文化定義眾說紛紜,百家爭鳴,各抒己見,黑客文化也掉入這陷阱,套用文化的一個定義,廣義講,黑客文化是一切以黑客為核心衍生出來的精神和物質的總和。狹義來講,黑客文化核心是反規則,打破傳統。廣義狹義都抽象,我們不妨聽聽傑夫.莫斯具象談黑客文化。
E安全8月7日文 一年一度的 Black Hat US 黑帽子大會在拉斯維加斯如期舉辦,這項吸引全球頂級廠商、黑客的大會2018年已經是第21個年頭。誰能想到,當年只有22歲的 Jeff Moss(傑夫·莫斯)就創立了 Black Hat !
Jeff Moss(傑夫·莫斯)
如今,Jeff Moss 已是行內領先的網絡安全評論員,填補了地下研究員社區和執法部門之間的空白,在純研究和技術應用之間架起了一座橋樑。
Jeff Moss 畢業於貢薩加大學,獲得過刑事司法學學位,對於網絡安全的過去和未來有著獨到見解。知道 Black Hat大會的肯定也知道世界頂級黑客大會 DEF CON,這兩個大會都由 Jeff Moss 創立:
- 1993年,18歲的 Moss 創立了世界頂級黑客大會 DEF CON,這場名聲不太好的黑客盛會的參與者是一些獨立的黑客技術愛好者,但當時該會議原本是為Moss的一位黑客朋友在拉斯維加斯舉辦的一場歡送會。
- 1997年,Moss 又創立了與DEF CON非常類似的另一個大會——Black Hat Briefings(Black Hat的前身)大會,但與DEF CON不同的是,Black Hat 大會的參與者更多是來自公司或政府的計算機安全研究員或安全專家。
現在,Jeff Moss 除了繼續領導 DEF CON 和 Black Hat 活動,他還是美國國土安全部(DHS)顧問委員會和外交關係委員會等組織的成員。
Black Hat 也已不再侷限於拉斯維加斯,已經擴散到全球若干城市。 Jeff Moss 見證了 Black Hat 的發展,也見證了網絡安全領域的歷史變遷。
本文源自E安全
“單打獨鬥”的黑客與安全企業時代的盛會
在黑客大會 DEF CON 正式成立之前,它只是 Jeff Moss 在1992年創立的一個小型黑客交流活動。那個年代,網絡不像如今這麼發達,黑客之間極少能夠建立聯繫,互相切磋。因此,當時這個小小的一個黑客交流活動,吸引了不少技術還好者參與,甚至很多人想向公司請假來參加這個活動。
DEF CON 會議上主要是獨立黑客和黑客技術愛好者,在這裡,參與者可能前一天要入侵 PlayStation,第二天要黑掉一架無人機——但這些都不是公司老闆會花錢讓你去學的東西。
由於當時 DEF CON 算不上什麼“正規活動”,Jeff Moss 還“裝模作樣”了一陣給這些黑客發了假的通知(類似於邀請函的東西)。
Black Hat 的創立
Jeff Moss 在採訪中表示,當時組織這些活動是想把大家聚在一起,然後聽聽他們都在做些什麼,他們對什麼感興趣,他們有哪些困惑。
直到 Jeff Moss 受到朋友的鼓動和啟發,辦起了一個專業的會議——Black Hat Briefings(後來的Black Hat),參與者報名、提交報名費參加,會上可以獲得一些技術乾貨。
Jeff Moss 表示,那個時候,Infosec(信息安全)還沒有很多人,也沒有多少安全專家。當時他邀請了朋友參加,第一年的發言嘉賓名單上有他認識的微軟或 Novell 方面的朋友。大會內容是為與會公司提供簡報,告知他們黑帽們都在做些什麼,以幫助這些公司做好防護。Black Hat 相對 DEF CON來說得到了更多企業關注,因為它能給人技術提升,而且可用於實際工作。
一開始 Black Hat 與 DEF CON 是一起在拉斯維加斯舉辦,Black Hat 結束後是DEF CON ,但 Jeff Moss 很快就意識到不能在同一個酒店舉辦兩場會議,因為對 DEF CON 的與會者來說更像是一場 Party,參與者都是早早就到會場,吃光所有食物,喝光所有飲料!直到後來兩個會議被拆開了舉辦。
從排斥到接受
黑客本身是存在爭議的,過去,一些公司曾試圖禁止在 Black Hat 出席過的一些研究員披露某些產品的漏洞,直到後來 Black Hat 發展成為一種文化,廠商更願意讓黑客們試著攻擊他們的產品。
本文源自E安全
看Black Hat發展與網絡安全發展之路
Jeff Moss 表示,創建 Black Hat 並未預料到它會變得如此有魔力,當我問人們為何參加 Black Hat 時,他們說這個活動就像是水晶球可以預見未來,他們可以提前瞭解工作中將要遇到的問題。
Black Hat 似乎可以看見未來
如果黑客和安全研究員在Black Hat談論某個問題,那麼最多在一年後,這個問題就真會成為現實中的問題。
在 Black Hat 創立後的最初幾年裡,大量電信人參與會議,又過了幾年,與會的人開始對移動安全感興趣。一旦廠商的客戶開始出現,廠商也會隨之出現。這說明安全問題開始在他們的行業露頭。
從 Black Hat 參會者身份看網安人才需求
Jeff Moss 在採訪中表示,Black Hat的與會者從技術多面手轉變成了技術專家——與會者需要的是讓自己的觀點更專業一些。他們對於社會事務和 Black Hat 核心技術的關注也在不斷增加。
基於以上這一點,網絡安全文化也發生了一些轉變,曾經安全圈需要的是某些精英,而後慢慢變成需要更具包容性和多樣性的人才。即這些年的變化,從“多面手”轉變為專家,然後又是多面手,但這是為什麼呢?
