25.社會工程學在資訊保安中的重要性

總體上來說，

社會工程學

就是使人們順從你的意願、滿足你的慾望的一門藝術與學問。它並不單純是一種控制意志的途徑，但它不能幫助你掌握人們在非正常意識以外的行為，且學習與運用這門學問一點也不容易。

它同樣也蘊涵了各式各樣的靈活的構思與變化著的因素。無論任何時候，在需要套取到所需要的資訊之前，

社會工程學

的實施者都必須：掌握大量的相關知識基礎、花時間去從事資料的收集與進行必要的如交談性質的溝通行為。與以往的的入侵行為相類似，

社會工程學

在實施以前都是要完成很多相關的準備工作的，這些工作甚至要比其本身還要更為繁重。

你也許會認為我們現在的論點只是集中在證明“怎樣利用這種技術也能進行入侵行為”的一個突破口上。好了，其實這樣夠公平的了。無論怎麼說，“知道這些方法是如何運用的”也是唯一能防範和抵禦這型別的入侵攻擊的手段了。從這些技術中提取而得出的知識可以幫助你或者你的機構預防這型別的攻擊。在出現

社會工程學

攻擊這型別攻擊的情況下，像

CERT

發放的、略帶少量相關資訊的警告是毫無意義的。它們通常都將簡單地歸結於：“有的人透過‘假裝某些東西是真的’的方式去嘗試訪問你的系統。不要讓他們得逞。”然而，這樣的現象卻常有發生。

那又如何呢？

社會工程學

定位在計算機資訊保安工作鏈路的一個最脆弱的環節上。我們經常講：最安全的計算機就是已經拔去了插頭（註釋：網路介面）的那一臺（註釋：“物理隔離”）。真實上，你可以去說服某人（註釋：使用者）把這臺非正常工作狀態下的、容易受到攻擊的（註釋：有漏洞的）機器接上插頭（註釋：連上網路）並啟動（註釋：提供日常的服務）。

也可以看出，“人”這個環節在整個安全體系中是非常重要的。這不像地球上的計算機系統，不依賴他人手動干預（註釋：人有自己的主觀思維）。由此意味著這一點資訊保安的脆弱性是普遍存在的，它不會因為系統平臺、軟體、網路又或者是裝置的年齡等因素不相同而有所差異。

無論是在物理上還是在虛擬的電子資訊上，任何一個可以訪問系統某個部分（註釋：某種服務）的人都有可能構成潛在的安全風險與威脅。任何細微的資訊都可能會被

社會工程學

使用者用著“補給資料”來運用，使其得到其它的資訊。這意味著沒有把“人”（註釋：這裡指的是使用者

/

管理人員等的參與者）這個因素放進企業安全管理策略中去的話將會構成一個很大的安全“裂縫”。

一個大問題？

安全專家常常會不經意地把安全的觀念講得非常的含糊，這樣會導致資訊保安上的不牢固性。在這樣的情況下

社會工程學

就是導致不安全的根本之一了。我們不應該模糊人類使用計算機或者影響計算機系統運作這個事實，原因我在之前已經宣告過了，地球上的計算機系統不可能沒有“人”這個因素的。幾乎每個人都有途徑去嘗試進行

社會工程學

“攻擊”的，唯一的不同之處在於使用這些途徑時的技巧高低而已。

方法

試圖驅使某人遵循你的意願去完成你想要完成的任務是可以有很多種方法的。

第一種方法也是最簡單明瞭的方法，就是目標個體被問到要完成你的目的時給予其一個直接的“指引”了。毫無疑問這是最容易成功的，也是最簡單與最直觀的方法了。

當然，被指引的個體也會清楚地知道你想他們幹些什麼。

第二種就是為某個個體度身訂造一個人為的（註釋：透過捏造的手段）特定情形

/

環境。

這種方法比你僅僅需要考慮到了某個個體的相關資訊狀況附帶更多的因素，例如如何說服你的物件，你可以設定（註釋：刻意安排）某個理由

/

動機去迫使其為你完成某個非其本身意願的行為結果。這包括了遠至於為某個特定的個體創造一個有說服力的企圖而進行的工作，與大量你想得到的“目標”的相關知識。這意味著那些特定的情況

/

環境必須建立在客觀事實的基礎上。少量的謊言會使效果更好一些。

社會工程學

中最精煉的手段之一就是針對現實事物的良好記憶能力。在這個問題上駭客與系統管理員會更為側重一點，特別是在某種事物與他們的領域有所關聯的情況下。為了說明上述的方法，我準備列舉一個小型的範例

