这听起来可能很奇怪,但每个行业和职业都可以从一位像黑客一样富有创造力、足智多谋和积极主动的员工中受益。黑客可以自学事物是如何运作的,以及事物组是如何协同工作的。黑客知道如何修改事物——调整、个性化甚至改进它们。正是黑客的技能组合是多样化、独特且强大的,以至于在坏人手中会变得危险。欢迎来到 ISECOM—一个专注于下一代安全以及专业安全开发和认证的非营利性开源研究小组—及其受欢迎的项目 黑客高中。
研究表明,任何特定领域的业余爱好者最有可能自欺欺人地认为自己知道足够掌握它。但是一旦他接受了一些专业培训,他就会开始明白学习是一个持续的过程,没有人会“无所不知”。ISECOM 和联合国 UNICRI 进行的一项类似但更有针对性的研究,名为 黑客侧写项目,表明业余黑客由于粗心大意造成的损害最大。
我们知道向青少年黑客展示如何获得知识和技能以超越业余水平是多么重要。我们需要让青少年意识到自己在更大的黑客世界中是多么渺小。我们只需要一种负责任的方式来做到这一点。我们认为,如果我们能够适当地向青少年介绍黑客世界,我们就可以让他们在网上更安全,并开辟新的思维方式和必要的才智,以提升他们未来可能从事的任何职业。
黑客团结起来
我们的主要重点是教初中和高中学生(及其老师)。该项目被称为黑客高中,现在提供免许可、安全和隐私意识教学材料,学生可以自行学习,无需专业人士或老师的额外指导。
“入侵一切,但不造成伤害。”
--黑客高中 v2 课程 1:成为黑客
我们设计的课程可以使用任何免费的“Live Linux”CD,它将从带有 CD-ROM 驱动器的 PC 启动,以执行课程。此外,我们还提供对专门为黑客高中构建和维护的基于 Internet 的测试实验室的访问。
以下是我们为教师提供的课程,作为学生课程作业的补充,或作为课后和俱乐部活动的一部分
01 成为黑客
02 Windows、Linux 和 OSX 中的基本命令
03 端口和协议
04 服务和连接
05 系统识别
06 恶意软件
07 攻击分析
08 数字取证
09 电子邮件安全和隐私
10 网络安全和隐私
11 密码
12 互联网合法性和伦理
13 云计算
14 数据库
15 文档挖掘
16 漏洞和利用
17 移动电话
18 物理安全
19 无线安全
20 社会工程学
21 黑客行动主义
我们开始正式地将它作为课程和练习册教给高中生,利用研究表明青少年如何学习以及黑客如何解决问题。事实是,越来越多的青少年上网,但对那里的情况毫无准备:诈骗者、恶意软件、小偷、恶霸和不道德的企业。一些青少年已经通过使用新闻组、聊天和公共网站传播的黑客工具和技巧,发现了事物的不安全性。
因此,虽然这些青少年自学的动机很棒,但他们获得的信息是不一致的,而且常常远非准确。是时候以正确的方式教他们了(否则他们将来很难可靠地保护自己,并且可能会造成更多损害)。我们为他们提供了一个安全的环境——一组易受攻击的服务器,供他们测试新知识,而不会伤害任何人。
构建它,他们就会入侵
在黑客高中之前,制定黑客课程计划并不是什么新鲜事。新鲜的是我们的方法。2003 年,我联系了巴塞罗那拉萨尔大学的网络主管 Jaume Abella,寻求帮助。他非常支持我们正在做的开源工作,并为我们提供了网络空间来构建一组封闭的测试系统,并提供了一些学生来帮助我们填充它。ISECOM 购买了三台配备后备电源和五个以太网卡的全新 PC,用于托管虚拟服务器,并将它们安装在网络部门办公室的一个未使用部分。
一家意大利安全公司 @MediaService,部分由欧洲著名黑客 Raoul Chiesa 运营,已经帮助了 OSSTMM,他们立即被这个新项目所吸引。一家以其技术黑客技术而闻名的瑞士公司 Dreamlab Inc. 也加入了进来。在 @MediaService、Dreamlab 和巴塞罗那拉萨尔之间,我们拥有构建可靠测试网络的专业知识。
