黑客一词常常用来描述那些窃取计算机信息的人,不过这种认识只是体现了事物的黑暗一面。
就像西部牛仔英雄一样,黑客实际上也有白帽和黑帽之分,白帽黑客是合法的黑客,其现实生活中的身份就是安全专业人士,他们的工作是寻找、测试和修补危机计算机的漏洞,让狂野的互联网更加安全。
看过电影《通天神偷》的朋友都知道,其中有一个黑客团队专门被企业雇佣,来帮助分析其防护最薄弱的地方。
虽然这个电影已经有些过时,不过安全专家们认为,它依然是很好的向人们介绍了白帽黑客们的任务,其中包括检测网络和计算机系统,发现由人为元素和技术缺陷所带来的缺陷。
在军事演习中,一般分为对立的双方,由一方扮演“敌人”来攻击另一方,从而检测其防御工事是否存在什么漏洞。
这就是网络入侵测试的幕后思想,安全专家为了发现漏洞,以攻击者的身份来想办法入侵网络系统,在发现漏洞后,再想办法对其修补或防护。
入侵测试团队包含具有不同技能的人才,例如社会工程学专家、网络专家、硬件和软件工程师。他们发现的漏洞可能各不相同,但都具有一个共同点:都会危及数据和计算机系统的安全。
合法黑客的养成
不是所有人都可以成为安全分析师;首先,普通人不具备那种对技术的近似于偏执的好奇。业界最著名的安全分析师之一BruceSchneier曾表示,当他还是个孩子时,就发现某些公司的工作流程存在非常大的安全缺陷。
优秀安全分析师的思维不同于我们大多数人,他们往往在考虑如何打破或改变一些事情。他们走进一个商店时,首先想到的或许是有多种方法可以欺骗或抢劫它。这种思维如果用在好的方面,就可以帮助我们做好对自身的防护。
机会无处不在。很多机场为了方便旅客都提供了充电用的USB接口,而一个安全分析师想到的是,通过它能否盗窃别人的数据。
入侵测试就是充分利用了这种思维习惯。为企业效力的白帽黑客就是尝试用黑帽黑客的技巧和工具来尝试入侵,从而发现那些可以入侵企业网络的方式。
如果你现在正运行着一个大型网络,其中的数据需要进行安全防护,你往往会聘请一个比较大的安全顾问公司来对网络进行测评,来判断其是否安全。而这些安全顾问公司往往就是通过多个重大的入侵测试来为你提供结果。
这些测试不仅仅针对网络中的计算机。网络安全的三要素为人、策略和技术。或许你可能考虑加密你的网络通信,或使用双因子认证来保证传输安全,但你的入侵测试者或许可以通过某些安全意识较差的内部人员那里作为突破口,入侵你的网络。
入侵测试
安全团队进行入侵测试的许多工具和技术以前都曾被黑客使用过。即便如此,黑帽黑客依然在使用更多的技术、社会工程学方法来入侵系统和网络,利用软件和硬件中的零日漏洞和鲜为人知的漏洞。
入侵测试可以揭示网络中存在的许多问题,但不是全部问题。一个经过入侵测试考验的网络安全性相对来说要高一些,但并不能保证可以防御所有攻击。
Schneier曾经说过,好的安全分析师是天生的,而不是经过后天训练培养成的。尽管如此,我们还是可以通过一些后天训练来提高分析能力。通过诸如Cypher和SlaveHack之类的黑客模拟游戏,可以帮助你培养故障排查技巧,帮助你发现有哪些方法可以破坏你自己的网络和系统。
网络分析工具
企业并不一定必须专门雇佣专家来入侵其网络,也可以通过专门的软件来帮助其对自己的网络进行分析。
DanFarmer的网络分析安全管理员工具SATAN是众多工具之一,由Farmer和IBM安全精英WietseVenema在上世纪90年代编写,它将众多网络缺陷测试工具集成到一起。管理员可以将其加载到一个UNIX计算机中,让它来发现那些管理员忘记修补的漏洞。
