象棋大师的身份欺诈

标签: 计算机科学 信息安全 加密和认证 原创 | 发表时间:2010-04-09 11:07 | 作者:奥卡姆剃刀 见涛
出处:http://songshuhui.net

我弟弟是商场的经理,也是个象棋高手,前阵子迷上了在网上下棋。一般来说,网游的规则很简单,刚注册时身份是平民,累积赢其他同等级的玩家三把就升一级,反之降级,他靠自身水平升到了知府后就再也升不上去了。看到他有些沮丧,我决定帮他升级,这个建议着实雷了他,因为我是个臭棋篓子,即使他让我车马炮,我也赢不了他。

虽然我不会下象棋,但对信息安全理论有点研究,觉得还可一试。我找了一个象棋大师单机版软件,把难度设成最高级,让他试试,结果是他输了,原来知府水平不及象棋大师软件的最高级水平,这就好办了。我用他的号登陆上去,向知府级别的玩家挑战,对方先来了一招“当头炮”,我同时打开象棋大师单机版游戏,设定好最高级难度,借用玩家的“当头炮”来开局,软件不到一秒钟就回了一招“把马跳”,我再把这招用在那个知府级玩家上。

我一边浏览着松鼠会网站,一边喝着茶,等玩家出招后,就把这招用在软件上,再把软件的回招用回到知府玩家身上,根本不用思考。一会玩家就顶不住了,发消息说“大哥,能悔步棋吗?”,我痛快地答应,然后点向软件的悔棋键……不出所料,那个知府玩家完败,他又发来了消息:“大哥,你棋太高,我服了,但你丫下棋咋不用思考啊?你不会是火星人吧?”升到巡抚了,我弟弟裂着大嘴乐啊:“哥,这招绝了,比开小号作弊快多了”。

我弟靠这招升到了宰相,但很多宰相级玩家真的能下赢软件,这招不好使了,而且网游规定,长时间不下棋也会降级,如何保住宰相头衔,我弟弟又纠结了,他试着问我“哥,你不会还有别的邪门招术吧?”。“还真有。”我让他同时向两个宰相级玩家挑战,把A玩家的招术用在B玩家身上,再把B玩家的回招用回到A玩家身上,结局只能是一输一赢或者两盘和棋,根本不可能有第三种可能,保级成功!

我弟弟对我算是彻底服了,受这结果的启发,他问了我一个问题:顾客在商场的A款台刷卡购买了一卷手纸,但我把他的刷卡信息偷偷转到B款台,为一台液晶彩电付帐,然后把网银送到到B款台的确认信息转移到A款台让顾客确认,顾客以为自己买的只是一卷手纸,但实际却付了彩电的账,这个设想成立吗?

“完全成立。”我告诉他,身份欺诈手法可以使用的场合很多,例如面试,你戴一个袖珍的无线收发耳机,把面试官的问题传到场外的枪手那里,他把正确答案再回传到你的耳机里,你只要复述一遍就妥了,而且还真的有恐怖分子靠这招蒙住了签证官。

这种身份欺诈的思路其实很简单,就是令被欺诈者以为跟他交流的是A,但其实是B。例如,那个无辜的网络棋手以为自己在跟我弟弟下棋,但其实跟他下棋的却是象棋大师软件,签证官真正交流的对象也不是面前的恐怖分子,而是场外的那个托。那如何做到这一点呢?欺诈者自可以采用不同的方法和技术,但万变不离其宗。

“这个世界太危险了,那咱以后还敢使用网银买东西吗?”我弟弟又纠结了。“你作为商场经理,敢不敢使用这招骗顾客的钱呢?”我问。“当然不敢,他肯定会发现,然后带着工商和记者来找我们,那我们就赔大发了。”作为商场经理,弟弟考虑的不是道德问题,而是赚赔问题。我们作为消费者,当然不必把信任建立在商人的道德水准上,只要相信他们不是那种会因小失大的傻瓜就行了。

再举一个身份欺诈的例子,对于通信工程师而言,破解汽车电子钥匙并不是一件很难的事,我就曾带学生做过这个小课题,但我有还算不错的收入,也有靠合法收入买的车,绝对不会傻到做个破解器去偷车。美国有个人丢车后状告了防盗电子锁的生产商,结果被判败诉,虽然从理论上讲,防盗电子锁可以做到像核按钮那么高的安全级别,但这个防盗器会比汽车本身贵得多。

再好的加密手段也不会自动提供认证的安全,再好的认证手段也不会保证信息的保密性,加密和认证并列成为信息安全的两个重要领域,身份欺诈就是认证领域研究的重要内容。认证技术是现代社会正常运行的重要保证,但任何技术都是有漏洞的,也都是有成本的,社会惩戒就是必不可少的辅助措施,欺诈者都不是傻子,他们甚至很聪明,惩戒措施明明白白地摆在那里,让这些聪明人感到玩欺诈对自己不利就行了。

本文地址(转载请注明出处): 复制
收藏、分享这篇文章: 豆瓣 新浪微博 人人网 开心网 QQ空间 qq书签 GOOGLE书签 MySpace 百度搜藏 鲜果 做啥       更多...

