为了提高互联网安全性,全球市场对于白帽黑客(ethical hacker,或称道德黑客)的需求可谓越来越大,甚至应运而生了道德黑客认证(Certificated Ethical Hacker,简称CEH),为相关人才提供必要的技能培训和认证。
随着组织面临的网络环境越来越严峻,受到的威胁越来越复杂,如今,道德黑客已经成为一种极为宝贵的稀缺资源。此外,由于数据和服务的使用和创建方式不同,新的攻击面也已经打开。
技能娴熟的黑客正在利用新攻击面中存在的漏洞,并不断创新自身攻击技能和工具,这种情况下,可以说没人能够确保可以打造出坚不可摧的网络安全防御体系。自然,在这种情况下,渗透测试也就发挥了比以往任何时候都更具价值的意义,它能让组织了解自己必须做些什么才能弥补自身存在的重大差距。
接下来将为大家介绍5位知名的道德黑客,他们中不乏有一些误入歧途后又改邪归正,并利用自身超凡绝技守护网络安全的人士。希望这份榜单可以激励那些技能超群的人士,在这个网络技能短缺的时代发挥自身所能,为网络安全贡献力量!
1. 凯文·米特尼克(Kevin Mitnick)
巡游五角大楼,登录克里姆林宫,进出全球所有计算机系统,摧垮全球金融秩序和重建新的世界格局,谁也阻挡不了我们的进攻,我们才是世界的主宰。
——Kevin Mitnick
不得不说,Kevin Mitnick已经成为迄今为止最有名的道德黑客之一,但是不可否认的事实是,他也曾有过“黑历史”。
从青年到三十几岁的这些年里,Mitnick曾疯狂地在一天时间里入侵多家主要科技公司的网络,包括Digital Equipment、Sun Microsystems以及Silicon Graphics等。随后,FBI对他展开了长达2年半时间的最高通缉。最终,Mitnick于1995年落网。
但是其实早在1988年,Mitnick就曾因从Digital Equipment公司网络上窃取了价值100万美元的软件并造成了400万美元损失而遭到当局逮捕,并被判处一年徒刑和3年监督释放。但是就在监督释放处罚将近完成之时,Mitnick再次入侵了太平洋贝尔语音邮件的计算机,并随意更改了这家公司的电脑用户,特别是知名人士的电话号码和通讯地址。一时间,这些用户被折腾得哭笑不得,太平洋公司也不得不连连道歉。
1995年再次落网后,Mitnick被判监禁46个月,加上1989年在监督释放期间再次处罚法规又被判处22个月监禁,总共被判刑68个月,外加3年监督释放。此次监禁也标志着Mitnick“黑帽黑客”的身份彻底结束。
在完成这68个月的监禁之后,2000年Mitnick转身成为了一名“白帽黑客”,现在的身份是一个电脑安全专家、顾问。他不仅会利用自身的技能帮助“财富500强”企业和联邦调查局参与案件调查,而且凭借多年累积的丰富经验、知识和思维,现在的他已经成为国际上备受关注的作家和公众演说家。
2002年,Mitnick推出了一本关于社会工程学的畅销书《欺骗的艺术》(The Art of Deception: Controlling the Human Element of Security),此书大获成功,成为Kevin Mitnick重新引起人们关注的第一炮。之后,他又推出了《反入侵的艺术——黑客入侵背后的真实故事》等书。此外,作为一名真正的道德黑客,Mitnick还为世界上一些大型组织进行了渗透测试工作。
2. 乔安娜·鲁特克丝卡(Joanna Rutkowska)
Joanna Rutkowska是一名波兰籍网络安全研究员,她是专注于安全性的桌面操作系统Qubes OS的创始人。
这位来自波兰的美女黑客痴迷于研究如何隐藏恶意代码,如Rootkit可以很好地隐藏在软件和硬件中,很少有人能够发现它。在2006年的黑帽安全大会上,她描述并证明了自己研发的rootkit工具“Blue Pill”能够攻破Windows Vista内核保护机制,正是这场大会使其一夜成名,她也成为第一个展示在显眼的地方隐藏危险代码的人。
第二年,在她披露了一些基于硬件的内存采集过程中的漏洞之后,她作为“白帽黑客”的名声开始大振。2009年,她又在博客上发表一篇论文,曝光了一个英特尔CPU的缓存漏洞,黑客可以利用该漏洞获得对电脑近乎至高无上的控制权,并且不受任何操作系统控制、关闭或禁用。
如今,通过参与业界一些最知名的国际会议(包括RSA会议、RISK、黑帽大会以及Gartner信息技术安全峰会等),Rutkowska也收获了更多的行业经验和影响力。
3. 查理·米勒(Charlie Miller)
查理·米勒(Charlie Miller)同样也是一名计算机安全研究员,在业界以揭露苹果产品漏洞而闻名。
2007年7月,也就是首款iPhone上市仅仅一个月后,当时还是Independent Security Evaluators首席分析师的黑客Charlie Miller就在当年的BlackHat上向全世界演示了攻破和劫持iPhone,证明了iPhone可以被远程攻击。
