“社会工程”专业文献研究
——以《社会工程:安全体系中的人性漏洞》为例
刘海龙
(解放军信息工程大学洛阳校区,河南 洛阳 471003)
摘 要: 文章通过对《社会工程:安全体系中的人性漏洞》一书,从章节框架、内容体系与深度、翻译水平以及“社会工程学”的本质等方面进行了分析探讨,认为该书条目清晰、深入浅出、案例丰富,是一本很好的了解“社会工程学”的基础读本,有助于推动社会工程专业文献研究。
关键词: 社会工程;心理;书评
1 “社会工程学”的含义
关于“社会工程学”的准确含义,国内实际上有着两个几乎完全不同的定义,这为准确理解“社会工程学”概念带来了很大的影响。
早期生长反应因子1(EGR-1)是一种早期生长反应基因,属于转录因子锌指蛋白家族成员。它可以在几分钟内激活一系列信号通路,其活性在数小时内即衰退。渗透压改变、热休克、缺氧、DNA损伤、辐射损伤等应激都会刺激EGR-1的表达。EGR-1通过多种通路调节细胞的增殖、分化和凋亡。但是,目前关于EGR-1在卵巢癌中的发生、发展中起到什么样的作用还未有明确的报道。本研究运用免疫组化的方式检测EGR-1蛋白在卵巢癌的表达情况,探讨EGR-1在卵巢癌的发生、发展的过程中的作用与意义。
1.1 “社会工程学”定义1
钱学森和乌家培曾发表“组织管理社会主义建设的技术——社会工程”一文,认为可以把完成组织管理社会主义建设的技术叫作社会工程(Social Engi⁃neering,SE)。它是系统工程范畴的技术,但是范围和复杂程度是一般系统工程所没有的。这不只是大系统,而是“巨系统”,是包括整个社会的系统。钱学森一直强调“社会工程是从系统工程发展起来的”,“社会工程”是“社会系统工程”的简称。
1.2 “社会工程学”定义2
社会工程利用人的思维、意识、习惯和人际关系等人文或社会科学的一些方法来企图说服或影响他人,如广告、营销、意识形态教育、网络舆论引导等都是社会工程的应用,这种影响多数是中性或良性的。当“社会工程学”被用于不良目的,如高级持续性威胁(Advanced Persistent Threat,APT)——对特定目标进行的以窃取资料为目的的长期持续性网络攻击,便称为“社会工程攻击”,通常也指采用欺骗、欺诈、威胁,恐吓等手段来获取信息。
两个概念至今仍然是并行的,而且各自都有对应的领域范畴、研究机构、著作刊物以及专家学者。有种观点认为两个定义是广义与狭义之别,但其实两者一是“社会性的工程”,一时“基于人的社会关系的攻击行动”,其含义可谓天差地别。
显然,和许多探讨“社会工程学”的文章著作一样,作者没有提及两个概念的区别,或许在每个领域专家的脑海里,这个概念都是唯一的,是不需要解释说明的。
脊髓保护区两个边界不同画法脊髓0%体积的最大剂量对比差异无统计学意义(P>0.05),不同布野方式内脊髓0%体积的最大剂量对比差异有统计学意义(P<0.05),详见表2。
2 “社会工程学”的流行
此时若将样本点代入公式(10)的约束方程,则约束产生的误差的绝对值近似为样本点到相应直线的距离。利用点集SFA和SCD对公式(10)的约束方程应用最小二乘法可得到xA的估计生的误差的绝对值近似为样本点到相应直线的距离。利用点集SFA和SCD对公式(10)的约束方程应用最小二乘法可得到xA的估计值。
十几天过去了,秀容月明连门都出不去,就在他膝盖跪出血的时候,秀容母亲所托的媒人有回话了,越家同意这门亲事。
“社会工程学”核心是信息的搜集,网络为信息搜集奠定了不可替代的技术基础,没有网络社会,“社会工程学”不会如此具有威力。随着网络异常迅猛的发展,搜索引擎、聊天软件、社交平台的大量涌现,人们的生活环境和生存状态都已经高度融入互联网,网络已经成了人们的生活方式,大量个人信息的泄露与泛滥,使“社会工程学”有了极大的用武之地,“社会工程学”的技术门槛极大地降低,“社会工程学”的攻击可以说无处不在。
综上所述,在共享经济发展的高速增长阶段,共享单车是一种低碳环保的出行方式,与其他交通工具形成互补,带动物联网发展,大幅提高城市效率,促进城市交通设施更完善,创造更多就业机会,为市民生活带来了极大的便利。但大量的报废毁损共享单车为城市治理带来了隐患,增加城市交通压力,应当积极通过市民、企业和政府等多方共同努力来解决共享单车回收管理困境。为了让共享单车得到更好的发展,需要全社会共同参与。
“社会工程学”和社会工程攻击已经成为越来越流行的词语概念,利用“社会工程学”对特定目标采取攻击已经得到越来越多的应用和重视。之所以如此流行,一个重要的原因或者说前提,就是互联网的迅速发展。
3 “社会工程学”的本质
3.1 “社会工程学”的目标是人
互联网环境下,人们其实十分关注信息安全,但是一般都将注意力放在以计算机技术为基础的攻防手段,但“社会工程学”关心的是网络中的人。攻击者通过利用人的弱点绕过技术主导的安全防御系统。这使得“人”成为整个安全链中最薄弱的一环。任何一个或繁琐或简单的系统都离不开人,因此任何系统在“社会工程学”面前都是存在弱点与漏洞的。
