社會工程學在信息安全中的重要性

　　總體上來說，社會工程學就是使人們順從你的意願、滿足你的欲望的一門藝術與學問。它並不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識以外的行為，且學習與運用這門學問一點也不容易。

　　它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候，在需要套取到所需要的信息之前，社會工程學的實施者都必須：掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似，社會工程學在實施以前都是要完成很多相關的准備工作的，這些工作甚至要比其本身還要更為繁重。

　　你也許會認為我們現在的論點只是集中在證明“怎樣利用這種技術也能進行入侵行為的一個突破口上。好了，其實這樣夠公平的了。無論怎麼說，“知道這些方法是如何運用的也是唯一能防范和抵御這類型的入侵攻擊的手段了。從這些技術中提取而得出的知識可以幫助你或者你的機構預防這類型的攻擊。在出現社會工程學攻擊這類型攻擊的情況下，像CERT發放的、略帶少量相關信息的警告是毫無意義的。它們通常都將簡單地歸結於：“有的人通過‘假裝某些東西是真的’的方式去嘗試訪問你的系統。不要讓他們得逞。然而，這樣的現象卻常有發生。

　　那又如何呢？

　　社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。我們經常講：最安全的計算機就是已經拔去了插頭（注釋：網絡接口）的那一台（注釋：“物理隔離）。真實上，你可以去說服某人（注釋：使用者）把這台非正常工作狀態下的、容易受到攻擊的（注釋：有漏洞的）機器接上插頭（注釋：連上網絡）並啟動（注釋：提供日常的服務）。

　　也可以看出，“人這個環節在整個安全體系中是非常重要的。這不像地球上的計算機系統，不依賴他人手動干預（注釋：人有自己的主觀思維）。由此意味著這一點信息安全的脆弱性是普遍存在的，它不會因為系統平台、軟件、網絡又或者是設備的年齡等因素不相同而有所差異。

　　無論是在物理上還是在虛擬的電子信息上，任何一個可以訪問系統某個部分（注釋：某種服務）的人都有可能構成潛在的安全風險與威脅。任何細微的信息都可能會被社會工程學使用者用著“補給資料來運用，使其得到其它的信息。這意味著沒有把“人（注釋：這裡指的是使用者/管理人員等的參與者）這個因素放進企業安全管理策略中去的話將會構成一個很大的安全“裂縫。

　　一個大問題？

　　安全專家常常會不經意地把安全的觀念講得非常的含糊，這樣會導致信息安全上的不牢固性。在這樣的情況下社會工程學就是導致不安全的根本之一了。我們不應該模糊人類使用計算機或者影響計算機系統運作這個事實，原因我在之前已經聲明過了，地球上的計算機系統不可能沒有“人這個因素的。幾乎每個人都有途徑去嘗試進行社會工程學“攻擊的，唯一的不同之處在於使用這些途徑時的技巧高低而已。

　　方法

　　試圖驅使某人遵循你的意願去完成你想要完成的任務是可以有很多種方法的。第一種方法也是最簡單明了的方法，就是目標個體被問到要完成你的目的時給予其一個直接的“指引了。毫無疑問這是最容易成功的，也是最簡單與最直觀的方法了。當然，被指引的個體也會清楚地知道你想他們干些什麼。

　　第二種就是為某個個體度身訂造一個人為的（注釋：通過捏造的手段）特定情形/環境。這種方法比你僅僅需要考慮到了某個個體的相關信息狀況附帶更多的因素，例如如何說服你的對象，你可以設定（注釋：刻意安排）某個理由/動機去迫使其為你完成某個非其本身意願的行為結果。這包括了遠至於為某個特定的個體創造一個有說服力的企圖而進行的工作，與大量你想得到的“目標的相關知識。這意味著那些特定的情況/環境必須建立在客觀事實的基礎上。少量的謊言會使效果更好一些。

　　社會工程學中最精煉的手段之一就是針對現實事物的良好記憶能力。在這個問題上黑客與系統管理員會更為側重一點，特別是在某種事物與他們的領域有所關聯的情況下。為了說明上述的方法，我准備列舉一個小型的范例.......

