社会工程学一章安全软肋.pdfVIP

第一部幕后的故事

第一章安全软肋

某公司也许购置了能用钱买到的最好的安全技术，员工们也训练有素，每晚回家前把所

有的都锁起来，并从业内最好的保安公司雇用了保安，但这家公司仍然易受。一些

人可能遵从了专家所有最好的安全建议，安装了各种受推荐的安全产品，并十分谨慎的处理

系统配置以及应用安全补丁，但他们仍然很不安全。

人为因素

在国会听证会前的一次证言中，我解释到我经常可以从企业获得口令或其他类似的

敏感信息，只需假扮直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于

虚安全感之中。想像一位负责任的可爱的屋主，他有一套麦迪科（译者注：Medico,知名

品牌、价格昂贵）防撬锁装在屋子的大门上，以保护他的妻子、孩子和他的家。他觉得很心

安，因为他把家庭保护的很好。但对于破窗而入和解开车库大门的闯入者呢？再安装一

套强壮的安全系统么？虽然有用，但还是不够安全。无论防盗锁是昂贵还是便宜，屋主的安

全仍然难以保障。为什么？因为人为因素才是安全的软肋。

安全，通常情况下仅仅是个幻想，由其是轻信、好奇和无知存在的时候。二十世纪最受

尊敬的科学家爱因斯坦这样说道：“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对

于前者，我不敢确定。”最终，社会工程学的，成功于人们的愚蠢或更为普遍的对信息

安全实践上的无知。

与这位屋主一样，有许多（IT）从业者都有着类似的错误观念。他们认为自己

的公司固若金汤，因为其配置了精良的――、检测，或是更为的身

份认证系统，如时间令牌和生物识别卡。任何认为仅靠这些即可保证安全的人都会

满足于虚安全感之中，这就是一个幻想世界中的例子，他们迟早会不可避免的遭

遇安全事故。

正如著名的安全顾问布鲁斯·施尼尔（BruceSchneier）所说：“安全不是一件产品，它

是一个过程。”近一步说，安全不是技术问题，它是人和管理的问题。由于开发商不断地创

造出更好的安全科技产品，者利用技术上的变得越来越。于是，越来越多的人

转向利用人为因素的来进行。穿越人这道十分容易，只需打一个的成本

和冒最小的风险。

一个的经典案例

企业资产安全最大的是什么？很简单，社会工程师。一个无所顾忌的魔术师，用他

的左手吸引你的注意，右手窃取你的。他通常十分友善，很会说话，并会让人感到遇上

他是件荣幸的事情。我们来看一个社会工程学的例子：

许多人都已记不起一个叫斯坦利·瑞夫金（StanleyMarkRifkin）的年轻人，和他

在洛杉矶的太平洋银行（SecurityPacificNationalBank）的小故事了。他的劣

迹很多，瑞夫金（同我一样）从未把自己的事情告诉过别人，因此下面的叙述基于公开的报

道。

获得

1978的一天，瑞夫金无意中来到了太平洋银行的