如何當好白帽子安全工程師
黑客一詞常常用來描述那些竊取計算機信息的人,不過這種認識只是體現了事物的黑暗一面。
就像西部牛仔英雄一樣,黑客實際上也有白帽和黑帽之分,白帽黑客是合法的黑客,其現實生活中的身份就是安全專業人士,他們的工作是尋找、測試和修補危機計算機的漏洞,讓狂野的互聯網更加安全。看過電影《通天神偷》的朋友都知道,其中有一個黑客團隊專門被企業雇傭,來幫助分析其防護最薄弱的地方。
雖然這個電影已經有些過時,不過安全專家們認為,它依然是很好的向人們介紹了白帽黑客們的任務,其中包括檢測網絡和計算機系統,發現由人為元素和技術缺陷所帶來的缺陷。
在軍事演習中,一般分為對立的雙方,由一方扮演“敵人”來攻擊另一方,從而檢測其防御工事是否存在什么漏洞。這就是網絡入侵測試的幕后思想,安全專家為了發現漏洞,以攻擊者的身份來想辦法入侵網絡系統,在發現漏洞后,再想辦法對其修補或防護。
入侵測試團隊包含具有不同技能的人才,例如社會工程學專家、網絡專家、硬件和軟件工程師。他們發現的漏洞可能各不相同,但都具有一個共同點:都會危及數據和計算機系統的安全。
合法黑客的養成
不是所有人都可以成為安全分析師;首先,普通人不具備那種對技術的近似于偏執的好奇。業界最著名的安全分析師之一BruceSchneier曾表示,當他還是個孩子時,就發現某些公司的工作流程存在非常大的安全缺陷。
優秀安全分析師的思維不同于我們大多數人,他們往往在考慮如何打破或改變一些事情。他們走進一個商店時,首先想到的或許是有多種方法可以欺騙或搶劫它。這種思維如果用在好的方面,就可以幫助我們做好對自身的防護。
機會無處不在。很多機場為了方便旅客都提供了充電用的USB接口,而一個安全分析師想到的是,通過它能否盜竊別人的數據。
入侵測試就是充分利用了這種思維習慣。為企業效力的白帽黑客就是嘗試用黑帽黑客的技巧和工具來嘗試入侵,從而發現那些可以入侵企業網絡的方式。
如果你現在正運行著一個大型網絡,其中的數據需要進行安全防護,你往往會聘請一個比較大的安全顧問公司來對網絡進行測評,來判斷其是否安全。而這些安全顧問公司往往就是通過多個重大的入侵測試來為你提供結果。
這些測試不僅僅針對網絡中的計算機。網絡安全的三要素為人、策略和技術。或許你可能考慮加密你的網絡通信,或使用雙因子認證來保證傳輸安全,但你的入侵測試者或許可以通過某些安全意識較差的內部人員那里作為突破口,入侵你的網絡。
入侵測試
安全團隊進行入侵測試的許多工具和技術以前都曾被黑客使用過。即便如此,黑帽黑客依然在使用更多的技術、社會工程學方法來入侵系統和網絡,利用軟件和硬件中的零日漏洞和鮮為人知的漏洞。
入侵測試可以揭示網絡中存在的許多問題,但不是全部問題。一個經過入侵測試考驗的網絡安全性相對來說要高一些,但并不能保證可以防御所有攻擊。
Schneier曾經說過,好的安全分析師是天生的,而不是經過后天訓練培養成的。盡管如此,我們還是可以通過一些后天訓練來提高分析能力。通過諸如Cypher和SlaveHack之類的黑客模擬游戲,可以幫助你培養故障排查技巧,幫助你發現有哪些方法可以破壞你自己的網絡和系統。
網絡分析工具
企業并不一定必須專門雇傭專家來入侵其網絡,也可以通過專門的軟件來幫助其對自己的網絡進行分析。
DanFarmer的網絡分析安全管理員工具SATAN是眾多工具之一,由Farmer和IBM安全精英WietseVenema在上世紀90年代編寫,它將眾多網絡缺陷測試工具集成到一起。管理員可以將其加載到一個UNIX計算機中,讓它來發現那些管理員忘記修補的漏洞。
