如何阻止黑客

如何阻止黑客

想象一下这样一个世界,保安首先学会了当强盗。保安们参加一门课程,他们戴上黑色面具,砸碎玻璃柜抢劫珠宝,或者抢劫银行然后逃之夭夭。

一旦他们证明自己能够应对挑战,并签署合同,承诺永远不会用自己的技能做坏事,保安们就可以毕业了。如果他们愿意,他们可以申请道德银行抢劫证书,或者直接从事保安工作。

如今,许多年轻黑客(友善型)基本上就是接受这样的训练。在进入政府或大企业工作以防止黑客入侵之前,学生们的第一步是学习这个行业的阴暗面:利用漏洞、从服务器窃取信息、破解密码——不仅要学习这些技巧,还要在专门为这种体验而设置的教室里实际操作

由此产生的课程——多年来,全国各地的大学纷纷开设——是最接近官方认可的黑客训练场。随着国防部和私营企业希望保护其机密,这项工作变得越来越重要。

* * *

确定第一堂黑客课程的开课时间,甚至统计开课数量都很难。首先,这些课程的名称各不相同:有“道德黑客”、“渗透测试”、“安全主题”等课程。

造成这种分裂的原因之一可能是,开始教授这些课程并不总是那么容易。旧金山城市学院的道德黑客教授 Sam Bowne 最初对在自由区教授学生什么是犯罪行为感到担忧。最后,他告诉校方,如果有学生误入黑暗面,学校可以“解雇我,这门课就结束了。”

至少据我们所知,鲍恩第一堂课和之后的课程中的学生都没有用超能力做坏事。“他们中的一些人可能足够聪明,可以成为犯罪大师,足够聪明,可以愚弄我,但我对此有点怀疑。”他补充道:“我的学生真的没有我想象的那么危险。”

虽然很难找到道德黑客课程的学生卷入黑客丑闻的案例,但其他类似的课程却引发了愤怒。索诺马州立大学教授乔治·莱丁因教授学生如何制作恶意软件(一种依附在计算机上并秘密窃取信息的病毒)而陷入争议。一些反病毒公司威胁要将莱丁的任何学生列入黑名单,禁止其受聘。从某些方面来看,道德黑客课程所教授的内容与莱丁的课程相当,尽管在学术界比制作恶意软件更受欢迎。

大多数道德黑客课程都采用类似的方法:教授设置一个安全服务器,只允许学生从指定实验室的计算机访问它。这些计算机相互连接,但不连接到整个互联网。这使它们成为数字版的解剖青蛙——现实世界的学习工具,放置在不太真实的环境中。教授可以使用常见的漏洞对服务器进行编程,学生在学习技巧的同时,可以使用他们在课堂上学到的技能进行入侵。这些技能的名称很深奥——SQL 注入、缓冲区溢出漏洞、会话劫持——但可以广泛理解为人们试图闯入他们通常不希望进入的地方。

例如,在科罗拉多大学波尔德分校约翰·布莱克的课堂上,布莱克将课堂设计成游戏形式:学生通过一系列“关卡”,在突破防御达到目标后,即可进入下一关。与此同时,学生在学习过程中可以看到其他学生处于哪个级别。

学生们学习突破系统防御所需的技巧,但不知道何时使用哪些技巧。换句话说,他们得到的是钥匙,而不是锁。“我们不会告诉他们具体怎么做——他们必须自己去弄清楚,”布莱克说。例如,学生可以使用程序广泛搜索计算机中的漏洞。一旦他们找到弱点,他们就会使用相关工具进行挖掘。

学生们拿到的是钥匙,而不是锁。乔瓦尼·维尼亚将这种快速思考的理念又推进了一步,他在加州大学圣巴巴拉分校开设的高级安全主题课程启发了布莱克的课程。那里的学习过程类似,但课程也是最终测试的试验场:iCTF,即国际夺旗赛,这是一项全球黑客面对面实时黑客对决的比赛。每支队伍(今年的比赛有 80 支队伍,每支队伍约 12 支)都在自己的电脑上隐藏一些代码,而其他所有队伍都试图偷走其他队伍的代码,同时保护自己的代码。要做到这一点,他们需要了解进攻和防御黑客策略的来龙去脉。在花了数周时间学习“思考别人没有想到的东西”(维尼亚描述道)之后,他们开始与真正的黑客竞争。

“通常它们会被消灭,但有时它们会活得好好的,”维尼亚说道。

当然,自己学习这类东西很容易。hackthissite.org 等网站也允许用户学习黑客攻击过程。这并不难。“你可以是一个 14 岁的孩子,聪明地入侵这些大公司,”Bowne 说。他说,重要的是了解这些黑客的技能,然后将他们拒之门外。但要做到这一点,你必须了解他们的想法。

