目录:
当2011年的故事破裂时,研究人员将致命的H5N1病毒修改为更易于传播,并希望发表他们的发现,我们大多数人理所当然地感到震惊。 尽管对该病毒进行了修改,以帮助确定可能有助于减少该病毒的人类传播的研究手段,但批评者却不禁要问:如果有人使用此信息来生产和传播这种致命病毒,将会发生什么?
尽管可能不会危及生命,但在计算机安全领域也存在类似的动态。 安全研究人员,包括一些学术人员和一些业余爱好者,都在寻找安全系统,操作系统和应用程序中的缺陷。 当他们发现这样的缺陷时,通常会公开其发现,并经常附带有关如何利用该缺陷的信息。 在某些情况下,此信息实际上可以帮助恶意黑客计划和封送其攻击。
白帽子和黑帽子
黑客通常分为两个基本类别:黑帽和白帽。 黑帽黑客是“坏蛋”,试图识别安全漏洞,以便他们可以窃取信息或对网站发起攻击。 白帽黑客还搜索安全漏洞,但他们要么通知软件供应商,要么将其发现公之于众,以迫使供应商解决漏洞。 白帽黑客的范围很广,从进行安全性研究的大学院士到出于好奇心和将自己的技能与专业人士相提并论的动机的青少年业余爱好者。
当白帽黑客将安全漏洞公开时,通常会附带概念证明代码,以证明如何利用该漏洞。 由于黑帽黑客和白帽黑客经常访问相同的网站并阅读相同的文献,因此黑帽黑客通常可以在软件供应商关闭安全漏洞之前访问此信息。 研究表明,在发现安全漏洞后的24小时内,经常会利用黑客攻击。
需要破解密码的帮助吗?
信息的另一来源是白帽院士发表的计算机安全研究论文。 尽管学术期刊和研究论文可能不符合一般黑客的口味,但某些黑客(包括俄罗斯和中国的潜在危险黑客)可以消化和使用深奥的研究材料。
2003年,来自剑桥大学的两名研究人员发表了一篇论文,概述了一种猜测个人识别码(PIN)的方法,该方法将大大改善许多黑客使用的蛮力技术。 本文还包含有关用于生成加密PIN的硬件安全模块(HSM)的信息。
2006年,以色列研究人员发表了一篇论文,概述了需要内部人员协助的另一种攻击方法。 此后不久,爱丁堡大学的安全研究员格雷厄姆·斯蒂尔(Graham Steel)在同一年发表了PIN块攻击的分析报告,开始收到俄罗斯电子邮件,询问他是否可以提供有关破解PIN的信息。
2008年,一群黑客被指控窃取和解密PIN码块。 在法庭上提交的宣誓书中指出,被告黑客已经“从犯罪分子的技术协助中解密了加密的PIN码”。
这些“犯罪分子”可以利用现有的学术研究来帮助设计出窃取和解密加密PIN的方法吗? 在没有安全研究论文的帮助下,他们是否能够获得所需的信息? (有关更多黑客技巧的信息,请查看黑客可以获取您的Facebook密码的7种偷偷摸摸的方法。)
如何把苹果变成砖头
苹果笔记本电脑的电池具有嵌入式芯片,使其能够与其他组件和操作系统一起工作。 2011年,专门研究Apple产品的安全研究员Charlie Miller想知道,如果他可以使用电池芯片,将会给他造成多大破坏。
事实证明,获得访问权限相当简单,因为Miller能够找出使芯片进入完全访问模式的默认密码。 这使他能够停用电池(有时被称为“砖化”,可能是因为一块砖砌的电池对计算机的作用与一块砖一样有用)。 Miller从理论上讲,黑客还可以使用完全访问模式将恶意软件放置在电池芯片上。
如果没有Miller的工作,黑客最终会在Apple笔记本电脑中发现这种晦涩的弱点吗? 这似乎不太可能,但是总是有恶意黑客也偶然发现它的机会。
米勒在今年晚些时候发现了苹果公司用于iPad和iPhone的iOS操作系统中的一个漏洞,该漏洞可能使黑客能够运行恶意代码。 然后,他创建了一个无害的概念验证应用程序来演示该错误,并通过将其伪装为股票行情自动收录器应用程序而将其批准用于Apple Store。
苹果并没有逗乐,认为米勒违反了苹果开发者协议的条款。 苹果从其开发人员计划中剔除了米勒。
黑客是否提供有价值的服务?
尽管白帽黑客可能会提供有用的信息,但它们对软件供应商也无价之宝。 例如,查理·米勒(Charlie Miller)在终止其开发人员许可证之前就已经向苹果发出了数十个错误的警报。 即使发布有关安全漏洞的信息可能会使系统暂时受到攻击,但公开披露可能比让恶意黑客发现漏洞并利用供应商不知道的漏洞更可取。
安全专家甚至勉强承认黑帽黑客的重要性。 在DEFCON之类的黑帽会议上,安全研究人员,学者和执法人员与黑客和黑客在一起,收听有关黑客的演讲。 计算机科学学者从黑客的角度获得了宝贵的见识,并将其用于改进课程。 许多公司还雇用了(大概)经过改造的黑客作为安全顾问来测试他们的网络和系统。 (要了解有关黑客的更多信息,请查看5个值得感谢黑客的原因。)
安全研究人员与黑客之间的持续对决
安全研究是否经常无意间为黑客提供了有用的信息? 是。 但是,黑客进行的研究也为安全系统的学者和设计人员提供了有用的信息。 在互联网自由的推动下,黑客和安全研究人员的创新思维可能会继续陷入持续的决斗和日益加深的相互依存之中。