人類才是最大的漏洞 | 專欄

# 本文系《優仕生活》雜誌 2016 年 10 / 11 月刊科技專欄供稿

希臘神話總在用慷慨悲歌的宿命論式筆調，提醒著史前人類的獸性前科。《伊利亞特》記載的特洛伊戰爭就是典型代表。美動天下的海倫最終招致一場毀滅城邦的愚笨戰爭，一意孤行的野心家面對突如其來的木馬屠城猝不及防。

特洛伊木馬計其實並不高明，能夠得逞，九成九得利於守城兵卒的一時興起，外加營房將士的麻痹大意。這場戰爭為計算機安全領域貢獻了一種病毒變體的代名詞，於是機警的人在電腦手機里加裝各種安全軟體，將數字資產套入真空牢籠。

當你自以為像阿喀琉斯浸潤冥河聖水般，周身獲得了百毒不侵的體質，如殺毒軟體廣告說辭那樣「能夠抵禦99%的網路攻擊」時，殊不知，剩下的1%才是射穿英雄的腳腫死穴。這1%，用一個字來說就是，人。

真正的黑客不會總藏跡於計算機後，對他們而言，最大的安全漏洞並不存在於什麼程序或者伺服器內。人類才是最大的安全漏洞。每個人都是一台看似更精密，實則同樣存在破解後門的操作系統。所有黑客手段中最有效、最偉大的幻想藝術，著眼於破解人心。這種黑客攻擊方法，專業術語稱為——社會工程學（Social Engineering）。

社會工程學得名於黑客米特尼克所著的《欺騙的藝術》，在上世紀60年代作為正式學科出現。廣義的社會工程學定義是：通過利用自然的、社會的和制度上的途徑，來逐步地解決各種複雜的社會問題，常用手段包括創設上下文語境引人入瓮、調虎離山、釣魚、下餌、尾隨、等價交換。從這個角度講，掌握社會工程學的黑客，不僅是代碼層面的技術專家，更是現實生活的絕對演技派。

扣人心弦的高智商電影善於塑造精心謀劃的騙局，一群身份背景各異的神秘認識集結起來，或劫富濟貧扮演現代羅賓漢，或金盆洗手前完成最後一票順便自我救贖。這其中，社會工程學的身影屢見不鮮。

《貓鼠遊戲》里，萊昂納多·迪卡普里奧扮演的弗蘭克是FBI有史以來年齡最小的通緝犯，他通過偽造證件和異乎常人的學習模仿能力，喬裝成醫生、律師、飛行員，神通廣大地自如出入於全美警察眼皮底下，獲得所有人的信任，並騙取了高達幾百萬美金；《盜夢空間》里的小李子又化身柯比，受利益趨使組團摧毀競爭對手的企業，他們繞過武力脅迫和黑客入侵，通過超現實的黑科技製造出俄羅斯套娃般的層層秘境，從思想層面滲透，成功誘導繼承者小費舍爾放棄遺產，重拾白手起家精神，而當事人卻蒙在鼓裡，認為一切是出於自願的選擇；《我是誰：沒有絕對安全的系統》則用連環計的反轉結尾，打破了「一切精神錯亂的犯罪都是主角人格分裂的結果」這一老梗，主人公本傑明因黑客行為難逃法網，卻靠精妙鋪設細節誘導女警官得出「他有人格分裂，所有供述犯罪情節都是臆造」的推論，在女警官恍然大悟之前成功脫逃。阿湯哥代表作《碟中諜》系列、眾星雲集的《十一羅漢》系列和今年熱門續作《驚天魔盜團2》，更是將社會工程學的精髓酣暢淋漓地發揮到極致，令觀眾不禁感嘆：我走過最長的路，是你的套路。