在开发测试网络的同时,我们找到了志愿者来编写 12 节课程。Kim Truett 当时与我们一起工作,她(和她的丈夫 Chuck,一位专业作家)用他们十几岁的儿子作为课程的测试对象,同时他们进行了最后的编辑。ISECOM 的联合创始人 Marta Barceló 对课程进行了专业的设计和包装,为他们创建了一个简洁的网站,并在 2004 年将所有内容在线发布,免费且开源。
此外,“教孩子黑客技术”掀起了一场小小的媒体风暴。当地电视台以及 BBC 和 Euronews 都派出了摄制组。《美国自由电台》进行了一次电话采访。意大利报纸《Avvenire》在其受欢迎的周日副刊杂志上刊登了一篇报道,甚至 IEEE 也在其杂志上对此进行了报道。我们收到了大量的请求,但开源具有自我修复的自由,因此当我们无法及时响应这些请求时,社区绕过了我们。
热衷于将课程教给孩子的家长翻译了课程并将它们发回给我们分享。其他人自愿为对课程感兴趣但不知道如何教课的老师提供支持。有些人将课程与 Moodle 一起放在网上,为青少年提供免费课程,其他匿名支持者将课程重新包装成独立的电子书,调整内容,将它们放入 P2P 文件共享中,并感谢地保留了署名。然后,论坛涌现出来,青少年在论坛上分享如何获得练习答案。
巴塞罗那拉萨尔甚至创建了一个移动计算机实验室,用装满计算机的巴士来访问各个学校。
老师们学到了什么
我们在黑客高中的首要目标是向老师解释黑客的心态。这有点像教他们成为体操教练。我们解释说,他们需要为学生提供设备并教育他们关于姿势,但他们必须期望他们的学生自己回到那根细木梁上。这是我们最艰难的挑战之一,但不知何故,我们第一次就做对了。
接下来的两个目标更具挑战性。首先,大多数老师对黑客技术的了解不足以在技术层面上教授它。其次,大多数学校管理部门认为我们是在玩火,或者至少是在教唆纵火犯如何放火。
“不要认为你仅仅可以成为一个伟大的黑客。只有通过极大的谦逊进行伟大的入侵,你才能变得伟大。”
--黑客高中 v2 课程 1:成为黑客
我们的方法从一开始就很扎实,所以这就是我们开始的地方。我们创建了 贡献者指南,该指南成为所有志愿者和教师的必读材料,强调了我们学生的一个有价值的观点:黑客技术本身并非坏/邪恶/危险,但他们确实需要小心。
我们在解释各种黑客活动时也从未使用“邪恶黑客”或“坏人”或类似的术语,因为我们想避免给青少年一种“我们与他们”的感觉,让他们害怕尝试任何事情。在我们看来,他们都是正在接受培训的黑客。我们明确表示,如果他们违法,他们就是罪犯。
通过这些课程,我们将他们带到一个更危险的地方,但成为黑客高中课程的学生是学习和提高重要生活技能的一种令人兴奋的方式。
不让任何黑客掉队
当我们在 2003 年首次向开源社区寻求帮助时,ISECOM 项目邮件列表上大约有来自世界各地的 1000 名订阅者。我知道开源有多么强大,因为我在两年多前创建了 开源安全测试方法手册 (OSSTMM)。
OSSTMM 发展迅速,并受到了安全专业人士、政府官员甚至黑客的尊重。但现在我建议我们开始一些人称之为“鲁莽”的事情,大多数人认为我想教孩子们成为犯罪黑客。
今天,黑客高中仍然是一个主导项目并且还在增长——目前每月达到约 250,000 次下载量。我们正在完成第二版课程计划的开发,并且已经有一些翻译人员将课程移植到他们自己的语言中。
与此同时,黑客高中项目经理兼新墨西哥大学和新墨西哥州立大学的兼职教师 Glenn Norman 已经开始将该项目抛向一个成人版本,称为黑客夜校,以便任何人都可以学习黑客的技能。整个项目充满了发展活力,因为它涵盖了从心理学和社会学到技术和教育的许多研究领域。所有贡献者都在共同努力,以吸引年轻、聪明和好奇的心灵。
最重要的是,我们从中获得了乐趣。我非常自豪地说,我们正在培养一些未来最伟大的黑客——他们将重新设计和重新发明世界,入侵我们的未来。
10 条评论