本文讲的是 道德黑客与黑客教程,尽管凯文·米特尼克和罗伯特·莫里斯(著名的“莫里斯蠕虫”作者)等全球著名黑客的故事看起来非常有趣,却他们却都以锒铛入狱为结局,或者至少也是偏离了正规职业的轨道。简而言之,虽然黑客技术精妙高超,对年经人有着很大的吸引力,但从事黑客活动的代价却过于高昂。
就业市场对道德黑客或说白帽黑客的需求正快速增长,渗透测试、漏洞挖掘、安全研究、安全管理等人员供不应求。许多书籍、教程、视频等可以教会人们黑客技术的资源开始流行并成为IT主流文化的一部分。信息安全在线教育网站更是让技术性和易入门的内容在互联网上唾手可得,全世界各地的人们都可以随时随地且成本低廉地学习安全技能。那些提供这些教程并因此对整个行业带来提升的人或企业,应该引以为豪。
很多科技公司都有漏洞提交平台,邀请白帽黑客测试他们的网站和应用,并对找到的漏洞给予金钱奖励。顶级漏洞挖掘者可以仅凭提交漏洞就可以过上优越的生活,还有一些企业则聘请渗透测试人员通过模拟恶意攻击来探测他们资产中的漏洞(漏洞众测)。无论哪种方式,漏洞都能被白帽黑客找出来,然后企业就能抢在恶意攻击者采取行动之前修补好这些漏洞。
但令人担心的是道德层面的东西。教授黑客或入侵技术的网站,尤其是以工具使用和代码分析为主要内容的网站非常有可能产生负面的影响。因为如果没有对黑客道德的正确思想认识,一些网上教程教导出来的某些学生可能自己就会变成恶意攻击者,攻击那些他们无权进行测试的网站。在很多地方,这种行为都是被定义为犯罪。不仅仅会让那些违法者接受罚款和进监狱,还有可能对其未来的信息安全职业产生严重影响。在电影里会经常看到狂卷千万巨款的飞天大盗刑满释放后,还可以利用技能为安全公司干活的故事看上去挺爽,但这绝不是常态。
尽管有改过自新的黑帽子仍能找到体面的信息安全工作,但很多大型安全公司是不会将有恶意入侵案底的求职者纳入考虑范围的。对黑客技术感兴趣的人一定要知道这一点,并清楚怎样以一种道德的方式发展他们的黑客技能。这种东西可不是仅仅点击随便搜来的一本“黑客入门”教程就能学会的。
总的说来,随手可得的黑客教程是很好的资源,可以使任何想学习的人都有机会推开新世界的大门,踏入精彩纷呈的信息安全世界。许多之前生活困难的白帽黑客在学会信息安全技术之后开上了新车还清了房贷,从而改变了他们的人生。
不过,虽然任何人都能发布黑客教程,但不是每个人都能考虑到学习者的最佳利益,从而可能导致将这些小白引上恶意黑客的危险道路。
强调黑客行为只能是出于道义目的,但并不是所有的黑客教程有具备这一重要特质。不过,专注于在受控环境中提供实践技巧的好资源还是有的。比如开放互联网应用安全项目(OWASP)的Webgoat平台,可以让你在不违反任何法律的情况下拿它当磨炼黑客技术的靶场。你必须在自己的资产或者你得到了明确允许的资产上操练你想进行的黑客测试。
让我们希望,这种把道德黑客行为谨记于心的教育资源再多一些吧!