摘 要:文章通过对《社会工程:安全体系中的人性漏洞》一书,从章节框架、内容体系与深度、翻译水平以及“社会工程学”的本质等方面进行了分析探讨,认为该书条目清晰、深入浅出、案例丰富,是一本很好的了解“社会工程学”的基础读本,有助于推动社会工程专业文献研究。
关键词:社会工程;心理;书评
1 “社会工程学”的含义
关于“社会工程学”的准确含义,国内实际上有着两个几乎完全不同的定义,这为准确理解“社会工程学”概念带来了很大的影响。
1.1 “社会工程学”定义1
钱学森和乌家培曾发表“组织管理社会主义建设的技术——社会工程”一文,认为可以把完成组织管理社会主义建设的技术叫作社会工程(Social Engi⁃neering,SE)。它是系统工程范畴的技术,但是范围和复杂程度是一般系统工程所没有的。这不只是大系统,而是“巨系统”,是包括整个社会的系统。钱学森一直强调“社会工程是从系统工程发展起来的”,“社会工程”是“社会系统工程”的简称。
1.2 “社会工程学”定义2
社会工程利用人的思维、意识、习惯和人际关系等人文或社会科学的一些方法来企图说服或影响他人,如广告、营销、意识形态教育、网络舆论引导等都是社会工程的应用,这种影响多数是中性或良性的。当“社会工程学”被用于不良目的,如高级持续性威胁(Advanced Persistent Threat,APT)——对特定目标进行的以窃取资料为目的的长期持续性网络攻击,便称为“社会工程攻击”,通常也指采用欺骗、欺诈、威胁,恐吓等手段来获取信息。
两个概念至今仍然是并行的,而且各自都有对应的领域范畴、研究机构、著作刊物以及专家学者。有种观点认为两个定义是广义与狭义之别,但其实两者一是“社会性的工程”,一时“基于人的社会关系的攻击行动”,其含义可谓天差地别。
显然,和许多探讨“社会工程学”的文章著作一样,作者没有提及两个概念的区别,或许在每个领域专家的脑海里,这个概念都是唯一的,是不需要解释说明的。
他的心里泛起一阵失落和难过,不是为女子的死,而是为她没能死在自己的手上。那时,他突然发现,自己这个人是多么得恐怖!自己身为云浮神权的接替者,心里竟然还隐藏着这样的一个恶魔!
2 “社会工程学”的流行
“社会工程学”和社会工程攻击已经成为越来越流行的词语概念,利用“社会工程学”对特定目标采取攻击已经得到越来越多的应用和重视。之所以如此流行,一个重要的原因或者说前提,就是互联网的迅速发展。
4.个别农民思想狭隘,见不得别人好。土地信托流转就是通过信托公司要把农民的土地承包经营权转让给种田大户或经营能手,而这些大户和能手有可能就是一个院子或村里的人,或许平时关系不怎么好,甚至有些磕磕绊绊,要把自己的土地承包经营权转让给这些人,让他们赚钱,自己“失去”土地,既嫉妒又羡慕,心里很难接受。这些人甚至还会动员自己的亲朋好友反对土地信托流转,通过各种途径对土地信托流转设置障碍。
“社会工程学”核心是信息的搜集,网络为信息搜集奠定了不可替代的技术基础,没有网络社会,“社会工程学”不会如此具有威力。随着网络异常迅猛的发展,搜索引擎、聊天软件、社交平台的大量涌现,人们的生活环境和生存状态都已经高度融入互联网,网络已经成了人们的生活方式,大量个人信息的泄露与泛滥,使“社会工程学”有了极大的用武之地,“社会工程学”的技术门槛极大地降低,“社会工程学”的攻击可以说无处不在。
3 “社会工程学”的本质
3.1 “社会工程学”的目标是人
尽管“社会工程学”的攻击手段和攻击过程充满令人神往的吸引力,但其实攻击前针对目标长时间的信息搜集是一切攻击方式的基本前提。这也是APT攻击为什么十分强调持续性。信息搜集的价值在于积累对目标的认知,信息搜集的富集程度也就决定了对目标的了解程度,这是后续社会工程攻击(如诱导、伪装)的基础性工作,不可或缺、无以替代、不能省略,信息搜集的质量直接关乎攻击的成功率。
3.2 “社会工程学”是心理学的攻击