現實生活中的社會工程學攻擊雖不如電影有戲劇張力，卻也環環相扣。《連線》雜誌曾報道美國一群未滿20歲的高中生黑客，如何用社會工程學把中情局局長約翰·布倫南的郵箱黑掉的案例。黑客們首先通過反向調查，獲得了布倫南的手機號碼，查出運營商是Verizon；接著冒充Verizon的技術員向運營商索要用戶數據的訪問許可權，對方未經身份驗證輕易就透露了布倫南的賬號、四位數的手機PIN碼、備用手機號碼、AOL電郵地址和信用卡的後四位數；藉助這些信息，黑客們重置了布倫南AOL郵箱的密碼，查閱了通過附件發送的文件，並公布了包括長達47頁的SF-86s表格等政府機構敏感信息。直到布倫南重新獲得郵箱使用權時，黑客已經佔領了長達三天。用這個方法，黑客們還黑掉了國土安全部長傑伊·約翰遜的賬號。

更多時候，利用社會工程學發動攻擊就像是漫不經心地輕點幾下滑鼠那麼簡單。真實的場景可能是：我Google一下 intext:password pwd竟然搜到了你的密碼，filetype搜到了你公司員工信息名單，inurl掃描到了你的後台地址或暴露在外網的敏感埠，而你的某個可愛的員工將各種出入證件記載在電子記事本里上傳到弱密碼加密的網盤。於是我就此堂而皇之地走入你的公司，以實習員工的陌生臉孔與同事們套瓷，將你的商業機密徹底調研個底朝天，順便還跟前台美女談笑風生約頓晚餐。

你孤芳自賞的微博自拍可能隨時令日常行蹤路徑暴露無遺，朋友圈定位早已將家庭住址和盤托出，手機號成為在各種社交平台追蹤你的線索，身份證號則讓尷尬的開房記錄公諸於眾。只需要拼合這些細節，加上略微腦洞和行動膽量，社會工程學黑客就能對你和身邊人實施操控。更有人已經把這個過程寫成了傻瓜式操作的查詢系統，在互聯網的地下江湖流傳。

有時候，就連不起眼的垃圾，都存有足以讓你疑慮的隱私。你的快遞地址、超市憑條、外賣賬單、未經粉碎的文件資料，可能成為令你安防措施轟然倒塌的那根稻草。社會工程師克里斯多夫·哈納吉就在《社會工程：安全體系中的人性漏洞》一書中展示了他如何從垃圾堆里翻找信息的技巧——他甚至貼心地建議你跳進垃圾堆時穿一雙質量好的靴子，以免被利器戳到腳。

好吧，既然世界如此兇險，又有誰能全身而退，隱逸起來不被任何人發現呢？有個叫中本聰的人做到了。這位澳大利亞企業家兼網路安全工程師直到在跳出來主動承認身份前，一直使用中本聰這個化名對世界呼風喚雨。他更為人所熟知的身份是比特幣的發明者。

中本聰行事縝密細緻。早在2008年，他就註冊了http://bitcoin.org的域名，並將身份信息毫無意義地指向了位於芬蘭赫爾辛基的一家小型主機託管商。與任何人交流，他都使用PGP加密和Tor網路，而且從不透露個人信息，即使對合作最緊密的夥伴也未嘗打破慣例。在社區發言中，中本聰還刻意偽造身份信息與個性化特徵，誤導外界的錯誤猜測，比如使用日本名字、偽裝英式拼讀、採用格林威治時間的作息規律、模仿密碼學專家使用生僻科技術語、反覆出現顛倒正常語序的說話風格……他的這些障眼法讓政府情報人員鎖定的候選人名單多達幾十位，從經濟學教授到天才數學家，但沒有一個成功核實。

在這個科技無孔不入、人心招搖功利的時代，中本聰一手開創的這套去中心化的虛擬貨幣體系，連同其神秘莫測的身份本身，都足以讓最頂尖的科技達人和自由主義者們頂禮膜拜。（FIN）

題外話：最近開始嘗試弄一些線上的 Growth Hacking 延伸課程，以滿足越來越多的提問和需求，方便各位自助研習。各位有什麼感興趣的話題呢？歡迎在評論區留下想法，我會向提出有建設性意見的朋友，預送出未來的在線課程兌換券，讓您免費兌換觀看（預計價格在 249 元）。