信息安全心理学大作业,哈哈爽看电影写影评,本来是剪了六个片段的,但是emmm不会传视频,文章的颜色标记也没了,可能阅读体验不会很好,凑合看吧(感觉大家都在看啊,可以讨论讨论呢)

《whoami》,又名《我是谁:没有绝对安全的系统》,是我很早之前就看过的一部电影,当时看时,总觉似懂非懂,不理解电影中人物的行为和动机。而本学期,在听了辛阳讲师的《信息安全心理学》课程,涉猎了杨义先教授所著的《黑客心理学》一书以后,我突然间对这部电影有了全新的理解,甚至生发出了一种想法:也许我,以及许多观众,都被这部电影的编剧和导演给“社工”了——或许作为观众的我也只是看见了我想看到的而已。

一部展现“社会工程学”的电影,为什么会让我有一种“被社工”的感受呢?下面让我们从电影本身的剧情开始,以一个“观众”,一个“受害者”的视角,结合我所学习到的“社会工程学”的一些原理,从分支剧情——主线剧情——电影本身三个阶段来剖析这部电影的“社工手段”,当然也包括电影剧情本身的“漏洞”

在阅读之前,需要先声明本文的几个标记颜色(颜色估计没得看了,凑合凑合吧)。

1、 漏洞(男主人公故意暴露的叙事漏洞)

2、 疑点(我作为一个观众发现的疑点)

3、 支线社工案例(包括视频片段1、3、4)

4、 主线社工案例(包括视频片段2、5、6)

5、 引文(主要引用了《黑客心理学》一书的内容)

img

故事一开始,便采用倒叙的手法,主人公,代号“WhoamI”,与一位国际刑警之间,开启了一段对话,全剧的剧情便以他的叙述展开。

男主真名叫本杰明,他的父亲在他出生前跑去法国,母亲在他8岁时自杀,奶奶的父亲在二战时牺牲,只留给她三颗子弹装在一个小盒子里(漏洞一)

img

他14岁时就开始学习编程并成为了一名黑客。他在现实空间中,他做普通的外卖工作,并常常是边缘人,被人瞧不起,但是在他常常幻想自己是超级英雄,总幻想别人在召唤自己(疑点一),同时他还非常崇拜一个ID:MRX,MRX有三条规则:

1、没有一个系统是安全的;

2、敢做就能赢;

3、网络空间及现实空间,都要尽兴。

本杰明在送外卖时遇到了一直以来心中的爱慕对象——玛丽,他听到玛丽说想要找到法学考试试题,于是决定利用自己的技术去偷,结果在学校被抓了现行,法官判他50小时的公益活动,在这期间,本杰明在隧道里偶然结识了马克斯,并通过马克斯认识了史戴芬和保罗(疑点二),并向他们展示了自己的黑客能力。同时,奶奶因为老年痴呆住到了养老院。

结识了马克斯一行人以后,本杰明第一次见识到什么叫“最大的漏洞是人类”。

此处是第一个支线社工案例(片段1):

“人究其本质记忆受骗,也怕冲突”,马克斯从垃圾箱里翻出一个餐盒以及小票,根据小票上的信息,去找正在营业的服务员的质询,声称自己少了两个甜甜圈,正好是买八送十的活动。这个案例中用到的技巧有以下几点:

1、提供小票,餐盒等实物证据

2、直面回答服务员的提问,并根据正常逻辑指认后方的金发服务员负责此单

3、买八送十的活动,正好少两个,存在可能性

4、一刻不停,有板有眼的质问,表情严肃且不耐烦

5、要求找经理,给服务员压力,让其权衡小事化了还是深究到底的利弊关系

最终马克斯成功“白嫖”了两个甜甜圈。在《黑客心理学》书中写到:说服,以声音开始,以行动结束,其核心是论据,使被说服者在某种动机的引导下,转变或调整行为。显然,这一案例便是这一理论的生动体现。

此后,四人将奶奶的屋子作为“根据地”,并给取名“CLAY”,并且成功策划实施了数个行动。这时,调查员汉娜问道:我凭什么相信你说的是真的?

