為了提高互聯網安全性,全球市場對于白帽黑客(ethical hacker,或稱道德黑客)的需求可謂越來越大,甚至應運而生了道德黑客認證(Certificated Ethical Hacker,簡稱CEH),為相關人才提供必要的技能培訓和認證。
隨著組織面臨的網絡環境越來越嚴峻,受到的威脅越來越復雜,如今,道德黑客已經成為一種極為寶貴的稀缺資源。此外,由于數據和服務的使用和創建方式不同,新的攻擊面也已經打開。
技能嫻熟的黑客正在利用新攻擊面中存在的漏洞,并不斷創新自身攻擊技能和工具,這種情況下,可以說沒人能夠確保可以打造出堅不可摧的網絡安全防御體系。自然,在這種情況下,滲透測試也就發揮了比以往任何時候都更具價值的意義,它能讓組織了解自己必須做些什么才能彌補自身存在的重大差距。
接下來將為大家介紹5位知名的道德黑客,他們中不乏有一些誤入歧途后又改邪歸正,并利用自身超凡絕技守護網絡安全的人士。希望這份榜單可以激勵那些技能超群的人士,在這個網絡技能短缺的時代發揮自身所能,為網絡安全貢獻力量!
1. 凱文·米特尼克(Kevin Mitnick)
巡游五角大樓,登錄克里姆林宮,進出全球所有計算機系統,摧垮全球金融秩序和重建新的世界格局,誰也阻擋不了我們的進攻,我們才是世界的主宰。
——Kevin Mitnick
不得不說,Kevin Mitnick已經成為迄今為止最有名的道德黑客之一,但是不可否認的事實是,他也曾有過“黑歷史”。
從青年到三十幾歲的這些年里,Mitnick曾瘋狂地在一天時間里入侵多家主要科技公司的網絡,包括Digital Equipment、Sun Microsystems以及Silicon Graphics等。隨后,FBI對他展開了長達2年半時間的最高通緝。最終,Mitnick于1995年落網。
但是其實早在1988年,Mitnick就曾因從Digital Equipment公司網絡上竊取了價值100萬美元的軟件并造成了400萬美元損失而遭到當局逮捕,并被判處一年徒刑和3年監督釋放。但是就在監督釋放處罰將近完成之時,Mitnick再次入侵了太平洋貝爾語音郵件的計算機,并隨意更改了這家公司的電腦用戶,特別是知名人士的電話號碼和通訊地址。一時間,這些用戶被折騰得哭笑不得,太平洋公司也不得不連連道歉。
1995年再次落網后,Mitnick被判監禁46個月,加上1989年在監督釋放期間再次處罰法規又被判處22個月監禁,總共被判刑68個月,外加3年監督釋放。此次監禁也標志著Mitnick“黑帽黑客”的身份徹底結束。
在完成這68個月的監禁之后,2000年Mitnick轉身成為了一名“白帽黑客”,現在的身份是一個電腦安全專家、顧問。他不僅會利用自身的技能幫助“財富500強”企業和聯邦調查局參與案件調查,而且憑借多年累積的豐富經驗、知識和思維,現在的他已經成為國際上備受關注的作家和公眾演說家。
2002年,Mitnick推出了一本關于社會工程學的暢銷書《欺騙的藝術》(The Art of Deception: Controlling the Human Element of Security),此書大獲成功,成為Kevin Mitnick重新引起人們關注的第一炮。之后,他又推出了《反入侵的藝術——黑客入侵背后的真實故事》等書。此外,作為一名真正的道德黑客,Mitnick還為世界上一些大型組織進行了滲透測試工作。
2. 喬安娜·魯特克絲卡(Joanna Rutkowska)
Joanna Rutkowska是一名波蘭籍網絡安全研究員,她是專注于安全性的桌面操作系統Qubes OS的創始人。
這位來自波蘭的美女黑客癡迷于研究如何隱藏惡意代碼,如Rootkit可以很好地隱藏在軟件和硬件中,很少有人能夠發現它。在2006年的黑帽安全大會上,她描述并證明了自己研發的rootkit工具“Blue Pill”能夠攻破Windows Vista內核保護機制,正是這場大會使其一夜成名,她也成為第一個展示在顯眼的地方隱藏危險代碼的人。
第二年,在她披露了一些基于硬件的內存采集過程中的漏洞之后,她作為“白帽黑客”的名聲開始大振。2009年,她又在博客上發表一篇論文,曝光了一個英特爾CPU的緩存漏洞,黑客可以利用該漏洞獲得對電腦近乎至高無上的控制權,并且不受任何操作系統控制、關閉或禁用。
如今,通過參與業界一些最知名的國際會議(包括RSA會議、RISK、黑帽大會以及Gartner信息技術安全峰會等),Rutkowska也收獲了更多的行業經驗和影響力。
3. 查理·米勒(Charlie Miller)
查理·米勒(Charlie Miller)同樣也是一名計算機安全研究員,在業界以揭露蘋果產品漏洞而聞名。
2007年7月,也就是首款iPhone上市僅僅一個月后,當時還是Independent Security Evaluators首席分析師的黑客Charlie Miller就在當年的BlackHat上向全世界演示了攻破和劫持iPhone,證明了iPhone可以被遠程攻擊。
