读《欺骗的艺术》

《欺骗的艺术》是著名的黑客凯文.米特尼克写的一本关于社会工程学的书籍，书里讲的不是黑客编程技术，而主要是从攻击人性角度的漏洞，一步一步地来达到最终的目的。

在现实，大多数公司配置的安全产品如认证设备（身份认证）、访问控制（对文件和系统资源的控制管理）和入侵检测系统（计算机化的防盗器）等技术，对公司的安全防护是十分必要的。但这只是针对相对初级的攻击者，一个经验丰富、目标清晰，受商业利益驱动的攻击者，会找到一个方法，从可信用户那里骗取信息，或是不露痕迹的获得访问权。当可信用户被欺骗、影响，并被操纵而吐露出敏感信息时，或是做出了不当的举动，从而让攻击者有漏洞可钻时，什么样的安全技术也无法保护住你的业务了。正如同密码专家有时通过寻找漏洞来绕过加密技术解出密文一样，社会工程师通过欺骗你的雇员来绕过安全技术。

书中列举了大量的例子，用各种方式来描述如何“欺骗”以获得想要的信息，甚至几个电话就可以他人银行信息。这对于我们这种更倾向于相信他人的，相信人性本善的人来说，冲击确实是不小，当然，也是因为这些高明的“欺骗”艺术还没对自我产生太大的影响，或者说我们还没那么大的价值让这些专业的社工在个人身上花心思，一个商业公司，有严格的商业安全要求的，那就必须要有这方面的人才，熟知这些侵入的手段（包括硬件的，流程的，人为等各方面的漏洞），加以规划巩固安全手段，以抵抗可能的侵入。

当然这部书的重点是通过介绍这些故事让大家了解社会工程和如何防范入侵，正如作者在前言里说的，“我正在运用我的才能和信息安全、社会工程学的许多有关知识来帮助政府、企业、个人来检测、防范和应对信息安全的威胁。本书可以把我的经验较好地介绍给他人，以避免那些怀有恶意的信息盗贼可能带来的危害。我相信，你将会从本书中得到乐趣、教育和启发。”

也许从一个IT人的角度看，我们的视角可能更局限在sql注入，爆库，加密等计算机黑客侵入的方面，不过安全这个话题确实很大，覆盖的范围也比我们想象的要广，在我们更多注意程序方面的安全问题时侯，一些人性的漏洞，管理的漏洞似乎更加可怕。