如何阻止黑客

如何阻止黑客

想象一下这样一个世界,保安首先学会了当强盗。保安们参加一门课程,他们戴上黑色面具,砸碎玻璃柜抢劫珠宝,或者抢劫银行然后逃之夭夭。

一旦他们证明自己能够应对挑战,并签署合同,承诺永远不会用自己的技能做坏事,保安们就可以毕业了。如果他们愿意,他们可以申请道德银行抢劫证书,或者直接从事保安工作。

如今,许多年轻黑客(友善型)基本上就是接受这样的训练。在进入政府或大企业工作以防止黑客入侵之前,学生们的第一步是学习这个行业的阴暗面:利用漏洞、从服务器窃取信息、破解密码——不仅要学习这些技巧,还要在专门为这种体验而设置的教室里实际操作

由此产生的课程——多年来,全国各地的大学纷纷开设——是最接近官方认可的黑客训练场。随着国防部和私营企业希望保护其机密,这项工作变得越来越重要。

* * *

确定第一堂黑客课程的开课时间,甚至统计开课数量都很难。首先,这些课程的名称各不相同:有“道德黑客”、“渗透测试”、“安全主题”等课程。

造成这种分裂的原因之一可能是,开始教授这些课程并不总是那么容易。旧金山城市学院的道德黑客教授 Sam Bowne 最初对在自由区教授学生什么是犯罪行为感到担忧。最后,他告诉校方,如果有学生误入黑暗面,学校可以“解雇我,这门课就结束了。”

至少据我们所知,鲍恩第一堂课和之后的课程中的学生都没有用超能力做坏事。“他们中的一些人可能足够聪明,可以成为犯罪大师,足够聪明,可以愚弄我,但我对此有点怀疑。”他补充道:“我的学生真的没有我想象的那么危险。”

虽然很难找到道德黑客课程的学生卷入黑客丑闻的案例,但其他类似的课程却引发了愤怒。索诺马州立大学教授乔治·莱丁因教授学生如何制作恶意软件(一种依附在计算机上并秘密窃取信息的病毒)而陷入争议。一些反病毒公司威胁要将莱丁的任何学生列入黑名单,禁止其受聘。从某些方面来看,道德黑客课程所教授的内容与莱丁的课程相当,尽管在学术界比制作恶意软件更受欢迎。

大多数道德黑客课程都采用类似的方法:教授设置一个安全服务器,只允许学生从指定实验室的计算机访问它。这些计算机相互连接,但不连接到整个互联网。这使它们成为数字版的解剖青蛙——现实世界的学习工具,放置在不太真实的环境中。教授可以使用常见的漏洞对服务器进行编程,学生在学习技巧的同时,可以使用他们在课堂上学到的技能进行入侵。这些技能的名称很深奥——SQL 注入、缓冲区溢出漏洞、会话劫持——但可以广泛理解为人们试图闯入他们通常不希望进入的地方。

例如,在科罗拉多大学波尔德分校约翰·布莱克的课堂上,布莱克将课堂设计成游戏形式:学生通过一系列“关卡”,在突破防御达到目标后,即可进入下一关。与此同时,学生在学习过程中可以看到其他学生处于哪个级别。

学生们学习突破系统防御所需的技巧,但不知道何时使用哪些技巧。换句话说,他们得到的是钥匙,而不是锁。“我们不会告诉他们具体怎么做——他们必须自己去弄清楚,”布莱克说。例如,学生可以使用程序广泛搜索计算机中的漏洞。一旦他们找到弱点,他们就会使用相关工具进行挖掘。

学生们拿到的是钥匙,而不是锁。乔瓦尼·维尼亚将这种快速思考的理念又推进了一步,他在加州大学圣巴巴拉分校开设的高级安全主题课程启发了布莱克的课程。那里的学习过程类似,但课程也是最终测试的试验场:iCTF,即国际夺旗赛,这是一项全球黑客面对面实时黑客对决的比赛。每支队伍(今年的比赛有 80 支队伍,每支队伍约 12 支)都在自己的电脑上隐藏一些代码,而其他所有队伍都试图偷走其他队伍的代码,同时保护自己的代码。要做到这一点,他们需要了解进攻和防御黑客策略的来龙去脉。在花了数周时间学习“思考别人没有想到的东西”(维尼亚描述道)之后,他们开始与真正的黑客竞争。

“通常它们会被消灭,但有时它们会活得好好的,”维尼亚说道。

当然,自己学习这类东西很容易。hackthissite.org 等网站也允许用户学习黑客攻击过程。这并不难。“你可以是一个 14 岁的孩子,聪明地入侵这些大公司,”Bowne 说。他说,重要的是了解这些黑客的技能,然后将他们拒之门外。但要做到这一点,你必须了解他们的想法。

