信任同伴是人類的天性 [1] ,尤其是當提出的要求被證明是合理的時候�。社會工程師(social engineer)利用這些知識剝削他們手下的受害者,以達到他們的目的��。
——K·D·米特尼克和W·L·西蒙�����,《欺騙的藝術(shù)》
(The Art of Deception )
在講求合作性的人類互動中,信任是不可或缺的要素��。唉�����!這也使得它變成我們的弱點�����,很容易被所謂的“社會工程”所利用�����,例如騙子���、小偷和恐怖分子�,他們會利用和操縱我們的信任與善良本性�����,以獲取利益��。越來越多的日常物品都配備了電腦芯片����,它們變得智能化和靈活化,并獲得了與我們環(huán)境中的其他設備和全球網(wǎng)絡的信息和服務進行溝通的渠道�����,因此有必要提防這些可能造成危害的人�����,不管是偶然發(fā)生�,還是開玩笑的惡作劇,或者是惡意的欺騙或傷害�。騙子、小偷����、罪犯和恐怖分子在利用人們互相幫助的意愿方面是專家,他們既知道如何運用復雜的科技����,也知道人們在什么時候看起來急需協(xié)助。
提高安全性和防范性的常用方法是嚴格管理有關程序�����,并且要求重復檢查。但是���,如果參與檢查工作的人越多��,安全性就會下降��。這被稱為“旁觀者的冷漠”(bystander apathy)�����,該術(shù)語出自對1964年紐約市街頭發(fā)生的基蒂·吉諾維斯(Kitty Genovese)謀殺案的研究����。雖然很多人目擊了這一事件�,但沒有人伸出援手。起初��,人們只是譴責紐約居民的冷漠無情��,但是�,社會心理學家比伯·拉坦納(Bibb Latane)和約翰·達利(John Darley) [2] 卻可以在他們的實驗室和實地考察重現(xiàn)這種旁觀者行為。他們總結(jié)出��,圍觀的人越多,幫忙的人就越少�����。為什么呢�?
試想一下你自己的反應�。如果你獨自一人走在大城市的街道上,遇到一起看上去像是犯罪的事件��,你可能會被嚇壞�,因而不愿意介入,不過你可能仍然會設法尋求幫助���。但是再試想一下���,如果有一群人在圍觀這起事件呢?你會怎么做�����?你可能會假設自己并沒有目睹這件事��,因為如果它真的很嚴重�����,周圍的人應該會做出一些反應。而事實上沒有人做任何事情�����,這肯定就意味著沒有壞事發(fā)生����。畢竟,在大城市里什么事都可能發(fā)生:這搞不好是演員在拍電影�。
旁觀者的冷漠也存在于安全檢查中。假設你是電力公司的技術(shù)員���,你的其中一項工作就是跟同事一起檢查儀表讀數(shù)�,你認識這位同事����,而且信任他。此外��,當你完成工作時�����,你的主管還會再檢查一下。結(jié)果會讓你不會特別在意這項工作���。畢竟�����,一個錯誤怎么可能逃過這么多人的眼睛呢?問題就在于��,每個人都這樣想�。結(jié)果,越多的人檢查一項工作����,每個人的工作就越不仔細。越多的人負責時�,安全性越可能會降低:信任阻礙了工作。
商用航空界以其“飛行員人力資源管理 [3] ”計劃對抗這種趨勢����,成效斐然。所有現(xiàn)代商用飛機都配備了兩位飛行員�,一位是較為資深的機長,坐在左邊的位置上����,而另一位是副機長��,坐在右邊的位置上���。兩位都是合格的飛行員,不過�,他們通常會輪流駕駛飛機。因而�,他們會用“駕駛中的飛行員”和“非駕駛中的飛行員”稱呼對方。機務人力資源管理的其中一個重要部分就是�����,非駕駛中的飛行員會充當積極的批評者�����,不斷檢查和詢問駕駛中的飛行員所進行的操作���。