社会工程:安全体系中的人性漏洞(第2版)
上QQ阅读APP看书,第一时间看更新

第 1 章 社会工程初探

若你将安全视作成功,那么成功的关键就在于你精准的味觉。

——戈登·拉姆齐(Gordon Ramsay)1

1名厨、节目主持人、美食评审。——译者注

我坐在计算机前,开始敲出《社会工程:安全体系中的人性漏洞》的第一段文字。此情此景,恍如昨日。那已经是2010年的事了。虽然不想过于夸张,但我还是忍不住想提起那时,即便在颠簸的路途中,我们都不得不用打字机来写那本书的经历。

在那个年代,如果你在搜索引擎上查找“社会工程”,只会得到几页关于社会工程传奇人物Kevin Mitnick的检索结果,以及一些关于“如何搭讪女孩”或“如何免费获得麦当劳汉堡包”的视频。而八年后的今天,社会工程几乎已经家喻户晓了。在过去的三四年里,我在信息安全、政府、教育、心理、军事,以及其他任何你能想到的领域里都见证了社会工程的应用。

这种变化令人好奇。一个同事跟我说:“Chris,还不都是因为你。”我猜他这么说本来是想骂我,但当我听到他这么说时,反而感到了一丝丝骄傲。当然,我并不认为凭我一己之力就可以让社会工程(social engineering,SE)一词几乎无人不晓。我相信,今天之所以能看到它被人们及其亲友广泛使用,不仅是因为它是最简单的攻击向量2(attack vector)——七年前它就已经是了——而且还因为它现在也是攻击者最具威力的武器之一。

2“攻击向量”指黑客用来攻击计算机或者网络服务器的一种手段。——译者注

发起社会工程攻击的成本很低,风险又微乎其微,而潜在的回报却是巨大的。我的团队一直在收集有关社会工程攻击的新闻,同时在网络上搜集和统计数据。我可以很有把握地说,超过80%的数据泄露涉及社会工程。

还记得在2010年,《社会工程:安全体系中的人性漏洞》出版之后,我在接受第一次采访时被问过这样一个问题:“你不担心你发表的内容被坏人利用吗?”但对我来说,社会工程就像一种新型战争。

为了更清晰地说明这点,我在这里引用一下李小龙在20世纪60年代来到美国时的故事。那时的种族偏见非常严重,而他又在尝试一些开创性的事情:将截拳道(一种中国武术)传授给不同种族、肤色或国籍的人。在大学里,他和那些自以为很懂格斗的同学交手,并击倒了一个又一个对手。这些对手中的一部分人最终甚至成了李小龙的朋友或学生。

这告诉我们什么呢?人们必须适应新的格斗方式,不然就会一直被击败。李小龙的学生有没有可能利用李小龙的新式格斗术伤害他人、为非作歹呢?有,但李小龙觉得教育他人势在必行,因为这样他们才能得到真正的保护。

因此,我对“你不担心你发表的内容被坏人利用吗”这个问题的回答与八年前一样:如何利用从书中学到的知识,选择权在你自己,但是那些善良的人需要有人来帮助并指导他们。

要想懂得如何抵御这种新型攻击,你要学会的不仅是怎样接招。就像截拳道宣扬的那样,你需要在学习攻击、学习防守,以及掌握攻击和防守的时机这三者之间找到平衡。当你学习成为一名社会工程人员时,你需要有能力像坏人一样思考,同时又谨记自己是个好人。一个比方就是,你需要足够强大,让原力与你同在,但又不会被黑暗力量吞噬。

那么你可能要问:“既然你的答案没太大变化,那么为什么你的书还要出第2版?”那就让我给你解释一下。