如果說一個(gè)人的工作是數(shù)據(jù)庫管理員免绿，負(fù)責(zé)恢復(fù)數(shù)據(jù)庫凡伊，看上去是一個(gè)十分苦逼的體力活零渐；但如果說一個(gè)人是黑客，瞬間變得高大上起來系忙。這是因?yàn)榘踩缘膯栴}是每個(gè)人隨時(shí)都會(huì)遇到的诵盼。計(jì)算機(jī)系統(tǒng)的安全性隨著系統(tǒng)的復(fù)雜而復(fù)雜，一般來講安全問題不會(huì)發(fā)生在內(nèi)部银还，也不會(huì)發(fā)生在外部风宁，通常是發(fā)生在系統(tǒng)和系統(tǒng)的交接處。

最早期的黑客是通過模擬電話信號(hào)盜打電話而成名的见剩，這也給人以黑客是高科技犯罪的印象杀糯。這種早起的攻擊方式利用了電話網(wǎng)絡(luò)和電話線路的接口中，電話系統(tǒng)默認(rèn)所有電話信號(hào)都是合法的苍苞。所以只需要能夠模擬出類似的信號(hào)就可以了固翰。類似的技術(shù)現(xiàn)在依然很流行，比如中間人攻擊通過和通訊兩端建立分別聯(lián)系羹呵，而獲得兩者之間的通訊內(nèi)容骂际。比如你在北京星巴克開一個(gè)免費(fèi)Wifi，一定會(huì)有很多人去連你的Wifi冈欢，這樣你就可以獲得這些人上網(wǎng)所產(chǎn)生的信息。如果某些網(wǎng)站傳輸密碼是沒有加密的凑耻，那么你就可以得到他的賬戶名和密碼了太示。

比如注入式攻擊，在網(wǎng)頁上原本輸入密碼的地方輸入可以執(zhí)行的代碼香浩，后臺(tái)系統(tǒng)在進(jìn)行登錄操作的時(shí)候原本只是想檢查密碼是否正確类缤，卻不慎執(zhí)行了黑客惡意的代碼。這個(gè)攻擊方式利用了人和頁面的接口——密碼框邻吭，頁面和后臺(tái)系統(tǒng)的接口——密碼驗(yàn)證程序餐弱，完成了攻擊。能成功要依賴于很多假設(shè)，比如頁面上的確有能夠自己控制輸入的地方膏蚓，輸入的內(nèi)容會(huì)成為某段代碼的一部分瓢谢，輸入的內(nèi)容會(huì)完整的進(jìn)入到代碼。這些條件想要都達(dá)到驮瞧，后臺(tái)程序心也是挺寬的氓扛。

當(dāng)然大部分系統(tǒng)不會(huì)這樣讓你直接在里面運(yùn)行你想要的程序。所以會(huì)出現(xiàn)各種病毒程序剧董，通過各種各樣的手段下載到你的機(jī)器上然后運(yùn)行幢尚。這依然是利用了機(jī)器和網(wǎng)絡(luò)的接口將有害代碼下載到機(jī)器上。這里你的機(jī)器或者你產(chǎn)生了假設(shè)翅楼，所有網(wǎng)上下載的程序都是健康的，或者是符合他們名字所述的真慢。比如你下載了XX影片播放器毅臊，然后點(diǎn)擊EXE之后他告訴你說這是損壞的文件，但實(shí)際上這個(gè)程序很可能已經(jīng)開始運(yùn)行了黑界。你的電腦打開了后門可以被人遠(yuǎn)程操控管嬉。

除了機(jī)器和網(wǎng)絡(luò)的接口外，人和機(jī)器的接口是出現(xiàn)問題最多的地方朗鸠。比如釣魚網(wǎng)站蚯撩，通過模擬一個(gè)QQ登錄頁面，讓你登錄QQ去訪問相冊(cè)或者其他內(nèi)容烛占，你輸入QQ號(hào)和密碼之后胎挎，網(wǎng)頁跳轉(zhuǎn)到真正的頁面去，而你已經(jīng)將你的信息通過釣魚網(wǎng)站虛擬的頁面交給了黑客忆家。這里你假設(shè)了長(zhǎng)得和QQ登錄頁面一樣的網(wǎng)頁就是QQ登錄頁面犹菇，以及別人給你的鏈接是無害的。尤其現(xiàn)在你通過網(wǎng)絡(luò)的虛擬身份與機(jī)器進(jìn)行對(duì)話芽卿，虛擬身份的驗(yàn)證方式就是密碼揭芍，所以機(jī)器實(shí)際上是有這樣一個(gè)假設(shè)：能輸入正確密碼的就是你本人，這導(dǎo)致了密碼泄露是最嚴(yán)重的安全問題卸例。