SATAN所提供的分析结果是一个非常全面的报告,对每一个问题进行了详细的说明,并告诉你如何修复这些问题。其强大性是首屈一指的,而且还非常易用。
有的人把它看作一个黑客工具,而没有考虑到该工具的真正目的是帮助阻挡恶意分子入侵系统,它所做的不过是为忙碌的系统管理员提供方便,将所有的现有黑客工具集中到一起。
扫描你的网络
你也可以使用当前的网络分析工具,在防火墙内外对自己的网络进行测试。
像Nessus这样的工具易于使用,且可以免费获得。不管你的系统是Unix、Linux或Windows,你都可以找到类似的工具。
另外,还有一些商业化的安全扫描工具,尽管不像Nessus那样被广泛应用,例如GFI的LanGuard,也可以帮助发现安全漏洞。某些最新的网络分析工具甚至可以帮助你修补系统漏洞,替你下载系统更新并进行安装。
一旦你下载了一个网络扫描工具,并将其安装在计算机上,基本上就可以开始测试工作了。用笔记本在网络中的各个地方进行扫描是一个不错的建议。通过扫描,你可以获得关于系统漏洞和大量系统信息的详细报告。
或许并非所有的问题我们都能解决,但是我们可以通过修改网络设置,或在防火墙上设置,来缓解它们所带来的影响。
跟踪黑客大赛 了解最新安全漏洞
在一些大型黑客安全大会上,常常会举办一些入侵大赛,旨在发现一些系统和软件存在的漏洞,以更好的防护企业网络安全。
入侵大赛的形式非常简单,首先比赛组织者提供一些运行主流操作系统的计算机。参赛者被指定完成一些入侵任务,例如在受攻击计算机上安装一个软件等。
在比赛之初,攻击者不具有该计算机上的任何权限,他们不得不通过网络工具和默认应用及服务来攻击这些计算机。如果这些计算机坚持过第一轮还未被攻破,将会去除一些对参赛者的限制,然后继续进行比赛,如此循环直到有人入侵成功。
如果赞助商允许的话,攻击者一般会公布入侵过程,安全研究者则会对这些结果进行研究,而安全厂商通常也会跟踪关注这类入侵比赛,以验证和确认自己的产品是否存在安全漏洞,对针对自己产品的漏洞及时进行修复。
不过,这些比赛也存在一些问题。攻击者更倾向于尝试入侵他们所熟悉、最容易攻破的计算机。例如在2008年3月的PWN2OWN黑客大赛中,比赛组织者悬赏10000美元来让参赛者入侵三台计算机。获胜者入侵了一台新苹果MacBookAIR笔记本,而没有去尝试攻击安装Windows和Linux的计算机。攻击者利用的是一个简单的浏览器漏洞,为了让苹果公司有足够的时间来修复该漏洞,该安全组织并没有公布该漏洞的详细信息。
奖励安全研究人员
运行零日项目(ZeroDayInitiative)的安全顾问公司TippingPoint通过奖励安全研究人员的方式,来防止重大的安全缺陷流入黑帽黑客社区。
安全研究人员提交的安全漏洞越多,就会获得越多的积分奖励,积分越多意味着可以获得越多的现金奖励,以及更多参加黑客大赛、黑客大会的机会。
对安全研究人员发现自己产品漏洞进行奖励,并非只有TippingPoint一家机构。据传多数操作系统厂商都会对自己系统的未公开安全缺陷进行奖励。
厂商之所以愿意花钱来购买这些安全研究成果,目的是能够提前修复这些安全漏洞,以免零日恶意软件利用它们来入侵自己的产品系统。
为避免安全缺陷被恶意分子利用,它们需要被提前发现和修复。如果没有白帽黑客的存在,黑帽黑客将更加肆无忌惮地通过多种方式来入侵我们的计算机。