在波可诺山区的度假酒店客房中,五名专门研究信息安全的电脑工程师聚在几台平板电脑前,仔细聆听分配给他们的任务。
在波可诺山区的度假酒店客房中,五名专门研究信息安全的电脑工程师聚在几台平板电脑前,仔细聆听分配给他们的任务。他们的任务是,攻入Juggy Bank的信用卡帐户、窃取帐户信息。Juggy Bank这个金融机构并不存在,它其实就是房间后面的一台服务器。安德鲁•惠特克(Andrew Whitaker)已经为这些电脑工程师讲了三天黑客技术。他开玩笑说,“攻入服务器有加分。”
几年前,一些青少年和电脑爱好者通过在网上传播电脑病毒和蠕虫病毒来炫耀自己电脑技术。虽然有些病毒造成了巨大的经济损失,比如“我爱你”病毒,它一天能向大约4,500万邮件帐户散播病毒,但大多数病毒稍纵即逝,不会引发严重后果。
如今负责数据安全的公司首席信息长们对恶意黑客更为关注,因为这些黑客的目的是赚钱而不是为了好玩,有些恶意黑客还和犯罪集团有所往来。他们试图盗取客户的个人财务信息,以此支付信用卡帐单、获得贷款以及盗用身份。
“黑客训练营”因此诞生了,它向网络安全专业人员传授黑客的技术,以更好地阻止黑客的攻击。全球各地约有3万名技术专家接受了训练,该项目属于国际电子商务顾问局(International Council of Electronic Commerce Consultants)在2001年底设立的“正义黑客认证”项目的一部分。
黑客训练营不仅仅拘泥于理论学习。InfoSec Academy在波可诺山区和其他地区开展此种培训,学会总裁范•卢文德(Richard Van Luvender)表示,传授黑客专业技术是为了让学生从坏人的角度思考问题──用他自己的话说就是学会“卑劣地”思考和行动。曾是美国海军陆战队员的卢文德说,这种方法是从《孙子兵法》中学来的:“知己知彼,百战不殆。”
卢文德说,“如今做黑客简直轻而易举。”他发现入侵工具随处可见。
并非所有人都有资格参加为期五天的高强度训练。认证黑客项目要求申请者必须拥有至少两年的信息安全相关工作经验。学生还必须签署一项协议,保证今后不滥用所学知识。卢文德只接收由公司资助的学生,因为他担心学生一旦离开训练营可能会随意使用所学知识。课程的学费约为3,500美元。
在Juggy Bank的相关练习中──Juggy Bank代表的是一家真实存在的东亚银行,该银行的网上银行系统三年前被成功攻击──InfoSec的惠特克在房间里走来走去,观察学生们的进展情况,如果他们的方向有误就给予一些指导。他在去年秋天的一次课上说,“记住,攻击方法有很多种,试著跳出来想一想。”
攻击Juggy Bank的“黑客”发现他们可以利用一种名为“资料隐码”(sequel injection)的技术来获取客户的帐户信息。黑客可以利用资料隐码通过浏览器向服务器远程发出恶意指令、并攻入服务器。
训练营学生、32岁的特洛伊•利利(Troy Lilly)在西弗吉尼亚州查尔斯顿的City Holding Company Inc.负责信息安全。他知道每天有成百上千个自动程序指令试图闯入这家地区银行的网络。现在轮到自己作黑客,攻入Juggy系统,他明白第一件事就是找到网络的弱点。
在几分钟以内,他找到了四个网络入口,它们都没有得到防火墙的保护。利用资料隐码技术以及从互联网下载的工具,利利编写了一个命令,让Juggy网站登出了一条未经许可的信息。
不过事实证明,任务的第二部分──下载信用卡帐户信息要困难得多。利利花了近三个小时尝试了各种黑客攻击技术但均未成功。他说,“我从未攻击过电脑,对此并不熟悉。”
利利的同学戴维•穆雷德(David Moured)来自马里兰州哥伦比亚的信息安全公司G2 Inc.,他是个安全工程师,并拥有当黑客的亲身经历。27岁的穆雷德为私人和上市公司从事安全测试,因此他是名合法的黑客。
不过穆雷德仍然花费了两个半小时才攻入Juggy的数据库并下载了持卡人姓名、帐户号码以及到期日等信息。他利用资料隐码技术找到了服务器的入口,还在服务器和自己的电脑间创建了通道,然后通过该通道发出了电脑程序指令。服务器根据指令向他传送了所有的信用卡信息。
不久以后,惠特克和卢文德发现有两名学生试图闯入他们的电脑来找到破解的答案。
这并不在老师们的学习计划之列。不过他们仍很高兴。惠特克评价学生们说,“他们学会了卑劣地思考。”
网友评论