可用性与心理学Word文件下载.docx

1、Bruce Schneier2.1 简介很多实际的攻击中，对心理学的利用至少与对技术的利用一样多。钓鱼（phishing）攻击是增长速度最快的在线犯罪形式，在这种攻击中，目标机器被攻击者发送的欺骗邮件诱导登录到一个Web站点，该站点看起来是真实的，但实际上可以窃取目标的密码。与现实中的诈骗相比，钓鱼这种在线诈骗通常较容易做到，并且较难阻止，因为与真实世界的对应物相比，对大多数在线保护机制的伪造要更加容易。对骗子而言，建立一个伪造的银行Web站点（并通过临时检查）要比在购物广场建立一个伪造银行容易得多。数百万年以来，我们的社交与心理工具不断演化以帮助我们处理面对面的欺骗行为，然而，对那些请求我们

2、做某种处理的电子邮件而言，这些工具用途是极其有限的。在可用性中，创建有用的不对称性看起来要难一些，这里，我的意思是说，好的用途要比坏的用途容易。在物理对象中，我们有一些不对称性的实例：对削马铃薯而言，马铃薯削皮器要比刀子好用一些，但对于谋杀而言，则远远不如刀子好用。然而，日常商务中我们所依赖的大部分不对称性都不仅仅依赖于形式化的交换（这可以很容易地自动化），而是依赖于物理对象、对人的判别以及对社会协议的支持等众多因素的结合（第3章将深入讨论这一问题）。因此，就像我们与雇主的关系一样，通过在线通信，银行变得更加形式化，我们失去了面对面的人际交流，从而使得通信过程存在很大的安全风险。各种类型的欺骗

3、攻击是在线安全的最大威胁，这些攻击方法可用于获取密码，也可用于获取机密信息，甚至直接操纵财务交易。对私家侦探而言，最常用的盗取个人信息的方式是假托（pretexing）拨打某个拥有某信息的人的电话，并加以伪造的说辞，通常扮成被授权获取该信息的人，这类攻击即广为人知的社会工程学（social engineering）。还有很多其他种类的攻击方式，本章前面引自Bruce Schneier的话出现在某份股票欺骗研究报告中：一条伪造的新闻声称公司的CEO已经辞职，利润将重新评估。一些在线服务传播了这一消息，并导致股票狂跌61%，直至这一恶作剧暴露1128。愚弄与诈骗总是会发生的，Internet使其更

4、加容易发生，并使得其他人可以重新对自己进行包装，以突破现有控制机制（不管是个人直觉、公司章程还是法律）。我们得努力追赶一段时间了。基于社会工程学的攻击蓬勃发展的另一个动力是人们对技术更加熟悉，随着设计者学会了如何预先阻止电子迷的攻击，对系统用户或操作员的心理学操纵变得更加有吸引力。因此，安全工程师必须理解基本的心理学与“安全可用性”，研究团体面临的最大机会之一就是了解有哪些机制，以及为什么会有这些机制。2.2 基于心理学的攻击通过系统的操作人员对系统进行的攻击日益增长，但这并非新生事物，军事与情报机构就一直将彼此的员工作为目标。私家侦探机构也差不多。这种类型的典型攻击方式是假托。2.2.1 假

5、托1996年，我的同事在英国曾经做过一个实验，目的是确定医疗隐私所面临的安全威胁。我们对一个健康机构（一个医疗保险公司，为大约250000人所在的区域提供医疗保险服务）的员工进行培训，以便其可以识别并报告假托电话。典型的私家侦探会将自己伪装成一个医生，并参与病人的急诊护理，由于其使用的电话号码不是其宣称所在医院的电话号码，因此，这种假托欺骗是可以识别出来的（第8章将对这个故事进行更详细的讲解）。我们每个星期可以检测到大概30个假托欺骗电话，但我们无法说服英国政府对健康机构员工进行强制性培训。试想一下，每个星期30次攻击，每年52个星期，200个医疗机构，这样一年将造成多严重的医疗隐私泄露！很多