……。

［

範例如下，當你把某個個體“置於”群體

/

社會壓力（註釋：其型別如輿論壓力等）下的處境

/

形勢時，個體很有可能會做出符合群體決定的行為，儘管這個決定很明顯是錯誤的。

］

一致性

若在某些情況下有人堅信他們群體的決定是對的話，那麼這將有可能導致他們做出不同於往常的判斷

/

行為。比方說如果我曾發表過某個結論，論點的理由非常充分（註釋：這裡指的是符合群體中多數人的意願），那麼往後無論我花多大的精力去嘗試說服他們，都不可能令他們再改變自己的決定了。

另外，一個群體是由不同位置

/

層次的成員組成的。這個位置

/

層次問題被心理學者稱之為“

demand charac-teristics

”（註釋：“意願的特徵性”），這個位置

/

層次問題在參與者的行為上受其濃厚的社會約束性所影響。不希望得罪其他的成員的、不想被其他人看出自己在會議中想睡覺的、不想破壞與自身關係良好的夥伴的觀點等的心態最終都會成為“隨波逐流”現象的形成因素。這種運用到特徵的處理方式是引導人們行為的一種有效途徑。

情形

無論怎麼說，大多數的

社會工程學

行為都是被一些單獨的個體所運用的，因此諸如社會壓力與其它的一些影響因素都必須建立在和目標有一定的可信關係的情況下進行的。

如果處於這樣的情形下，當有了真實或者虛構出來的固有特徵時目標個體就很可能會遵循你的意願而工作了。這些固有特徵包括：

·

目標個體以外的壓力問題。如讓個體相信某個行為的後果並不是他一個人的責任。

·

藉助機會去迎合某人。這些行為更多取決於此個體是否認為某個決定能為某人帶來“好處”。這樣的行為可以使你與老闆的關係更為融洽。

·

道德上的責任。

個體會遵從你是因為他們覺得自己（註釋：在道德上）有義務這麼做。這就是利用了內疚感。人們比較願意逃避內疚感，因此如果有一個“可能”會讓他們覺得有內疚感的話他們都會盡可能地去避免這個“可能”。

個人的說服力

個人的聲望

/

說服能力是一種常被用於促使某人配合

/

順從你的有利手段。使用個人說服力的目的並不是要別人強行接受你所指派的“任務”，而是增強他們對完成你所指派的任務的主動順從意識。

其實這是有些矛盾的。基本上，目標只是被我們簡單地引導到一個已經設定好的、特定的（註釋：故意安排的）思維模式上去。目標會認為他們可以控制住局面，在此同時他們也透過他們的力量幫助了你。

事實上，目標所得到的利益與他間接幫助你得到的利益此兩者是沒有衝突的。

社會工程學

使用者的目的是說服目標，使其有充分的理由去相信只需花費小量的時間與精力就可以“換取”得到利益了。

合作

存在著多個因素可以促使一個

社會工程學

使用者增加與目標“合作”的機會。

儘量少與目標發生衝突。使用平和的態度去面對對方可以提高達成目的成功機率。拉攏關係或者發展新的關係，共同的煩惱又或者是一些比較特殊的任務都可以有效地迫使目標與你合作。

在這裡‘走向成功’的因素往往集中在你是否有能力去掌握與處理好你的說服力。這是非常重要的，這一點常被“騙子”（註釋：常常使用欺騙手段的人）認為是萬試萬靈的手段。心理學研究指出如果人們先前曾經遵照過某個極小的指引而工作（註釋：並獲得成功）時現在他

/

她就更可能會去遵照一個更大的（註釋：指引）了。在這裡如果曾有過合作的前科的話，那麼這次再合作，達成的機會就很大了。

更好的方法是讓

社會工程學

者給予合作物件一些比較敏感的資訊。尤其是一些非常逼真的視聽感觀，目標能夠現場看到或聽到你給他們的資訊要比他們僅僅可以透過電話聽到你的聲音更能令他們信服。這個觀點一點也不稀奇，以書寫形式或電子方式進行交流的資訊是很難讓人信服的。這就如同拒絕某人進行某個