3.2 “社会工程学”是心理学的攻击
社会工程攻击利用人性的弱点来获取信息,心理学是“社会工程学”的核心手段。这方面有专门的文章作了较为详细的总结,如表1所示。
3.3 “社会工程学”的前提和重点是信息搜集
因此,“社会工程学”不可避免的缺点之一就是人力成本的消耗,信息的搜集是智力活动,自动程序根本难以完成(复杂软件只能在搜集过程中节省人力),强烈依赖人力势必造成人力成本的上升。所以,“社会工程学”很难由少数人在短时间内完成,而只能是一个有组织的集体才能发挥它的威力。
表1 社会工程攻击的心理因素
尽管“社会工程学”的攻击手段和攻击过程充满令人神往的吸引力,但其实攻击前针对目标长时间的信息搜集是一切攻击方式的基本前提。这也是APT攻击为什么十分强调持续性。信息搜集的价值在于积累对目标的认知,信息搜集的富集程度也就决定了对目标的了解程度,这是后续社会工程攻击(如诱导、伪装)的基础性工作,不可或缺、无以替代、不能省略,信息搜集的质量直接关乎攻击的成功率。
3.4 “社会工程学”是一套缜密的方案
“社会工程学”以人的心理弱点为出发点,但成功的案例表明即使是那些自认为最警惕、最小心的人也难逃“社会工程学”的攻击。因为“社会工程学”不是一种单一的攻击方式或方法,而是精心设计的一套缜密的行动方案,其间结合了多个领域的多项技术和社会工程专家的思维结晶(见表2)。
3.5 “社会工程学”对于攻防双方呈现不同状态
这本书是国内屈指可数的几本专门研究“社会工程学”的书籍,结构非常清晰,从其目录的安排就可以看出。
4 目前国内对于“社会工程学”的研究重点和进展
通过查找CNKI资源,可以搜索到360余篇期刊文章,可见关于“社会工程学”的资源非常丰富。同时在互联网上也可以搜到很多高质量分析长文,这些资源大多集中于网民聚集的各大论坛、贴吧等社区环境中。
表2 社会工程攻击分类
本研究采取回顾性分析法对2013年1月—2016年12月首都医科大学附属复兴医院上报的跌倒坠床事件进行多因素回顾性分析。研究包括患者性别、年龄、生活自理能力、跌倒坠床发生时间及发生位置等因素,其中主要对陪护人员在患者跌倒及坠床时的状态进行分析。研究项目包括患者的年龄、性别、生活自理能力、及跌倒坠床发生的时段,环境特征、事件发生时陪护是否在身旁等。
5 《社会工程:安全体系中的人性漏洞/Social Engineering:The Art of Human Hacking》
《社会工程:安全体系中的人性漏洞/Social Engi⁃neering:The Art of Human Hacking》由人民邮电出版社出版,作者是Christopher Hadnagy(美),其从事计算机技术14年之久,全心投入在计算机安全中“人”的研究,他也是世界上第一个社会工程体系网站(www.social-engineer.org)的主要开发者,以及主动式安全(offensive security)渗透测试小组的培训师和首席社会工程专家。
“社会工程学”对于攻方来说,主要在于搜集目标信息,研究攻击策略、诱导欺骗目标获取关键信息。但对于守方来说,则呈现另一种形态。“社会工程学”的攻击由于准备的针对性,十分符合防护者也就是攻击目标的偏好,可以描述为防护者生活中出现的“小概率事件”。而小概率事件本身就意味着反常规、非偶然和人为干扰的极强可能。越是成功的“社会工程学”攻击,也就意味着越典型的小概率事件。巧合与符合,是防护者能够看到的被攻击状态的呈现。因此防范的最重要原则就是严格遵守安全规定,对一切不合常规的行为保持警惕。也许针对“社会工程学”最有效的预防手段,就是那句老生常谈的“提高安全意识”。
第一章“社会工程学”初探;第二章信息收集(In⁃formation Gathering);第三章诱导;第四章伪装:如何成为任何人;第五章心理战术:社会工程中的心理学原则;第六章影响:说服的力量;第七章社会工程工具;第八章案例研究:剖析社会工程人员;第九章预防和补救。
由本书结构可见,该书比较全面地介绍了完整的“社会工程学”攻击流程(见图1),同时辅以工具的介绍和案例的说明,最后提出了预防和补救安全体系隐患的措施和建议。
图1 “社会工程学”攻击流程
6 本书的精彩与不足
6.1 精彩之处
6.1.1 体系框架完整
本书基本上按照“社会工程学”攻击的完整流程行文,对各环节的要素、实施、策略与目标都进行了深入的介绍与说明。同时对于工具和案例的介绍都专门另设章节专题论述,尤其案例部分,陈述与分析都具有较强的针对性(目前互联网与校园网所查关于“社会工程学”的经典案例,大部分出自本书)。本书的案例式写法其实贯穿于各章节之中,没有丰富的实际工作经验其实是无法做到的,这也侧面证明了作者的资历和权威。
相比而言,内地欠发达地区的资金来源主要以国有资本、政府财政资金为主,获得政府的直接资助较多,而沿海经济发达地区的投资主要以民营资本为主。
6.1.2 章节内容的深度超出一般期刊文章