* * *

以优异成绩从这些课程毕业是一回事,但毕业后找到工作又是另一回事。学生可以参加不相关的课程并获得证书,例如认证道德黑客。一些雇主(如国防部)需要一个或多个此类证书,但其价值值得商榷。“它们是很好的清单,但我认为优秀的安全专家是在该领域工作过并有经验的人,”维格纳说。

黑客培训班的作用是使整个过程更加正规。培训班上通常有标准化测试,至少雇主可以保证他们的潜在雇员是诚实的。

那么刚从学校毕业的学生呢?他们可以在面试时告诉招聘人员,他们上过课,学到了 X、Y 和 Z。但参加一些课外活动也无妨。

斯凯拉·索科尔是布莱克班上的一名学生。他想在这个行业谋求一份职业,于是在大学里成立了一个黑客俱乐部。作为全国大学生网络防御竞赛的一部分,该团队参加了一场 10 支队伍参加的现场比赛。他们获得了第二名。然后,发生了另一件事。“我被聘用的公司的一名员工最终走进我们的房间,给了我一张名片,”他说。

这听起来可能更像棒球球探而不是企业招聘,但这并非没有先例:美国国家安全局甚至曾在黑客会议上搜寻人才。

“我把他们看作下一代的锁匠,”维格纳说。你知道,他们就是那种先上过开锁学校的锁匠。

<<:  Moxie Marlinspike 让每个人都能享受加密

>>:  照片:罕见一瞥量子计算机的核心

推荐阅读

阿尔法罗密欧 4C Spider 是一款轻量级跑车,没有任何牺牲

豪华设施和安全升级使我们曾经轻巧、易于操控的跑车变得臃肿。例如,50 年前,第一辆保时捷 911 的...

《荆棘王》的魅力与评价:糟糕的故事与视觉的融合

“荆棘之王”:对未来的希望与绝望之间《荆棘王》是根据岩原雄二的同名漫画改编的动画电影,于2010年5...

海军陆战队司令希望每个小队都配备一架无人机

21 世纪的战争与 20 世纪或之前任何世纪的战争有何不同?到目前为止,区别不在于战争地点、参与的国...

为微软的新默认字体 Aptos 做好准备

它终于来了,但不要惊慌。你有足够的时间来让自己坚强起来。经过 15 年的忠诚服务,Microsoft...

丹麦公民科学家为何要寻找最古老的欧洲刺猬

丹麦的一项公民科学项目帮助研究人员找到了世界上最古老的(或至少是科学证实的最古老的)欧洲刺猬( Er...

电动汽车可以在国家无线电静默区行驶吗?

美国国家无线电静默区 (NRQZ) 是一个 13,000 平方英里的矩形区域,覆盖马里兰州西部狭长地...

电影《屁股侦探:苏胡雷岛的秘密》评论:该系列第二部作品的吸引力在哪里?

电影《屁股侦探:苏弗雷岛的秘密》评论和详情《屁股侦探:苏弗雷岛的秘密》是一部根据巨魔绘本系列改编的动...

《我的妹妹是我的妹妹》——全面回顾引人入胜的人物和故事的深度

“我爱的人是妹妹,但她不是我的妹妹”——兄弟姐妹之间的羁绊与轻小说世界■作品概要《虽然我爱的人是我的...

黑色星期五早期购买顶级打击式按摩器可节省高达 100 美元

肌肉是敏感的。如果运动过度和过于激烈,肌肉就会承受巨大压力,让你在接下来的几天里都感到酸痛。如果运动...

公寓隔音的简单解决方案

您刚刚搬进新公寓,真令人兴奋!但有一个小问题。您可以听到关门的声音。外面街道上的汽车比您想象的要响。...

建立联系:从外到内重建生物系统

2003 年,人类基因组计划的科学家宣布,他们历时 13 年的努力终于完成,他们确定了构成 DNA ...

蚂蚁如何为群体的共同利益而行动

蚂蚁社会的复杂性是自然界最迷人的现象之一:这些微小的生物是如何形成如此复杂的社交网络的?这些网络非常...

Wotakoi:宅男的爱情很难(10)特别版:彻底剖析终极宅男夫妇的爱情挣扎!

《Wotakoi:爱对宅男来说很难》特别版OVA详细评论与推荐《Wotakoi:宅男的爱情很难》改...

魔幻仙女波斯旋转木马:引人入胜的故事和对人物的深入分析

魔幻仙子波斯旋转木马概述《魔法妖精波斯:旋转木马》于1987年9月25日以OVA形式发售,本作品为动...

罗技将停止其 Harmony Link 服务,硬件也将随之消亡

Harmony Link 不再能将你的智能手机连接到你的设备,但它仍然可以,我不知道,拿着三明治?罗...