搜索
信息安全心理学(社会工程学原理)(α版1)------黑客的攻击本性杨义先,钮心忻北京邮电大学信息安全中心公共大数据国家重点实验室摘要:所有信息安全问题,全都归罪于人!可惜,在过去数十年里,全球信息安全专家们,却几乎把“人”给忘了,都主要埋头于技术对抗。反而是黑客们,常常利用所谓的“社会工程学”,来攻击“人”;并以此为突破口,结合各种技术和非技术手段,把用户和红客打得落花流水。更具体地说,至今全世界都片面地,把网络看成由硬件和软件组成的“冷血”系统,认为可以通过不断的软件升级、硬件加固等技术办法,来保障信息安全;但却忽略了那个最重要、最薄弱的关键环节,即,“热血”的“人”!其实,完整地看,只有将软件、硬件和人,三者结合起来考虑,才能形成一个闭环;而只有保证了这个闭环的整体安全后,才能真正建成有效的安全保障体系。其中,人既可以是最坚强的,也可以是最脆弱的。更明白地说,硬件和软件其实是没有“天敌”的,只要不断地“水涨船高”,总能够解决已有的软硬件安全问题;但是,“人”却是有“天敌”的。所以,赢人者,赢天下;胜人者,胜世界!在本系列文章中,我们将试图创立《信息安全心理学》(它也是《安全通论》(见[2])的第2个副产品。《安全通论》的第1个副产品,便是正在畅销的《安全简史》(见[1])一书,欢迎大家踊跃购买哟),并以此弥补全球信息安全界的上述缺陷。《信息安全心理学》的读者对象,将主要是信息安全界人士,当然也包括那些关心信息安全的普通老百姓;所以,我们将尽量避免使用过于专业的心理学术语和概念,那怕牺牲一定的心理学严谨性。理想的《信息安全心理学》,将以信息安全为体,以心理学为用;即,从信息安全应用角度出发,在心理学的浩瀚海洋中打捞出安全“珍珠”,然后,把它们串成“项链”。《信息安全心理学》与《社会工程学原理》其实是一体之两面;前者是从红客角度观察的结果,后者则是从黑客角度观察的结果。换句话说,黑客的所有社会工程学攻击手段,都将源于“项链”中某些“珍珠”的拼接。必须坦承,由于才疏学浅,我们对心理学几乎一窍不通!所以,为了接受更多心理学家和信息安全专家的批评和指教,我们仿照当初《安全简史》的做法,即,采用众筹模式,不时将半成熟的结果公开,以听取大家的意见,然后改进。本文是第1部分,将主要探讨网络空间中,黑客的攻击意愿来自哪里,如何尽量减弱他们的攻击欲望,黑客攻击与现实攻击(如杀人放火等)的区别和联系。前言以防火墙等为代表的信息安全的防御工具,在市场上到处都能买到;同样,木马等常用黑客攻击工具,也不难从网上获得。反正,如今网络对抗的攻防武器已相当普及,武器的使用也不难,任何人都可瞬间成为“战士”,轻松发动黑客攻击,只要他有攻击意愿。因此,对付黑客的问题,已经不再是简简单单的“禁止武器”了,而应该从更深层次研究,比如,黑客的攻击意愿来自哪里,如何尽量减弱他们的攻击欲望和意愿等。总之,尽可能让大家都“虽有兵器而不用”,这才是安全的最高境界;《信息安全心理学》将以此开头!(一)黑客攻击行为的分类若无黑客,就不存在信息安全事件,当然也就几乎没有信息安全问题了!黑客与普通网络用户的唯一区别,就在于其攻击行为。换句话说,在网络中任何一个人,如果他对别人(或其信息系统)实施了攻击,那么此刻他就是一个黑客了;或者说,他的这个行为,便是黑客行为,又称为黑客攻击。粗略地说,网络黑客攻击是指,违背他人意愿,采取信息手段等非身体接触方式,以伤害他人(的财产或心灵)为目标的行为。无论攻击行为是发生在网上或网下,黑客行为的最终效果都主要体现在网络空间中。按攻击目的划分,黑客行为可大致归为四类:观点表达型、情绪宣泄型、利益诉求型和网络犯罪型([5])。1)观点表达型攻击此类攻击在网络中最为常见,其典型代表就是网上的各类骂人贴等。当某件事情发生后,网民会片面地发表评论,对相关人、事进行攻击;或者,对此事件持不同观点的网民之间,会彼此攻击。若涉事人员具有某些特殊身份,可供新闻炒作的话;那么,相关的攻击将更加激烈。