随着公司以及商业团队对网络的依赖性的与日俱增,“道德黑客”攻击(或者说网络攻击测试)这项业务有着相当广阔的前景,大大小小的顾问公司都争着要进入这个利润丰厚的市场。“这个馅饼正越做越大,随着越来越多的公司把他们的系统摆到互联网上,(“道德黑客”攻击)这种需求时时刻刻都在增加”,互联网安全小组的主管西蒙·唐表示。
以毒攻毒成了一个好方法,早在2006年,一所专门剖析黑客攻击手段的黑客学院在芝加哥成立,该学院的办学宗旨就是让学员了解黑客所惯用的攻击伎俩。显然,这也成为一些黑客们“从良”的去处,这不,就连授课的教师全部都是黑客。
据报道,黑客学院并不是通过网络教学,而是一所实实在在的大学。成立的目的是培养学员了解黑客所使用的攻击技巧,从而达到自我保护的目的。如果成绩合格,黑客学院可为学生颁发两种毕业证书,一种是“道德黑客”毕业证,另一种是“安全专家”毕业证。目前,这两种证书已经被国际电子商务组织EC-Coun-cil所承认。黑客学院校长称,这两种毕业证书可以作为信息安全领域的标准,企业和政府机构在招聘相关人员时,可以以此作为参考。不过,对于黑客学院的成立,英国安全公司表示:“黑客学院的成立可能会加剧网络安全问题。”
如今,就连很多大型计算机软件公司都对“道德黑客”“网开一面”。微软曾经公开承诺不控告或起诉发现网站漏洞并入侵的“道德黑客”。在西雅图的一次安全会议上,微软安全战略人员凯蒂穆苏里向数百名研究人员宣传一个他们正在极力推动的大胆举措:保护“道德黑客”负责任地披露漏洞,并希望整个业界支持形成一种风气。
微软认为发现漏洞是黑客帮了自己的忙,而不能着急叫警察。他们是想让网站更加安全,不需要这种脆弱的仇恨,微软还表示将继续为安全研究人员提供支持。
“道德黑客”是好人编辑本段回目录
在很多人的眼中,黑客都是“坏蛋”,但“道德黑客”是好人,他们对公司企业有正面贡献,他们技术超群,能解决普通技术人员不能解决的问题。他们钻研编程,已进入规格外的未知领域,并以通晓电脑系统或网络系统之未知领域,作为个人努力的目标。
但是,水能载舟,亦能覆舟,同样的黑客技术,可以为善,也可以为恶,在规格外的程式,可用于进攻电脑或网络系统,可用于偷窥机密文件,浏览隐私,涂改网页,或者破坏运作,对他人造成损失。“好事不出门,坏事传千里”,“道德黑客”的贡献鲜为人知,但是负面黑客的行为却常常成为头条新闻,致使整个社会把好坏黑客统统打成一个印象:黑客就是搞破坏的。
绝大多数的黑客只是一些电脑技术的狂热爱好者,他们入侵各种网站,只是以此为乐。一名黑客告诉记者:“第一次成功入侵后,很兴奋,看到了别人公司的客户资料、财务报表,真是有点心惊胆战,但5分钟后我就发现,这些资料对我而言,也没有任何用处。”因为如果要利用黑客技术犯罪,就必须冒坐牢的风险,一般人是不会那么做的。其实,“道德黑客”们有自己的道德准则。著名黑客史蒂夫·利维在其著名的《黑客电脑史》一书中对于“黑客道德准则”作出了详细的解释,包括:所有的信息都应当是免费的;打破电脑集权;计算机使生活更美好等。这些东西被黑客们看作是“江湖规矩”,反正你只要想成为一个黑客,这些就一定要遵守。黑客大会的组织者图姆波尔说:“那些任意涂改网页或者摧毁像eBay和亚马逊网站系统的人不应被称做黑客,我把他们叫做破坏分子。”中国的黑客组织黑客联盟也宣称:作为黑客,其职责就是寻找漏洞、维护网络安全。