2008年,在溫哥華舉辦的Pwn2Own大賽上,Miller僅用了兩分鐘時間就破解了剛剛發布的蘋果MacBook Air電腦,并以此獲得了Pwn2Own黑客大賽1萬美元的獎金。當然,該成就本身也激勵他成為目前世界上最令人敬畏的道德黑客之一。隨后兩年,Miller又在Pwn2Own大賽上兩次攻破MacBook筆記本電腦,而且把攻破時間紀錄縮短到了10秒鐘,鞏固了他作為世界領先的Mac黑客的聲譽。
當然,面對如此超群的黑客技藝,Safari也無招架之力。在2009年全球黑客大賽上,Miller利用蘋果Safari瀏覽器存在的一個漏洞,在不到兩分鐘時間內取得了相應筆記本系統控制權,并以此獲得了5000美元的獎勵。
2011年,Miller繼續向世人證明著自己在追蹤蘋果設備安全漏洞方面的能力,他先后發現了iPhone和iPad設備中的多個安全漏洞。在其整個道德黑客生涯中,Miller已經向人們展示了各種攻擊場景來證明漏洞的威脅性。
如今,Miller已經正式加入通用汽車旗下的Cruise Automation團隊成為一名計算機安全研究員,Cruise Automation是一家研發無人駕駛汽車的美國公司,而無人駕駛汽車正是目前世界各地正在追逐的高科技潮流。
說起與汽車的淵源,不得不說這么一件事——2015年,Miller與克里斯·瓦拉塞克進行了一項測試,在一輛Jeep自由光行駛過程中,侵入Uconnect車載系統,遠程通過軟件向該系統發送指令,啟動汽車上的各種功能,包括減速、關閉發動機、制動或制動失靈等,并在之后的BlackHat大會上向全球黑客貢獻了這種精彩絕倫的汽車破解秀。
此舉迫使Jeep母公司決定召回140萬輛汽車,并對汽車的車載軟件進行升級,以免黑客遠程控制發動機、轉向系統以及其他車載系統等。
4. 格雷格·霍格倫德(Greg Hoglund)
格雷格·霍格倫德(Greg Hoglund)是計算機取證專家,在幫助世界各地打擊惡意威脅行為者方面發揮了巨大作用。Hoglund是我們道德黑客列表中的一位關鍵代表。
他最擅長的領域包括物理內存取證、黑客溯源以及惡意軟件檢測等。當他的創意天分被挖掘時,也正是他身為道德黑客的技能真正顯露的時刻。
Hoglund還擁有專利的故障注入(fault injection)方法,該方法可用于軟件檢測,可謂是用于白帽目的的一個非常有價值的創作。和其他白帽黑客一樣,Hoglund還與美國政府和情報機構存在合作關系,為追求正義貢獻自身力量。此外,研究Rootkit和緩沖區溢出技術也成為其在該領域的重要成就之一。
自1998年開始,Hoglund就開始研究Rootkit和緩沖區溢出技術,之后他還創建了Rootkit網站,與人合著了《Rootkit:摧毀Windows內核》(Rootkits, Subverting the Windows Kernel)和《攻擊軟件》(Exploiting Software),他最令人難忘的功績是曝光了網游《魔獸世界》(World of Warcraft)的漏洞,并在與安全專家Gary McGraw合著的《攻擊在線游戲》(Exploiting Online Games)一書中詳細介紹了發現這些漏洞的過程。
除了眾多著作外,Hoglund還創辦了很多公司,其中包括以技術安全為中心的HBGary公司,2008年,該公司加入了McAfee安全創新聯盟,并參與了包括RSA會議(參與了演示)在內的一些國際會議。
5. 下村勉(Tsutomu Shimomura)
下村勉(Tsutomu Shimomura)其實與榜單中的另一個重要成員Kevin Mitnick有著很深的淵源,作為一名出色的網絡安全專家和計算機物理學家,下村勉曾參與追捕這名美國頭號電腦通緝犯——Kevin Mitnick,并在隨后與《紐約時報》記者馬可夫(John Markoff)合著的《紀實:追捕美國頭號電腦通緝犯──由追捕者自述》(TAKE DOWN:THE PURSUIT AND CAPTURE OF AMERICAS MOST WANTED COMPUTER OUTLAW)一書中講述了這一抓捕過程。
作為2008年諾貝爾化學獎得主下村?的兒子,下村勉的才賦可能一開始就已經被很多人所預見。他在物理方面的才能也使其有資格追隨偉大的物理學家理查德·費曼(Richard P. Feynman)學習。
1989年,下村勉考入加州理工學院成為了一名計算機物理學研究科學家,這也為其進入國家機構工作鋪平了道路。大學畢業之后,下村勉進入洛斯阿拉莫斯國家實驗室工作,現在是圣迭戈加利福尼亞大學(UCSD)的超級計算中心的主席特別研究員。
他將Kevin Mitnick繩之以法的事情,也是其作為道德黑客最為人所樂道的成就。這一事件后來還被改編成了一部名為《Track Down》的故事片,片名主要是受到下村勉和《紐約時報》記者馬可夫(John Markoff)合著的那本《TAKE DOWN》的啟發。
京公網安備 11010502049343號