，由于其使用的电话号码不是其宣称所在医院的电话号码，因此，这种假托欺骗是可以识别出来的(第8章将对这个故事进行更详细的讲解)。我们每个星期可以检测到大概30个假托欺骗电话，但我们无法说服英国政府对健康机构员工进行强制性培训。试想一下，每个星期30次攻击，每年52个星期，200个医疗机构，这样一年将造成多严重的医疗隐私泄露！很多国家都有反假托的法律，包括英国和美国，尽管有法律的约束，但这两个国家中还是有人靠假托欺骗来谋生[411]。在一个典型的案例中[449]，一个收集通用汽车债务信息的私家侦探被处罚，因为他诱使公务人员在电话中泄露了250个人的家庭地址。 2002年出版了一本或许是最能引起不安的安全书籍，即Kevin Mitnick编写的Art of Deception，这本书是Mitnick在因闯入电话系统被捕后在狱中所写，讲述了他在其几乎都成功的所有渗透经验中如何利用