Home | Projects | Articles | Apophthegm | About |
如何成為黑客 (入門篇)
甚麼是黑客?
黑客 (Hacker) 一般是指技術精湛的人,能令設備做出一些不在設計情況之下運作。
在資訊科技安全領域下,黑客是指一個具有精湛電腦技術的人,能使電腦或其程式於不在其設計的情況下運作。在我等來說,黑客有分黑帽子 (Black Hat),白帽子 (White Hat),灰帽子 (Grey Hat) 及腳本小子 (Script Kiddies)。
黑帽子是指所謂駭客 (Cracker),他們是作奸犯科之流,但技術精湛。
白帽子是指資訊科技安全專家或硏究員,他們測試系統漏洞,並公報結果給有關開發人員或機構。
灰帽子也是資訊科技安全專家或硏究員,他們也測試系統漏洞,但他們大多數不會向有關開發人員或機構公報其發現,他們會直接披露 (Full Disclosure)。他們多數走在法律邊緣,但並沒有惡意。
至於腳本小子,他們並不是資訊科技界中人。他們會利用黑客工具作樂或者作惡。
為何要成為黑客?
無論你是作業系統開發員、應用系統開發員、程式設計員、系統管理員或者是普通的用戶,都需要學習黑客的知識和技術。當你明白黑客的攻擊是如何進行的話,你就會知道如何去防禦了。正所謂「未知攻,焉知防」。
再者,當完成編寫程式後,可以自行進行滲透測試 (Penetration Testing),以確保製成品沒有明顯的高危漏洞。
黑客的基本要求
黑客必須具有一定的英語水平,因為大多數的技術文獻都是用英語撰寫的。黑客也必須具有基本的編程能力,如 C、PHP 或 Python 等語言。除此之外,黑客也必須略懂網絡知識和技術。最後亦都是最重要的,黑客更必須具有創意的頭腦,思路不會被既有的框架所束縛。
當然,黑客要對各個版本的微軟視窗有所認識,這亦包括伺服器版本。除此之外,黑客亦會對 Linux、Unix (BSD 和 macOS 等) 有所了解。
學習與實習平台
網絡上有很多的實習的平台,有的是在綫上進行,有的是在綫下進行。有的需要付費的,但大多數都是免費的。以下是一些比較知名的平台:
(一) Hack The Box (綫上,付費或免費,要求有一定的基本能力方可注册);
(二) VulnHub (綫下,免費)。
網上有很多黑客技術的演練,大多是文章或視頻。比較知名的視頻為 IppSec 的 YouTube 視頻。
國內和國外有很多高質素的滲透測試書籍,我們可以從中可以學習到很多資訊科技安全的知識。網絡上也不乏高質素的資源可供存取。
認證與否?
如果你要在這個行業打滾的話,我建議考取一些認證。但如果你只是業餘又或者是賞金獵人 (Bug Bounty Hunter) 的話,有否認證並沒有必然關係。當然,如果有認證的話,在聲譽上就比較完美了。
比較知名的賞金獵人平台:
(雖然如此,但我並不會參與懸賞計劃或活動,見註一、二、三、四)
至於認證方面,在中國香港可以考到的認證,而且在香港具有知名度的有:
(一) OSCP (在廿三小時四十五分內完成,是實戰型試題;在家裏應試,但會被監察);
(二) CEH (在四小時內完成,是選擇題試題);
(三) CEH (Practical) (在六小時內完成,是實戰型試題);
(四) CISSP (在三小時內完成,是選擇題試題)。
OSCP 和 CEH 是滲透測試的範疇,而 CISSP 是資訊科技安全管理的範疇。
結論
要成為黑客,我們需要多閱讀和多實踐,以確保認識和了解相關技術。但最重要的是不要觸犯法律,每個人都要對自己的行為負責。未經他人書面授權,不可以對他人作出滲透測試,否則將會噹啷入獄,前途盡毀。
Samiux
OSCE OSCP OSWP
寫於二零一九年一月九日,中國香港
註一 :We found 6 critical PayPal vulnerabilities – and PayPal punished us for it – CyberNews
註二 :Researcher Discloses Second Steam Zero-Day After Valve Bug Bounty Ban – Threat Post
註三 :Hacking For US Government? Not Worth It – c0d3x27
註四a :Rogue HackerOne employee steals bug reports to sell on the side – Bleeping Computer
註四b :HackerOne员工出售漏洞报告牟利 – FreeBuf
註四c :HackerOne Employee Caught Stealing Vulnerability Reports for Personal Gains – The Hacker News
Reference
Home | Projects | Articles | Apophthegm | About |