不过,由于此类攻击往往不涉及攻击者的切身利益,所以,攻击行为的持续时间通常都很短,特别是随着新闻事件影响力的逐渐衰退,或涉事某方的淡出,攻击行为也就相应结束。另外,此类攻击主要以讽刺、诽谤和谩骂等精神攻击为手段,具有典型的偶发性,没有明确的组织性;其后果不十分严重,特别是当相互攻击的各方都是匿名状态时,更是如此。2)情绪宣泄型攻击此类攻击,指网民将自身在线上或线下遭受到的各种不满,以攻击方式表达出来的行为。特别是当其不满已积怨许久,而又恰遇某个导火索事件发生时,相应的攻击行为将借题发挥,突然剧烈爆发。此类攻击,通常也是事先没有组织性的,或者至少可以说组织性不强;但是,如果平常民愤太大,也可能在很短的时间内变得有组织,从而产生强大的攻击力,甚至颠覆一个国家的政权。此类攻击的非理性成分较多,真正被攻击的对象,其实也可能主要是“替罪羊”;攻击群体之间极容易相互影响,相互鼓劲,甚至产生“共振现象”,使得攻击者们“……不再是他们自己,而是变成了不再受自己意识支配的玩偶”。受此影响,攻击者们有可能做出违规甚至违法的行为。除了言语攻击之外,为了发泄不满,攻击者可能发动任何其它类型的攻击,包括但不限于破坏对方的网络和电脑、公开其隐私,甚至从物理上捣毁相关财物等。3)利益诉求型攻击此类攻击,以信息和网络为手段,力图达成自己的既定利益目标。此类攻击者,通常是利益受损者或其同情者;而被攻击者,则是曾经的“害人者”。比如,攻击者希望借助网络媒体引起大众关注,以此向对方施压,维护或追溯自己的利益。当然,大部分攻击者,会严格将其行为控制在法律允许范围之内;但是,个别攻击者,则可能突破法律范畴,甚至通过揭露他人隐私或编造谎言,以图达到自己的目的。此类攻击,主要是维权者的自发行为,但是,随着网上“职业推手”的出现,也会出现一定的组织特征。当利益诉求者的目的达到后,此类攻击一般也就停止了。4)犯罪型攻击也称为狭义的黑客攻击,它可能造成极其严重的后果,甚至使某些国家或地区的信息系统瘫痪。此时,攻击者通过信息手段,实施了“应当受到刑法处罚的行为”;比如,通过非法操作计算机网络,破坏智能电网系统,造成极大的社会危害等。此类犯罪行为的科技含量较高,且目标非常明确,包括但不限于:非法侵入他人电脑,破坏信息系统,破译机要密码,盗取别人账号或口令,造谣中伤等。此类攻击的侵害目标,既可能是硬件,也可能是软件,还可能是人。此类攻击,既有个人行为,也有组织行为;其中的“组织”,既包括网上的虚拟组织,也包括现实生活中的实体组织等,甚至许多国家已专门成立了新的军种,网军,来实施或对抗此类攻击。此类攻击的目的,通常是获取某种利己资源或损害他人利益。被攻击者既可能是明确的现实目标,也可能是网上的虚拟受害者。当然,上述四类黑客攻击行为之间,并非界限分明。真实发生的许多攻击事件,往往可以同时归类于数种攻击;而且,不同类型的攻击之间,还可能彼此相互转化。其实,关于黑客攻击,还有许多别的分类法,比如:根据攻击方式的不同,可以划分出言语攻击和动作攻击。前者,使用语言、表情对别人进行攻击,诸如讽刺、诽谤、漫骂等;后者,用行动来实施攻击,比如,植入木马或破解口令等。根据攻击者的动机,攻击又可分为报复性攻击和工具性攻击。前者,意在伤害对方,以达到复仇或警告的目的;后者,意在达到某种目标,而只是把攻击行为当作达成该目标的手段。比如,恶意泄露他人隐私,大部分就是报复性攻击;绝大部分电信诈骗或网络钓鱼行为,都属于工具性攻击。攻击还可分为狭义攻击和广义攻击。前者是有意违反社会主流规范的伤害行为;后者则涵盖了全部有动机的伤害行为,而不论其是否违反了社会主流规范。根据攻击行为是否违背社会主流规范,还可再细分出三个亚类:反社会的攻击行为、亲社会的攻击行为、被认可的攻击行为。比如,犯罪型的攻击,就是反社会的;为保护网民利益,红客对黑客发动的攻击,便是亲社会的,其意在维护网络正常秩序;被认可的攻击行为是指,既不违背社会规范,也非社会规范所必需的,但却是长期形成的一种习惯,比如,在自媒体中转发某些热帖,为弱者呼吁公道等。