社会工程攻击利用人性的弱点来获取信息,心理学是“社会工程学”的核心手段。这方面有专门的文章作了较为详细的总结,如表1所示。
3.3 “社会工程学”的前提和重点是信息搜集
互联网环境下,人们其实十分关注信息安全,但是一般都将注意力放在以计算机技术为基础的攻防手段,但“社会工程学”关心的是网络中的人。攻击者通过利用人的弱点绕过技术主导的安全防御系统。这使得“人”成为整个安全链中最薄弱的一环。任何一个或繁琐或简单的系统都离不开人,因此任何系统在“社会工程学”面前都是存在弱点与漏洞的。
表1 社会工程攻击的心理因素
心理因素信任、轻信好奇贪欲互惠、报答健忘、惰性、侥幸权威胆小、恐惧社会认同、名誉感、做好人遗憾、内疚乐于助人、善良攻击手法恭维,投其所好,共同点和话题,冒充同事,或冒充已获授权,使其产生错觉引诱伪装中奖、色诱等制造给予帮助的机会渗透、假装无意而获知信息摆架子冒充,语气威严下套、蒙骗、恐吓说服、与别人一致等宣传给予补救机会求助心理弱势对似乎常规的请求和问询乐意回答,之后可能习惯性违规提供信息总想一探究竟想得到或得到更多对方看似合理的请求难以拒绝信息安全不重要怕得罪上司、专家、官员面临法律制裁、制度惩罚、道德谴责、丢面子、自己及亲属的人身及财产威胁等不甘落后或孤单想完成某事,弥补遗憾想做“好事”
因此,“社会工程学”不可避免的缺点之一就是人力成本的消耗,信息的搜集是智力活动,自动程序根本难以完成(复杂软件只能在搜集过程中节省人力),强烈依赖人力势必造成人力成本的上升。所以,“社会工程学”很难由少数人在短时间内完成,而只能是一个有组织的集体才能发挥它的威力。
3.4 “社会工程学”是一套缜密的方案
“社会工程学”以人的心理弱点为出发点,但成功的案例表明即使是那些自认为最警惕、最小心的人也难逃“社会工程学”的攻击。因为“社会工程学”不是一种单一的攻击方式或方法,而是精心设计的一套缜密的行动方案,其间结合了多个领域的多项技术和社会工程专家的思维结晶(见表2)。
这本书是国内屈指可数的几本专门研究“社会工程学”的书籍,结构非常清晰,从其目录的安排就可以看出。
师:请小组通力合作读出2号、3号、4号、5号、6号这5个电阻的阻值,并把数据填入表格,用万用表检测误差(每个电阻4分,共20分)。
3.5 “社会工程学”对于攻防双方呈现不同状态
“社会工程学”对于攻方来说,主要在于搜集目标信息,研究攻击策略、诱导欺骗目标获取关键信息。但对于守方来说,则呈现另一种形态。“社会工程学”的攻击由于准备的针对性,十分符合防护者也就是攻击目标的偏好,可以描述为防护者生活中出现的“小概率事件”。而小概率事件本身就意味着反常规、非偶然和人为干扰的极强可能。越是成功的“社会工程学”攻击,也就意味着越典型的小概率事件。巧合与符合,是防护者能够看到的被攻击状态的呈现。因此防范的最重要原则就是严格遵守安全规定,对一切不合常规的行为保持警惕。也许针对“社会工程学”最有效的预防手段,就是那句老生常谈的“提高安全意识”。
4 目前国内对于“社会工程学”的研究重点和进展
6.1.1 体系框架完整
表2 社会工程攻击分类
攻击类型网络钓鱼攻击密码心理学攻击收集敏感信息攻击针对企业管理模式攻击内容详解虚假邮件虚假网站IM程序特洛伊木马根据生日等信息进行口令破解针对用户手机或身份证明文件推算用户口令针对用户亲友的姓名或生日推算系统默认口令常用口令搜索引擎收集信息踩点和调查收集信息网络钓鱼获得的信息利用企业或人员管理脆弱性获得的信息针对企业人员所带来的缺陷获得的信息针对企业人员对于口令管理缺陷获得的信息针对企业内部对内部资料管理及传播获得的信息
分析这些资源,可以发现,目前“社会工程学”的研究重点集中于对成熟案例的分析、对涉及的心理学知识的介绍、对具体攻击过程中网络技术的讲解,焦点词汇集中于网络攻击、人性弱点、心理学、诈骗、伪装、骗取口令、窃取密码等多个方面。通过这些词汇,可以大体建立起“社会工程学”的粗略框架。但同样十分明显的现象是,这些文章资源主要集中关注“社会工程学”的3个方面:(1)概念的科普性介绍;(2)案例研究为名做猎奇演义;(3)具体操作层面的技术介绍,而真正对“社会工程学”进行体系的、完整的、科学研究的文献则几乎没有。
