欺骗的艺术1

欺骗的艺术1 米特尼克的欺骗的艺术中文版！ 正如知道Windows的人，都知道比尔?盖兹，如果你对信息安全有所了解，便一定听说过凯文?米特尼克。在信息安全的世界里，他的黑客传奇生涯是无人比拟的。 15岁时闯入“北美空中防务指挥系统”的主机，翻遍了美国指向前苏联及其盟国的所有核弹 头的数据资料，然后溜之大吉； 24岁时被DEC指控从公司网络上窃取价值100万美元的软件并造成了400万美元损失，被警察当局认为，只要拥有键盘就会对社会构成威胁； 1994年，成功入侵美国摩托罗拉、NOVELL、SUN、MICROSYSTEMS，芬兰的诺基亚等高科技公司的计算机，FBI推算其盗走的程序和数据而造成的实际损害总额达至4亿美元； 2000年，米特尼克获得监督释放。但不准触摸计算机、手机以及其他任何可以上网的装置； 美国联邦调查局将他列为头号通缉犯、好莱无根据他的事迹为蓝本拍摄了电影《战争游戏》、 以他为主角的书籍更是已经超过10本„„ 2002年底，凯文?米特尼克完成出版了《欺骗的艺术》一书，此一上市便成为美国畅销书籍， 大获成功。米特尼克也由一个世界著名的黑客成为一名致力于信息安全保护方面的专家。 信息安全已经被全世界所关注，中国也将其提到国家安全的高度。纵然，我国的信息安全技 术近年来有了长足的提高进步，但在理念意识上仍然有很大的差距。尤其是凯文?米特尼克在《欺骗的艺术》这本书中详细介绍的社会 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 学，仍是许多信息安全工作者们一直以来没有 给予重视的非技术类的攻击手段。 本书适于企业、政府的管理人员以及任何缺乏信息安全知识和对信息安全知识有兴趣的人阅 读。 在物质产品并不匮乏时，安全意识比安全措施重要的多 人类天生就有一种探索周围环境的内在动力，作为年轻人，我和凯文?米特尼克(Kevin Mitnick)对这个世界有着无比的好奇心并渴望证明自己的能力。我们努力学习新事物、解决 难题并赢得比赛，但同时这个世界又告诉我们一个行为 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf ―― 不要过于放任自己对探索自由的强烈渴望。可对于最大胆的科学家和企业家，还有像凯文?米特尼克这样的人来说，跟随 内心的这种渴望会带来极大的兴奋，并使他们完成别人认为是无法做到的事情。 凯文?米特尼克是我认识的人中最杰出的一个。只要你问他，他便会坦率的告诉你他曾经做过 的事――社会工程学――包括骗人。但凯文已经不再是一个社会工程师了，即便在他曾经是 的时候，他的动机也绝不是发财和伤害他人。这并不是说这个社会不存在利用社会工程学而 给他人带来真正伤害的危险的破坏者，事实上，凯文写这本书的目的就是要提醒大家警惕这 些罪犯。 《欺骗的艺术》将会展示政府、企业和我们每一个人，在社会工程师的入侵面前是多么的脆 弱和易受攻击。在这个重视信息安全的时代，我们在技术上投入大量的资金来保护我们的计 算机网络和数据，而这本书会指出，骗取内部人员的信任和绕过所有技术上的保护是多么的 轻而易举。无论你是在政府还是在企业，这本书都如同一个清晰、明确的路标，它将帮助你 弄清社会工程师的手段，并且挫败他们的阴谋。 以小说故事的形式展开叙述，不仅有趣，还具有启发性，凯文和合著人比尔?西蒙将把社会工 程学这一不为人知的地下世界展现在你的面前。在每个故事叙述之后，他们还将提供一个实 用的技术指南来帮助你提防他们在书中所描述的威胁和泄露。 技术上的安全防护会留下很大的漏洞，凯文这样的人可以帮助我们去堵住它。阅读此书，你 会发现我们所有的人都终将需要得到“米特尼克”（译者注：指凯文?米特尼克这样的人）的指导。 前言 一些黑客毁坏别人的文件甚至整个硬盘，他们被称为电脑狂人（crackers）或计算机破坏者（vandals）。另一些新手省去学习技术的麻烦，直接下载黑客工具侵入别人的计算机，这些 人被称为脚本小子（script kiddies）。而真正有着丰富经验和编程技巧的黑客，则开发黑客 程序发布到网站或论坛（BBS）。