这是第一个主线社工案例(片段2):

通过说出汉娜的各种隐私信息,让其为之一震,从而变得紧张,相信本杰明具备他所说的那种能力,同时也让自己在心理博弈中占据上风。

其中,黑进情报局的行动中有着第二个支线社工案例(片段3),也是整个故事矛盾的开端:

img

四人在垃圾堆里发现了情报局卫生清洁部门的主管,并负责分发情报局通信证——戈蒂的“漏洞”:喜欢猫咪以及她的邮箱地址,他们利用这一漏洞给她的邮箱里发了一封与猫咪有关的钓鱼链接,戈蒂很快上钩,于是四人顺利搞到了情报局的通行证,成功黑进了情报局的打印机。这一案例中用到了“利他与易控行为”,对黑客来说,只要他能够激发被攻击者的任何行为,都有利于攻击。

但是情报局的行动中,本杰明犯下了一个大错,他擅自盗取了情报局的机密文件,并将其卖给了虚拟世界中的MRX,以此来证明自己的能力,但是没想到MRX拿到资料,转手就卖给俄罗斯的网络黑帮FR13NDS,靠着那份情报局的资料,一名警局的线人暴露,并被杀害。原来MRX也是FR13NDS的一员。此事一出,网络上一片哗然,从前那个靠着揭露社会的黑幕,恶搞德国左翼分子,名声大噪的“CLAY”,被列为了出卖情报的头号怀疑对象,被推至风口浪尖。

于是CLAY决定找到MRX,想通过MRX加入FR13NDS成为卧底,揭露MRX的真面目并证明自己的清白。四人在国家图书馆与MRX交涉,接到MRX的任务(在欧洲刑警组织的内部安放一个木马),同时,四个人也差点因此被调查员抓获,抓获途中调查员汉娜与本杰明擦肩而过,却未能抓捕(疑点三),汉娜也因此被停职。在逃离追捕后,四人决定孤注一掷,他们烧掉了奶奶住所(漏洞二),为了取得MRX的计算机的监听权,他们设置了一个“木马中的木马”——当MRX通过他们提供的木马监听欧洲刑警组织时,本杰明也可以通过“木马中的木马”监听MRX。敲定计划以后,真正的挑战开始了。

欧洲刑警组织守卫森严,甚至连下水道也设置了层层阻碍,马克斯还不小心被铁钉贯穿了右手手掌(漏洞三)(疑点四),四人只好铩羽而归。

但是本杰明却发现了拿着游客跌落的参观证,开始了第三个支线社工案例(片段4):

他谎称自己是前来参观的学生,把钱包落在了里面,并且借着因为MRX和玛丽的事情发生争执(漏洞四)(疑点五),自己脸上因打斗留下的疤痕勾起看门守卫的同情心。这是一种情绪上的攻防,《黑客心理学》中提到,通过“面部表情”,“身体与手势表情”,“语调表情”等,我们可以表现出各种情绪状态,并且知道对方的情绪。

他借此骗过门卫,在食堂里架设了硬件盒,实现了一个身份认证完全相同的平行网络,只要有人在附近登陆这个网络,就能获得他计算机的权限,然后进入系统服务器。

img

本杰明将双木马发给MRX,但是却被识破,MRX给他的端口,其实是一个IP追踪器,本杰明被MRX获取了摄像头的控制权以及位置信息,暴露在俄罗斯黑帮的视野中,这便是MRX对本杰明的一次主线社工案例(片段5)

img

在逃过追杀后,本杰明回到宾馆发现伙伴三人都被杀害(漏洞五),于是他找到了汉娜,请求证人保护计划。调查员答应给男主证人保护计划,但要男主抓到MRX,才能助她复职,给他这个权力,于是本杰明开始了第三次主线社工实践(片段6):

利用MRX的漏洞——他的傲气,他伪装成MRX并败坏他的名声,MRX气急败坏之下,拿起锤子敲烂玻璃来到WhoamI,也就是本杰明的旁边,但是没想到锤子本身也是一个IP追踪器,MRX因此被刑警抓获。《黑客心理学》中提到:人在收到挫折后,立即产生的反应多是攻击性行为。情绪的博弈,激发MRX的“攻击性行为”,在意想不到的地方设下陷阱,人的漏洞往往比互联网的漏洞更加容易攻破。

img

到此,汉娜官复原职,一切应该都结束了,但是一切却又刚刚开始,让我先列举上文提到的几个漏洞:

