正派駭客 - 光明正大的“駭”

正派駭客 - 光明正大的“駭”

也許你從來沒有想過，在網絡上神出鬼沒的駭客，不但已變成了一份正當的職業，而且還領很高的薪水。最近，駭客技巧甚至也變成了一門登入大堂的學科，由大機構組織公開開班授徒，而技朮高超的駭客甚至被大公司，以高薪聘請成為網絡安全顧問。

正派駭客Ethical hacker
付錢請他來駭！

問：身為一名入侵測試工程師（Penetration Test Engineer），你的工作范圍是什麼？

答：這份工作要兼顧全部可能的系統Hacking或破解方法，無論系統是“確認安全”或“不安全”。這表示，我可以用任何方式，包括social engineering范圍內的人為因素，去偵查一家機構的所有可能構成威脅的層面。

問：你的月薪是多少？

答：我的收入是不固定的，因為我是一名自由的入侵測試工程師，同時也是EC－Council的教練，不過平均每月收入大概是1萬2000元。

問：你通常用哪些工具或軟件？

答：我的基本作業系統是Linux Red hat 9.0，而我最喜歡的就是cheops－ng掃描軟件。我還用很多的Linux工具做測試。

問：可以介紹一些適合作為參考的網絡安全網站嗎？

答：www.microsoft.com/security、www.packetstormsecurity.com、www.areyoufearless.com和www.securiteam.com。

問：可以提供一些防止駭客的軟件工具嗎？

答：其實很多傳統防駭客工具都在防毒軟件、防火牆或入侵探測系統內。你需要平均的使用各種軟件才會有效。我比較喜歡免費的防毒軟件如AVG（網站：www.grisoft.com），而防火牆則推荐免費給個人用戶的sygate個人防火牆（網站：www.sygate.com）。如果你是一家有很多機密文件的公司，我推荐你用免費入侵探測系統Snort（網站：www.snort.org）來增強防護。

問：你有跟Cracker（破解者）交戰過嗎？

答：其實我本身有參與一些網絡大戰，以便提升技術和知識，不過，通常都是一些友誼戰爭游戲。有時候游戲會變得很nasty（惡劣），尤其是以前美國和中國駭客交戰時，也因此促成了後來出現CODE RED蠕虫。

正派駭客年薪46萬

全球都在聘雇正派駭客，而且很多正派駭客都在頂尖的顧問公司服務。在美國，一位正派駭客年薪可以高達12萬美元（相當於46萬元），而自由（Freelance）正派駭客的每項工程可獲得1萬美元。譬如IBM的合約，正派駭客的每項Hack任務的收費是介於1萬5000美元至4萬5000美元，還不包括交通和住宿開銷。

開班授課還頒證書

所謂知己知彼百戰百勝，要阻止犯罪駭客，就必須先掌握他們的想法。本地Wordware分銷公司已引入電子商務顧問國際委員會（EC－Council）全球首創的駭客正派學證書課程（Certified Ethical Hacker，CEH）。

報讀該課程前，必須簽署一份合約，不能誤用所學的駭客技巧做非法用途，而且授權培訓中心，還會嚴格審核報讀者背景資料。此外，報讀者還必須具備一些基本的知識，包括網絡TCP／IP、Linux和Windows等。

正派駭客課程教些什麼？

倫理與法律（Ethics and Legality）
黑帽駭客、倫理駭客、攻擊和入侵模式、法令、懲罰、報告等

線索（Footprint）
如何收集線索、分析、追蹤、查證、駭客工具應用分析等

掃描（Scanning）
干案痕跡、埠掃描、網絡管理工具應用、駭客工具應用分析、網絡調教等

舉證（Enumeration）
如何舉證、駭客工具應用分析等

系統Hacking（System Hacking）
密碼猜測、防止密碼猜測、密碼運算、密碼種類、駭客工具應用分析等

特洛伊木馬和後門（Trojans and Backdoors）
特洛伊木馬特質、後門防范、駭客工具應用分析等

探測工具（Sniffers）
探測工具簡介與分析、駭客工具應用分析等

拒絕服務式攻擊（Denail of Service）
拒絕服務式攻擊分析與防備、駭客工具應用分析等

社會工程（Social Engineering）
人類弱點、仿冒、電郵附件、政策與程序等、駭客工具應用分析等

時區劫持（Session Hijacking）
時區劫持分析和防范、駭客工具應用分析等

駭網頁伺服器（Hacking Web Services）
各種伺服器的駭客技巧和防備、駭客工具應用分析等

網頁應用入侵（Web Application Vulnerabilities）
應用軟件的架構分析與防范、駭客工具應用分析等

網頁式密碼破解技巧（Web Based Password Cracking Techniques）
各種網頁密碼破解技巧、駭客工具應用分析等

SQL入侵（SQL Injection）
SQL入侵方法與分析、駭客工具應用分析等

駭無線網絡（Hacking Wireless Networks）
無線網絡標準、無線網絡入侵與防護、駭客工具應用分析等

電腦病毒與蠕虫（Virus and Worm）
各種聞名電腦病毒分析與防護

駭網威系統（Novell Hacking）
網威系統的各種駭客技巧與防護

駭Linux系統（Linux Hacking）
Linux系統各種駭客技巧與防護

入侵探測系統、防火牆與Honeypots（IDS, Firewall and Honeypots）
入侵探測系統分析、駭客工具應用分析等

緩沖超載（Buffer Overflows）
緩沖超載分析與處理

密碼學（Cryptography）
各種密碼演算法分析、破解加密技巧等

From 星洲日報／新媒體／Ｅ周焦點‧文：李昱龍