读书频道 > 网站 > 网页设计 > 灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术(第3版)
1.4 关于黑客类图书和课程的争议
12-10-17    奋斗的小年轻
收藏    我要投稿   
《灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术(第3版)》在上一版的基础上做了全面更新,新增了9章内容。本书内容丰富,讲解透彻,浓墨重彩地描述最新漏洞、修复方法以及合法的公开途径,详...立即去当当网订购

当有关黑客技术的图书第一次问世时,就引起了巨大的争议,人们质疑这种做法是否正确。有些人认为,这类图书只会增加攻击者的技能,并导致产生更多的攻击者。而其他人则认为,攻击者实际上已经掌握了这些技术,而这些图书的目的只是为了帮助安全从者和网络上的普通用户更好地了解最新的安全知识。哪种看法是正确的呢?其实两种都对。

“hacking”这个词很惹人注意,它既能让人感到兴奋,又会让人产生鄙视的感觉,而且在看到这个词时,人们往往会联想到复杂的技术活动、精心完成的犯罪行为以及电子化的威胁本身。虽然一些计算机犯罪可能会呈现以上的一些特征,但实际上它们并没有这么宏大浪漫。计算机只是用来进行传统犯罪行为的一种新工具而已。

攻击者只是信息安全的一个组成部分。令人遗憾的是,当大多数人想到安全时,会立即想到数据包、防火墙和黑客。其实安全方面的内容远比这些技术手段来得庞大和复杂。实际的安全包括策略和实现过程、责任和法律、人的行为模式、公司的安全规划和实施,当然,还包括技术方面:如防火墙、入侵检测系统、代理、加密、反病毒软件、黑客、破解和攻击等。

理解不同黑客工具的用法和特定攻击的执行方式只是信息安全的一个方面而已,当然,和其他方面一样,这是非常重要的一个方面。例如,如果网络管理员实现了一个包过滤防火墙,并设置了必要的操作,可能就会认为公司现在安全了,万无一失了。他对访问控制列表的配置是,只允许“经过证明”的数据进入网络。这意味着外部数据源不能发送SYN 包来开始与内部系统的通信。如果管理员没有意识到有一些工具可以生成并发送ACK包,那么他就无法掌握整体安全局势。由于缺乏足够的知识和经验,他错误地认为公司是安全的,这种现象在现今的公司中很普遍。

再看另一个例子。一个网络工程师对防火墙做了配置,只检查每个数据包的第一段,而不检查其余部分。工程师知道这种取巧的配置可以提高网络性能。但是,如果他不知道有些工具可以创建带有危险负荷的数据包片段,那么就可能会允许某些恶意数据进入网络。一旦这样的片段进入目标系统并被重新组合,即可恢复原来的数据包并发起攻击。
 
另外,如果公司的雇员不了解社会工程攻击和它们可能导致的破坏,就可能会将有用的信息泄露给攻击者。然后,攻击者将可以使用这些信息生成更强大、更危险的攻击,从而使公司受到损害。知识和对知识的实践是真正实现安全的关键所在。

那么,黑客类图书和课程处在什么样的一个位置?它们就像站在一块香蕉皮上,随时可能滑倒。目前的黑客类图书和课程存在三方面的问题。首先,营销人员喜欢使用“黑客”这个词,而不是更有意义、更负责的词汇,如“渗透方法”。这就意味着,  “黑客这个词涵盖了过多的事物在内。现在“黑客”这个词被赋予了一些负面含义,导致人们将这些图书和课程也看成是不当的。其次是黑客和正义黑客在教育上的区别,以及正义黑客(渗透测试)教育在安全界的必要性。第三个问题与许多黑客类图书和课程非常不负责任的行为有关。如果它们确实是为了帮助好人,那么就不应该只介绍如何利用漏洞,而是应该展示抵御攻击的必要措施和如何实现这些措施,以便使攻击者无从下手。很多图书和课程都宣称自己是为培训白帽黑客和安全从业者而提供的资源。但是,如果你确实是为黑帽黑客编写图书或安排课程,不妨承认就是了。这样挣的钱会只多不少,而且还有助于人们区分黑客和正义黑客的概念。

点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站