暗網(wǎng)揭秘:黑客是如何招聘的?

責(zé)任編輯:editor006

作者:emmabee 編譯

2016-03-09 17:02:38

摘自:TECH2IPO創(chuàng)見

黑客們也是通過網(wǎng)絡(luò)搜索個人信息來尋找合適的新兵。黑客招聘時一樣會列出一系列求職者需要具備的技能點。Holland 說研究黑客招聘最大的收獲是知道大家依然喜歡利用網(wǎng)站的基礎(chǔ)漏洞來做文章。

咳咳,正在找工作的你是不是厭煩了每日每夜無休止地上網(wǎng)瀏覽招聘信息?是不是覺得機械重復(fù)地向 HR 的黑洞郵箱投擲簡歷是一種極其愚蠢的行為?找正經(jīng)工作這么費事,于是你開始琢磨,還不如投身網(wǎng)絡(luò)黑客背地里犯個罪神不知鬼不覺撈金快。在那里,不會有面試時一身呆板正裝的束縛,也不用在面對面試官刁難時強顏歡笑,多么簡單隨性!

等等!其實要想在黑客界找份犯罪工作,可并不是你想象中這么容易哦。根據(jù)網(wǎng)絡(luò)安全公司 Digital Shadows 的最新研究,要找一份犯罪黑客的工作依然免不了枯燥乏味的找工作環(huán)節(jié)。通過調(diào)查搜索 1 億個引擎能夠追蹤到的表層網(wǎng)與加密的暗網(wǎng)網(wǎng)站之后,研究人員發(fā)現(xiàn)黑客們招聘新丁的流程與普通人在網(wǎng)上找工作并無多少二致。(比如說你依然需要準(zhǔn)備面試,只不過整個面試過程可能會以匿名形式進行。)

Digital Shadows 戰(zhàn)略副總裁 Rick Holland 說,正如其他行業(yè)一樣,黑客們也是通過網(wǎng)絡(luò)搜索個人信息來尋找合適的新兵?!该暿欠浅?、非常、非常關(guān)鍵的一點?!顾匀绻蜻x人是由可信度較高的人強烈推薦過來的話,那么他就已經(jīng)成功了一大半了。

不過,招聘新黑客時所謂的考察其聲譽并不是簡單說這個人是技術(shù)大牛他們就收,畢竟這是份地下工作,一旦求職者過分渴求這份工作時,招聘者還得謹慎提防這封求職信的另一頭會否是來臥底的 FBI。所以說混這一行同樣需要一點點「適當(dāng)好處的」名聲雙方才能合作愉快。

如果招聘者需要廣而告之「我們在招人」,他們有這么幾個渠道可以投放啟示。第一,曝光率最高的黑客論壇。不過大多數(shù)黑客論壇都是密碼護身,登錄用戶一般使用假名。但在論壇招聘的弊端是如果登錄后不隱匿自己的網(wǎng)絡(luò)資料的話,很容易就被人追蹤到終端連鍋端。

Holland 說,如果這些黑客論壇威脅到他公司客戶的網(wǎng)絡(luò)安全——如論壇上有人發(fā)帖公開懸賞盜取某公司的私服數(shù)據(jù)時,他的公司會要求這些論壇的域名服務(wù)商關(guān)閉這些黑客論壇,但是其中某些域名服務(wù)商并不會回應(yīng)他們的請求。

第二的方法風(fēng)險較小但被求職者看到的可能性就少了很多,就是去僅能通過洋蔥路由 (The Onion Router) 登錄的暗網(wǎng)投放招聘信息。帶有洋蔥路由的瀏覽器可以通過一系列隨機服務(wù)器發(fā)送網(wǎng)絡(luò)請求,從而使得外界無從追查信息起源。研究人員甚至在表層網(wǎng)與暗網(wǎng)都找到一些專職黑客招聘的網(wǎng)站,這些網(wǎng)站在收取一定數(shù)額傭金后會廣播招聘者的招聘信息——簡直就像是網(wǎng)絡(luò)罪犯的專版前程無憂。

黑客招聘時一樣會列出一系列求職者需要具備的技能點。例如有的招聘公告里會點名求職者所需的具體技術(shù),如 SQL 數(shù)據(jù)庫注入攻擊、阻斷式服務(wù)攻擊;或者會某種特定編程語言,如 Perl、Python 或 C。有特定攻擊目標(biāo)的黑客招聘一般會找了解內(nèi)情或是有這些機構(gòu)公司內(nèi)部工作經(jīng)驗的黑客求職者。除此外,還會有一些其他基本技能需求。比如其中有一條求職信息寫的是:「要求英語對話流利,可以接受某種程度上的語法錯誤。」另外一種寫的是「對這份工作有興趣也適用」——比如要求求職者需要「能自我激勵學(xué)習(xí)完新的編程語言、新的攻擊向量手段等一切新鮮技能?!?/p>

一旦招聘廣告吸引到了求職者的目光,下一步就是搞一個初步的面試了。Holland 說大多數(shù)面試都是通過 Skype 進行,但是與會者一般會在這個基礎(chǔ)上加一些安全措施。為了保護雙方的身份不被泄露,Skype 面試通常只會語音而不會用視頻通話,同時對話時雙方都會使用變身器掩飾自己的身份。當(dāng)然,面試時他們還可以用洋蔥路由進一步偽裝自己的網(wǎng)絡(luò)地址。

如果面試過關(guān),工作基本就到手了。研究人員表示黑客與雇主簽約主要有兩種形式:一種是按時間算的合同制,黑客每月有固定的工資收入;另一種則是按黑客的任務(wù)完成百分比結(jié)算。Holland 說他們無從得知一般黑客的收入是多少,因為跟錢相關(guān)的協(xié)商事宜是雙方私下接觸達成的。

但是求職者拿下黑客工作前有時還會有一些附加條件。研究人員發(fā)現(xiàn)一些黑客組織會對新入職黑客要求一段試用期。比如一家名為 DeleteSec 的黑客組織就規(guī)定新入職黑客「必須在三個月內(nèi)拿下一個網(wǎng)站」,以此來證明自己的實力。

Holland 說研究黑客招聘最大的收獲是知道大家依然喜歡利用網(wǎng)站的基礎(chǔ)漏洞來做文章。「這些最基礎(chǔ)的問題也最容易讓網(wǎng)站安全陷入萬劫不復(fù)的境地?!闺m然今年舊金山的美國 RSA 信息安全大會上兜售有各式花里胡哨的安全產(chǎn)品,但往往最底層的弱點才最致命。事實上,像阻斷式服務(wù)攻擊和 SQL 注入攻擊已經(jīng)被黑客界用了十多年了卻依然非常高效而且廣受黑客們喜愛——所以,如果你想加入黑暗世界只需錘煉下這幾個永不過時的黑客技能,不久你就能升職加薪當(dāng)上總經(jīng)理出任 CEO 迎娶白富美走向人生巔峰了(誤)。

文章來源: theatlantic,由 TECH2IPO / 創(chuàng)見 emmabee 編譯,首發(fā)于創(chuàng)見科技(http://tech2ipo.com/),轉(zhuǎn)載請注明出處

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號