New
product-image

在伯克利,新一代的道德黑客学习了网络安全的做法和注意事项

Special Price 作者:班觚缡

“每当我教授安全课时,恰巧在新闻周期中发生了一些与之相关的事情,”加州大学伯克利分校计算机科学教授Doug Tygar最近告诉我,从教学角度讲,这有成为特别成功的一年迄今为止,2017年,美国非营利性组织的身份盗用资源中心已经记录了超过1100个数据泄露事件,这是自2005年以来的最高数字

该组织的受害者列表包括医疗保健提供者,快餐特许经营商,跨国银行,公立高中和私立学院,家庭经营的巧克力商,电子烟分销商和美国空军总共有至少一亿七千一百万条记录受到损害近百分之八十五的人可以追溯到信用报告机构Equifax发生的一次灾难性违约事件

据报道,9月初发生了黑客行为 - 就像Tygar和他的学生正在进入第三周新课程称为“Cyber​​war”根据Tygar的教师网页,该课程的目的是教伯克利初露锋芒的计算机科学家“以法医的方式检查真正的网络战攻击”,并着眼于预防它们偶尔,这可能意味着他们自己的越来越多的攻击在涉及网络犯罪时,美国的刑法典并不是特别宽松;在某些州,某些计算机犯罪被认为是C级重罪,与纵火和绑架等同起来

因此,对于他们学习的实际操作部分,Tygar的学生依靠HackerOne,这是一种市场和社交网络,致力于“道德黑客行为“公司,组织和政府机构利用该网站寻求帮助,以识别其产品中的漏洞 - 或者正如Tygar所说的那样,”应该承担让本科生试图破解他们的侮辱性行为“

他们做错了什么,许多这些客户提供了金钱奖励,称为bug奖励自2012年HackerOne发布以来,其数十万名测试人员总共获得了两千二百万美元的收入,这一数字表明该平台的荷兰语 - 创始人Jobert Abma和Michiel Prins希望在2020年前能够提高五倍对于Tygar的学生来说,还有一个额外的激励措施:他们通过HackerOne获得的每个bug都可以让他们获得点数最终成绩上个月底,大约五十名“Cyber​​Way”学生肩负着软垫背包,穿着各种形式的加盖UC标志的服装,聚集在校园内一栋19世纪的建筑物中,用于“黑夜”HackerOne赃物被洒在桌子上 - T恤衫,笔记本电脑摄像头套,品牌小玩意儿纺纱者Tygar穿着一件满身是汗的蓝绿色polo衫和Birkenstocks在房间里晃来晃去,招募志愿者成立一堆盒装比萨饼和分发汽水罐

一旦被强化,学生们开始寻找错误HackerOne派出了一批网络安全专业人员 - 绝大多数身穿运动衫的瘦小年轻人 - 提供咨询服务

其中一位,个人财务公司NerdWallet的工程师Tanner Emek最近获得了一万四千美元的奖金Def Con是拉斯维加斯举办的一年一度的黑客大会,旨在发现Salesforce中的一个缺陷,这是一个客户关系管理平台(“它绝对是固定的”,Emek assur编辑我)Tygar的学生们在获得了较为温和的奖项之后“有些公司被认为是黑客们的低贱成果,”一名初中的Vy-An Phan解释说:“对我而言,州网站和地方政府网站,就像已经落在地上的水果一样“虽然HackerOne的政府客户往往不提供现金奖励,但Phan决定专注于全国各地的各种国务卿秘书网站,这些网站提供了选举过程的核心工具 - 选举人登记,投票措施,候选人信息,选举日准则到目前为止,她发现八个错误分布在四个站点上一个是点击劫持漏洞,其中用户可能被不知不觉地操纵为点击不合需要的东西其他几个人则是跨站点脚本(XSS)漏洞,这是一种特别灵活和恶意的攻击类型,其中黑客将自己的代码注入到域或Web应用程序中“我可以欺骗某人进入注册机构参加错误的派对,或者根本没有注册,“潘说:”这一切都取决于我想做什么

“在整个房间里,来自中国武汉大学的两名交流学生正在测试美国

 国防部网站“我们只是在发现错误”,一位大三的安格斯朱高兴地说,他和他的同班同学Farlui Li发现该网站的一部分容易受到XSS攻击,使得恶意相对容易演员窃取来自其他访问者浏览器的数据并冒充他们Zhu和Li也在测试社交网络,如Facebook,Twitter和Quora,以检测同形异义性攻击的脆弱性,其中黑客使用来自不同书写系统的类似外观的角色来混淆他们的目标这项技术在电子邮件网络钓鱼诈骗中特别流行

例如,如果黑客想欺骗人们交出其信用卡信息,他可能会向他们发送一个假的Paypalcom版本的链接,将其中的拉丁字母替换为带西里尔字母的网址 - 斯拉夫语“р”的英文“p”,其实听起来像“r”;斯拉夫语“у”的英文“y”,听起来像“u”;等新手Christian Ng正在筛选一个风险投资支持的加密货币平台的源代码

他似乎并不感到“他们使用Flash,这个臭名昭着的不安全,”他说,“如果我可以将代码注入Flash对象,我可以创建一个XSS漏洞“攻击者理论上可以使用这种漏洞窃取交易或银行账户数据 - 而且Ng可以获得高达75美元的奖金,以便找到它几张桌子之外,Jobel Kyle Vecino ,一名大三学生正在与一名合作伙伴一起攻击儿童娱乐网站“我们的思路是,网站上主要面向儿童的部分可能没有很好的测试,”他说(在7月份之后,一些与互联网连接的智能玩偶和填充动物被发现存在安全漏洞,联邦调查局发布了一项关于“儿童身份欺诈的机会”的公共服务公告

)HackerOne联合创始人Abma曾现在,坐在教室后面,他告诉我,他们中的一些人有可能成为“非常成功”的黑客,但他也表达了一些怀疑:“持久性和创造性以及保持动力“他告诉我,他喜欢对魔方进行黑客攻击:”你不知道该怎么做,但你知道有一个解决方案

“对于Tygar,这些解决方案本身就是“Cyber​​Way”将向他的学生提供的经验和观点不那么重要“我们都读过这些报道的新闻,报道说俄罗斯黑客闯入基础设施,这有助于支持选举的完整性,”他说,“它把整个当你认为大学本科生也可以打破“