还有一些人对黑客技术没有丝毫兴趣，他们把计算机仅仅当 做窃取金钱、商品和服务的辅助工具。 尽管媒体神话了凯文?米特尼克，但我并不是一个用心险恶的黑客，我只是喜欢不断地超越自 己。 人之初 我的人生之路，也许在我很小的时候就注定了。三岁时，由于父亲的离去，使我无忧无虑的 生活发生变故。做招待的母亲支撑着家庭。那时的我（一个由深受没有工作规律之苦的母亲 养活着的独生子），除了睡觉以外，大部位时间都没人管，我就是我自己的保姆。 在圣费尔南多谷（San Fernanado Valley）的成长经历给予我探索整个洛杉矶的机会，十二 岁时，我发现了一个可以免费周游洛杉矶的方法。我发现到坐公车时购买的换乘券，是由一 种非常规的打孔机打出来的，公车司机用它来在换乘券上标记日期、时间和路线。一位司机 友好地回答了我精心准备的问题，于是我知道了在哪里可以买到这种特殊的打孔机。换乘券 用来改乘车次从而到达目的地，但是我想出的方法，可以让我使用换乘券免费到达我想去的 任何地方。 获得空白换乘券很容易，如同去公园散步般简单，因为公车终点站的废物箱中总是充斥着公 车司机换班时未用完的换乘券本子。用一叠空白换乘券加上打孔机，我可以制作出我自己的 换乘券，并用它行遍全洛杉机公车能够到达的任何地方。很快，我就差不多记住了整个公交 系统的公车时刻表。（我对某种信息的记忆力总是让人惊讶，这一个较早的例子。直到现在， 我还能记住远在童年时的电话号码、口令以及其它一些看上去十分琐碎的事情。） 另一个在小时候就显露出来的个人兴趣是对魔术的迷恋。一旦我知道了某个魔术的变法，我 就会不断的练习、练习，再练习，直到我完全掌握。从某种程度上说，正是由于魔术，才让 我发现获取秘密信息的乐趣。 从盗打电话到黑客 我首次接触社会工程学的时候是在中学时期，那时我遇到了一位喜欢盗打电话的同学。“电话 盗打”是一种利用电话公司雇员和电话系统来探测电话网络的黑客行为。他向我展示了使用 电话的高级窍门，比如从电话公司获取任何一位客户的资料，以及使用秘密测试号码拔打免 费长途电话。实际上这只是对我们来说免费，因为我后来发现这根本就不是一个秘密测试号 码，那些话费事实上从某些倒霉公司的MCI（译者注：美国著名通讯公司）帐户上划出了。 这就是我对社会工程学的入门，也可以说是我的启蒙阶段。我的朋友还有后来认识的另外一 个盗打电话的人，他们在给电话公司打电话时让我在旁边听，他们是如何让电话公司相信他 们所说的话。于是，我知道了许多电话公司的办公地点，他们的业内用语，还有办公程序。 这种“训练”并没有花多长时间，不久我便可以完全自己来做这些事情，甚至比我的启蒙老 师们做的还要好。 我生命中下一个15年的生活已经注定。 在中学，我最为喜欢的恶作剧就是获得对电话交换机未授权的访问，然后改变某个电话盗打 者的话费设置。当他从家里打电话时，他的电话就会告诉他需要投入一角硬币，因为电话公 司交换机的 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 被我更改，从而认为他拔打的是一个投币电话。 我开始关注有关电话的任何事情，不只是电子学、交换机和计算机，还有公司组织、业务手 续和行业术语。不久之后，我就比任何一个电话公司的雇员都更加了解电话系统。我对社会 工程学的运用也达到了娴熟的阶段，十七岁时，我就能与大多数电信公司的员工谈论几乎任 何事情，无论是当面聊还是打电话。 实际上我较为公开化的黑客之路，始于中学。尽管在这里我无法说清原委，但其实一句话也 能表达了。在我黑客生涯的早期，一个驱使我的动力就是被黑客圈子的人所接受。在那时， 黑客这个词是指一个花费大量的时间调置软硬件的人，或是开发更有效的程序，或是绕过不 必要的步骤来更快的完成工作。这个词如今已经是一个带有贬义的“恶意犯法者”的意思了， 但在本书中，我仍然按原来对它更为善意的理解使用这个词汇。 中学之后，我在洛杉矶计算机学习中心攻读计算机。没几个月的时间，学校的计算机管理人 员就意识到我发现了操作系统的漏洞，并取得了管理员权限，但是在学校的教学人员中，最 好的计算机专家也无法弄清我是如何这样做的。