不过,在好坏之间还有许多其他种类的黑客,有的“道德黑客”,在锻炼黑客功夫的时候,因一时疏忽造成重大损害的事件,也屡见不鲜。最著名的事件发生在1986年,贝尔实验室发生了一次震动全美的黑客事件,康乃尔大学的一个本科生,制作了一个蠕虫程式,因为调校参数错误,对电脑系统造成重大破坏。全美国学校、大企业及政府单位全面停机整整一天,经济损失不计其数。此生身出名门,父亲摩里斯本是贝尔实验室的尖端讯息安全专家。老摩里斯,技术高为人好,本来在国安局前程似锦,但受儿子这次失手事件拖累,终于无法受重用。
4
大学开设“道德黑客”课程
随着公司以及商业团队对网络的依赖性的与日俱增,“道德黑客”攻击(或者说网络攻击测试)这项业务有着相当广阔的前景,大大小小的顾问公司都争着要进入这个利润丰厚的市场。“这个馅饼正越做越大,随着越来越多的公司把他们的系统摆到互联网上,(“道德黑客”攻击)这种需求时时刻刻都在增加”,互联网安全小组的主管西蒙·唐表示。
以毒攻毒成了一个好方法,早在2006年,一所专门剖析黑客攻击手段的黑客学院在芝加哥成立,该学院的办学宗旨就是让学员了解黑客所惯用的攻击伎俩。显然,这也成为一些黑客们“从良”的去处,这不,就连授课的教师全部都是黑客。
据报道,黑客学院并不是通过网络教学,而是一所实实在在的大学。成立的目的是培养学员了解黑客所使用的攻击技巧,从而达到自我保护的目的。如果成绩合格,黑客学院可为学生颁发两种毕业证书,一种是“道德黑客”毕业证,另一种是“安全专家”毕业证。目前,这两种证书已经被国际电子商务组织EC-Coun-cil所承认。黑客学院校长称,这两种毕业证书可以作为信息安全领域的标准,企业和政府机构在招聘相关人员时,可以以此作为参考。不过,对于黑客学院的成立,英国安全公司表示:“黑客学院的成立可能会加剧网络安全问题。”
如今,就连很多大型计算机软件公司都对“道德黑客”“网开一面”。微软曾经公开承诺不控告或起诉发现网站漏洞并入侵的“道德黑客”。在西雅图的一次安全会议上,微软安全战略人员凯蒂穆苏里向数百名研究人员宣传一个他们正在极力推动的大胆举措:保护“道德黑客”负责任地披露漏洞,并希望整个业界支持形成一种风气。
微软认为发现漏洞是黑客帮了自己的忙,而不能着急叫警察。他们是想让网站更加安全,不需要这种脆弱的仇恨,微软还表示将继续为安全研究人员提供支持。
2009年4月19日讯 受美国国土安全部委托,一家美国信息技术公司日前发布广告招聘大量“有正义感的黑客”,以便协助联邦政府查找个各类重要网络系统存在的漏洞。据悉,应征者须熟悉黑客的各类技术手段和策略,并且掌握分析网络流量的方法。未来四年间,美政府将为此提供6000万美元资金支持。此前一周,五角大楼也公开表示,将在2011年前,将军方熟悉互联网反黑客业务的专家数量从80名增加到250人。美国为防止洪水与大火灾害制定了详细的应急方案,在“911”事件后,更对逼近空中禁区的各类飞机做出严格限制,但尚未就如何防范黑客袭击做出有效反应,因此从发电厂到核武器系统都将接受全面网络安全检查。
美国国土安全部部长表示,美国电网很容易遭到电脑黑客袭击。《华尔街日报》此前曾宣称,网络间谍已入侵美国电网系统,并留下了可能破坏整个电力系统的恶意软件程序。据悉,这些所谓的“入侵者”并没有开展破坏电网或其他重要基础设施的活动,但可能是在替今后有可能爆发的“未来战争”作一些必要准备。
目前,美军战略司令部与国家安全局正着力增强信息战特种部队的功能,使其有能力随时向敌方网络发动“不见血”的攻击。美国战略司令部官员在参议院武装力量委员会上作证时承认,这支名为“网络战联合功能构成司令部”的秘密部队堪称世界上最强大的“黑客部队”。近年来,美国不断加强网络攻防的演练,出动频率显著上升。