2008年,在温哥华举办的Pwn2Own大赛上,Miller仅用了两分钟时间就破解了刚刚发布的苹果MacBook Air电脑,并以此获得了Pwn2Own黑客大赛1万美元的奖金。当然,该成就本身也激励他成为目前世界上最令人敬畏的道德黑客之一。随后两年,Miller又在Pwn2Own大赛上两次攻破MacBook笔记本电脑,而且把攻破时间纪录缩短到了10秒钟,巩固了他作为世界领先的Mac黑客的声誉。
当然,面对如此超群的黑客技艺,Safari也无招架之力。在2009年全球黑客大赛上,Miller利用苹果Safari浏览器存在的一个漏洞,在不到两分钟时间内取得了相应笔记本系统控制权,并以此获得了5000美元的奖励。
2011年,Miller继续向世人证明着自己在追踪苹果设备安全漏洞方面的能力,他先后发现了iPhone和iPad设备中的多个安全漏洞。在其整个道德黑客生涯中,Miller已经向人们展示了各种攻击场景来证明漏洞的威胁性。
如今,Miller已经正式加入通用汽车旗下的Cruise Automation团队成为一名计算机安全研究员,Cruise Automation是一家研发无人驾驶汽车的美国公司,而无人驾驶汽车正是目前世界各地正在追逐的高科技潮流。
说起与汽车的渊源,不得不说这么一件事——2015年,Miller与克里斯·瓦拉塞克进行了一项测试,在一辆Jeep自由光行驶过程中,侵入Uconnect车载系统,远程通过软件向该系统发送指令,启动汽车上的各种功能,包括减速、关闭发动机、制动或制动失灵等,并在之后的BlackHat大会上向全球黑客贡献了这种精彩绝伦的汽车破解秀。
此举迫使Jeep母公司决定召回140万辆汽车,并对汽车的车载软件进行升级,以免黑客远程控制发动机、转向系统以及其他车载系统等。
4. 格雷格·霍格伦德(Greg Hoglund)
格雷格·霍格伦德(Greg Hoglund)是计算机取证专家,在帮助世界各地打击恶意威胁行为者方面发挥了巨大作用。Hoglund是我们道德黑客列表中的一位关键代表。
他最擅长的领域包括物理内存取证、黑客溯源以及恶意软件检测等。当他的创意天分被挖掘时,也正是他身为道德黑客的技能真正显露的时刻。
Hoglund还拥有专利的故障注入(fault injection)方法,该方法可用于软件检测,可谓是用于白帽目的的一个非常有价值的创作。和其他白帽黑客一样,Hoglund还与美国政府和情报机构存在合作关系,为追求正义贡献自身力量。此外,研究Rootkit和缓冲区溢出技术也成为其在该领域的重要成就之一。
自1998年开始,Hoglund就开始研究Rootkit和缓冲区溢出技术,之后他还创建了Rootkit网站,与人合著了《Rootkit:摧毁Windows内核》(Rootkits, Subverting the Windows Kernel)和《攻击软件》(Exploiting Software),他最令人难忘的功绩是曝光了网游《魔兽世界》(World of Warcraft)的漏洞,并在与安全专家Gary McGraw合著的《攻击在线游戏》(Exploiting Online Games)一书中详细介绍了发现这些漏洞的过程。
除了众多著作外,Hoglund还创办了很多公司,其中包括以技术安全为中心的HBGary公司,2008年,该公司加入了McAfee安全创新联盟,并参与了包括RSA会议(参与了演示)在内的一些国际会议。
5. 下村勉(Tsutomu Shimomura)
下村勉(Tsutomu Shimomura)其实与榜单中的另一个重要成员Kevin Mitnick有着很深的渊源,作为一名出色的网络安全专家和计算机物理学家,下村勉曾参与追捕这名美国头号电脑通缉犯——Kevin Mitnick,并在随后与《纽约时报》记者马可夫(John Markoff)合著的《纪实:追捕美国头号电脑通缉犯──由追捕者自述》(TAKE DOWN:THE PURSUIT AND CAPTURE OF AMERICAS MOST WANTED COMPUTER OUTLAW)一书中讲述了这一抓捕过程。
作为2008年诺贝尔化学奖得主下村?的儿子,下村勉的才赋可能一开始就已经被很多人所预见。他在物理方面的才能也使其有资格追随伟大的物理学家理查德·费曼(Richard P. Feynman)学习。
1989年,下村勉考入加州理工学院成为了一名计算机物理学研究科学家,这也为其进入国家机构工作铺平了道路。大学毕业之后,下村勉进入洛斯阿拉莫斯国家实验室工作,现在是圣迭戈加利福尼亚大学(UCSD)的超级计算中心的主席特别研究员。
他将Kevin Mitnick绳之以法的事情,也是其作为道德黑客最为人所乐道的成就。这一事件后来还被改编成了一部名为《Track Down》的故事片,片名主要是受到下村勉和《纽约时报》记者马可夫(John Markoff)合著的那本《TAKE DOWN》的启发。
相关阅读