这也许是最早雇佣黑客的例子之一吧，他们 给了我一个无法拒绝的提议：要么做出一个荣誉学位的毕业设计来加强学校的计算机安全， 要么由于黑客行为而中止学业。当然，我选择了前者，以本科优等成绩荣誉学士毕业。 成为社会工程师 每天早晨，许多人从床上一爬起来，便开始对千篇一律的繁重工作犯愁。我却很幸运，因为 我喜欢我的工作。你简直无法想像我作为一个秘密调查者而得到的挑战、奖赏和快乐。我的 天份在称为社会工程学（使人们做在通常情况下不会为陌生人做的事情）的表演艺术中得到 磨练和回报。 对我来说，成为社会工程学的行家里手并不困难。我父亲家一连好几代都从事销售领域，因 此家里人都有着说服和影响别人的家族特征。当把这种特征与骗人的爱好结合起来时，这就 是一个社会工程师的基本轮廓了。可以说行骗艺术的分类有两种，一种是通过诈骗、欺骗来 获得钱财，这就是通常的骗子。另一种则通过蒙敝、影响、劝导来达到获取信息的目的，这 就是社会工程师。从我使用诡计免费乘车的时候（我那时还小，并没有认识到这样做有什么 不对），就逐渐意识到我具有一种以前没有料想到的挖掘秘密的天份。通过使用诡计、了解术 语和培养良好的操纵技巧，更为加强了这种天份。一个用来发展我的专业技艺（如果这可以 称为一个专业的话）的方法就是看我是否能与电话另一端的人攀谈，并获得相关信息，即便 这些信息对我毫无用处，这样做只是为了证明我的专业技巧。同样，我还用此种方法，练习 奇巧的计谋、托辞，不久我发现我可以取得我想关注的任何信息。正如我在数年后的国会听 证会上，在利伯曼（Lieberman）和汤姆森（Tompson）参议员面前所做的证词中描述的那样： “我未经授权进入了世界上最大的几家公司的计算机系统，并成功渗透了一些防范最好的电 脑系统。我使用技术和非技术手段来取得各种操作系统和通讯设备的源代码，以研究它们的 漏洞和工作机理。所有的这些行为都是为了满足自己的好奇心。看看自己能做什么，并发现 其中的秘密，比如操作系统、移动电话以及任何能引起我好奇心的东西。” 最后的想法 自从被捕以后，我已经承认了自己这些行为的非法，侵犯了他人的秘密。我的错误行为是由 于好奇心引起的，我抑制不住的想知道电话网络是如何运转的，以及了解计算机安全的每个 细节。我从一个喜欢魔术戏法的孩子成为一个最具恶名的、被政府和企业害怕的黑客。当我 反省过去的这30年时，我承认自己做出了极其拙劣的选择，被好奇心驱使，被学习技术的欲望和智力挑战的虚荣所驾驭。 但我现在已经转变，我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政 府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他 人，以避免那些怀有恶意的信息盗贼可能带来的危害。我相信，你将会从本书中得到乐趣、 教育和启发。 内容介绍 本书包含丰富的信息安全与社会工程学的知识，为有助阅览，下面对本书内容做一个简要介 绍： 在本书的第一部分（第一章），我将展示信息安全的薄弱环节，并指出为什么你和你们的企业 处于社会工程师攻击的危险之下。 本书的第二部分（第二至九章），大家将会看到社会工程师是如何利用人们的信任、乐于助人 的愿望和同情心使你上当受骗，从而获得他们想要的信息。本书通过小说故事的形式来叙述 典型的攻击案例，给读者演示社会工程师可以戴上许多面具并冒充各种身份。如果你认为自 己从来没有遇到过这种事情，你很可能错了。你能从本书的故事中认出自己似曾相识的场景 么？你想知道自己是否经历过社会工程学的攻击么？这些都极有可能。但当你看完了第二章 到第九章时，便知道下一个社会工程师打来电话时你该如何占取主动了。 接下来的部分将展示一个社会工程师如何铤而走险，进入企业内部，盗取关健信息并越过高 级安全防控措施的过程。此部分内容会让人意识到安全威胁存在于各个方面，从普通员工对 企业的报复一直到电脑空间的网络恐怖主义。