2007年9月18日,美国空军在路易斯安那州巴克斯代尔空军基地成立临时网络战司令部,为2009年10月网络战司令部全面正式运营做预备。网络战司令部最终将与空军作战司令部、空军航天司令部平起平坐,由一名四星上将领导。现在美军有大约4万人从事与网络战相关的工作,网络战司令部将领导这支“网军”。
这些“超级黑客”的主要目标就是渗入敌方网络系统窃取绝密数据,甚至期待着在对方网络内置入绝密程序,以便自动寻找并摧毁敌方指挥控制系统,从而使其既无法调兵,也不能发射导弹。在和平时期,“黑客”部队的任务是保护美国信息网络系统的安全,防止敌国“黑客”对其实施渗透、攻击,提高美军保障网络安全的能力。
现在,美国军方每年进行一次“网络防御”项目演习,由国家安全局的电脑专家充当“黑客杀手”负责进攻,西点军校、空军学院、海军学院和陆战队学院的专业人士进行防御,以研究美军网络安全可能存在的漏洞。安全专家也指出,由于美国自身同样大量依靠电脑网络体系,如果贸然发动“黑客战”,很可能引火烧身,导致自己的电脑体系也同时遭到来自敌人的毁灭性袭击。
在民用领域,黑客在2008年间窃取了至少2.85亿份美国人的电子资料,这个数字超过了前四年的总和。黑客们主要用盗取的别人身份伪造信用卡,并使用虚假证明购买住房和医疗保险等。很多遭到攻击的只是一台普通的电脑,但黑客往往能用这台电脑安装更多恶意软件,进而扫描整个网络并找到其它电脑的漏洞后大肆窃取个人信息。
网络安全公司的调查表明,在黑市上,社会保障号码、信用卡信息等各种私人信息的“需求和价格相当稳定”。受经济危机影响,很多人担忧工作并处于财务困境,网络黑客以他们为目标采取各种新手段骗取信息。偷来的信用卡号每个要价30美元;一次性买1万个卡号的大客户更能享受每个号最低6美分的“特价”。
据悉,偷盗信息的人可以雇用他人利用偷来的银行账户信息设法获取现金。取钱人得到的报酬为所有赃款的8%至50%不等。运营一个盗窃信息的网站每周花费3美元至40美元。黑客们不愿展开价格竞争。很多实施网络犯罪的人属于有组织犯罪团伙,如果不按“游戏规则”办事会被逐出行业、遭黑客网络攻击甚至遭受人身伤害。
由于网络安全措施加强,黑客们需要偷到更多信息,比如信用卡号要与身份证号或社会保障号码一起出售。四分之三的诈骗电子邮件与银行账户信息相关,如低利率贷款、转按揭贷款等。人们一旦为这些服务付款,账户里的钱就可能被盗。从去年开始,发送欺诈性邮件的网站数量增长了60%以上。(高轶军)
道德黑客十训编辑本段回目录
1.必须有书面资料
你已经听到一千遍了,但是不管你信不信,我曾看到过在没有任何书面材料的情况下,安全专家就在关键的业务系统上进行——而且安全经历也同意——道德黑客活动。你可能已经涵盖了你的资产,而且不仅需要参与各方的基本的结束信息,而且还要考虑和记录谁要(谁不要)在测试中出错的时候负责任。在道德黑客活动中也会有不好事情的发生——服务器可能崩溃,数据可能丢失。从业务的角度考虑这个问题。你的律师和保险商会以你为傲的。
2.必须要有目标
和成功的商业投资一样,你需要确定经过道德黑客活动,想要取得什么样的具体结果。你期待什么样的救国?是为了证明你需要迁移到Novell或者Unix的平台吗?想要在安全方面获得更多的资金吗?是为了遵守政府法规或者满足安全标准吗?还有问问自己想要保护那些信息,哪些系统需要测试。
3. 不要一次性测试所有系统