甚至于人和人之間的接口也是問題称杨，比如在美國如果知道你的社保賬號(hào)可以做很多事情，比如開信用卡筷转。有一天你接到一個(gè)電話聲稱是你開戶銀行的客服姑原，詢問你最近是否有一筆交易沒有執(zhí)行，然后要你提供社保賬號(hào)來確認(rèn)交易信息旦装。這個(gè)和釣魚網(wǎng)站的本質(zhì)是一樣的页衙，只不過由于是人和人之間的交流，可以有更多可操作的成分在里面。比如他們快速篩選了很難上當(dāng)?shù)牡昀郑瑫r(shí)由于詢問了你是否有交易沒有執(zhí)行艰躺，如果有1%的人當(dāng)天的確發(fā)生了這樣的情況，那么這里面就存在了機(jī)會(huì)眨八，接電話的受害者因?yàn)檫@個(gè)巧合而相信了對(duì)方的確是銀行工作人員腺兴。這里面沒有使用任何技術(shù)，有人稱之為社會(huì)工程學(xué)廉侧，即通過非技術(shù)手段得到技術(shù)破解的解決方案页响，俗稱騙子。

黑客的目的也多種多樣段誊，有的是有針對(duì)性的要獲得某個(gè)人的相關(guān)信息闰蚕；有的是想要獲得隨機(jī)某些人的賬戶信息即可；有的是以破壞為樂连舍，比如破壞計(jì)算機(jī)系統(tǒng)没陡；還有的純粹是為了提高系統(tǒng)的安全性而做研究。不同的目的也會(huì)有不同的方式索赏，比如同樣是要竊取密碼盼玄，如果是針對(duì)某個(gè)人的話，通常會(huì)先掌握這個(gè)人的情況來先具體分析潜腻，比如這個(gè)人在網(wǎng)站A埃儿，B，C都有賬號(hào)融涣，那么很有可能他們采用的是同一個(gè)密碼童番，如果網(wǎng)站C的安全性比較弱，可以從這里下手進(jìn)行來反推出A的密碼暴心；如果僅僅是要盜竊一批賬號(hào)的話妓盲，可以用比較一般的密碼表，將符合這些密碼表的賬號(hào)都拿到专普，相當(dāng)多人用的密碼僅僅是簡(jiǎn)單的6位數(shù)字組合悯衬，或者生日等信息。

當(dāng)然現(xiàn)今的計(jì)算機(jī)系統(tǒng)有很多防護(hù)手段檀夹，比如網(wǎng)絡(luò)通信采用加密手段筋粗，網(wǎng)銀登錄采用第二套隨機(jī)密碼驗(yàn)證，各個(gè)漏洞都會(huì)即使打補(bǔ)丁炸渡，但有相當(dāng)多的問題還是出在自己身上娜亿。最簡(jiǎn)單的防護(hù)方式就是將系統(tǒng)隔離出來，切斷可能的聯(lián)系方式蚌堵，當(dāng)然這是大部分人做不到的买决。那么就只好加強(qiáng)自己虛擬身份的安全性沛婴。第一點(diǎn)就是每個(gè)網(wǎng)站假設(shè)擁有你虛擬密碼的人就是你本人，我們不能把這個(gè)假設(shè)擴(kuò)展到知道你A網(wǎng)站密碼就可以知道B網(wǎng)站的密碼督赤，這個(gè)會(huì)導(dǎo)致B網(wǎng)站的泄漏造成A的泄漏嘁灯；我們也不能擴(kuò)展到今天知道的密碼，明年依然可以用躲舌，這個(gè)也會(huì)導(dǎo)致密碼泄漏的可能性丑婿；更不能擴(kuò)展到知道別人的密碼，就可能知道你的密碼没卸，這個(gè)主要是因?yàn)樾孤┏鰜淼拿艽a表上有很多人都用了同樣的密碼羹奉。

當(dāng)然我們也有假設(shè)，我們假設(shè)了所有網(wǎng)站都是安全的约计，會(huì)保護(hù)好我的密碼诀拭。但是對(duì)于很多低安全性的網(wǎng)站，采用更高安全性的密碼并不能解決問題病蛉。我們也假設(shè)了我們看到的頁面就是網(wǎng)站所有的內(nèi)容炫加，但很可能有不可見的腳本在頁面上運(yùn)行。我們還假設(shè)了沒有人會(huì)去看Wifi上的數(shù)據(jù)傳輸內(nèi)容铺然，所有下載內(nèi)容都是安全的，看到長(zhǎng)的一樣的網(wǎng)頁就是一樣的網(wǎng)頁酒甸，鏈接里帶QQ的網(wǎng)頁就是QQ的網(wǎng)頁魄健，跟我說話的朋友就是我的朋友，自稱是銀行工作人員的人的確在那里工作插勤，曾經(jīng)是銀行工作人員的人依然在那里工作……