如果你对保持公司业务运转的数据和秘密信息 十分重视并为之感到担心，请仔细的阅读本书第三部分（第十至第十四章）。这里需要注明的 是：“除非另做声明，本书中的故事情节纯属虚构。” 本书第四部分(第十五至十六章)我将谈到，在业务对话中如何成功的防止社会工程学给企业带来的攻击。第十五章提供一套有效的安全防范培训 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ；第十六章也许正解你的燃眉之 急――它包含一个完整的安全策略，你可以按公司的需要来立刻应用，以保证企业的信息安 全。 最后，本书提供一个由列表、表格组成的“安全一瞥”，用来概括说明一些关健信息，以帮助 员工在工作中阻止社会工程学带来的攻击。这些方法还可以为你做出自己的信息安全培训计 划提供颇具价值的帮助。 纵览全书，你还可以发现一些非常有用的内容条目：“术语箱”提供社会工程学和计算机黑客 的术语；“米特尼克信箱”发出精典短语，有助于加深安全策略的印象；注释与工具条则带来 一些有趣的背景知识等附加信息。 第一部 幕后的故事 第一章 安全软肋 某公司也许购置了能用钱买到的最好的安全技术，员工们也训练有素，每晚回家前把所有的 秘密都锁起来，并从业内最好的保安公司雇用了保安，但这家公司仍然易受攻击。一些人可 能遵从了专家所有最好的安全建议，安装了各种受推荐的安全产品，并十分谨慎的处理系统 配置以及应用安全补丁，但他们仍然很不安全。 人为因素 在国会听证会前的一次证言中，我解释到我经常可以从企业获得密码口令或其他类似的敏感 信息，只需假扮某人直接开口要就是了。人们对于绝对安全的渴望常常导致他们满足于虚假 的安全感之中。想像一位负责任的可爱的屋主，他有一套麦迪科（译者注：Medico,知名品牌、 价格昂贵）防撬锁装在屋子的大门上，以保护他的妻子、孩子和他的家。他觉得很心安，因 为他把家庭保护的很好。但对于破窗而入和解开车库大门密码的闯入者呢？再安装一套强壮 的安全系统么？虽然有用，但还是不够安全。无论防盗锁是昂贵还是便宜，屋主的安全仍然 难以保障。为什么？因为人为因素才是安全的软肋。 安全，通常情况下仅仅是个幻想，由其是轻信、好奇和无知存在的时候。二十世纪最受尊敬 的科学家爱因斯坦这样说道：“只有两种事物是无穷尽的――宇宙和人类的愚蠢。但对于前者， 我不敢确定。”最终，社会工程学的攻击，成功于人们的愚蠢或更为普遍的对信息安全实践上 的无知。 与这位屋主一样，有许多信息技术（IT）从业者都有着类似的错误观念。他们认为自己的公 司固若金汤，因为其配置了精良的安全设备――防火墙、入侵检测，或是更为保险的身份认 证系统，如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足 于虚假的安全感之中，这就是一个生活在幻想世界中的例子，他们迟早会不可避免的遭遇安 全事故。 正如著名的安全顾问布鲁斯?施尼尔（Bruce Schneier）所说：“安全不是一件产品，它是一 个过程。”近一步说，安全不是技术问题，它是人和管理的问题。由于开发商不断的创造出更 好的安全科技产品，攻击者利用技术上的漏洞变得越来越困难。于是，越来越多的人转向利 用人为因素的手段来进行攻击。穿越人这道防火墙十分容易，只需打一个电话的成本和冒最 小的风险。 一个欺骗的经典案例 企业资产安全最大的威胁是什么？很简单，社会工程师。一个无所顾忌的魔术师，用他的左 手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是 件荣幸的事情。我们来看一个社会工程学的例子： 许多人都已记不起一个叫斯坦利?马克?瑞夫金（Stanley Mark Rifkin）的年轻人，和他在洛杉矶的美国保险太平洋银行（Security Pacific National Bank）的冒险小故事了。他的劣迹很多，瑞夫金（同我一样）从未把自己的事情告诉过别人，因此下面的叙述基于公开的报 道。 获得密码 1978的一天，瑞夫金无意中来到了美国保险太平洋银行的授权职员准入的电汇交易室， 这里每天的转款额达到几十亿美元。