黑客的道德形式

Chris -大多数人都想把黑客挡在外面。所以花钱让他们攻击你的电脑系统听起来很疯狂。但这是一个不断发展的行业，现在在英国每年价值2亿英镑。其想法是使用这些合法的攻击来试图找到并堵塞系统中的安全漏洞。它被称为“道德黑客”，尽管不是每个人都喜欢这样称呼它，包括来自英国的斯图尔特·库尔森
Secarma一家专门从事这方面工作的公司……

斯图尔特:我个人不认为这是“道德黑客”，我认为这是“道德安全测试”。我认为这是一个更准确的标题。H这个词对不同的人有不同的含义。一般媒体会试图把“黑客”这个词说成是一些策划犯罪的人，他们想要得到你的信用卡信息并破坏你的网站。道德安全测试实际上更容易理解。我们被组织邀请来测试他们的系统，他们的基础设施，他们的网站，只是为了看看他们是否有漏洞，有人可以很容易地利用的漏洞，有人可以很容易地使用这个工具，他们下载了它，浏览了一个网站，可能会从网站上提取信用卡信息，用户名，密码，或任何敏感的东西。

克里斯:如果我给你我们网站的网址，nakedscientists.com，你可以扫描一下，看看你是否能穿透它，或者寻找漏洞，比如我们可能容易受到攻击的地方。

斯图尔特:没问题。这对我们来说是一件很简单的事。我们有工具在我们面前的机器上。我们使用了几种工具，所以我们将同时启动几种工具。如果你愿意，我们现在就放一个给你，可以吗?

克里斯-谢谢，我得到了一张免费的安全检查券。你从哪里找能做这件事的人呢?因为正如我的一个朋友曾经说过的那样，你对编写电脑病毒的人唯一能做的就是雇佣他们，把他们变成反病毒软件的作者。做你所做的事也是一样的吗?你必须找到擅于闯入系统的人，并雇用他们，因为他们都知道如何阻止人们进入系统。

Stuart:目前有一个非常大的争论，就是“雇佣黑客”。有相当多的人说不，很多人说可以。我请来了一位技艺精湛的大师。是否值得使用它们?绝对的。然而，你总是要考虑到“道德”这个词。我们在Secarma内部使用的家伙已经离开并完成了一个名为EC Council的公司的培训课程，他们持有CH证书，即“道德黑客证书”。所以，他们实际上已经把自己从我所说的“修补匠”变成了“修补匠”。我们派去上课的那些家伙都是“修理工”。其中一个，我现在一直在密切合作，他是我们的硬盘恢复专家。 So he's well used to being around this environment and obviously he's just turned his skillset into a new skillset of looking after and exploiting websites.

克里斯:如果我真的要聘请你，你会怎么做?您如何有效地评估操作，并找出漏洞在哪里?

斯图尔特:我们要做的第一件事是弄清楚你真正想要达到的目标是什么。例如，像nakedscientists.com这样的网站，你有一个非常简单的网站。那里有很多材料，用户也可以在里面，比如在你的论坛上，所以你可能会说，“好吧，我们想确保我们的论坛是安全的。”网站的其他部分，“好吧，别碰它。”所以我们会把这些活动安排好。我们会给你写一份书面范围，告诉你，“触摸这些地方，不要触摸那些地方。”这就是我们从它的细节开始的地方。我们还会告诉你，你希望我们使用什么攻击方法。你是想让我们让数据库过载，让它可能崩溃，还是想让我们稍微碰一下它。然后，我们进入识别阶段，这是我们现在控制的。 We'll do two things. We do a passive and we can do an active.

被动是指我们基本上不碰你的网站，所以我们去公共领域，看看电子邮件账户，有什么域名链接到这个，是否有nakedscientists.com，是否有什么链接到thenakedscientists.com这是你的地址域的一部分。这些都很简单，谷歌搜索几乎你的网站。我们也会做一个主动扫描，这是相对开始接触业务。所以我们实际上——我们的兄弟用的短语是“嘎嘎作响的门把手”。因此，我们实际上是在叩响您所处环境的大门。所以我们会在网络上测试各种各样的东西。一旦我们完成了这一阶段，我们就能知道是哪扇门松动了。

然后我们将进入一个扫描阶段，在这个阶段，我们实际上是在看你实际得到的基础设施是什么，什么是操作系统，这样你的听众就会知道Windows和Linux之类的东西。还有其他的操作系统，我们正在测试，看看我们是否可以实际工作，你是否有一个特定的风味的操作系统。它可能有一些漏洞，因为使用旧版本，这显然会给我们下一步，即获得访问权限。这是我们通过漏洞对你的服务器做一些事情，试图获得访问权限。非常非常简单的工具，其中很多都是免费软件，由我们称之为“黑帽”的黑客发布。这些是全世界的网络罪犯。我们使用了很多他们的工具，因为我们在模拟他们实际在做什么。

克里斯:但这难道不需要你走向黑暗的一面吗?难道你不需要与坏人接触并有效地了解他们，以便知道他们在做什么，这样你就可以保护好人吗?

斯图尔特-我们监视，如果你喜欢坏人，我们就监视他们。我们得知道他们在做什么。我们必须在比赛中领先一步。我们这个行业最难的部分就是知道他们下一步要去哪里。所以当你有一个像“匿名者”这样大的黑客组织时，会有几百万人在外面观看。我们没有必要用干净利落的工具来测试裸科学家的网站当他们进入肮脏和粗糙的地方，用任何方式使用它来进入你的服务器。金宝搏app最新下载

克里斯:你有没有遇到过任何可怕的情况，你走进去说:“我们现在必须停止这一切，因为我们发现你是如此脆弱。”你从泰坦尼克号上漏出来了?”

斯图尔特:我们最近做了一篇研究论文。我们使用谷歌搜索，一年前，我们在互联网上发现了数以百万计的信用卡详细信息，完整的信用卡详细信息，你可以清楚地看到它们。所以我们决定一年后再做一次调查，看看市场状况，这次我们在寻找个人信息，有多少组织泄露了潜在客户的个人信息，我们发现了一些绝对可怕的东西。我们给其中一家公司打了电话，我们在网上做了这个扫描，这只是一个简单的谷歌搜索，我们实际上是在看一个人的护照和他2011年的银行对账单的副本，它在一个网络服务器上，完全可以在网上获得。

克里斯-现在，你在快速检查我们的服务器时有什么发现?我们比泰坦尼克号还漏水吗?

斯图尔特:嗯，你会很高兴知道的，其实你一点也不坏。其中一个就是SNMP。SNMP的本质是，它是你在互联网上的身份声明。这实际上是在告诉我，我可以告诉你操作系统的版本，我可以告诉你你的网卡是什么，我甚至可以告诉你电脑或服务器的制造商。我可以告诉您当前在服务器上运行的每个进程。

我这里还有什么…你在那里的一个网页上有一个电子邮件地址，我也可以用它作为联系方式，打电话给你，说:“嗨，我的名字是……”，然后我就可以从那里回到你的业务上。关键在于，你现在如何使用它，因为很明显，我知道很多关于Naked Scientists服务器及其基础设施的信息。关键是，你现在如何处理这些信息。这就是它难倒你的地方，我想说的是，90%的人，他们只是在玩黑客游戏。更严肃的人会知道如何处理这些信息，这就是我们要做的，如果我们继续进行扫描，我们会把它作为一个潜在的目标，让别人获得访问权限。