駕駛中的飛行員應當感謝另一位飛行員提出的問題���,即使這些問題不是必要的,或者甚至是錯誤的。顯然��,按這樣的程序操作很困難�,因為它關系到文化間的重大差異,特別是當其中一位飛行員的資歷較淺時�。畢竟,當其中一人質(zhì)疑另外一個人的行為時�����,就意味著缺乏信任感��;當兩個人一起工作時����,特別是當其中一個是另外一個的上級時����,信任就尤為重要。航空界花了一段時間學習將質(zhì)疑視為尊重的標志����,而不是缺乏信任;同時�,資深飛行員也堅持要求資歷較淺的飛行員對他們的操作提出質(zhì)疑。其結(jié)果是安全系數(shù)隨之而提高。
罪犯和恐怖分子會利用錯位的信任����。要突破一個守衛(wèi)森嚴的地方,其中一個策略就是在幾天內(nèi)重復觸發(fā)警鈴��,然后躲起來�,這樣一來,保安人員就找不出警鈴啟動的原因�����。最后�����,重復報錯的警鈴讓人們感到失望�����,保安人員不會再相信它們��。這時�,罪犯就可以乘虛而入。
并非每個人都是不可靠的�����,只是少數(shù)人——但這些少數(shù)人卻具有非常強大的破壞力,因此我們別無選擇�����,而只能舍棄信任�����,對每個人和每件事都抱著懷疑的態(tài)度��。由此衍生出殘酷的取舍:使安全系統(tǒng)更縝密的事物�����,往往就是讓我們的生活變得更困難的事物�����,某些情況下��,甚至使生活變得不可能�����。我們需要更實際的安全措施��,而這種安全措施是出自對人類行為的了解�。
安全問題更像是一個社會或人類的問題,而不是技術(shù)問題����。當然了,你可以應用你想要的所有技術(shù)���。但是�����,那些想偷竊����、賄賂或搞破壞的人��,總會找到利用人性的方法����,從而突破安全系統(tǒng)。的確�,過多的科技反而妨礙了安全�,因為要盡責地完全任務��,保安人員的日常工作就會變得更困難���,以致罪犯可以更容易地突破安全措施�����。如果安全密碼或程序太復雜���,人們就記不住,因此他們要把這些東西寫下來����,并貼在電腦屏幕上、放在鍵盤或電話下面�,或者放在桌子抽屜里(而且是在抽屜前端,他們可以比較容易拿到)��。
在寫這本書的時候 [4] �,我作為美國國家研究委員會的一名委員����,負責研究信息科技和反恐怖主義��。在我負責的那部分報告中�����,我研究了恐怖分子�����、罪犯和其他鬧事者所運用的社會工程實務操作�����。實際上��,要找出這些資料并不困難����,其中的基礎原理已經(jīng)流傳了數(shù)個世紀�����,而且還有許多前罪犯和執(zhí)法官員編寫的書���,甚至還有犯罪小說寫作指南�����,這些都提供了相關資料�����。而網(wǎng)絡也讓研究變得容易���。
想要闖入一個有安全保護的電腦系統(tǒng)嗎���?抱著一大堆電腦、零件和晃來晃去的電線�,走到門前請某個人把門開著,然后謝謝他���。把這些破爛東西拿到空房間里��,尋找應該被貼在某處的密碼和用戶名��,然后登入系統(tǒng)(圖5.2)���。如果你無法登入,就請別人幫忙�,只要開口問就是了。正如我在網(wǎng)絡上找到的一份指南所寫的那樣——只要大聲喊道:“有人記得這臺電腦的密碼嗎��?”你會驚訝于有許多人回答你�。
總的來說,安全是一個系統(tǒng)問題�,其中人是最重要的因素。當安全程序妨礙了善良忠誠的員工時���,他們會找到應對方式����,以避免受到干擾�,從而使整套程序失靈。那些讓我們成為富有效率����、樂于合作、具創(chuàng)造性的員工特質(zhì)不但使我們能夠適應突發(fā)事件并互相幫助����,也讓我們難以防范這些想要利用我們的人。