相关 [象棋 大师 身份] 推荐:

象棋大师的身份欺诈

- 见涛 - 科学松鼠会
我弟弟是商场的经理,也是个象棋高手,前阵子迷上了在网上下棋. 一般来说,网游的规则很简单,刚注册时身份是平民,累积赢其他同等级的玩家三把就升一级,反之降级,他靠自身水平升到了知府后就再也升不上去了. 看到他有些沮丧,我决定帮他升级,这个建议着实雷了他,因为我是个臭棋篓子,即使他让我车马炮,我也赢不了他.

优秀的Android国际象棋软件

- de-ming (adam) - Solidot
Terry Browne 写道 "国际象棋是两名棋手对垒的经典棋类游戏,风靡世界,爱好者数以百万计,除了俱乐部,锦标赛外,互联网正日益成为他们对弈的平台. Android Market中的免费国际象棋软件也是数不胜数,但许多下载价值不大,功能有效. 这篇文章介绍了八款优秀的Android国际象棋软件,供爱好者参考研究.

唐骏的身份危机

- 文刀刘 - Solidot
前微软中国区总经理、盛大网络总裁唐骏最近面临诚信危机,知名科普作家方舟子在其微博客上指控他学历造假.

暴力计算还是智能:国际象棋程序演化史

- 林十四 - Solidot
Ars Technica回顾了国际象棋程序的演化历史,探讨了一个问题:越来越先进的国际象棋程序究竟是一种暴力计算还是一种智能. 图灵设计了第一个象棋程序,香农则在1950年发表的一篇论文(PDF)中描绘了象棋程序下棋策略. 自1960年代起,象棋程序逐渐能挑战人类选手,从业余的棋手到专业棋手,再到大师级棋手.

国际象棋冠军程序Rybka被发现剽窃开源引擎

- FiO_chn - Solidot
连续四届世界电脑国际象棋锦标赛(WCCC)冠军Rybka,被发现剽窃了开源国际象棋引擎Crafty和Fruit,Rybka被取消资格,被终生禁止参加WCCC锦标赛,并被要求退回奖杯和奖金. Rybka的作者是国际象棋大师和MIT毕业生Vasik Rajlich,他声称Rybka是其原创,并否认其他程序员对Rybka有贡献.

决战canvas中国象棋设计之动画基础(连载二)

- - 携程UED
Canvas做动画与普通JS控制的动画有所不同. 本篇着重介绍其中的特殊之处,并实现中国象棋的棋子拖动及撤回动画. 普通JS动画一般只需要控制一些页面元素,改变它们的位置或透明度、色彩等属性,其余的浏览器会帮我们完成. 但到了Canvas里面,所有绘制出来的图像元素,并不是各自独立的DOM节点. 它们共同做为一个Canvas节点存在.

怎样去偷别人的身份?

- wycpu1983 - 译言-每日精品译文推荐
译者 liangyuanyuan. 当别人建议我去波特兰俄勒岗州和家人共和度感恩节时,我不由得感到深深的恐惧. 那意味着我要独自一人登上飞机,在空中飞行30000英尺,历经近两个小时……. 你或许会想,我可以克服恐惧,完全自由自在的享受即将到来的旅行. 但是向恐惧投降只是意味着我有买机票和乘坐机票的勇气.

关于身份证号的那些事

- - 标点符
居民身份证号码,根据〖中华人民共和国国家标准 GB 11643-1999〗中有关公民身份号码的规定,公民身份号码是特征组合码,由十七位数字本体码和一位数字校验码组成. 排列顺序从左至右依次为:六位数字地址码,八位数字出生日期码,三位数字顺序码和一位数字校验码. 1、地址码(身份证号码前六位). 表示编码对象常住户口所在县(市、镇、区)的行政区划代码.

网络数字身份认证术

- - 酷 壳 – CoolShell
这篇文章是《 HTTP API 认证授权术》的姊妹篇,在那篇文章中,主要介绍了 HTTP API 认证和授权技术中用到的 HTTP Basic, Digest Access, HMAC, OAuth, JWT 等各种方式,主要是 API 上用到的一些技术,这篇文章主要想说的是另一个话题——身份认证.

失效身份证系统应与现身份证信息系统完全打通

- - 付亮的竞争情报应用
黄明指出,建立失效居民身份证信息系统,是公安部坚持问题导向、回应社会关切,推出的又一项服务广大群众、确保居民身份证使用安全的改革措施,将为社会用证部门和单位落实居民身份证核查责任提供重要的辅助手段. 该信息系统 具备数据实时更新和动态维护功能,通过社会各用证部门和单位联网核查,实现所有丢失被盗居民身份证即时失效,无法在社会上继续使用.