　　[范例如下，當你把某個個體“置於群體/社會壓力（注釋：其類型如輿論壓力等）下的處境/形勢時，個體很有可能會做出符合群體決定的行為，盡管這個決定很明顯是錯誤的。]

　　一致性

　　若在某些情況下有人堅信他們群體的決定是對的話，那麼這將有可能導致他們做出不同於往常的判斷/行為。比方說如果我曾發表過某個結論，論點的理由非常充分（注釋：這裡指的是符合群體中多數人的意願），那麼往後無論我花多大的精力去嘗試說服他們，都不可能令他們再改變自己的決定了。

　　另外，一個群體是由不同位置/層次的成員組成的。這個位置/層次問題被心理學者稱之為“demand charac-teristics（注釋：“意願的特征性），這個位置/層次問題在參與者的行為上受其濃厚的社會約束性所影響。不希望得罪其他的成員的、不想被其他人看出自己在會議中想睡覺的、不想破壞與自身關系良好的伙伴的觀點等的心態最終都會成為“隨波逐流現象的形成因素。這種運用到特征的處理方式是引導人們行為的一種有效途徑。

　　情形

　　無論怎麼說，大多數的社會工程學行為都是被一些單獨的個體所運用的，因此諸如社會壓力與其它的一些影響因素都必須建立在和目標有一定的可信關系的情況下進行的。

　　如果處於這樣的情形下，當有了真實或者虛構出來的固有特征時目標個體就很可能會遵循你的意願而工作了。這些固有特征包括：

　　·目標個體以外的壓力問題。如讓個體相信某個行為的後果並不是他一個人的責任。

　　·借助機會去迎合某人。這些行為更多取決於此個體是否認為某個決定能為某人帶來“好處。這樣的行為可以使你與老板的關系更為融洽。

　　·道德上的責任。個體會遵從你是因為他們覺得自己（注釋：在道德上）有義務這麼做。這就是利用了內疚感。人們比較願意逃避內疚感，因此如果有一個“可能會讓他們覺得有內疚感的話他們都會盡可能地去避免這個“可能。

　　總體上來說，社會工程學就是使人們順從你的意願、滿足你的欲望的一門藝術與學問。它並不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識以外的行為，且學習與運用這門學問一點也不容易。

　　它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候，在需要套取到所需要的信息之前，社會工程學的實施者都必須：掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似，社會工程學在實施以前都是要完成很多相關的准備工作的，這些工作甚至要比其本身還要更為繁重。

　　你也許會認為我們現在的論點只是集中在證明“怎樣利用這種技術也能進行入侵行為的一個突破口上。好了，其實這樣夠公平的了。無論怎麼說，“知道這些方法是如何運用的也是唯一能防范和抵御這類型的入侵攻擊的手段了。從這些技術中提取而得出的知識可以幫助你或者你的機構預防這類型的攻擊。在出現社會工程學攻擊這類型攻擊的情況下，像CERT發放的、略帶少量相關信息的警告是毫無意義的。它們通常都將簡單地歸結於：“有的人通過‘假裝某些東西是真的’的方式去嘗試訪問你的系統。不要讓他們得逞。然而，這樣的現象卻常有發生。

　　那又如何呢？

　　社會工程學定位在計算機信息安全工作鏈路的一個最脆弱的環節上。我們經常講：最安全的計算機就是已經拔去了插頭（注釋：網絡接口）的那一台（注釋：“物理隔離）。真實上，你可以去說服某人（注釋：使用者）把這台非正常工作狀態下的、容易受到攻擊的（注釋：有漏洞的）機器接上插頭（注釋：連上網絡）並啟動（注釋：提供日常的服務）。

　　也可以看出，“人這個環節在整個安全體系中是非常重要的。這不像地球上的計算機系統，不依賴他人手動干預（注釋：人有自己的主觀思維）。由此意味著這一點信息安全的脆弱性是普遍存在的，它不會因為系統平台、軟件、網絡又或者是設備的年齡等因素不相同而有所差異。

　　無論是在物理上還是在虛擬的電子信息上，任何一個可以訪問系統某個部分（注釋：某種服務）的人都有可能構成潛在的安全風險與威脅。任何細微的信息都可能會被社會工程學使用者用著“補給資料來運用，使其得到其它的信息。這意味著沒有把“人（注釋：這裡指的是使用者/管理人員等的參與者）這個因素放進企業安全管理策略中去的話將會構成一個很大的安全“裂縫。

　　一個大問題？

　　安全專家常常會不經意地把安全的觀念講得非常的含糊，這樣會導致信息安全上的不牢固性。在這樣的情況下社會工程學就是導致不安全的根本之一了。我們不應該模糊人類使用計算機或者影響計算機系統運作這個事實，原因我在之前已經聲明過了，地球上的計算機系統不可能沒有“人這個因素的。幾乎每個人都有途徑去嘗試進行社會工程學“攻擊的，唯一的不同之處在於使用這些途徑時的技巧高低而已。

　　方法

　　試圖驅使某人遵循你的意願去完成你想要完成的任務是可以有很多種方