当然,我们只重点关注,狭义攻击行为。黑客攻击虽具有典型的赛博式特点(即,此攻击是由“反馈+微调”形成的不断循环迭代组成),但是,它也是一种攻击,只不过将攻击场所从现实社会搬到网络社会而已,其内涵并未发生实质性的改变。作为一个人,黑客为什么要攻击别人呢?下面就从人性的更深层次,来详细探讨此问题(见文献[3]和[4])。(二)黑客攻击行为的本能说网络上的所有攻击行为,都称为黑客行为;所以,“黑客攻击行为”其实就是人的攻击行为在虚拟空间中的映射而已。初看起来,判断“某个行为是否是攻击行为”好像很简单;但是,仔细分析,情况却完全出人意料。因为,不能仅仅看后果,而主要应看动机与意图:比如,有些行为虽然造成了伤害,但可能是误伤或善意惩罚,所以不是攻击;有些行为虽然未造成伤害,但其实是攻击未遂,所以也应该算做攻击。那么,到底什么才是攻击行为呢?严格地说,所谓攻击行为,是指个体违反了社会主流规范的、有动机的、伤害他人的行为。所以,在认定攻击行为时,必须考虑三个方面:个体的外在行为表现、是否违反了社会主流规范、个体的内在动机和意图等。其中,前两方面可以直观地观察,也比较容易判断,但是,第三方面(即,分析行为动机)却是一件困难而复杂的事,因为,它不能直接诉诸于人类感官,所以,必须间接考察如下几个方面:1)行为发生的社会情境。结合当时的现场情境或环境特点,便有助于理解行为者的动机和意图。例如,课堂上的网络安全攻防实习行为,当然不是攻击行为,虽然从纯技术角度看,这些行为与黑客攻击行为没有区别。2)行为者的社会角色。红客测试用户密码的行为,是受社会认可的,当然不是攻击行为。但是,一旦社会角色颠倒,比如,黑客测试红客的密码,那么情况马上就不一样了,可被视为攻击行为。3)行为发生前的有关线索。如果“攻击者”和“受害者”本来是同盟,只是在共同对抗敌方时,误伤友方;那么,相应的行为当然不是攻击。相反,如果他们本来就是敌对的双方,那么,任何有可能伤害对方的行为,都会被认为是攻击行为。4)行为者的身份特性。经济社会地位、性别、种族背景、教育程度及职业等,也是判断行为者动机的线索。如果相关行为,与其身份不匹配,那么很可能就是攻击行为。比如,曾经有过黑客案底的人,若他又试图进入别人的信息系统,那么,他很可能就是在发动新的攻击;反之,若网管工程师测试自己系统安全漏洞的行为,当然不算攻击等。上述4个方面并不是绝对的,在分析伤害行为时还需综合考虑,甚至借助以往经验,全面细致地考察各种因素,以便更准确地判断伤害行为的动机是否恶意。那么,攻击行为到底是否是人类的本能呢?这个问题即使是在心理学界,也还争论不休,但是,各方都有自己的证据。我们显然没资格判定谁是谁非的;但是,充分了解各方观点,从中获取对信息安全有用的知识,也许可帮助我们更全面地了解网络黑客行为。首先,来看正方,他们认为:攻击行为是人类本能。正方的代表人物和论据主要有:心理学界的理论家,受达尔文进化论的影响,把人类的动机都归因于先天本能;当然,暴力倾向也就被认为是人类最强的本能之一。威廉·詹姆斯认为,人类皆有好斗的劣根性,攻击倾向是祖先遗传下来的,不能摆脱的本能;只有通过替代性的活动,消耗攻击动力,才能使攻击倾向得到控制。心理学界的精神分析学派,用自我的概念来解释攻击本能,认为攻击与人类“性本能”密切相关,它来自于性压抑所产生的困扰状态。弗洛伊德甚至提出了死亡本能的概念,认为死亡本能代表着人类自身的破坏力,表现为求死的欲望。死亡本能有内向和外向之分,当它指向内在时,人就会折磨自己,变成受虐狂,甚至会毁灭自己;当它指向外在时,人就会表现出破坏、损害、征服和攻击他人。这种观点对网络安全将产生重要影响,因为,随着人类对网络依赖度的增强;那么,由该观点可推知:黑客攻击是不可避免的,因为,死亡本能引发的攻击,实际上是一种自我保存的方式;人们相互攻击,是为了不让死亡(或受害)的愿望指向自身。这也许算是另一种形式的“以攻为守”吧。心理学界