但真的這樣嗎？事實(shí)顯然并非如此，正如我在第一天會(huì)議上就遇到的一個(gè)老朋友那樣——抱歉我無法說出他是誰，事實(shí)上，他是我眾多安全圈“線人”中的一個(gè)。這是個(gè)風(fēng)險(xiǎn)管理和社會(huì)工程學(xué)安全專家，憑著社會(huì)工程學(xué)做滲透測試生意，也有一些安全事件處理方面的經(jīng)驗(yàn)。最終他答應(yīng)給我演示他是如何在沒有證件的情況下用幾分鐘就溜進(jìn)RSA大會(huì)的，然后帶著一張用假名字注冊(cè)的證件回去。

　　這個(gè)專家是從一個(gè)靠近B區(qū)的安全活動(dòng)開始的。他有一張B區(qū)的工作證件，因?yàn)樗�正在參加那邊的一些其他活�?dòng)。但他沒有注冊(cè)RSA大會(huì)，他決定試著逛一下，看看會(huì)發(fā)生什么。

　　“我只在那個(gè)地方走進(jìn)走出了幾分鐘”，他向我解釋說，“我看到所有入口都有安保人員在檢查。”他在那里站了一會(huì)，等待一群人一起進(jìn)入。當(dāng)他發(fā)現(xiàn)一個(gè)新安保人員過來準(zhǔn)備和另一個(gè)人交班時(shí)，他知道機(jī)會(huì)來了。

　　“我走進(jìn)一大群人中間。我舉著我的證件，當(dāng)然用我的拇指壓著原有的B區(qū)的標(biāo)志，在安保人員的面前晃了一下，說了一句‘內(nèi)部員工!’就走了進(jìn)去，沒有停下一步。”

　　就這樣，我的這位線人輕松走進(jìn)了RSA大會(huì)，而且可以自由地參加各項(xiàng)活動(dòng)。他說隨意地轉(zhuǎn)了一會(huì)，并且參加了兩個(gè)發(fā)布活動(dòng)。

　　展覽館：通過大門

　　他決定進(jìn)行下一個(gè)挑戰(zhàn)，那就是進(jìn)入RSA展覽廳，也就是那個(gè)安全供應(yīng)商們展示自己最新產(chǎn)品的本次活動(dòng)的最大區(qū)域。那個(gè)展覽廳要到晚上6點(diǎn)才對(duì)公眾開放，安保人員站在每一個(gè)入口前，拒絕每個(gè)人入場。

　　我的線人注意到，每個(gè)入口都有好幾個(gè)安保人員，但在出口卻只有一個(gè)人值班。“出口很大，我在周圍等著。當(dāng)我發(fā)現(xiàn)她在和別人聊天時(shí)，我就趁有人往外走的時(shí)候走了進(jìn)去。”

　　就是這樣，他就進(jìn)入了展覽廳，而這時(shí)，大多數(shù)公司還正在架設(shè)他們的顯示器和參展的產(chǎn)品演示程序。

　　“如果那時(shí)你想偷一些證件、T恤、帽子之類的，你只需裝作你是為這家公司工作的職員就行了。”這位專家解釋說，“有些公司甚至還把公司電腦放在外面并且開著，我當(dāng)時(shí)完全可以順手牽羊。當(dāng)然，如果我想在上面安裝一個(gè)偷取密碼的USB設(shè)，也是易如反掌。

　　用假名字獲得一個(gè)證件

　　在展覽廳轉(zhuǎn)了沒多一會(huì)，這位專家就離開了。不過出來之后，他隨即去Google查詢到一些已經(jīng)分發(fā)出去的RSA大會(huì)客戶預(yù)留代碼，以及一些免費(fèi)參會(huì)的注冊(cè)信息。用這些網(wǎng)上找來的免費(fèi)注冊(cè)信息，他填寫了注冊(cè)頁面——當(dāng)然，沒用他的真名。然后，他再次回到會(huì)場，就獲得了一個(gè)RSA大會(huì)的證件，期間沒有被要求出示任何證明身份的東西，只不過需要打開他的手機(jī)并且出示一個(gè)確認(rèn)郵件(當(dāng)然他是用免費(fèi)代碼得到的)。

　　我的專家提醒說，作為一個(gè)靠嵌入檢查一個(gè)活動(dòng)的安全水平的專業(yè)人士而言，他認(rèn)為一般最大的弱點(diǎn)是就是人員培訓(xùn)環(huán)節(jié)。“他們需要培訓(xùn)那些證件的價(jià)值，并且了解那些是被允許的，而那些絕對(duì)禁止。”他強(qiáng)調(diào)，“社會(huì)工程學(xué)專家往往善于利用擁擠和混亂，而那恰恰是安保人員要學(xué)會(huì)應(yīng)對(duì)的。”