但真的這樣嗎？事實顯然并非如此，正如我在第一天會議上就遇到的一個老朋友那樣——抱歉我無法說出他是誰，事實上，他是我眾多安全圈“線人”中的一個。這是個風險管理和社會工程學安全專家，憑著社會工程學做滲透測試生意，也有一些安全事件處理方面的經(jīng)驗。最終他答應給我演示他是如何在沒有證件的情況下用幾分鐘就溜進RSA大會的，然后帶著一張用假名字注冊的證件回去。

　　這個專家是從一個靠近B區(qū)的安全活動開始的。他有一張B區(qū)的工作證件，因為他正在參加那邊的一些其他活動。但他沒有注冊RSA大會，他決定試著逛一下，看看會發(fā)生什么。

　　“我只在那個地方走進走出了幾分鐘”，他向我解釋說，“我看到所有入口都有安保人員在檢查。”他在那里站了一會，等待一群人一起進入。當他發(fā)現(xiàn)一個新安保人員過來準備和另一個人交班時，他知道機會來了。

　　“我走進一大群人中間。我舉著我的證件，當然用我的拇指壓著原有的B區(qū)的標志，在安保人員的面前晃了一下，說了一句‘內(nèi)部員工!’就走了進去，沒有停下一步。”

　　就這樣，我的這位線人輕松走進了RSA大會，而且可以自由地參加各項活動。他說隨意地轉了一會，并且參加了兩個發(fā)布活動。

　　展覽館：通過大門

　　他決定進行下一個挑戰(zhàn)，那就是進入RSA展覽廳，也就是那個安全供應商們展示自己最新產(chǎn)品的本次活動的最大區(qū)域。那個展覽廳要到晚上6點才對公眾開放，安保人員站在每一個入口前，拒絕每個人入場。

　　我的線人注意到，每個入口都有好幾個安保人員，但在出口卻只有一個人值班。“出口很大，我在周圍等著。當我發(fā)現(xiàn)她在和別人聊天時，我就趁有人往外走的時候走了進去。”

　　就是這樣，他就進入了展覽廳，而這時，大多數(shù)公司還正在架設他們的顯示器和參展的產(chǎn)品演示程序。

　　“如果那時你想偷一些證件、T恤、帽子之類的，你只需裝作你是為這家公司工作的職員就行了。”這位專家解釋說，“有些公司甚至還把公司電腦放在外面并且開著，我當時完全可以順手牽羊。當然，如果我想在上面安裝一個偷取密碼的USB設，也是易如反掌。

　　用假名字獲得一個證件

　　在展覽廳轉了沒多一會，這位專家就離開了。不過出來之后，他隨即去Google查詢到一些已經(jīng)分發(fā)出去的RSA大會客戶預留代碼，以及一些免費參會的注冊信息。用這些網(wǎng)上找來的免費注冊信息，他填寫了注冊頁面——當然，沒用他的真名。然后，他再次回到會場，就獲得了一個RSA大會的證件，期間沒有被要求出示任何證明身份的東西，只不過需要打開他的手機并且出示一個確認郵件(當然他是用免費代碼得到的)。

　　我的專家提醒說，作為一個靠嵌入檢查一個活動的安全水平的專業(yè)人士而言，他認為一般最大的弱點是就是人員培訓環(huán)節(jié)。“他們需要培訓那些證件的價值，并且了解那些是被允許的，而那些絕對禁止。”他強調，“社會工程學專家往往善于利用擁擠和混亂，而那恰恰是安保人員要學會應對的。”