在伯克利,新一代道德黑客学习网络安全的做法和不做

所属分类 :技术

加州大学伯克利分校的计算机科学教授Doug Tygar最近告诉我,教学方面说,“每当我教授安全课时,都会发生新闻周期中发生的事情

”这是一个特别富有成效的一年到目前为止,2017年,美国非营利组织身份盗窃资源中心已经计算了超过1100个数据泄露事件,这是自2005年以来的最高数量

该组织的受害者名单包括医疗保健提供者,快餐特许经营权,跨国银行,公立高中和私立学院,家庭经营的巧克力制造商,电子烟经销商和美国空军总共有至少一亿七千万的记录受到损害近八成百分之五十五这些可以追溯到信贷报告机构Equifax发生的单一灾难性事件

据报道,9月初报道了黑客攻击 - 就像Tygar和他的学生们已经进入第三周一样

新课程名为“网络战”根据Tygar的教师网页,该课程的目的是教授伯克利的新兴计算机科学家“法医检查真正的网络战攻击”,着眼于防止他们偶尔,这可能意味着他们自己的攻击越来越多在涉及网络犯罪时,美国各地的刑法并不是特别宽松;在某些州,某些计算机犯罪被认为是C级重罪,与纵火和绑架相提并论

因此,对于他们研究的动手部分,Tygar的学生依靠HackerOne,一种专注于“社交网络”的社交网络

道德黑客攻击“公司,组织和政府机构利用该网站寻求帮助识别其产品中的漏洞 - 或者正如Tygar所说的那样,”让自己受到本科学生试图破解它们的侮辱“,以换取有关信息的信息

他们做错了什么,许多这些客户提供金钱奖励,被称为臭虫奖励自2012年以来,当HackerOne推出时,其十万左右的测试人员已经获得了总计二千二百万美元,这个平台的荷兰人的数字 - 创始人Jobert Abma和Michiel Prins希望到2020年能够增加五倍对于Tygar的学生来说,还有一个额外的动力:他们通过HackerOne捕获的每个bug也会让他们获得积分最后的成绩上个月末,大约五十名“网络战”学生肩负着厚厚的背包,穿着各种形式的加盖邮票的服装,聚集在校园内一座十九世纪的建筑物中进行“黑客之夜”.HackerOne赃物洒在办公桌上 - T恤衫,笔记本电脑相机套,品牌摇摇欲坠的旋转器Tygar在汗湿的蓝绿色polo衫和Birkenstocks的房间里穿梭,招募志愿者设置堆叠的盒装比萨饼并分发罐装苏打水一旦强化,学生们开始寻找虫子HackerOne已派出一批网络安全专业人员 - 最瘦的年轻人,大多数穿着运动衫 - 提供咨询其中一人,个人金融公司NerdWallet的工程师Tanner Emek最近获得了一万四千美元的赏金在拉斯维加斯举行的年度黑客大会Def Con,发现Salesforce的一个缺陷,一个客户关系管理平台(“它肯定是固定的”,Emek assur我认为Tygar的学生们获得了更为温和的奖项“有些公司被认为是黑客的低调成果,”大三学生Vy-An Phan解释说:“对我而言,国家网站和地方政府网站,就像,已经倒在地上的水果“尽管HackerOne的政府客户往往不提供现金奖励,但Phan决定专注于全国各地的各种国务卿网站,这些网站是选举过程的核心工具 - 选民登记,投票措施,候选人信息,选举日指南到目前为止,她已发现八个漏洞分布在四个站点中一个是点击劫持漏洞,其中用户可能无意中被操纵点击不良内容其他几个是跨站点脚本(XSS)漏洞,一种特别灵活和恶意的攻击类型,黑客将自己的代码注入域或Web应用程序“我可以诱骗某人注册为了错误的一方,或根本没有注册,“Phan说”这一切都取决于我想做什么“在整个房间里,来自中国武汉大学的两名交换生正在测试美国 美国国防部的网站“我们只是发现了漏洞”,一位大三学生安格斯朱高兴地说,他和他的同学Farlui Li发现该网站的一部分容易受到XSS攻击,因此恶意相对容易演员从其他访问者的浏览器中窃取数据并冒充他们朱和李也在测试Facebook,Twitter和Quora等社交网络,因为它们容易受到同形攻击,其中黑客使用来自不同书写系统的相似外观的人物来混淆他们的目标这种技术在电子邮件网络钓鱼诈骗中特别受欢迎例如,如果黑客想欺骗人们交出他们的信用卡信息,他可能会向他们发送一个伪造版Paypalcom的链接,取代其中的拉丁字母

带有西里尔字母的网址 - 斯拉夫语“р”的英文“p”,实际上听起来像“r”;斯拉夫语“у”的英语“y”,听起来像“你”;等一个新生Christian Ng正在筛选一个风险投资支持的加密货币平台的源代码

他似乎并不感兴趣“他们使用Flash,这是出了名的不安全,”他说,“如果我可以将代码注入Flash对象,我可以创建一个XSS漏洞“攻击者理论上可以利用这样的漏洞来窃取交易或银行账户数据 - 而Ng可以获得高达七千五百美元的奖金,因为它可以找到几张桌子,Jobel Kyle Vecino一名大三学生正在与一个合作伙伴一起打入一个儿童娱乐网站“我们的思路是,主要为孩子们​​准备的网站部分可能没有经过很好的测试,”他说(7月,之后)一些互联网连接的智能娃娃和毛绒动物被发现存在安全漏洞,FBI发布了一个关于“儿童身份欺诈机会”的公共服务声明警告“,HackerOne的联合创始人Abma整个晚上与学生配对现在,坐在教室后面,他告诉我,他们中的一些人有可能成为“非常成功”的黑客但他也表达了一些怀疑态度“坚持和创造力以及保持的动力“这是很难教给别人的东西,”他告诉我他把黑客比作魔方:“你不知道怎么做,必然,但你知道有一个解决方案”对于Tygar来说,解决方案本身就是“网络战”将为他的学生提供的经验和观点不那么重要“我们都已经通过这些报道阅读了新闻,俄罗斯黑客闯入了有助于支持选举完整性的基础设施,”他说“它放了一个其他的当你认为大学本科生也可以打破“

作者:那程