如何阻止黑客

想象一下这样一个世界，保安首先学会了当强盗。保安们参加一门课程，他们戴上黑色面具，砸碎玻璃柜抢劫珠宝，或者抢劫银行然后逃之夭夭。

一旦他们证明自己能够应对挑战，并签署合同，承诺永远不会用自己的技能做坏事，保安们就可以毕业了。如果他们愿意，他们可以申请道德银行抢劫证书，或者直接从事保安工作。

如今，许多年轻黑客（友善型）基本上就是接受这样的训练。在进入政府或大企业工作以防止黑客入侵之前，学生们的第一步是学习这个行业的阴暗面：利用漏洞、从服务器窃取信息、破解密码——不仅要学习这些技巧，还要在专门为这种体验而设置的教室里实际操作。

由此产生的课程——多年来，全国各地的大学纷纷开设——是最接近官方认可的黑客训练场。随着国防部和私营企业希望保护其机密，这项工作变得越来越重要。

* * *

确定第一堂黑客课程的开课时间，甚至统计开课数量都很难。首先，这些课程的名称各不相同：有“道德黑客”、“渗透测试”、“安全主题”等课程。

造成这种分裂的原因之一可能是，开始教授这些课程并不总是那么容易。旧金山城市学院的道德黑客教授 Sam Bowne 最初对在自由区教授学生什么是犯罪行为感到担忧。最后，他告诉校方，如果有学生误入黑暗面，学校可以“解雇我，这门课就结束了。”

至少据我们所知，鲍恩第一堂课和之后的课程中的学生都没有用超能力做坏事。“他们中的一些人可能足够聪明，可以成为犯罪大师，足够聪明，可以愚弄我，但我对此有点怀疑。”他补充道：“我的学生真的没有我想象的那么危险。”

虽然很难找到道德黑客课程的学生卷入黑客丑闻的案例，但其他类似的课程却引发了愤怒。索诺马州立大学教授乔治·莱丁因教授学生如何制作恶意软件（一种依附在计算机上并秘密窃取信息的病毒）而陷入争议。一些反病毒公司威胁要将莱丁的任何学生列入黑名单，禁止其受聘。从某些方面来看，道德黑客课程所教授的内容与莱丁的课程相当，尽管在学术界比制作恶意软件更受欢迎。

大多数道德黑客课程都采用类似的方法：教授设置一个安全服务器，只允许学生从指定实验室的计算机访问它。这些计算机相互连接，但不连接到整个互联网。这使它们成为数字版的解剖青蛙——现实世界的学习工具，放置在不太真实的环境中。教授可以使用常见的漏洞对服务器进行编程，学生在学习技巧的同时，可以使用他们在课堂上学到的技能进行入侵。这些技能的名称很深奥——SQL 注入、缓冲区溢出漏洞、会话劫持——但可以广泛理解为人们试图闯入他们通常不希望进入的地方。

例如，在科罗拉多大学波尔德分校约翰·布莱克的课堂上，布莱克将课堂设计成游戏形式：学生通过一系列“关卡”，在突破防御达到目标后，即可进入下一关。与此同时，学生在学习过程中可以看到其他学生处于哪个级别。

学生们学习突破系统防御所需的技巧，但不知道何时使用哪些技巧。换句话说，他们得到的是钥匙，而不是锁。“我们不会告诉他们具体怎么做——他们必须自己去弄清楚，”布莱克说。例如，学生可以使用程序广泛搜索计算机中的漏洞。一旦他们找到弱点，他们就会使用相关工具进行挖掘。

学生们拿到的是钥匙，而不是锁。乔瓦尼·维尼亚将这种快速思考的理念又推进了一步，他在加州大学圣巴巴拉分校开设的高级安全主题课程启发了布莱克的课程。那里的学习过程类似，但课程也是最终测试的试验场：iCTF，即国际夺旗赛，这是一项全球黑客面对面实时黑客对决的比赛。每支队伍（今年的比赛有 80 支队伍，每支队伍约 12 支）都在自己的电脑上隐藏一些代码，而其他所有队伍都试图偷走其他队伍的代码，同时保护自己的代码。要做到这一点，他们需要了解进攻和防御黑客策略的来龙去脉。在花了数周时间学习“思考别人没有想到的东西”（维尼亚描述道）之后，他们开始与真正的黑客竞争。

“通常它们会被消灭，但有时它们会活得好好的，”维尼亚说道。

当然，自己学习这类东西很容易。hackthissite.org 等网站也允许用户学习黑客攻击过程。这并不难。“你可以是一个 14 岁的孩子，聪明地入侵这些大公司，”Bowne 说。他说，重要的是了解这些黑客的技能，然后将他们拒之门外。但要做到这一点，你必须了解他们的想法。

* * *

以优异成绩从这些课程毕业是一回事，但毕业后找到工作又是另一回事。学生可以参加不相关的课程并获得证书，例如认证道德黑客。一些雇主（如国防部）需要一个或多个此类证书，但其价值值得商榷。“它们是很好的清单，但我认为优秀的安全专家是在该领域工作过并有经验的人，”维格纳说。

黑客培训班的作用是使整个过程更加正规。培训班上通常有标准化测试，至少雇主可以保证他们的潜在雇员是诚实的。

那么刚从学校毕业的学生呢？他们可以在面试时告诉招聘人员，他们上过课，学到了 X、Y 和 Z。但参加一些课外活动也无妨。

斯凯拉·索科尔是布莱克班上的一名学生。他想在这个行业谋求一份职业，于是在大学里成立了一个黑客俱乐部。作为全国大学生网络防御竞赛的一部分，该团队参加了一场 10 支队伍参加的现场比赛。他们获得了第二名。然后，发生了另一件事。“我被聘用的公司的一名员工最终走进我们的房间，给了我一张名片，”他说。

这听起来可能更像棒球球探而不是企业招聘，但这并非没有先例：美国国家安全局甚至曾在黑客会议上搜寻人才。

“我把他们看作下一代的锁匠，”维格纳说。你知道，他们就是那种先上过开锁学校的锁匠。