只留给她三颗子弹装在一个小盒子里(漏洞一)

他们烧掉了奶奶住所(漏洞二)

马克斯还不小心被铁钉贯穿了右手手掌(漏洞三)

因为MRX和玛丽的事情发生争执(漏洞四)

本杰明回到宾馆发现伙伴三人都被杀害(漏洞五)

汉娜立时觉得不对劲:本杰明交给他的三枚杀死马克斯等人的子弹是来自于她的奶奶;他声称烧掉了奶奶的住所,但是却完好无损;本杰明的手上有着很明显的贯穿伤,但是据他的陈述,马克斯才是被钉子扎伤的那一个;玛丽甚声称最近都没有见过本杰明;同时她还在医生那里了解到本杰明具有人格分裂。种种迹象都说明,本杰明的证词是他想象出来的,本杰明,马克斯,史戴芬,保罗,他们其实就是本杰明一个人的四种人格,之前发生的所有事情都是由本杰明一个人策划实施的,患有精神疾病的人无法加入证人保护计划,但是汉娜却对帮助自己抓获MRX,同时处境危难的本杰明动了恻隐之心(这又是次社会工程实践),她给了本杰明一次机会,让其黑进系统,抹除自己的身份,改名换姓。

img

五个漏洞,隐藏在整个故事内容中,那么合理,又那么致命,只要实地考察一下便不攻自破,但同时又没那么容易发觉,因为这五个漏洞本身的目的就是要引起汉娜的怀疑,果然,在影片的最后,本杰明,玛丽,马克思,史戴芬,保罗纷纷出现在甲板上,他们真的是四个人,但是却让玛丽因为自己的“发现”而错认为这些都是因为本杰明的精神分裂导致的。

到此影片结束,仿佛一切真相都浮出了水面,汉娜达到了清除网络罪犯的目的,本杰明和他的伙伴隐姓埋名,并成功骗过了汉娜。但是会想到影片的名字:whoami,会想起之前罗列的五个疑点:

总幻想别人在召唤自己(疑点一)

本杰明在隧道里偶然结识了马克斯,并通过马克斯认识了史戴芬和保罗(疑点二)

抓获途中调查员汉娜与本杰明擦肩而过,却未能抓捕(疑点三)

马克斯还不小心被铁钉贯穿了右手手掌 (疑点四)

因为马克斯和玛丽的事情发生争执(疑点五)

一种想法由此衍生:或许整部电影本身,就是制片人对于观众的一次“社工”。本杰明在见到玛丽时,玛丽向他寻求偷考题的帮助,但是随机面对他做出的回答,众人的反应却是那样怪异,因此可以推测:这其实是本杰明内心听到的召唤;本杰明因事在隧道中偶遇马克斯,并恰巧搭上了话,这在现实中的概率也是小之又小;汉娜于带着小丑面具的本杰明擦肩而过,但是剩下的三个人却仿佛凭空消失了一般,为什么本杰明没有跟着其他人一起逃离?马克斯在下水道受伤,究竟需要多大的力气才能让整个手掌被铁钉贯穿?马克斯与玛丽亲吻时,闪过了本杰明与玛丽亲吻的一帧。或许,本杰明真的是一个精神分裂者,在影片的最后,他像汉娜展示了那个魔术:四个糖块变成一个又再一次变成四个,无疑是在提醒汉娜,我其实不是一个精神病患者,我们真的是四个人。但是无论如何,汉娜也必然和影片的观众一样,陷入了逻辑的陷阱中,成为“社工”的对象,到底是一个人还是四个人,也许永远也没用定论,正如本杰明最后说的:“我们全都不为人知了”。

img

再次回顾“信息安全心理学”课程,回看《黑客心理学》一书,回放《whoami》电影,我对社会工程学的了解又提升了一步,我对于社会工程学原理和黑客心理学的兴趣也无疑更加的浓厚。人只看到自己想看到的,或者别人想让自己看到的,学习黑客心理学,我不仅能获得从其它角度思考问题的能力,更能提升自己“修补自身漏洞”的能力,这才是我们学习它的意义。