象棋大师的身份欺诈 我弟弟是商场的经理,也是个象棋高手,前阵子迷上了在网上下棋。网游的规则很简单,刚注册时身份是平民,累积赢其他同等级的玩家三把就升一级,反之 降级,他靠自身水平升到了知府后就再也升不上去了。看到他有些沮丧,我决定帮他升级,这个建议着实雷了他,因为我是个臭棋¨子,即使他让我车马炮,我也赢 不了他。 虽然我不会下象棋,但对信息安全理论有点研究,我找了一个象棋大师单机版软件,把难度设成{zgj},让他试试,结果是他输了,原来知府水平不及象棋大 师软件的{zgj}水平,这就好办了。我用他的号登陆上去,向知府级别的玩家挑战,对方先来了一招“当头炮”,我同时打开象棋大师单机版游戏,设定好{zgj}难 度,借用玩家的“当头炮”来开局,软件不到一秒钟就回了一招“把马跳”,我再把这招用在那个知府级玩家上。 我一边浏览着松鼠会网站,一边喝着茶,等玩家出招后,就把这招用在软件上,再把软件的回招用回到知府玩家身上,根本不用思考。一会玩家就顶不住了, 发消息说“大哥,能悔步棋吗?”,我痛快地答应,然后点向软件的悔棋键......不出所料,那个知府玩家完败,他又发来了消息“大哥,你棋太高,我服 了,但你丫下棋咋不用思考啊?你不会是火星人吧?”升到巡抚了,我弟弟裂着大嘴乐了“哥,这招绝了,比开小号xx快多了”。 我弟靠这招升到了宰相,但很多宰相级玩家真的能下赢软件,这招不好使了,而且网游规定,长时间不下棋也会降级,如何保住宰相头衔,我弟弟又纠结了, 他试着问我“哥,你不会还有别的邪门招术吧?”。“邪门招术我还真有。”我让他同时向两个宰相级玩家挑战,把A玩家的招术用在B玩家身上,再把B玩家的回 招用回到A玩家身上,结局只能是一输一赢或者两盘和棋,根本不可能有第三种可能,保级成功! 我弟弟对我算是彻底服了,受这种身份欺骗招术的启发,他问了我一个问题,顾客在商场的A款台刷卡购买了一卷手纸,但我把他的刷卡信息偷偷转到B款 台,为一台液晶彩电付帐,然后把网银送到到B款台的确认信息转移到A款台让顾客确认,顾客以为自己买的只是一卷手纸,但实际却付了彩电的账,这个设想成立 吗? “这个设想xx成立。”我告诉他,这种身份欺诈手法可以使用的场合很多,例如面试,你戴一个袖珍的无线收发耳机,把面试官的问题传到场外的xx那 里,他把正确答案再回传到你的耳机里,你只要复述一遍就妥了,而且还真的有恐怖分子靠这招蒙住了签证官。 “这个世界太危险了,那咱以后还敢使用网银买东西吗”我弟弟又纠结了。“你作为商场经理,敢不敢使用这招骗顾客的钱呢?”我问他。“当然不敢,他肯 定会发现,然后带着工商和记者来找我们,那我们就赔大发了。”我弟弟说。我弟弟作为商场经理,考虑的不是道德问题,而是赚赔问题。我们作为消费者,当然不 必把信任建立在商人的道德水准上,只要相信他们不是那种会因小失大的傻瓜就行了。 再举一例,对于通信工程师而言,xx汽车电子钥匙并不是一件很难的事,我就曾带学生做过这个小课题,但我有还算不错的收入,也有靠合法收入买的车, {jd1}不会傻到做个xx器去偷车。美国有个人丢车后状告了防盗电子锁的生产商,结果被判败诉,虽然从理论上讲,防盗电子锁可以做到像核按钮那么高的安全级 别,但这个防盗器会比汽车本身贵得多。 再好的加密手段也不会自动提供认证的安全,再好的认证手段也不会保证信息的保密性,加密和认证并列成为信息安全的两个重要领域,身份欺诈就是认证领 域的研究的重要内容。认证技术是现代社会正常运行的重要保证,但任何技术都是有漏洞的,也是有成本的,社会惩戒就是必不可少的辅助措施,欺诈者都不是傻 子,他们甚至很聪明,惩戒措施明明白白地摆在那里,让这些聪明人感到玩欺诈对自己不利就行了。 |