6、国家都有反假托的法律，包括英国和美国，尽管有法律的约束，但这两个国家中还是有人靠假托欺骗来谋生411。在一个典型的案例中449，一个收集通用汽车债务信息的私家侦探被处罚，因为他诱使公务人员在电话中泄露了250个人的家庭地址。2002年出版了一本或许是最能引起不安的安全书籍，即Kevin Mitnick编写的Art of Deception，这本书是Mitnick在因闯入电话系统被捕后在狱中所写，讲述了他在其几乎都成功的所有渗透经验中如何利用社会工程学手段。他的典型攻击手法是假装电话公司雇员的同事，并请求“帮助”，诸如密码等。如何越过公司的总机并获取其员工的信任，其方法在销售培训课程中已传授多年

7、，在这方面，Mitnick是一名专家，并可以使用这些欺骗策略绕过公司的安全机制，他的这本书籍讲述了一个吸引人心的领域896。2006年9月，假托成为世界头号新闻，即Hewlett-Packard女董事会主席Patricia Dunn雇佣私家侦探使用假托欺骗来获取她怀疑的其他董事会成员以及她认为有敌意的新闻记者的电话记录，为此，她被迫辞职。接下来的一个月，加州总检察官以重罪对她以及3名私家侦探进行逮捕，罪名是在线犯罪、电信诈骗、XX获取计算机数据并使用个人身份信息等。2007年3月，对她的指控被撤消，其中一个因素是她身患癌症。她的犯罪同伙以诈骗金额较小为由申请轻判，并提供社区服务93。但是弥补这

8、一问题是很困难的。尽管关于假托欺骗的信息不断公开，但在2007年，税务监察局对IRS进行了税务管理审计，其员工对102名IRS雇员（处在公司的不同层次）进行了电话假托欺骗，询问其用户ID，并要求其将密码修改为一个已知值，其中有62个这样做了。现在，有近100000名IRS雇员具备对报税数据的访问权限，因此，如果你是一名美国纳税人，就可能有60000个人在被假托欺骗后使得入侵者可以侵犯你的财产隐私。更严重的是，尽管在2001年与2004年已进行过类似的审计测试1131，这种假托欺骗行为仍然难以避免。在英国，隐私机构宣称受到压迫，并起诉一家私人侦探机构，因为该机构为顶级律师事务所服务779。阻止外

9、部攻击者的攻击尝试（试图诱骗公司员工泄露秘密）在军事领域称为运营安全（operational security）。保护非常有价值的秘密信息，比如未公开的财政数据、未公开申请专利的研究工作或隐秘的军事计划，都依赖于对具备访问权限的人数进行限制，对于这些内容可以与谁进行讨论以及如何讨论也都有严格的规定。但是，仅仅制定规则是不够的，还必须对那些可以访问机密数据的所有员工进行培训，并向他们解释这些安全规则背后的道理所在。在我们的医疗隐私实例中，会对员工进行关于假托方面的教育，并对其进行培训，使其不在电话中讨论医疗记录，除非是他们自己打出的电话，并且拨打的电话号码来自电话本，而不是来自其他打电话的人。一

10、旦某个员工遭遇、察觉并击退了一些假托尝试，就应该将这些假托欺骗的信息公开出来。通常，最难教育的人是最高级别的人。一名顾问向500家公开上市公司发送了一个USB记忆棒（作为匿名邀请函附带的一部分），并声称“参加一次千载难逢的聚会的机会”，结果46%的人都将其插入到计算机中701。情报机构的安全规则会严格很多。大多数运营安全方面的工作都会培训员工不要做什么，逐步灌输一种审慎的文化和理念，远远不止于匿名性。由于与私家侦探相比，国外情报机构在对医疗记录职员的欺骗方面使用的方法要少，间谍机构头目不能依赖于强壮性检测来提高其策略的遵循性，他必须拥有自己的红队，并定期对自己的员工进行测试，以便确保其员工能认

11、真对待安全问题。某些可用的安全措施是常识，比如不在垃圾中丢弃敏感资料。较不明显的常识是需要对自己信任的人进行培训，哪怕是老朋友。有这样一个例子，一封让人不安的电子邮件泄露了，这封邮件看起来来自英国首相办公室，最初被指定是黑客攻击所致，但后来证实是被一名叫做Benji the Binman的私家侦探从其私人民意调查分析者的垃圾中获取的828。英国政府大多采用相应程序对敏感信息进行“分级”，只有具备适当“许可权限”的人才能阅读某种密级的资料。尽管这看起来有些官僚主义，并且会造成一些浪费，但确实为运营安全奠定了相应的基础，并促进了相关保护技术的发展，第8章会对这些技术进行讨论。银行采用的训练（阻止骗

