频道栏目
读书频道 > 安全 > 反欺骗的艺术——世界传奇黑客的经历分享
译者序
2014-08-22 16:18:14     我来说两句
收藏   我要投稿
在《反欺骗的艺术——世界传奇黑客的经历分享》中,米特尼克邀请读者进入到黑客的复杂思维中,他描述了大量的实际欺骗场景,以及针对企业的社交工程攻击和后果。他将焦点集中在信息安全所涉及到的人为因素方面,  立即去当当网订购

科技的发展已经完全改变了人们的生活方式,尤其是电话和网络的普及,一方面缩短了人与人之间的距离,另一方面则导致信任关系的复杂化。在面对面的情况下,人们可以凭借自己的生活经验,以及对物理安全的感知来判断是否可以信任对方;但在电话或者网络上,生活中的经验不足以提供这样的依据,并且物理安全未受到威胁,于是人们变得轻信和盲从,毕竟人们宁可相信这个世界上诚实的人更多一些。在竞争激烈的企业世界中,这种轻信和盲从是一种风险,对于企业的持续运行是一种挑战。本书正是揭露了攻击者如何利用人类的这种天性来达到攻击的目的。我相信,阅读完这本书会令你眼界大开,从而在未来的工作和生活中,更好地保护好你的企业和自身的安全。

在数字世界中,科学研究人员一直在努力寻求最佳的信息保护方案,甚至已经找到了可以实现理论上绝对安全的量子密码学方法。大多数企业信息系统已经融入了先进的、成熟的研究成果,因而,在一定的假设条件下,这些信息系统可以被证明是安全的。然而,理论上的安全与现实中的安全有很大的差距。首先,理论安全的假设条件并不总是切实可行,甚至屡屡被违反,比如,让每个人都维护一个强密码并不是那么容易做到的。其次,在实现信息系统的过程中,由于软件技术方面的原因,也会出现新的安全漏洞。因此,科学家们在不断加固企业的信息系统,但是现实中的企业却打开了一扇又一扇的大门,让攻击者总是有机可乘。

我们常常从各种新闻媒体上看到有关网络攻击事件的报道,这些攻击大多针对一些门户网站或者一些敏感机构的Web站点。但是,针对企业信息系统或者企业运营的攻击事件却少有报道。实际上,这是两种截然不同的攻击事件。针对Web网站的攻击很大程度上依赖于各种技术手段,以及网站管理员的失误,Internet上有大量的资料介绍这些攻击技术和软件工具;而在针对企业信息系统或者企业运营的攻击事件中,攻击者的目标不限于信息系统中的电子资料,也有可能是其他形式的信息资产,而且,攻击者使用的手段并不局限于技术性的工具,而更多地利用企业日常运营过程中的疏忽或者漏洞,甚至犹如本书中展示的那样,攻击者利用人性中的缺陷来达到目的。

本书主要针对后一种攻击类型,通过大量的案例说明了社交工程师如何利用各种非技术手段来获得他想要的信息,这样的攻击事例并不神奇,它有可能正发生在你我的身边。攻击者无需高超的技术,也无需超人一等的智商,只需善于利用人们的心理倾向和目标公司的管理漏洞,再加上多一点耐心,就会有很高的成功率。所以,阅读这本书,有助于我们了解社交工程师的常用伎俩,以及相应的应对策略。

科研人员在研究信息安全技术的时候,通常需要考虑两个最基本的问题:对方是谁,如何证明其身份?对方是否有权提出这样的请求?实际上,第一个问题是身份认证(authentication),第二个问题是授权(authorization)或者访问控制(access control)。在研究领域,这两个问题都已经得到了很好的解答,并且这些解决方案已被应用到实际的信息系统中。相应地,在一个机构的实际运营过程中,当员工接到任何请求的时候,也应该认真考虑这两个问题,这实际上构成了一个企业安全运营的重要部分。如果企业没有一套规程来指导员工寻求这两个问题的答案,那么,即使该企业配备了最新的高科技安全手段,也难以全面抵挡社交工程师的入侵。除了重点谈到这两个问题以外,本书中还包括其他一些日常细节,比如安装和下载软件、电话留言甚至垃圾处理等。

本书的读者面很广:企业的管理人员和IT部门的员工是最应该阅读这本书的,毕竟,保护企业信息的安全是他们的职责所在;技术研究人员也应该阅读这本非技术的信息安全书籍,可以有助于设计出更加切实可行的安全方案;一般的企业职员可以通过本书中的案例,了解到社交工程攻击是如何进行的。我相信,阅读过本书的读者,在面临社交工程师的圈套时,一定会多一份警惕,从而保护好公司和自身的安全。

最后我再说明一点,这不是一本技术性的信息安全书籍,而是一位著名黑客在介绍他的经历和体会。特别是他在书中给出的提示和忠告,更值得我们关注和深思。本书的前三部分读起来饶有趣味,就好像是十多部精简版的侦探小说一样。读者可以在轻松愉快的案例描述中,领略到社交工程的强大威力,然而细细想来,却又发现,其实这样的攻击不难防范,关键是每一个人都履行好自己的安全职责。

在本书的翻译过程中,我得到了我的朋友邹开红先生的大力帮助。他翻译了第1至15章的初稿,尤其是处理了很多非技术性的习惯用语,在此向他表示真挚的感谢。最后,若有错误和不当之处,请读者谅解。

潘爱民

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:序言
下一篇:作者自序
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站