黑客的基本条件就是,精通计算机和网络。从某种意义上来说,他们也是“科学家”。所不同的是,他们不需要在实验室里蛮干苦干,而只需要具备一根电话线、一个调制解调器、一台计算机,就可以对计算机系统存在的漏洞进行大量的研究了。
为了发现并且证实一个计算机系统的漏洞,黑客们可能需要进行大量的测试、分析大量代码,用很长的时间来编写程序。可以这样说,用他们的“X光”一照,几乎没有软件不存在一定的问题。可是,考虑到商业利润和商业信誉的原因,软件商们又实在不愿意向社会公开自己的系统漏洞。只有到了黑客们“群起而攻之”的时候,软件商们才会不得不发布有关安全公告,提供解决方案和补丁程序下载。
但是,也有例外。
2001年4月28日加拿大一家名为Saafnet的新公司表示,该公司相信他们现在已经安装的新型网络安全装置,简直就是“刀枪不入”。所以,他们主动悬赏100万美元,在当年七八月份举行一次黑客攻击有奖大奖赛,“邀请”黑客入侵他们的网络。相关人士对安装有上述装置的计算机系统进行攻击,只要成功窃取相关密码或是入侵到网络内部,就算获胜。最短时间内入侵者,就可以获得这笔奖金。如果有可能的话,他们还要通过美国广播公司将这次比赛进行实况转播。
Saafnet国际公司介绍说,他们刚刚建立1年的时间。为了防止黑客攻击及网上欺诈的危险,他们特意研制了一种名为“Alpha盾牌”的硬件装置,该装置可以安装在计算机与调制解调器之间,为防范网络攻击起到有效作用。据称,用户可以像往常一样浏览网站,但这一装置不时会中断网络连接,这使得网络罪犯无法拥有足够的时间入侵计算机系统从事犯罪活动。
该公司的创始人兼首席执行官、24岁的维卡什·萨米表示,只有在用户本人按动鼠标按键、启动下载信息的程序时,计算机才会听从命令,这就很好地防止了黑客或者网上诈骗分子窃取用户私人信息。从用户的角度看,这种装置可以说天衣无缝,因为它一点儿都不会妨碍用户浏览网页。同时,网络黑客却可以被拦截在用户的计算机系统之外,因为他们在连接中断之前仅有几秒钟的时间展开攻击,自然难度极大。
可惜的是,截止本书完稿时还没有得到比赛举行的消息。业内分析人士指出,即使最终没有人能够成功入侵Saafnet公司的网络,也并不能说明该网络的安全性就是绝对的密不透风。
无独有偶。
1999年,一个国产路由器厂家搞过一个为期3天、悬赏10万元的活动。
2000年,某公司防火墙摆下10天“擂台”,以50万元的“检测费”,悬赏“8341防火墙”的突破者。
美国、德国、英国的此类活动更多。
数字音乐安全联盟(简称SDMI)的成立,是唱片业为了防止盗版而作出的努力成果之一。2000年9月,这个联盟的主席Leonardo Chiariglione在网上安放了几个加密的音乐文件。Chiariglione说,如果有谁能够破译这几个音乐文件的密码,那么这个人就将获得1万美元的奖金。这次竞赛的时间是9月15日至10月7日在hacksdmi网站上公开进行。
遗憾的是,看起来这项唾手可得的活动,却遭到了许多黑客的熟视无睹。有的黑客认为,比赛给出的期限太短;有的则认为参加竞赛反而是帮敌人的忙。所以,他们宁可保持沉默,也不要去赢那1万美元的奖金。
2001年4月下旬,英国Argus系统公司也举行了一次黑客竞赛活动,并且放出大话,谁能第1个成功入侵其研制的、固若金汤的Pit Bull安全系统,就可以得到35000英镑(约合人民币41.2万元)的奖金。
4月25日Argus公司公开承认,这也是他们第一次承认被黑,一个来自波兰的黑客小组“精神错乱的最终阶段”(Last Stage of Delirium),赢得了该公司承诺的35000英镑奖金,他们攻破了Pit Bull网络安全系统把守的服务器。Argus公司的牛皮吹破了。
值得高兴的是,Argus并没有为这次失败找什么借口。该公司在声明中称:“我们坦率地承认,在这种场合下,Pit Bull没能保护系统免受来自这个安全漏洞的侵袭。罪名成立!”
如果我们仔细探讨一下这种悬赏行为就会发现,“悬赏”与一般的测试是不同的。
在正式软件产品发布以前,进行α测试和β测试是软件业的一个惯例。例如,最新Windows操作系统Windows XP的Beta2测试版,曾经分发给全球50万名测试人员进行测试。事实上,悬赏摆擂台式的测试和一般的软件测试有着本质的区别。
首先,悬赏检测与一般测试的出发点不同。软件工程中的一个基本常识就是,软件测试是为了发现软件中的错误,以便对软件做出相应修改而进行的。测试只能证明程序中有错误,而不能证明程序中没有错误,也就是说,不能证明程序的正确性。网络安全产品的悬赏检测,则是以该软件正确为前提,其根本目的是要证明软件是正确的而且非常可靠。
悬赏攻击测试从技术上来看,应该属于安全测试或者脆弱性测试的一部分。它通常不分发给测试者,而是在测试者对产品基本上不了解的情况下,让他们自己想方设法去攻击,这样一来,即使有成千上万种通用的攻击方法,也不可能有很高的效率。
悬赏黑客进行攻击,实际上在我国是与有关法规相冲突的。我们可以在自己所控制的局域网范围内,进行任意黑客攻击测试。在不受任何单位控制的国际互联网上进行黑客攻击测试,必然会导致有害数据在国际互联网上传播,这也就违反了我国有关互联网的管理规定。
对于刚刚起步的网络信息安全产业来讲,这种手法危害甚大。一个产品刚刚出来,就敢说“用我的产品没事”,这一说,哪个单位还敢用?世界上至今没有,以后也不会有哪一个生产安全产品的企业敢说自己的产品100%安全。