瑞夫金当时工作的那家公司恰巧负责开发电汇交易室的 数据备份系统，这给了他了解转账程序的机会，包括银行职员拔出账款的步骤。他了解到被 授权进行电汇的交易员每天早晨都会收到一个严密保护的密码，用来进行电话转帐交易。 电汇室里的交易员为了记住每天的密码，图省事把密码记到一张纸片上，并把它贴到很容易 看得见的地方。11月的一天，瑞夫金有了一个特殊的理由出入电汇室。到达电汇室后，他做 了一些操作过程的记录，装做在确定备份系统的正常工作。借此机会偷看纸片上的密码，并 用脑子记了下来，几分钟后走出电汇室。瑞夫金后来回忆道：“感觉就像中了大奖”。 转款入户 瑞夫金约在下午3点离开电汇室，径直走到大厦前厅的付费电话旁，塞入一枚硬币，打给电 汇室。此时，他改变身份，装扮成一名银行职员――工作于国际部的麦克?汉森（Mike Hansen）。 那次对话大概是这样的： “喂，我是国际部的麦克?汉森。”他对接听电话的小姐说，小姐按正常工作程序让他报上办 公电话。“286。”他已有所准备。小姐接着说：“好的，密码是多少？”瑞夫金曾回忆到他那 时的“兴奋异常”。“4789”他尽量平静地说出密码。接着他让对方从纽约欧文信托公司（Irving Trust Company）贷一千零二十万美元到瑞士苏黎士某银行（Wozchod Handels Bank），他已经建立好的账户上。对方说：“好的，我知道了，现在请告诉我转账号。” 瑞夫金吓出一身冷汗，这个问题事先没有考虑到，他的骗钱 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 出现了纰漏。但他尽量保持 自己的角色，十分沉稳，并立刻回答对方：“我看一下，马上给你打过来。”这次，他装扮成 电汇室的工作人员，打给银行的另一个部门，拿到帐号后打回电话。对方收到后说：“谢谢。” （在这种情况下说“谢谢”，真是莫大的讽刺。） 成功结束 几天后，瑞夫金乘飞机来到瑞士提取了现金，他拿出八百万通过俄罗斯一家代理处购置了一 些钻石，然后把钻石封在腰带里通过了海关，飞回美国。瑞夫金成功的实施了历史上最大的 银行劫案，他没有使用武器，甚至勿需计算机的协助。奇怪的是，这一事件以“最大的计算 机诈骗案”为名，收录在吉尼斯世界纪录中。斯坦利? 瑞夫金用的就是欺骗的艺术，这种技巧和能力我们现在把它称为――社会工程学。 威胁的天然性 瑞夫金的故事确切的证明了我们的安全感是多么不可靠。这样的事件（也许到不了一千万美 元，但终归有所损失）每天都在发生，你的资金可能正在流失，新产品方案正在被窃取，而 你却一无所知。即使你的公司还没有这样的事情出现，那也会终将出现。但它何时出现呢？ 日益增长的安全事件 美国计算机安全协会在2001年计算机犯罪调查报告中声称，在接受调查的组织机构中，有 85%的组织在过去的12个月中发现了计算机安全事件。这是一个惊人的数字，只有15%的机 构在过去的一年中没有发现安全事件。另一个数字同样惊人，有64%的机构由于计算机的问 题而导致财务损失，超过一年中遭受财务损失企业的二分之一强。 我的经验告诉我这个数字有些夸大，并对这项调查的研究结果表示怀疑。但这并不是说安全 事件的危害面不大，相反，它很大。那些未把安全事件考虑在内的人，迟早会出问题。大多 数公司配置的安全产品主是应付业余入侵者的，比如被称为“脚本小子”的年轻人。实际上， 这些利用别人的软件，并憧憬着成为真正黑客的人，大多数情况下只能引起一些麻烦。真正 的损失和威胁，来自于经验丰富、目标清晰，受商业利益驱动的攻击者。这些人一次只盯准 一个目标，而不像业余入侵者试图进入尽可能多的系统。业余黑客看重数量，而职业黑客在 乎的是信息的质量和价值。 认证设备（身份认证）、访问控制（对文件和系统资源的控制管理）和入侵检测系统（计算机 化的防盗器）等技术，对公司的安全防护是十分必要的。然而，现在的公司在布置保护企业 免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。 正如同罪恶的心无法抵制诱惑，黑客们一心要找出功能强大的安全系统的弱点。