SATAN所提供的分析結果是一個非常全面的報告,對每一個問題進行了詳細的說明,并告訴你如何修復這些問題。其強大性是首屈一指的,而且還非常易用。
有的人把它看作一個黑客工具,而沒有考慮到該工具的真正目的是幫助阻擋惡意分子入侵系統,它所做的不過是為忙碌的系統管理員提供方便,將所有的現有黑客工具集中到一起。
掃描你的網絡
你也可以使用當前的網絡分析工具,在防火墻內外對自己的網絡進行測試。
像Nessus這樣的工具易于使用,且可以免費獲得。不管你的系統是Unix、Linux或Windows,你都可以找到類似的工具。
另外,還有一些商業化的安全掃描工具,盡管不像Nessus那樣被廣泛應用,例如GFI的LanGuard,也可以幫助發現安全漏洞。某些最新的網絡分析工具甚至可以幫助你修補系統漏洞,替你下載系統更新并進行安裝。
一旦你下載了一個網絡掃描工具,并將其安裝在計算機上,基本上就可以開始測試工作了。用筆記本在網絡中的各個地方進行掃描是一個不錯的建議。通過掃描,你可以獲得關于系統漏洞和大量系統信息的詳細報告。
或許并非所有的問題我們都能解決,但是我們可以通過修改網絡設置,或在防火墻上設置,來緩解它們所帶來的影響。
#p#
跟蹤黑客大賽 了解最新安全漏洞
在一些大型黑客安全大會上,常常會舉辦一些入侵大賽,旨在發現一些系統和軟件存在的漏洞,以更好的防護企業網絡安全。
入侵大賽的形式非常簡單,首先比賽組織者提供一些運行主流操作系統的計算機。參賽者被指定完成一些入侵任務,例如在受攻擊計算機上安裝一個軟件等。
在比賽之初,攻擊者不具有該計算機上的任何權限,他們不得不通過網絡工具和默認應用及服務來攻擊這些計算機。如果這些計算機堅持過第一輪還未被攻破,將會去除一些對參賽者的限制,然后繼續進行比賽,如此循環直到有人入侵成功。
如果贊助商允許的話,攻擊者一般會公布入侵過程,安全研究者則會對這些結果進行研究,而安全廠商通常也會跟蹤關注這類入侵比賽,以驗證和確認自己的產品是否存在安全漏洞,對針對自己產品的漏洞及時進行修復。
不過,這些比賽也存在一些問題。攻擊者更傾向于嘗試入侵他們所熟悉、最容易攻破的計算機。例如在2008年3月的PWN2OWN黑客大賽中,比賽組織者懸賞10000美元來讓參賽者入侵三臺計算機。獲勝者入侵了一臺新蘋果MacBookAIR筆記本,而沒有去嘗試攻擊安裝Windows和Linux的計算機。攻擊者利用的是一個簡單的瀏覽器漏洞,為了讓蘋果公司有足夠的時間來修復該漏洞,該安全組織并沒有公布該漏洞的詳細信息。
獎勵安全研究人員
運行零日項目(ZeroDayInitiative)的安全顧問公司TippingPoint通過獎勵安全研究人員的方式,來防止重大的安全缺陷流入黑帽黑客社區。
安全研究人員提交的安全漏洞越多,就會獲得越多的積分獎勵,積分越多意味著可以獲得越多的現金獎勵,以及更多參加黑客大賽、黑客大會的機會。
對安全研究人員發現自己產品漏洞進行獎勵,并非只有TippingPoint一家機構。據傳多數操作系統廠商都會對自己系統的未公開安全缺陷進行獎勵。
廠商之所以愿意花錢來購買這些安全研究成果,目的是能夠提前修復這些安全漏洞,以免零日惡意軟件利用它們來入侵自己的產品系統。
為避免安全缺陷被惡意分子利用,它們需要被提前發現和修復。如果沒有白帽黑客的存在,黑帽黑客將更加肆無忌憚地通過多種方式來入侵我們的計算機。
【編輯推薦】