IRC

風格的通訊一樣。

關聯

不管怎麼說，

社會工程學

運用是否能成功也有取決於目標個體與你的目的有多大關聯的因素的。我們可以說系統管理員、計算機安全執行官、技術研究人員、那些依靠計算機

/

網路進行工作又或者透過其進行通訊的人與大多數駭客使用

社會工程學

進行攻擊的目標都是有莫大的關聯的。

有高度關聯性的個體大多會被強而有利的論據所說服。事實上你可以給予他們更多強而有利的論據來支援你的觀點。當然，那些觀點也有薄弱的一面。你是否將論點薄弱的一面展現給有高度關聯的人知道將極大可能地決定你是否能說服此人。當某人有可能直接被

社會工程學

攻擊所影響，若此時出現薄弱的論據將有可能會導致其思想上產生“相反”的意識。所以面對與你的目的有關聯的人時你必須給予強而有力的論據，而避免出現理由薄弱的論據。

相對於對你的指引或你想得到的結果並不敢興趣的人，你可以把他們列入“低關聯的人”這個類別中去。相關的例子如：一個網路系統機構中的保安人員、清潔工人、又或者是前臺接待小姐等。因為低關聯類別的個體並不會直接對你的目的

/

結果造成影響，而且他們往往不會去分析你用來說服他們的論點的雙面性問題。他們的決策往往會遵循你的意願又或者是完全不受其它的“意識”所影響。這些的“意識”如：

社會工程學

所提供的理由、表面形勢上的迫急性又或者是在某人強烈的說服下。憑經驗而論，在這樣的情況下我們只能儘可能地給予其更多的論據與理由了，估計這樣的效果會更好一些。基本上，對於那些與你的意識不一致的人，試圖用大量的論據和指引去說服他們更勝於他們與你的目的的關聯程度。

有一點是需要注意的：在進行某些工作的時候，能力低的個體更多會去仿效能力高的個體的行為模式。在計算機系統管理方面，“能力低的個體”大多是指上文所提到的“低關聯的人”。站在上述的觀點上考慮，不要試圖對系統管理員這類別的個體進行

社會工程學

攻擊，除非其能力不及你，不過這樣的可能性非常的低。

防禦他人的攻擊

綜合上述的資料能否讓讀者更好地保障他們整個計算機系統的安全呢？其實踏出“美好的”第一步就是要視乎員工們能否在自己的工作崗位上保障自己的計算機系統的資訊保安。這不但需要你無條件地增強他們的安全防範意識，而且你自身也必須具備更高的警惕性。打個比方，如果你讓某人專門負責保護你的計算機系統安全的話，那麼就有便利於那個人在沒有正常許可的情況下訪問你係統的可能了。

無論如何，對付與防禦這型別攻擊的最有效手段，也作為最常見的手段，就是“教育

/

培訓”了。第一步是教育你的僱員與那些有可能被利用作為

社會工程學

實施目標的人關於計算機

/

資訊保安的重要性。直接給予容易攻擊的人們一些預先的警告已經足以讓他們去辨認社會工程攻擊了。不過要記著，在教育他們計算機資訊保安的時候可以使用一些故事及其“雙面性”來作為例子。這並不是我自己的個人喜好哦。當個體明白了這個焦點的“雙面性”以後他們基本上就不會動搖他們所處的立場了。而且如果他們是專注於計算機安全技術的話，那麼他們更有可能會站在維護你的資料安全的立場上。

也有不會遵從人們的說服力傾向而作出行動的思維因素的。在這裡你必須有清晰的思維、高度的創造力、可以應付和處理壓力的能力與適當的自信。壓力的處理能力與自信可以通過後天培養。至於自身的主張和見解常常被用於對員工的管理方面，訓練它可以減少某些個體被施行

社會工程學

攻擊的機會，也有助於其他方面的工作。

瞭解各種使人們的資訊保安意識降低與威脅你的安全策略的因素。其實這方面只需要投入小量的精力就可以在降低安全風險方面產生很大的成效了。

結論

與普遍的思想觀念相反，運用

社會工程學

捕捉人們的心理狀態的技巧要比入侵一個

sendmail

容易得多。但如果你想讓你的員工去預防與檢測

社會工程學

攻擊的話，其效果絕對不會比你讓他們去維護

UNIX

系統安全的效果明顯。

站在系統管理員的立場上，不要讓“人之間的關係”問題介入你的資訊保安鏈路之中，以至於讓你的努力前功盡棄。站在駭客的立場上呢，當系統管理員的“工作鏈”上存放有你所需要的資料時，千萬不要讓他“擺脫”自身的脆弱環節。