5 《社会工程:安全体系中的人性漏洞/Social Engineering:The Art of Human Hacking》
《社会工程:安全体系中的人性漏洞/Social Engi⁃neering:The Art of Human Hacking》由人民邮电出版社出版,作者是Christopher Hadnagy(美),其从事计算机技术14年之久,全心投入在计算机安全中“人”的研究,他也是世界上第一个社会工程体系网站(www.social-engineer.org)的主要开发者,以及主动式安全(offensive security)渗透测试小组的培训师和首席社会工程专家。
再生水项目供需各方之间通过法律明确权利义务关系非常关键,这是确保再生水项目使用者付费、维持项目成本有效性和持续性,从而实现商业化运营的基础。美国的相关规定覆盖了再生水供应商、批发商、零售商和用户,涉及费率和固定收费、折扣、服务条款和其他特定使用情况的协议。
第一章“社会工程学”初探;第二章信息收集(In⁃formation Gathering);第三章诱导;第四章伪装:如何成为任何人;第五章心理战术:社会工程中的心理学原则;第六章影响:说服的力量;第七章社会工程工具;第八章案例研究:剖析社会工程人员;第九章预防和补救。
由本书结构可见,该书比较全面地介绍了完整的“社会工程学”攻击流程(见图1),同时辅以工具的介绍和案例的说明,最后提出了预防和补救安全体系隐患的措施和建议。
图1 “社会工程学”攻击流程
6 本书的精彩与不足
6.1 精彩之处
通过查找CNKI资源,可以搜索到360余篇期刊文章,可见关于“社会工程学”的资源非常丰富。同时在互联网上也可以搜到很多高质量分析长文,这些资源大多集中于网民聚集的各大论坛、贴吧等社区环境中。
(3)在投标时也有了相应的实时成本资料。招投标阶段,企业定额对投标单位有很高的参考价值,投标单位可以根据企业定额快速制定投标方案并报价。
资金使用效率低下是很多国企都面临的问题。国企应该建立银行账户管理制度,归并现有银行账户,严格核准账户的开立。
本书基本上按照“社会工程学”攻击的完整流程行文,对各环节的要素、实施、策略与目标都进行了深入的介绍与说明。同时对于工具和案例的介绍都专门另设章节专题论述,尤其案例部分,陈述与分析都具有较强的针对性(目前互联网与校园网所查关于“社会工程学”的经典案例,大部分出自本书)。本书的案例式写法其实贯穿于各章节之中,没有丰富的实际工作经验其实是无法做到的,这也侧面证明了作者的资历和权威。
6.1.2 章节内容的深度超出一般期刊文章
这些数据说明, 在一定的水活度下, 随温度升高, 平衡含水率值下降, 金银花的吸水性下降。 这种趋势是由于温度引起物质内部的化学、 物理变化而导致水的亲合活性点减少的结果[4]。Pali pane KB和Driscoll RH提出温度升高, 水分子的活性能提高, 使得食物中的亲水力破坏, 变的不稳定, 因而平衡含水率降低。随着温度的变化, 分子的激发态、分子之间的距离会变化, 因而分子间的引力也会变化, 导致在一定水活度下, 随着温度的变化吸收的水分子数量也会发生变化[5]。
自我接纳是评估一个人心理健康的重要指标之一.高文凤等[13]研究表明,大学生在社交方面存在一定的社交焦虑,自尊与自我接纳是影响大学生社交焦虑的重要因素之一.Bolier等[14]对“积极心理学”干预的论文元分析发现,积极心理学干预技术能有效提升主观幸福感和心理幸福感.因此本研究旨在探索以积极心理学理论为指导的结构式团体辅导对社交焦虑研究生的干预效果.研究假设:与无结构式的团辅形式相比,积极心理取向的结构式团辅可以改善社交焦虑研究生的心理状态,降低社交焦虑水平,提高主观幸福感和自我接纳程度.
