社會工程師Christopher Hadnagy：小白學批判，專家要靈活

Christopher Hadnagy從事計算機技術14年之久，現在全心投入在電腦保安中“人”的研究。他成立了世界上第一個社會工程框架Social-Engineer.Com，致力於幫助公司提高安全性，並教授給他們“壞人”的做法。他研究並破解了最近發生的很多惡意攻擊事件。他推薦的實踐測試法被500強公司採用，用來教育員工安全方面的知識。他與BackTrack（ www.backtrack-linux.org）安全團隊一起參與了各種型別的安全專案，有16年以上的安全和資訊科技實踐經驗。他也是主動式安全（Offensive Security）滲透測試小組的培訓師和首席社會工程專家。 他還是《社會工程：安全體系中的人性漏洞》一書的作者。

圖靈社群：你認為哪起事件引起了公眾對社會工程的重視？

Chris：在過去的一年半中，全球範圍內商業領域有超過60%的重要攻擊事件使用了“社會工程”作為主要攻擊手段。

圖靈社群：你是怎麼進入資訊保安領域的？這個領域一直都是電腦科學中比較神祕的學科，不僅對於普通人對於程式設計師也是如此。

Chris：我一直在和人交流這件事上很有門道。我也很喜歡計算機和安全領域的研究。從我開始學習心理學開始，一切似乎都在自然而然地發展。社會工程主要研究的就是如何影響和操縱其他人，讓他們做出他們不應該做的事。

圖靈社群：是什麼讓你決定開始專注於資訊保安中“人”的因素？

Chris：我是一個善於和人打交道的人。我喜歡談話和交流。壞人通過談話就可以擺佈別人，他們是如何做到的？研究這件事對我來說很有吸引力。我在學習這件事的同時，也在研究非語言的交流方式。

圖靈社群：你在培訓你的客戶（非安全專業人員）應對社會工程師的攻擊時面臨的最大挑戰是什麼？

Chris：最難的是讓他們具有批判性的思考。這並不像軟體那樣，1+1=2。對於人來說，有時候一加一未必等於二，所以最重要的是要理解概念，而非規則，只有運用概念，靈活應變，才是萬全之策。

圖靈社群：對於社會工程來說成功的關鍵因素是什麼？

Chris：靈活和投入。如果你在面對任何環境時都可以隨機應變，並且在整個過程中專心致志，甚至在出現失誤的情況下，你都會有很大機會將獲得成功。

圖靈社群：資訊保安必須要被動地部署嗎？只有當攻擊發生之後，系統才能得到升級？

Chris：並不是這樣。資訊保安需要在任何時候都應用起來，不只是在遭到攻擊後。如果你在第一次被打擊就是在一次實戰中的話，你無疑會失敗。你必須經常測試、審查，甚至“捱打”，只有這樣，你才知道在受到攻擊時該如何反應。

圖靈社群：在白帽和黑帽之間存在永遠的對抗，你是怎麼跟上發展，甚至先發制人的呢？

Chris：這是個好問題-要知道，我做的是一份全職工作。我們無時無刻不需要閱讀、研究、嘗試新事物。工作量很大，同時也需要我們全心全意地投入。

圖靈社群：現在，很多黑客都轉移到了硬體黑客的領域，比如，他們可以利用電腦在一定距離內控制汽車，他們甚至還可以控制ATM機，讓它們吐錢。社會工程在硬體黑客領域是很重要的因素嗎？

Chris：我認為是這樣的。要做到你以上說的這些事，很多時候都是從一個電話或者一封釣魚郵件開始的。

圖靈社群： BackTrack堪稱是對於學習黑客技術來說最好的系統。它相於其他系統（比如Linux）來說有什麼優勢？

Chris： Backtrack，以及現在的Kali Linux，都已經內建了用於侵入測試的所有工具。所以它是用來學習黑客技術的最好的作業系統。

圖靈社群：有很多早期創業者都具有找到風險投資，在這個過程中他們往往比平時更加大意。你對這些創業者有哪些抵禦社會工程方面的建議嗎？

Chris：好問題！我的建議如下：

1. 要運用批判性思考，不要對所謂的“好訊息”反應地太快；
2. 要知道，你在社交媒體上公佈的一切都可能成為對你不利的資訊；
3. 記住，只需要一通電話或是一封郵件，你就可能成為受害者。

---

更多精彩，加入圖靈訪談微信！