* * *

以优异成绩从这些课程毕业是一回事,但毕业后找到工作又是另一回事。学生可以参加不相关的课程并获得证书,例如认证道德黑客。一些雇主(如国防部)需要一个或多个此类证书,但其价值值得商榷。“它们是很好的清单,但我认为优秀的安全专家是在该领域工作过并有经验的人,”维格纳说。

黑客培训班的作用是使整个过程更加正规。培训班上通常有标准化测试,至少雇主可以保证他们的潜在雇员是诚实的。

那么刚从学校毕业的学生呢?他们可以在面试时告诉招聘人员,他们上过课,学到了 X、Y 和 Z。但参加一些课外活动也无妨。

斯凯拉·索科尔是布莱克班上的一名学生。他想在这个行业谋求一份职业,于是在大学里成立了一个黑客俱乐部。作为全国大学生网络防御竞赛的一部分,该团队参加了一场 10 支队伍参加的现场比赛。他们获得了第二名。然后,发生了另一件事。“我被聘用的公司的一名员工最终走进我们的房间,给了我一张名片,”他说。

这听起来可能更像棒球球探而不是企业招聘,但这并非没有先例:美国国家安全局甚至曾在黑客会议上搜寻人才。

“我把他们看作下一代的锁匠,”维格纳说。你知道,他们就是那种先上过开锁学校的锁匠。

<<:  Moxie Marlinspike 让每个人都能享受加密

>>:  照片:罕见一瞥量子计算机的核心

推荐阅读

意大利桥梁垮塌致人死亡 让全球关注老化桥梁

自 20 世纪 60 年代以来,意大利热那亚的莫兰迪桥横跨铁路轨道、附近的建筑物和波尔切韦拉河,跨度...

甚至应用程序也在打折——以下是如何获得最低价格

有时候,那些免费的智能手机应用程序根本无法满足需求。不过,在为某个程序付费之前,你应该看看是否可以打...

任何人都可以成为诺贝尔奖提名人。以下是这位 16 岁的气候活动家值得获奖的原因。

与她这一代的许多人一样,格蕾塔·桑伯格最出名的是一段走红的视频。但这些网络恶作剧大多没有为她赢得诺贝...

关于使用 SSD 添加更多 PS5 存储空间你需要知道些什么

去年 11 月 PlayStation 5 发布时,索尼声称玩家将能够在游戏机中安装高速内部存储驱动...

铁甲万能侠INFINITY的魅力与评价:新作感想与推荐点

铁甲万能侠 INFINITY ~传说的复活与新的挑战~ ■ 公共媒体剧院■ 原创媒体漫画■ 发布日期...

送给驾驶爱好者的最佳礼物

如何让你最喜欢的汽车爱好者爱上你。Picjumbo司机是一类特殊的人,他们与开车的人完全不同。司机为...

这就是为什么新款 Boxee 电视不提供亚马逊即时视频服务

Boxee 是一家从黑客世界崛起的创业公司,它创造了市场上一些最优秀、最有趣的流媒体设备,现在正竭尽...

《梦神》的诉求与评价:大家之歌的新可能性

梦神:NHK短篇动画中描绘的梦幻世界2007年8月在NHK教育电视台(现NHK E-Tele)播出的...

台式计算机能成为虚拟助理的最佳归宿吗?

无论是美国企业号航空母舰的舰载计算机、蝙蝠计算机,还是 HAL,未来总是向我们承诺更聪明、更有帮助(...

我曾潜入数百个水下洞穴寻找新的生命形式

也许,当你想象一位大学教授做研究时,他会用到试管和烧杯,或者在昏暗的图书馆里仔细阅读发霉的手稿,或者...

Sonos 提醒大家,每个智能设备都有保质期

本周,联网音频公司 Sonos 宣布将终止对其几款早期产品的官方支持。这一系列扬声器、功放和低音炮诞...

斯科特·普鲁特刚刚辞去环境保护署署长的职务

据美国总统唐纳德·特朗普周四下午发布的推文显示,美国环境保护署 (EPA) 署长斯科特·普鲁特将于 ...

“真爱故事夏日,然而……” 夏日与真爱的故事,其评论和印象

“真实爱情故事:夏日与雅特”——夏日回忆和悲伤爱情的故事《真实爱情故事:夏日与小夜灯》是2003年发...

《小漫画山田君》——因其独特的幽默和深刻的主题而受到赞赏

《小漫画山田君》:80年代怀旧动画的魅力与全貌20世纪80年代是日本动画诞生众多杰作的时代,其中《小...

《花平火箭炮》的魅力与评价:不容错过的动漫体验

《Hanahira Bazooka》综合评价与推荐■ 公共媒体卵子■ 原创媒体漫画■ 发布日期199...