如第三章“诱导”、第四章“伪装”、第六章“影响:说服的力量”及第八章“案例研究”。“诱导”一章,提出“诱导是社会工程体系的顶层,这一技巧在于改变人们对你的看法”,“有效地引导别人将心里话说出来”,这里书中引用了孙子兵法里那句经典的“不战而屈人之兵,善之善者也”。在该章节中,在介绍了一些诱导的程序环节后,作者提出“本章涵盖了全书最强有力的一些观点,明白如何通过正确的节奏和方式问出恰当的问题,是成败的分水岭”,“精确诱导技巧几乎可确保社会工程人员的成功”。
“伪装”一章,作者提出了伪装的原则:充分调查、植入个人爱好、不同的方言与表达方式、伪装应该简单、伪装必须自然、为目标提供逻辑结论或下一步安排,同时辅以案例说明。“影响:说服的力量”一章,作者写道“影响和说服的艺术就是让他人想要以你所期许的方式去行动、反应、思考或建立信仰的过程”。在作者提出原则后,详细分析介绍了“影响”的8种战术,即回报、义务、让步、稀缺、权威、承诺和一致性、喜欢、共识或社会认同,并重点讨论了“体系”与“操纵”的概念和实施(这也是作者目前最具代表性的科研成果)。
6.2 不足之处
6.2.1 部分章节专业性存在欠缺
也许是为了满足一本书的字数,或是体系的完备,书中有些章节明显偏离了“社会工程学”这一中心,尤以第五章“心理战术:社会工程的心理学原则”为甚。这一章中有大段的微表情、神经语言程序学、采访与审讯的理论介绍,显然已经偏离了社会工程的概念中心,虽然也许尚有联系,但其拼凑的目的十分明显。
6.2.2 具体技术内容的介绍显然随着时代发展而变得过时
由于书籍出版的流程导致越是前沿的、细节的、操作性的内容,越是具有很大的滞后性,书中关于具体社会工程工具的介绍、很多章节中基于电话而不是基于互联网的案例分析,都已经有了明显的时代局限,这是本书无法避免的明显遗憾。
6.2.3 中文版翻译粗糙
翻译者没有相关知识背景,翻译的错误和不准确的地方比比皆是,对读者阅读和引用造成极大影响。
Research on the literature of“Social Engineering”:a case study of Social Engineering:Human Loopholes in Security System
Liu Hailong
(Luoyang Campus,University of Information and Engineering of the Liberation Army,Luoyang 471003,China)
Abstract:This paper analyzes and discusses the book of Social Engineering:Human Loopholes in the Security system from the aspects of chapter framework,content system and depth,translation level and the nature of“Social Engineer⁃ing”,it is put forward that the book explains profound theories in simple language,and the case is rich,which is a good basic book for understanding “Social Engineering”.
Key words:Social Engineering;psychology;book review
中图分类号:G254
文献标识码:A
作者简介:刘海龙(1981—),男,辽宁抚顺人,讲师,博士研究生;研究方向:情报学。
(责任编辑 王梦云)
标签:社会论文; 工程学论文; 工程论文; 信息论文; 体系论文; 《江苏科技信息》2019年第8期论文; 解放军信息工程大学洛阳校区论文;