Foundstone終極黑客實戰(zhàn)培訓手記

    前記

    今天終于和培訓機構(gòu)核實了在11月底參加Foundstone舉辦的終極黑客實戰(zhàn)培訓的日期和班次.

    這是foundstone第一次在新加坡舉辦這樣的培訓, 由于今年其培訓對象主要是針對象新加坡警察部隊,電腦局, 電信局等這類的重要機構(gòu), 所以這次對計劃外的一些機構(gòu)只準備了兩個照顧班. 由于foundstone終極黑客培訓的實戰(zhàn)性極強, 所以新加坡政府要求前來參加培訓的所有學員不但必須是電腦安全行業(yè)的正式員工, 而且還要把所有個人資料在電腦局登記備案. 即便是這么苛刻的條件,前來報名要參加培訓的人還是絡繹不絕. 而我這次參加培訓還多虧了一位好朋友的幫忙. 由于他的鼎力支持,我最終居然能夠以完全免費的身份參加這五天價值人民幣4萬左右的培訓, 想起來真是開心之極. 而且這次培訓除了可以讓自己有機會系統(tǒng)性的學習黑客技術(shù), 我還從講師那里得知該培訓可以為我將來的CISSP增加32個教育學分(要知道,沒有別的任何培訓可以象Ultimate Hacking這樣直接給CISSP加教育分的喲)更是開心不已. :D

    foundstone的終極黑客實戰(zhàn)培訓在電腦安全界應該是最有名的, 除了那套被黑客們稱為Bible的Hacking Exposed系列叢書是他們編寫的, 另外光是那一長串他們?yōu)槠渥鲩L期安全顧問和培訓的機構(gòu)名單就不得不讓人刮目相看, 如: CIA, Dept of Defense(USA), FBI, NASA, National Security Agency(USA), AT&T, Cisco, IBM, ISS, 等等(略去上百個名字)... :P

    順便說一句, 和Foundstone Ultimate Hacking比起來,Certified Ethical Hacker就差太多了. 我看過它的教材,也參加過他們的演示教學, 它給我的印象除了教材的很多內(nèi)容好象都是從Hacking Exposed里抄襲來的, 其講師的水平和設備質(zhì)量更無法和Ultimate Hacking相提并論. Foundstone的終極黑客培訓除了保證有根據(jù)實際情況而配置在不同網(wǎng)絡下的20多臺服務器和防火墻供學員練習, 另外還為每個學員特別配置了一臺雙系統(tǒng),雙啟動的筆記本電腦來上機, 講師也都是從美國本部派來的專家.難怪我的那些從事安全行業(yè)的朋友都對其(CEH)不感冒.

    <注：這是在參加Foundstone終極黑客實戰(zhàn)培訓前寫的一篇隨筆，當時的發(fā)表時間：2004年10月26日 15:08>

    后記

    為期整整5天的Foundstone終極“黑客”實戰(zhàn)培訓終于結(jié)束了。

    就和當初預想的一樣，這短短的五天過得特別的充實，刺激和緊張。等到最后一天下午當自己按照規(guī)定完成既定目標時，雖然當時覺得累得不行了，但是心里卻是激動得不得了，老有一種想狂呼的沖動。（呵呵，好象又回到年輕時當學生的年代了）

    因為在這五天學習中，根據(jù)要求，自己前前后后一共黑掉了培訓環(huán)境中的16架不同的服務器，有NT4，Win2K，也有Linux，Unix和Solaris。黑這些服務器時并不是那么容易，因為服務器的網(wǎng)絡配置比較復雜，有的是在LAN環(huán)境下的，有的是在WAN環(huán)境下，更有的則是在防火墻后面。有幾個特定的服務器還需要先成功建立起攻擊跳板后才可以攻擊得到，而且在黑掉每臺服務器后還要記得如何隱藏自己的攻擊記錄。所幸的是，自己這幾天的心血和專注沒有白費，每一個目標都合格的做到了。

    雖然這五天學會了使用不少工具，也學到了不少找漏洞的竅門，不過感觸最深的還是foundstone在培訓中一直強調(diào)的黑客思維，因為只有當你掌握到了正確的思維方法，才算是學會了如何釣魚。接下來，不管新的服務器是什么，新的補丁打到了什么程度。只要合理運用這種思維方式，一定可是找到突破的口子。也正因為這樣，作為安全專家，我們才可以成功有效的保護好網(wǎng)絡內(nèi)的各種資源。

    看來要成為一個合格的安全專家，還真的必須要先學會如何當好合格的“黑客”才可以。