反欺骗的艺术:世界传奇黑客的经历分享

序 言
　　探索自己周围的世界是人类与生俱来的天性。当凯文·米特尼克和我年轻时，我们对这个世界充满了强烈的好奇心，并且急于表现自己的能力。我们总是试图学习新东西、解决疑难问题以及力争赢得游戏，以此来满足自己的好奇心和表现欲望。与此同时，周围的世界也教给我们一些行为准则，以约束我们内心想自由探索的冲动，而不是为所欲为。对于*勇敢的科学家和技术型企业家，以及像凯文·米特尼克这样的人，这种内心的冲动可以带给他们极大的刺激，从而使他们完成别人认为不可能的事情。
　　凯文·米特尼克是我所认识的*杰出的人之一。如果有人问起的话，他会很直率地讲述他过去常做的事情——社交工程(social engineering)，包括如何骗取他人的信任。但凯文·米特尼克现在已经不再是一个社交工程师了。即使当年他从事社交工程活动期间，他的动机也从来不是发财致富或者损害别人。
　　这并不是说没有人利用社交工程来从事危险的破坏活动，并且给社会带来真正的危害。实际上，这正是他写作这本书的原因：提醒你警惕这些罪犯。
　　通过阅读本书可以深刻地领会到，不管是政府部门，还是商业机构，或者我们个人，在面对社交工程师(social engineer)的入侵时是何等脆弱。如今，计算机安全的重要性已广为人知，我们花费了巨资来研究各种技术，以求保护我们的计算机网络和数据。然而，本书指出，欺骗内部人员，并绕过所有这些技术上的保护措施是多么容易。
　　不管你就职于商业机构还是政府部门，本书都提供了一份权威指南，帮助你了解社交工程师们是如何工作的，也告诉你该如何对付他们。 凯文·米特尼克和合著者西蒙利用一些既引人入胜又让人大开眼界的虚构故事，生动地讲述了社交工程学中鲜为人知的种种手段。在每个故事的后面，作者们给出了实用的指导建议，来帮助你防范故事中所描述的攻击和威胁。
　　仅从技术上保障安全还是不够的，这将留下巨大的缺口，像凯文·米特尼克这样的人能帮助我们弥补这一点。阅读本书后，你或许*终会意识到，我们需要像凯文·米特尼克这样的人来指导我们做得更好。
　　Steve Wozniak(史蒂夫·渥兹尼克)，苹果电脑公司联合创始人
　　前 言
　　本书包含了有关信息安全和社交工程的大量信息。为了让你有个初步印象，这里首先介绍一下本书的内容组织结构。
　　第Ⅰ部分将揭示出安全方面*薄弱的环节，并指出为什么你和你的公司正在面临着遭受社交工程攻击的危险。
　　在第Ⅱ部分中，你将会看到，社交工程师如何利用你的信任、你好心助人的愿望、你的同情心以及人类易轻信的弱点，来得到他们想要的东西。这一部分中有一些虚构的故事反映了典型的攻击行为，从中我们可以看出，社交工程师可能会以多种面目出现。如果你认为自己从未与他们遭遇过，那你可能错了。
　　你是否发现自己曾有过与故事中类似的经历，并开始怀疑自己曾经遭遇过社交工程？多半会是这样。但一旦阅读了第2章~第9章，那么，当社交工程师下次造访时，你就知道该如何做才能使自己占据上风。
　　在第Ⅲ部分，通过一些编造的故事，你能看到，社交工程师如何以技高一筹的手段入侵你公司的领地，窃取那些可能会决定你公司成败的机密，并挫败你的高科技安全措施。这部分中给出的场景将使你意识到各种安全威胁的存在，从简单的职员报复行为到网络恐怖主义，都有可能。如果你对企业赖以生存的信息和数据的私密性足够重视的话，那你就要从头至尾阅读第10章~第14章。
　　需要特别声明的一点是，除非特殊指明，否则本书中的故事都是虚构的。
　　在第Ⅳ部分，我从企业防范的角度讲解怎样防止社交工程的成功攻击。第15章就如何进行安全培训计划给出了一个蓝图。而第16章则教你如何免受损失—— 这是一个全面的安全政策，你可以根据自己组织机构的情况进行裁减，选择适当的方式来保障企业和信息的安全。
　　*后，我给出了名为“安全一览表”的一章，其中包含一些清单、表格和图示，就如何帮助职员们挫败社交工程攻击给出了一份重要的摘要信息。如果你要设计自己的安全培训计划，则这些资料也会非常有价值。
　　你会发现，有几大要素将贯穿全书的始终：“行话(lingo box)”给出了社交工程和计算机黑客术语的定义；“米特尼克的提示”用简短的警示语帮助你增强安全策略；“注记和补充”给出了有趣的背景资料或附加信息。

凯文米特尼克(Kevin D. Mitnick)曾经是历*令FBI头痛的计算机顽徒之一，现在他已经完成了大量的文章、图书、影片和记录文件。自从2000年从联邦监狱中获释以来，米特尼克改变了他的生活方式，成了全球广受欢迎的计算机安全专家之一。在他的***将功补过的作品中，这位全世界*著名的黑客为“放下屠刀，立地成佛”这句佛语赋予了新的含义。

在《反欺骗的艺术——世界传奇黑客的经历分享》中，米特尼克邀请读者进入到黑客的复杂思维中，他描述了大量的实际欺骗场景，以及针对企业的社交工程攻击和后果。他将焦点集中在信息安全所涉及到的人为因素方面，解释了为什么防火墙和加密协议并不足以阻止一个聪明的攻击者入侵企业的数据库系统，也无法阻止一个愤怒的员工搞垮公司的计算机系统。他举例说明了，即使是保护*为严密的信息系统，在面对一个意志坚定的、伪装成IRS(美国国税局)职员或其他看似无辜角色的骗子老手时，也会变得不堪一击。《反欺骗的艺术——世界传奇黑客的经历分享》从攻击者和受害者两方面入手，分析了每一种攻击之所以能够得逞的原因，以及如何防止这些攻击。本书的叙述非常吸引人，有很强的可读性，仿佛是一部介绍真实刑事案例的侦探小说。

*为重要的是，米特尼克为了补偿他过去所犯过的罪，在《反欺骗的艺术——世界传奇黑客的经历分享》中提供了许多指导规则，让企业在开发安全行为规程、培训计划和安全手册的时候有所参考，以确保公司投入资金建立起来的高科技安全屏障不至于形同虚设。他凭借自己的经验，提出了许多防止安全漏洞的建议，并且希望人们不要忘了提防*严重的安全危险——人性。

“一部充满智慧的传世佳作！从中可以看到，社交工程师可巧妙使用一些司空见惯的花言巧语和高科技手段，从任意对象那里打探到任意信息。阅读本书，你就像在观摩十几部剧情复杂的惊悚大片，每一部都十分生动，高潮迭起。”
　　——Publishers Weekly
　　“人性与安全性是对立的；本书讲述社交工程师如何抓住人性弱点，利用对方的信任、热心和同情心，得到觊觎的东西。即使公司配备了*的高科技安全设施，社交工程师同样能凭借高超的社交手段侵入其领地，窃取其机密。米特尼克在本书中全面披露防范之道，确保公司和企业知己知彼，筑起固若金汤的安全防线。”

　　——Steve Patient, amazon.co.uk