论文部分内容阅读
弟弟是商场的经理,也是个象棋高手,前阵子迷上在网上下棋。网游的规则很简单,刚注册时身份是平民,累计赢其他同等级的玩家三把就升一级,反之降级。他升到知府后,就再也升不上去了。见他有些沮丧,我决定帮他升级。这个建议着实雷了他一下,因为我是个臭棋篓子,即使他让我车马炮,我也赢不了他。
我不会下象棋,但对信息安全理论有点研究,觉得可以一试。我找了一个象棋大师单机版软件,把难度设成最高级,让他试试,结果他输了。原来,知府水平不及象棋大师软件的最高级水平,这就好办了。我用他的号登录上去,向知府级别的玩家挑战。对方先来了一招“当头炮”。我打开象棋大师单机版游戏,设定好最高级难度,借用玩家的“当头炮”来开局,软件不到一秒钟就回了一招“把马跳”,我再把这招用在那个知府级玩家身上。
我一边浏览松鼠会网站,一边喝茶,等玩家出招后,就把这招用在软件上,再把软件的回招用到知府级玩家身上,根本不用思考。一会儿,玩家就顶不住了,发消息说:“大哥,能悔步棋吗?”我痛快地答应……不出所料,那个知府级玩家完败。他又发来消息:“大哥,你棋艺太高,我服了,但你下棋咋不用思考?你不会是火星人吧?”升到巡抚后,弟弟咧着大嘴乐:“哥,这招绝了,比开小号作弊快多了。”
弟弟靠这招升到宰相,但很多宰相级玩家真的能下赢软件,这招不好使了。网游规定,长时间不下棋也会降级。如何才能保住宰相头衔?弟弟又纠结了。他试着问我:“哥,你不会还有别的邪门招数吧?”“还真有。”我让他同时向两个宰相级玩家挑战,把A玩家的招数用在B玩家身上,再把B玩家的回招用到A玩家身上,结局只能是一输一赢或两盘和棋,保级成功。
弟弟彻底服了我。受这个结果的启发,他问:“顾客在商场的A款台刷卡购买一卷手纸,我把他的刷卡信息偷偷转到B款台,为一台液晶彩电付账,然后把网银送到的B款台的确认信息转移到A款台让顾客确认,顾客以为自己买的只是一卷手纸,实际上却付了彩电的账,这个设想成立吗?”
我告诉他:“完全成立。身份欺诈手法可以使用的场合很多。例如面试时,你戴一个袖珍的无线收发耳机,把面试官的问题传到场外的枪手那里,他把正确答案回传到你的耳机里,你只要复述一遍就妥了。还真的有恐怖分子靠这招蒙住了签证官。”
这种身份欺诈的思路很简单,就是令被欺诈者以为跟他交流的是A,但其实是B。那个无辜的网络棋手以为自己在跟我弟弟下棋,其实跟他下棋的是象棋大师软件。签证官真正交流的对象也不是面前的恐怖分子,而是场外的那个托儿。欺诈者可以采用不同的方法和技术,但万变不离其宗。
“这个世界太危险了,那咱以后还敢使用网银买东西吗?”弟弟又纠结了。“你作为商场经理,敢不敢使用这招骗顾客的钱呢?”我问。“当然不敢,顾客肯定会发现,然后带着工商管理人员和记者来找我们,那我们就赔大了。”作为商场经理,弟弟考虑的不是道德问题,而是赚赔问题。我们作为消费者,当然不必把信任建立在商人的道德水准上,只要相信他们不是那种因小失大的傻瓜就行了。
再举一个身份欺诈的例子。对于通信工程师而言,破解汽车电子钥匙并不是一件难事,我就带学生做过这个小课题。我有还算不错的收入,也有靠合法收入买的车,绝对不会傻到做个破解器去偷车。美国有个人丢车后状告防盗电子锁生产商,结果被判败诉。从理论上讲,防盗电子锁可以做到像核按钮那么高的安全级别,但这个防盗器会比汽车贵得多。
再好的加密手段也不会自动提供认证的安全,再好的认证手段也不会保证信息的保密性,加密和认证成为信息安全的两个重要领域,身份欺诈就是认证领域研究的重要内容。认证技术是现代社会正常运行的重要保证,但任何技术都是有漏洞的,也都是有成本的,社会惩戒就是必不可少的辅助措施。欺诈者都不是傻子,他们甚至很聪明,惩戒措施明明白白地摆在那里,让这些聪明人感到玩欺诈对自己不利就行了。
