时至今日,一度为新新人类的“黑客”也算现代人认知中的熟练工种了,但他们能办到的事儿,却仍旧在刷新人们的认知底线,比如本周的全国网速大抽风,据安全专家分析,就有可能是黑客所为!
不过一般情况下,主流业界的黑客还算是良民,他们受雇于企业,在网络攻击大战中成为守方的驻防军师。自称45岁的职业黑客亚历山大·琼斯就爽快地向媒体透露了他接的一些有代表性的外勤工作详情,以示堂堂正正。
Alexander Jones
亚历山大·琼斯(可能是假名)
国籍:英国
年龄:45岁(可能是假年龄)
职业:黑客
故事
这份工有钱途:检测一次安全系统,最贵盛惠8万美元
每天早上,西装革履的亚历山大·琼斯像无数普通白领一样,轻松地穿过CBD大楼的安检,走进办公室,坐下开电脑,登录内部系统,开始一天的工作。但是,琼斯并不是这个公司的员工。
如今网络攻击形势越来越严重,在一些发达国家,上至跨国公司,下至普通小公司,只要业务与信息安全息息相关,都会掏钱雇像琼斯这样的专业黑客来检查公司的安全系统,一系列测试,价格可能高达8万美元(约合48万元人民币)。琼斯所属的公司,名叫特洛伊木马安全公司,总部位于华盛顿,与白宫在同一条街上。
为了完成任务,通常琼斯会执行一系列任务,其中就包括设法进入公司所在大厦和“黑”进内部系统。每次出任务时,琼斯都会带一纸证明,或者叫“免死金牌”,一旦被员工认出或者报警,他可以拿出来证明自己的身份。但是到目前为止,他从来没用过这个“免死金牌”—这也意味着,这位业界模范,还从来没失过手呢。
这份工够刺激:扮成高管“微服私访”,趁机“窃取”机密资料
以下为琼斯自述的“咱出外勤的黑客都在干什么”—
今天我的任务是混进某家大公司的主体大楼,能窃取多少资料就拿多少。此前的“踩点”看上去安全指数挺高:整栋大楼只有一个出入口;外墙全都是反射性强的玻璃,看不到里面的情况。我也曾尝试在网上找到大厦内部示意图,无果。
一进大门,我就被接待人员客气地拦住:“先生,有什么能帮到您?”
我镇定地回答他:“我叫乔治·斯蒂芬斯,是总部下来的。你们经理丹·贾尔斯邀请我过来参观。”说完,我递了一张早已准备好的假名片给他。在这张名片上,我的头衔是总部主管IT部门的副总裁—我之前就查过这家公司的员工名单,知道哪些名字可以“借用”。
一听说总部的副总裁在楼下,总经理火速下来迎我。他很激动,执意亲自陪我参观。
就这样,我们参观了所有设备,查看了整个制作工艺流程。我甚至还拍了照片,录了视频。大厦内随处可见禁止拍摄的标志,但没人阻止我。
插个U盘植入木马,这个跟拍电影一样有木有
得知我“主管”IT部时,总经理兴高采烈地说:“噢,那您一定想看看我们的服务器机房,见见我们的IT员工们。”随后就不由分说地把我领去机房。
在他们简短介绍机房情况之后,我便随意在开放的服务器机柜之间穿梭慢行。趁无人注意,我偷偷掏出一个U盘,插在一个服务器上。一连上,这个U盘就自动在系统里安装一个无法察觉的木马程序(“bot”),这个程序可以离线连上我的服务器,让我能随便进入这家公司内部系统,翻阅公司机密资料。
安装完毕后,我拔下U盘,走回去与正在交谈的总经理和IT员工会合:“你们的工作做得很好,我已经参观完所有我想看的了,非常感谢!”
在门口,我跟总经理握了握手,再次表示感谢,然后就扬长而去。
秘诀
只要够镇定,哪儿都能去
办公室出现一两个陌生人理直气壮地使用着办公设施,似乎也不是那么可疑的事情嘛……
如果说假扮高管是“直捣黄龙”法,那么琼斯还有一招,叫“大隐隐于市”法,这招通常更安全,因为,对大多人而言,办公室出现一两个陌生人理直气壮地使用着办公设施,似乎也不是那么可疑的事情嘛—
相关阅读