这一条不适用于小型网络,但是谁还再使用“小型”网络呢?排列需要测试的系统,并首先测试最重要的系统。这些可能是Web、邮件或者数据库服务器,甚至是路由器和防火墙等边界设备。查找失败的单独的节点或者业务不能缺少的系统。很多安全专家都只关注可以公共访问的主机。记住,黑客活动可能发生在网络内部,所以不要完即内部威胁以及可能受到影响的系统。
4.不要忘记测试“不重要”的系统
这一点和第三条有冲突。这么说不准确。你不需要测试所有的系统,但是这对于思考攻击的发生以及对其他不太重要的系统产生的影响有所帮助。没有机密数据的工作站、远距离工作的家用电脑或者只提供基础邮件访问的Web服务器都会被用于攻击其他更重要的系统的跳板。不要排除流氓“小人物”。
5.以敌人的方式思考很有帮助
紧跟第四条经验的是经过证明的好经验“了解你的敌人”。这可能是老调重弹,但却是正确的。如果系统的测试只使用了最新的自动化工具,而没有考虑所有的其他可能发生的各种手动攻击的方式,就不能看到全景。对每一种可能的黑客活动从每个角度都进行测试是不可能的。关键是要确保确实进行了研究,而且理解了黑客的动机和方式,并以此构成了道德测试项目的一部分。
6.使用合适的工具
这是我每一次进行道德黑客测试的时候,我都会被这样提醒。我不知道没有了我在这几年里收集的工具(有免费的,也有商业化的),我还能做什么。就好像成功的住宅设计师所讲的:为了完成工作,你需要有合适的工具。否则,这就是没用的演习,也得不到结果。最为安全经历,要确保你的团队或者你所雇用的第三方道德黑客拥有合适的工具。很多都不容易使用,而且不便宜,但是他们一定有必要。
7.要有时间计划
每一次都听说有人在一分钟内把一百万个信息包砸向系统,查看TCP/IP是否稳定。这种测试可能可以,但是就像老人家告诉我们的,做事情要有合适的时间的地点。确保道德黑客测试不是在网络或者主机的使用高峰期进行的。你也不想要网络运行速度变慢或者引起系统崩溃。如果在测试正在进行时,系统不稳定或者存在其他请求的超载,也有很多安全工具可以完成。安排时间表,并写下来。
8.不要认为没有渗透就安全了
一个常见的误解是如果没有可能的渗透,那么系统就一定是安全的。不是的!可能是没有使用合适的工具或者没有测试合适的系统。还可能是在测试系统的时候,漏洞还没有被发现。道德黑客是一些特定系统的快照。应有有欺诈路由器(或者用户)在没有注意到的或者不是初始范围内的其他位置渗透一个安全问题。你永远看不到。
9.维持这项优秀的工作
第八条的原因使第九条更重要。我知道你听到过一次次的测试系统。这是真的,事情总是在变化。新的威胁和漏洞突然出现。确保你的系统进行了定期测试,检查新问题和过去错过的漏洞。确保你的系统。循环是关键。
10.关注重要和紧急漏洞
我曾见看到很多安全经理觉得有义务修复在道德黑客过程中所发现的每一个漏洞。这实际是不能的。给自己或自己的团队增加压力保障每一处的安全是不合理也不公平的。当区分每日工作的优先顺序的时候,可以根据管理专家推荐的时间:查找重要(如果被利用会产生很大的影响)和紧急的(被利用的可能性很高)漏洞。其他的漏洞可以根据时间、资源和资金的允许以后解决。
如果你可以把我在这几年了总结的10条经验中的一部分应用到你的道德黑客工作中,作为一名安全经理,你的工作就会简单一些,毕竟,积少成多阿。
http://world.people.com.cn/GB/1029/42355/9153844.html
http://bbs.51cto.com/thread-545386-1.html