前 言
所有信息安全问题,几乎都可以归因于人。具体地说,归因于三类人:破坏者(黑客)、保卫者(红客)和使用者(用户)。当然,这“三类人”的角色相互交叉,甚至彼此重叠。不过,针对任何具体的网络空间安全事件,他们之间的界限还是非常清晰的!因此,如果把“三类人”的安全行为搞清了,那么网络安全的威胁也就清楚明白了!而人的行为,包括安全行为,几乎都取决于其“心理”。在心理学家眼里,“人”就像一个木偶,而人的“心理”才是拉动木偶的提线;或者说,“人”只不过是“魄”,而“心理”才是“魂”。所以,网络空间安全的根本,就隐藏在人的心里。因此,本书希望借助于心理学、社会学来揭示信息安全的人心奥秘!
从有人类开始,安全问题就与人类的生活息息相关,且紧密相连,战争、犯罪、盗窃等常伴于人类的进步与发展,可以说安全关系着人类的生死存亡,是确保人们能够从事其他事情的前提。安全是人类的本能需要,要保障人类的安全,首先,人类自身要有必要的安全知识和能力;其次,要有必要的安全防范意识和心理;最后,要有相关的法律、法规及制度作为保障。随着社会的发展和人类的进步,信息网络技术快速发展,信息网络与人类的生产、生活、安全密切相连,一些信息网络已成为不可或缺的关键基础设施。因此,信息安全不仅关系着人们的日常生活、社会的稳定,还关系着国家安全。在影响信息安全的诸多因素中,人是信息安全的真正主体。
可惜,在过去数十年里,全球信息安全专家们几乎把“人”给忘了,主要埋头于技术对抗;反而是黑客们,常常利用所谓的“社会工程学”(以下简称“社工”)来攻击“人”,并以此为突破口,结合各种技术和非技术手段,把用户和红客打得落花流水。比如,大到伊朗核电站被攻击,小到普通用户被“钓鱼”,黑客攻击的第一枪,几乎都来自社工。事实上,社工的具体攻击方法,无穷无尽;但是,本书希望努力穷尽所有的社工攻击的基本“元素”,因为所有社工攻击方法也都只是这些有限个“元素”的某种融合而已,就像门捷列夫元素周期表中有限种(上百种)元素就能组成宇宙中无数种物质一样。本书给出的社工攻击“元素”其实也只有数百种,被黑客常常使用的就更少了。
那么,信息安全界为什么会把“人”给忘了呢?这主要是因为我们的思维出现了问题。更具体地说,至今大家都片面地把网络看成由硬件和软件组成的“冷血”系统,认为可以通过不断的软件升级、硬件加固等技术方法,来保障信息安全;但忽略了那个最重要、最薄弱的关键环节,即“热血”的“人”!其实,完整地看,只有将软件、硬件和人,三者结合起来考虑,才能形成一个闭环;只有保证了这个闭环的整体安全后,才能真正建成有效的安全保障体系。其中,人这个最重要环节,既可以是最坚强的,也可以是最脆弱的。更明白地说,硬件和软件其实是没有“天敌”的,只要不断地“水涨船高”,总能够解决已有的软硬件安全问题;但是,“人”却是有“天敌”的。所以,赢人者,赢天下;胜人者,胜世界!