(摘自《生活潮》2010年第6期图/蒋圣芳)
我不会下象棋,但对信息安全理论有点研究,觉得可以一试。我找了一个象棋大师单机版软件,把难度设成最高级,让他试试,结果他输了。原来,知府水平不及象棋大师软件的最高级水平,这就好办了。我用他的号登录上去,向知府级别的玩家挑战。对方先来了一招“当头炮”。我打开象棋大师单机版游戏,设定好最高级难度,借用玩家的“当头炮”来开局,软件不到一秒钟就回了一招“把马跳”,我再把这招用在那个知府级玩家身上。
我一边浏览松鼠会网站,一边喝茶,等玩家出招后,就把这招用在软件上,再把软件的回招用到知府级玩家身上,根本不用思考。一会儿,玩家就顶不住了,发消息说:“大哥,能悔步棋吗?”我痛快地答应……不出所料,那个知府级玩家完败。他又发来消息:“大哥,你棋艺太高,我服了,但你下棋咋不用思考?你不会是火星人吧?”升到巡抚后,弟弟咧着大嘴乐:“哥,这招绝了,比开小号作弊快多了。”
弟弟靠这招升到宰相,但很多宰相级玩家真的能下赢软件,这招不好使了。网游规定,长时间不下棋也会降级。如何才能保住宰相头衔?弟弟又纠结了。他试着问我:“哥,你不会还有别的邪门招数吧?”“还真有。”我让他同时向两个宰相级玩家挑战,把A玩家的招数用在B玩家身上,再把B玩家的回招用到A玩家身上,结局只能是一输一赢或两盘和棋,保级成功。
弟弟彻底服了我。受这个结果的启发,他问:“顾客在商场的A款台刷卡购买一卷手纸,我把他的刷卡信息偷偷转到B款台,为一台液晶彩电付账,然后把网银送到的B款台的确认信息转移到A款台让顾客确认,顾客以为自己买的只是一卷手纸,实际上却付了彩电的账,这个设想成立吗?”
我告诉他:“完全成立。身份欺诈手法可以使用的场合很多。例如面试时,你戴一个袖珍的无线收发耳机,把面试官的问题传到场外的枪手那里,他把正确答案回传到你的耳机里,你只要复述一遍就妥了。还真的有恐怖分子靠这招蒙住了签证官。”
这种身份欺诈的思路很简单,就是令被欺诈者以为跟他交流的是A,但其实是B。那个无辜的网络棋手以为自己在跟我弟弟下棋,其实跟他下棋的是象棋大师软件。签证官真正交流的对象也不是面前的恐怖分子,而是场外的那个托儿。欺诈者可以采用不同的方法和技术,但万变不离其宗。
“这个世界太危险了,那咱以后还敢使用网银买东西吗?”弟弟又纠结了。“你作为商场经理,敢不敢使用这招骗顾客的钱呢?”我问。“当然不敢,顾客肯定会发现,然后带着工商管理人员和记者来找我们,那我们就赔大了。”作为商场经理,弟弟考虑的不是道德问题,而是赚赔问题。我们作为消费者,当然不必把信任建立在商人的道德水准上,只要相信他们不是那种因小失大的傻瓜就行了。
再举一个身份欺诈的例子。对于通信工程师而言,破解汽车电子钥匙并不是一件难事,我就带学生做过这个小课题。我有还算不错的收入,也有靠合法收入买的车,绝对不会傻到做个破解器去偷车。美国有个人丢车后状告防盗电子锁生产商,结果被判败诉。从理论上讲,防盗电子锁可以做到像核按钮那么高的安全级别,但这个防盗器会比汽车贵得多。
再好的加密手段也不会自动提供认证的安全,再好的认证手段也不会保证信息的保密性,加密和认证成为信息安全的两个重要领域,身份欺诈就是认证领域研究的重要内容。认证技术是现代社会正常运行的重要保证,但任何技术都是有漏洞的,也都是有成本的,社会惩戒就是必不可少的辅助措施。欺诈者都不是傻子,他们甚至很聪明,惩戒措施明明白白地摆在那里,让这些聪明人感到玩欺诈对自己不利就行了。
(摘自《生活潮》2010年第6期图/蒋圣芳)