首页 > IT互联网 > 如何才能成为一个“体制内”的黑客?
2016
03-14

如何才能成为一个“体制内”的黑客?

咳咳,正在找工作的你是不是厌烦了每日每夜无休止地上网浏览招聘信息?是不是觉得机械重复地向HR的黑洞邮箱投掷简历是一种极其愚蠢的行为?找正经工作这么费事,于是你开始琢磨,还不如投身网络黑客背地里犯个罪神不知鬼不觉捞金快。在那里,不会有面试时一身呆板正装的束缚,也不用在面对面试官刁难时强颜欢笑,多么简单随性!

等等!其实要想在黑客界找份犯罪工作,可并不是你想象中这么容易哦。根据网络安全公司Digital Shadows的最新研究,要找一份犯罪黑客的工作依然免不了枯燥乏味的找工作环节。通过调查搜索1亿个引擎能够追踪到的表层网与加密的暗网网站之后,研究人员发现黑客们招聘新丁的流程与普通人在网上找工作并无多少二致。(比如说你依然需要准备面试,只不过整个面试过程可能会以匿名形式进行。)

Digital Shadows战略副总裁Rick Holland说,正如其他行业一样,黑客们也是通过网络搜索个人信息来寻找合适的新兵。”名声是非常、非常、非常关键的一点。”所以如果候选人是由可信度较高的人强烈推荐过来的话,那么他就已经成功了一大半了。

不过,招聘新黑客时所谓的考察其声誉并不是简单说这个人是技术大牛他们就收,毕竟这是份地下工作,一旦求职者过分渴求这份工作时,招聘者还得谨慎提防这封求职信的另一头会否是来卧底的FBI。所以说混这一行同样需要一点点”适当好处的”名声双方才能合作愉快。

如果招聘者需要广而告之”我们在招人”,他们有这么几个渠道可以投放启示。第一,曝光率最高的黑客论坛。不过大多数黑客论坛都是密码护身,登录用户一般使用假名。但在论坛招聘的弊端是如果登录后不隐匿自己的网络资料的话,很容易就被人追踪到终端连锅端。

Holland说,如果这些黑客论坛威胁到他公司客户的网络安全——如论坛上有人发帖公开悬赏盗取某公司的私服数据时,他的公司会要求这些论坛的域名服务商关闭这些黑客论坛,但是其中某些域名服务商并不会回应他们的请求。

第二的方法风险较小但被求职者看到的可能性就少了很多,就是去仅能通过洋葱路由(The Onion Router)登录的暗网投放招聘信息。带有洋葱路由的浏览器可以通过一系列随机服务器发送网络请求,从而使得外界无从追查信息起源。研究人员甚至在表层网与暗网都找到一些专职黑客招聘的网站,这些网站在收取一定数额佣金后会广播招聘者的招聘信息——简直就像是网络罪犯的专版前程无忧。

黑客招聘时一样会列出一系列求职者需要具备的技能点。例如有的招聘公告里会点名求职者所需的具体技术,如SQL数据库注入攻击、阻断式服务攻击;或者会某种特定编程语言,如Perl、Python或C。有特定攻击目标的黑客招聘一般会找了解内情或是有这些机构公司内部工作经验的黑客求职者。除此外,还会有一些其他基本技能需求。比如其中有一条求职信息写的是:”要求英语对话流利,可以接受某种程度上的语法错误。”另外一种写的是”对这份工作有兴趣也适用”——比如要求求职者需要”能自我激励学习完新的编程语言、新的攻击向量手段等一切新鲜技能。”

一旦招聘广告吸引到了求职者的目光,下一步就是搞一个初步的面试了。Holland说大多数面试都是通过Skype进行,但是与会者一般会在这个基础上加一些安全措施。为了保护双方的身份不被泄露,Skype面试通常只会语音而不会用视频通话,同时对话时双方都会使用变身器掩饰自己的身份。当然,面试时他们还可以用洋葱路由进一步伪装自己的网络地址。

如果面试过关,工作基本就到手了。研究人员表示黑客与雇主签约主要有两种形式:一种是按时间算的合同制,黑客每月有固定的工资收入;另一种则是按黑客的任务完成百分比结算。Holland说他们无从得知一般黑客的收入是多少,因为跟钱相关的协商事宜是双方私下接触达成的。

但是求职者拿下黑客工作前有时还会有一些附加条件。研究人员发现一些黑客组织会对新入职黑客要求一段试用期。比如一家名为DeleteSec的黑客组织就规定新入职黑客”必须在三个月内拿下一个网站”,以此来证明自己的实力。

Holland说研究黑客招聘最大的收获是知道大家依然喜欢利用网站的基础漏洞来做文章。”这些最基础的问题也最容易让网站安全陷入万劫不复的境地。”虽然今年旧金山的美国RSA信息安全大会上兜售有各式花里胡哨的安全产品,但往往最底层的弱点才最致命。事实上,像阻断式服务攻击和SQL注入攻击已经被黑客界用了十多年了却依然非常高效而且广受黑客们喜爱——所以,如果你想加入黑暗世界只需锤炼下这几个永不过时的黑客技能,不久你就能升职加薪当上总经理出任CEO迎娶白富美走向人生巅峰了。

编程技巧