12、子告诉经理给他付款）在思路上与此类似，但在实现细节上有差别，第10章将对其进行讨论。假托欺骗最多用于对公司的攻击，但是针对个人的攻击开始变得越来越多，这是2007年我写作本书时美国流行的花招：攻击者打电话，并将自己伪装成法庭工作人员，通知目标说他被选为陪审团成员，并要求其提供SSN与出生日期。如果目标告诉了这些信息，攻击者就会将这些信息用于以目标的姓名申请信用卡。如果目标说这些信息已丢失，攻击者就会以逮捕与坐牢相威胁并不是每个人都有足够的自信和法律知识来抗拒这种威胁。2.2.2 钓鱼对公司而言，钓鱼攻击在很多方面都要比假托攻击难于对付，因为攻击（如上面所提及的最后一种花招）目标不是公司的员工，

13、而是公司的客户。对一般客户都进行培训是很难的并且你不能仅仅是为普通用户设计培训方案。如果你的安全系统对那些不能讲英语、存在诵读困难或学习障碍的人来说不能使用，你可能会遇到严重的法律障碍。对银行的钓鱼式攻击始于2003年，大概有6起这种攻击尝试被披露出来299。早期的钓鱼式攻击模仿银行的Web站点，欺骗策略也非常粗糙与贪婪，攻击者会询问所有类型的信息（比如ATM PIN），其使用的英文也很蹩脚，大多数客户都会有所察觉。攻击者现在对心理学的利用更充分，通常会使用真正的银行电子邮件，而只是对URL进行适当更改，或者发送电子邮件，内容类似于“感谢你为PayPal 账号添加新电子邮件地址”，以便促使用户

14、登录并抱怨他们并没有这样做，当然，使用攻击者提供的链接（而不是自己键入或使用已有的书签连接）会更容易泄露账号。攻击所造成的财务损失以极快的速度增长（2006年，在美国是2亿美元，在英国是3500万英镑/7000万美元），尽管很难准确定损，因为有些银行为了稳定客户，会对记账规则进行相应操作，使其避免报告诈骗行为。钓鱼产业有充足的增长空间，2006年，在英国的主要损失是一家银行，而在美国则有6个左右的主要攻击目标。我们只是刚开始看到对eBay、Amazon等公司的大规模攻击，但我确信，将来会看到更多的攻击行为，攻破密码后，可以将目标的电子邮件与街道地址改成自己的，之后使用目标的信用卡来订购宽屏电视

15、，这种诱惑是显然的。对银行或在线零售商而言，有多种因素决定了其是否会成为被攻击的目标，有些与是否会被攻击者视为懦弱有关，那些在法庭上对欺骗行为进行无情指控与冷酷惩罚的银行，在经济理性方面比较完善，看起来更容易阻止攻击行为。钓鱼攻击者更愿意选择其内部控制机制比较薄弱以至于可以快速将大量资金转移到国外的银行、缺乏入侵报警机制的银行、需要几天时间才可以检测出可疑付款是否被授权的银行以及那些不会付出很大努力追回损失的银行（后面会对内部控制进行讨论，参见第10章）。在本章的余下部分中，将首先讲述一些基本的心理学知识，并将其用于密码的研究如何让用户选择好的密码并准确输入，以及如何阻止用户将密码泄露给第三方。最后，还有简短的一节，其中讨论了CAPTCHA，以及一个用于检测用户是人（而非机器人）的测试站点，这些内容提供了关于人类思维与软件之间差别的另一个视角。2.3 心理学研究的视点我预期安全与心理学之间的交互将成为之后5年中的一个很大的研究领域，就像过去5年中安全经济学成为一个重要研究领域一样。这不仅仅因为不断增长的攻击行为针对的是用户而非（或者同样包括）技术。比如，恐