由于“三类人”的目标、地位和能力等各不相同,所以在网络空间安全攻防过程中,他们的心理因素也会不同。本书将重点探索最具网络特色的黑客心理;因为,若无黑客,几乎就没有安全问题。但遗憾的是,黑客过去存在,现在存在,今后也将存在,甚至还可能越来越多。所以,别指望黑客自然消失,而应该了解他们为什么要发动攻击,以及在他们的破坏行为中到底是什么心理因素在起作用。
“黑客心理”和“犯罪心理”,既有区别,又有联系。黑客多是一些高智商者,黑客们知道其行为的法律含义;但为什么还是要那样做呢?从动机角度来看,形象地说,这主要源于以下6种心理(本书各章将给出更加全面、深入的分析,此处只做简略概括)。
自我表现心理:许多黑客发动攻击,只是想显示自己“有高人一等的才能,可以攻入任何信息系统”。他们喜欢挑战技术,发现问题,显示能力。他们认为,信息本该免费和公开。因此,蔑视现行规章制度,认为相关制度不能维持秩序,也不能保护公共利益。这类黑客,既有反抗精神,又身怀绝技,还有自己的一套行为准则。他们的主要原则是“共享”,所以,热衷于把少数人垄断的信息,分享到网上。他们期待成为一种文化原型,盼望被人们认识。他们把“非法入侵”当作智力挑战,一旦成功,就倍感刺激和兴奋,认为这是自我价值的体现。
好奇探秘心理:因猎奇而侵入他人系统,试图发现相关漏洞,并分析原因;然后,公开其发现的东西,与他人分享。这类黑客,以青少年为主,他们持逆反心态,想干些出格的事,以引起成人注意;他们藐视权威。
义愤抗议心理:这类黑客,讲义气,想助人,对他们认为的“不公事件”,以攻击网络的行为来替朋友或他们认为的需要帮助的“弱者”出气,或表示抗议。
戏谑心理:这种恶作剧型黑客,以进入别人信息系统、删除别人文件、篡改主页等恶作剧为乐。
非法占有心理:也叫“物欲型黑客”。他们以获取别人的财富或数据资源为目的,是一种典型的犯罪行为。甚至有的黑客,雇用或受雇他人,专门从事破坏活动。这种黑客,危害极大。
渴望认同心理:这类黑客,追求归属感,想获得其他黑客的认可甚至进行黑客技能的比拼。这既是一种自我表现,也是获得伙伴认可的需要。
此外,还有自我解嘲心理、发泄心理等,都是引发黑客行为的心理因素。特别是,还有少数“心理变态型黑客”,他们从小家庭变异、生活环境恶劣,或遭受过来自社会的打击,由于心理受过创伤或对社会现实不满,所以长大后就想报复社会。
反过来,黑客发动攻击时,又利用了被害者的哪些心理呢?归纳起来,至少有四种。
恐惧心理:这是一种负面情绪,它是由“据信某人或某物可能造成的痛苦或威胁”所引发的危险意识。比如,电话诈骗犯,利用多种途径,营造恐惧感,要求受害者“赶紧汇款,以避免血光之灾”等。
服从心理:假借某些人或机构的权威,迫使受害者服从其命令。比如,假冒执法机构,要求受害者配合提供相关信息等。
贪婪心理:利用受害者对事物(特别是财富)的占有欲或“贪小便宜”的心理,来实施攻击。比如,以祝贺“中大奖”为由,诱骗受害者上当。
同情心理:声称自己或亲属、朋友有难,急需好心人帮忙,诱发受害者的同情心而实施攻击行为。
除黑客的攻击外,还有许多心理因素,会引发网络保卫者和使用者的不安全行为。归纳起来,至少有6种(由于红客和用户不是本书关注的重点,所以此处只给出简略的概括;更全面、深入的探讨将在今后出版的《博弈系统论——黑客行为预测与管理》中给出。当然,若仅从本前言篇幅来看,此部分又已经很多了)。
省能心理:人总有这样一种心理习惯,即希望以最小能量(或付出)获得最大效果。但是,从安全角度看,这个“最小”的度,如果失控了,那么目标将发生偏离,就会从量变到质变,产生包括安全问题在内的后果。许多信息系统被攻破的原因,都是因为它几乎是一个“裸网”,没有或只有形同虚设的防范措施。省能心理,还表现为嫌麻烦、怕费力、图方便、得过且过等惰性心理。这一点,在使用者身上尤其明显。比如,许多用户,在设置密码时,只用000000或123456这样的“弱口令”,让黑客一猜就中。又比如,许多用户,不严格按照管理规范进行操作,而是自作主张,略去了一些“烦琐”环节,给黑客开了后门等。