UNIX 年代——互聯網發展的早期,每個人都稱得上是專家。但隨著時間的推移,互聯網從業人員就變得專業起來,他們可能專注於某一技術或領域。但這種想法又讓人很難有全局觀,例如當你試圖向董事會解釋某個安全問題,他們通常關注宏觀層面的問題,而不會過問微觀技術問題。
於是,Black Hat大會試圖讓發言者(特別是主講者)從宏觀層面講述觀點,以讓更多的人瞭解某個點對整個行業的影響。
偏重技術的 Jeff Moss 表示,他一開始十分不理解社交的重要性。安全行業從業人員從一開始每個人都在抱怨沒人傾聽他們的意見,到現在每個人都在傾聽技術人員的聲音這個過程花費了不下十年,且跟董事會探討安全問題這與跟同事的聯繫不同,它需要的是完全不一樣的技巧。
本文源自E安全
安全技術人員不能缺少的技能——社交
Halvar Flake (Zynamics 創始人,該公司於2011年被谷歌收購) 在2017年 Black Hat 新加坡會議上表示,防禦-網絡攻擊是一場技術遊戲,這遊戲很複雜,但遊戲的規則卻簡單。防禦——即組織網絡攻擊——則更難,處處跟社交有關。
防禦規則?可用時間?節約的經費?運營開支?在防禦上要花多少錢?哪裡來的預算?資產為何重要到需要進行防禦保護?目標是否處於保護中,保護力度夠不夠?所有這些問題都是具有社交性質,而且還要涉及政治性和官僚問題。
Jeff Moss 認為,社交技能對於網絡安全人員的職業生涯越來越重要。
網絡安全的文化氛圍正在變化
承認社交在網絡安全中重要性就是這種文化轉變的一個例子。網絡安全文化衍生自黑客文化,而前者需要少一點精英,多一些包容。
安全離不開黑客
黑客圈很自然有種技術崇拜,他們彼此尊敬,但他們對於那些看不上眼的人常常表示出不屑,不僅入侵商務人士,甚至包括那些搭建計算機系統的人。這種傲慢阻礙了安全行業人員與他們建立良好關係,而如果我們要加強安全,這種關係就非常有必要。
安全教育的重要性
聰明地阻止網絡攻擊已經不夠,安全行業需要能創建更具彈性的系統,能減少攻擊面,減少代碼漏洞。因此需要走出去,教育那些安全經驗少的人。我們還需要鼓勵和指導下一代網絡安全人才。
安全行業的多樣性
包容意味著鼓勵不同的人進入這個領域,黑客文化一直都是民主的。這也需要鼓勵安全圈的多樣性,以便反映出全球各類人的需求。
在2017年 Black Hat 活動期間,Black Hat 向學生髮放了205份獎學金,按常規這些學生沒法出席活動。Jeff Moss 表示,為了維護目前行業內的這種多樣性,在 Black Hat 2017活動期間制定了許多計劃,目的是為網絡安全領域的女性提供支持。
從此,網絡安全要何去何從?
跟 Black Hat 20年前首次舉辦相比,安全圈乃至全球都已經發生很大改變。網絡安全圈已經抓住了工作重點——保護人和企業的安全,維護世界的安全。
Jeff Moss 表示,世界過去依靠我們來保護基礎設施,未來也將依靠我們保護他們的系統——物聯網,無人駕駛汽車,太空旅行。要做到系統“默認安全”而不是“默認開放”還有很長的路要走。
注:本文由E安全編譯報道,轉載請註明原文地址
閱讀更多 E安全 的文章