如第三章“诱导”、第四章“伪装”、第六章“影响:说服的力量”及第八章“案例研究”。“诱导”一章,提出“诱导是社会工程体系的顶层,这一技巧在于改变人们对你的看法”,“有效地引导别人将心里话说出来”,这里书中引用了孙子兵法里那句经典的“不战而屈人之兵,善之善者也”。在该章节中,在介绍了一些诱导的程序环节后,作者提出“本章涵盖了全书最强有力的一些观点,明白如何通过正确的节奏和方式问出恰当的问题,是成败的分水岭”,“精确诱导技巧几乎可确保社会工程人员的成功”。
分析这些资源,可以发现,目前“社会工程学”的研究重点集中于对成熟案例的分析、对涉及的心理学知识的介绍、对具体攻击过程中网络技术的讲解,焦点词汇集中于网络攻击、人性弱点、心理学、诈骗、伪装、骗取口令、窃取密码等多个方面。通过这些词汇,可以大体建立起“社会工程学”的粗略框架。但同样十分明显的现象是,这些文章资源主要集中关注“社会工程学”的3个方面:(1)概念的科普性介绍;(2)案例研究为名做猎奇演义;(3)具体操作层面的技术介绍,而真正对“社会工程学”进行体系的、完整的、科学研究的文献则几乎没有。
“伪装”一章,作者提出了伪装的原则:充分调查、植入个人爱好、不同的方言与表达方式、伪装应该简单、伪装必须自然、为目标提供逻辑结论或下一步安排,同时辅以案例说明。“影响:说服的力量”一章,作者写道“影响和说服的艺术就是让他人想要以你所期许的方式去行动、反应、思考或建立信仰的过程”。在作者提出原则后,详细分析介绍了“影响”的8种战术,即回报、义务、让步、稀缺、权威、承诺和一致性、喜欢、共识或社会认同,并重点讨论了“体系”与“操纵”的概念和实施(这也是作者目前最具代表性的科研成果)。
6.2 不足之处
6.2.1 部分章节专业性存在欠缺
也许是为了满足一本书的字数,或是体系的完备,书中有些章节明显偏离了“社会工程学”这一中心,尤以第五章“心理战术:社会工程的心理学原则”为甚。这一章中有大段的微表情、神经语言程序学、采访与审讯的理论介绍,显然已经偏离了社会工程的概念中心,虽然也许尚有联系,但其拼凑的目的十分明显。
6.2.2 具体技术内容的介绍显然随着时代发展而变得过时
由于书籍出版的流程导致越是前沿的、细节的、操作性的内容,越是具有很大的滞后性,书中关于具体社会工程工具的介绍、很多章节中基于电话而不是基于互联网的案例分析,都已经有了明显的时代局限,这是本书无法避免的明显遗憾。
6.2.3 中文版翻译粗糙
酒对于中华民族有着特殊的意义,酒文化在我国上下五千年的历史长河中扮演着特殊而重要的角色,白酒业自古以来就是我国的一个重要行业。中国白酒业层级分化显著,名酒企业核心产品独占鳌头,区域龙头品类创新强化品牌历史,小微企业在求新求变中谋求发展。自2012年下半年开始,白酒进入第三次行业调整期,行业遇冷,领导白酒消费潮流的那股“高端、大气、上档次”的热潮,一夜之间销声匿迹。①白酒开始从“名酒”向“民酒”理性回归,品类市场消费需求发生明显变化,小酒以卖萌的新形象打入市场,兴起了一股小酒热。江小白便是其中的佼佼者。
翻译者没有相关知识背景,翻译的错误和不准确的地方比比皆是,对读者阅读和引用造成极大影响。
Research on the literature of“Social Engineering”:a case study of Social Engineering:Human Loopholes in Security System
Liu Hailong
(Luoyang Campus,University of Information and Engineering of the Liberation Army,Luoyang 471003,China)
Abstract: This paper analyzes and discusses the book of Social Engineering:Human Loopholes in the Security system from the aspects of chapter framework,content system and depth,translation level and the nature of“Social Engineer⁃ing”,it is put forward that the book explains profound theories in simple language,and the case is rich,which is a good basic book for understanding “Social Engineering”.
Key words: Social Engineering;psychology;book review
中图分类号: G254
文献标识码: A
作者简介: 刘海龙(1981—),男,辽宁抚顺人,讲师,博士研究生;研究方向:情报学。
(责任编辑 王梦云)
标签:社会工程论文; 心理论文; 书评论文; 解放军信息工程大学洛阳校区论文;