在许多时候， 他们把这种心思放在了人的身上。 欺骗的使用 许多人都说，关掉了的计算机才是安全的计算机，但这是错误的，找个借口让人去办公室打 开它就是了。你的对手不仅仅有一种方法可以从你那里得到他想要的信息，这只是时间的问 题。耐心、个性和坚持，这正是欺骗的艺术的切入点。 要击败安全措施，一个攻击者、入侵者，或是社会工程师，必须找到一个方法，从可信用户 那里骗取信息，或是不露痕迹的获得访问权。当可信用户被欺骗、影响，并被操纵而吐露出 敏感信息时，或是做出了不当的举动，从而让攻击者有漏洞可钻时，什么样的安全技术也无 法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样，社 会工程师通过欺骗你的雇员来绕过安全技术。 信任的弊端 大多数情况下，成功的社会工程师都有着很强的人际交往能力。他们有魅力、讲礼貌、 讨人喜欢，并具有快速建立起可亲、可信感的特点。一个经验丰富的社会工程师，使用他自 已的战略、战术，几乎能够接近任何他感兴趣的信息。精干的技术专家辛辛苦苦地设计出安 全解决方案来最小化使用计算机的风险，然而却没有解决最大的漏洞――人为因素。尽管我 们很聪明， 但对我们人类――你、我、他的安全最严重的威胁，来自于我们彼此之间。 我们的国民性格 我们对危险漠不关心，尤其在西方，美国则更甚。我们没有受到要对别人保有怀疑态度的训 练，我们接受的是“爱汝之邻”（译者注：此句引自《圣经》）的教育，人与人之间要相互信 任和忠实，试像一下小区的保安机构让人们锁上家门和车门是多么的困难。这种情形是很明 显的，却似乎被许多宁愿活在理想世界里的人忽略，直至受到伤害。 我们知道，并不是所有的人都诚实善良、友爱可亲，可我们在生活中却经常把他人想像成这 样。这种可爱的无知一直都是美国人的生活方式，放弃这种习惯十分不易。做为美国人，自 由和最适宜居住的地方就是锁和钥匙最没必要的地方，这种理念已经深入人心。大多数人持 有不会被欺骗的想法是觉得被骗的可能性很低，而攻击者利用这种心理，编出不会引起怀疑 的听上去十分合理的理由，充分的利用了受骗者的信任。 机构的无知 无知是我们国民性格的一部分，这可以在回溯计算机首次远程联接时轻易的看出。 APPANet（美国国防部高级研究项目署网络），互联网的前身，用来在政府、科研和教育机构 之间共享信息，其目标是信息共享和科技进步，许多教育机构因此建立了几乎没有任何安全 措施的早期计算机系统。一个著名的软件开发自由主义者，理查德?斯托曼，甚至拒绝为他的 账号设置口令。但随着互联网电子商务的兴起，由于互联网脆弱的安全措施导致的危害性发 生了极大的变化。 使用再多的安全技术也不能解决人为的安全因素，拿今天的机场为例，安全已经成为首要措 施，然而我们仍然被媒体的报道所警告，还是有人可以避开安全措施、携带潜在性武器通过 检测。在一个机场时刻处于警戒状态下的时期，这种事情又是怎么发生的呢？是那些金属仪 器失效了么？不，问题不在机器，问题在于人，机器是由人操纵的。机场的官员虽然可以布 署国民警卫队并安装检测器和面部识别系统，但如何培训一线保卫人员正确地检查旅客则更 为重要。全世界的政府、商业、教育机构都有同样的问题，虽然各个地方的职业安全人员不 敢懈怠，但信息仍然易受攻击，并被具备社会工程学技巧的攻击者视为可摘之果，除非安全 链中最薄弱的环节 ――人为因素，被加固强化。 现在，我们比任何时候都需要停止幻想，同时对攻击计算机系统和网络机密性、完整性以及 实用性的技术加深认识。我们已经认识到主动防御的必要，是接受和学习安全防护的时候了。 对你的隐私、思想和公司信息系统的非法入侵似乎很遥远，直到它真的发生。为了避免 付出昂贵的代价，我们所有的人都需加深认识、富有经验、保持警醒，并主动防卫我们的信 息资产、个人信息，以及国家的关健基础设施。现在，我们必须实行严谨、周密的设防。 欺骗与恐怖分子 当然，欺骗并不是社会工程师的专用工具。暴戾的恐怖主义制造了耸人听闻的新闻事件，我 们前所未有地意识到我们居住的世界充满了危险。文明，终归只是一层脆弱的薄板。2