侥幸心理:由于多方面原因,网络安全事件(特别是严重事件)并不会全都公布;再加上,每个人被击中的次数并不多,所以有人就会误以为“安全事件是小概率事件”。特别是,当他发现“某人某天,虽有违章操作,但也安全无恙”时,就会产生侥幸心理,就会放松警惕,这就为安全事件埋下了“延时启爆炸弹”。
逆反心理:在某些情况下,人的好胜心、好奇心、求知欲、偏见、对抗、不良情绪,会使人产生“与常态心理相对抗”的心理状态,比如,偏偏去做不该做的事情。破坏者和使用者,都会受“逆反心理”的引诱,从事不安全行为。比如,对使用者来说,许多明令禁止的操作,明明知道有危险,却偏要“以身试法”。
凑兴心理:俗话叫“凑热闹”,它是人在社会群体中,产生的一种从众式和好奇相融的心理反应;多见于精力旺盛又缺乏经验的人群身上。他们想从凑兴中,满足好奇心或消耗剩余精力。凑兴心理,容易导致不理智行为。比如,许多计算机病毒,就是在用户的“凑兴心理”帮助下,在网上迅速扩散的。
群体心理:是群体成员在相互影响下形成的心理活动。所有复杂的管理活动,都涉及群体;没有群体成员的协同努力,组织目标就难以实现。群体心理的显著特征就是共有性、界限性和动态性。网络作为桥梁,将所有人连接成规模各不相同的群体,而且在一定程度上,这些成员之间将形成相互间的“认同意识、归属意识、排外意识和整体意识”。所有行为,包括安全行为,都会受到群体心理的影响和支配,无论是正影响,还是负影响。
注意与不注意:人的心理活动指向或集中于某一事物,这就是“注意”,它具有明确的意识状态和选择特征。人在对客观事物注意时,就会抑制对其他事物的印象。“不注意”存在于“注意”状态之中,它们具有同时性。也就是说,你若对某事物注意,那么将同时对其他事物不注意。注意和不注意,总是频繁地交替着。无论是保卫者还是使用者,他们的许多不安全行为,其实都源于“不注意”;实际上,如果大家都注意安全、小心谨慎,那么,破坏者就无缝可钻了。比如,软件或系统的安全漏洞,都是保卫者的“不注意”产物;用户被钓鱼网站欺骗,也是因为“不注意”真假网址的那一丁点差别而已。但是,“不注意”无法根除,任何人都不能永远集中注意力。除玩忽职守者外,“不注意”不是故意的。“不注意”是人的意识活动的一种状态,是意识状态的结果,不是原因。
人的许多心理因素,都与安全密切相关,比如人的性格、能力、动机、情绪与情感、意志、感知觉、个性心理特征、气质、个性缺陷和行为退化等。
既然将信息安全问题归咎于黑客、红客和用户这“三类人”,可为什么在本前言中,我们却只重点关注了红客和用户这“两类人”呢?因为,在本书的正文中,我们将不再关注他们,而只关注黑客这“一类人”了,即从黑客的角度去探讨如何攻击和防守。所以,本书书名可叫“黑客心理学”或者“信息安全心理学”。又由于心理学只是手段,信息安全才是目的,而攻击的外在表现形式又是社工,所以本书的副书名为“社会工程学原理”。本书其实是从信息安全角度出发,在心理学的浩瀚海洋中,打捞出涉及安全问题的“珍珠”,然后把它们串成“项链”。从而全面系统地分析黑客社工攻击的心理学特征,进而进行有效防范。
本书面向全民,读者对象既包括信息安全界人士,也包括那些关心自身信息安全的普通读者;所以,我们将尽量避免使用过于专业的术语和概念,哪怕牺牲一定的心理学严谨性。
必须坦承,由于才疏学浅,我们对心理学知之甚少。所以,为了完成本书的“采蜜”任务,我们在《安全通论》[2]的指导下,翻阅了近两千本心理学专著或教材,并精读了其中的上百本著作,还尽最大努力,筛选、收集、整理了其中对社工攻击可能有用的几乎全部内容。但愿本书能成为黑客心理学的百科全书,当然,今后还需随时补充和完善。本书之所以能由安全界人士完成,这要归功于心理学的如下特点:虽然心理学的研究很难,但是阅读心理学的既得成果并不太难;即使像我们这样的外行,也可看懂。非常感谢全世界心理学家们三百多年来的辛勤劳动,你们的众多成果是本书的源泉;但是,为了不把外行读者搞糊涂,本书不得不略去众多冗长、难读、难记的心理学家姓名。况且,本书完成后,确实已经很难分清“到底哪一滴蜜,采自哪一朵花”了。虽然与所有心理学书籍相比,本书已经面目全非了,但是我们必须申明:本书作者只有集成式创新,所有原始创新均属于全世界的心理学家。
谢谢大家!
杨义先 钮心忻
2019年3月3日于花溪