“我是白客”
說起“黑客”(Hacker),人們覺得很酷又有點感覺複雜。廣義的講,“黑客”這個誕生於上世紀60年代的詞彙原本代表那一羣熱愛科技和自由、喜歡鑽研互聯網與電腦技術、熟悉操作系統和互聯網漏洞的IT技術精英,於是有了“黑客精神”這樣的充滿了激情的詞彙。但特別是在國內,“黑客”這個詞語在大部分人心目中就直接等於破壞者和恐怖分子,這實際上是“狹義上的黑客”(Cracker)。於是,麥卡錫以“白客”自居。
有一段時間,麥卡錫的工作曾經是每天嘗試侵入各種各樣的網絡。但她不是爲了搞破壞或者炫耀自己的能力,而是受僱於一些公司去檢測它們系統的安全性。
早些時候,麥卡錫在Sun 公司做一些教學工作,她所教授的內容包括硬件架構、系統管理和安全。在這些專業的IT技術領域裏,安全問題當中的“灰色”領域引起了她的注意。例如這個“灰色”領域是如何針對某個系統的漏洞對它發起攻擊,侵入到這個系統中,並在其中獲得很大的訪問權。這自然是不能在課堂上教授的內容,不過激起了麥卡錫的濃厚興趣。
由於麥卡錫在“灰色”領域的研究經歷,加上她所受過的教育和正在負責的培訓工作,Sun公司的內部審計組決定聘用她來做這種侵入性的系統測試工作。她的職責就是去檢查這家公司分佈在世界各地的網絡的安全性,看看能不能去突破侵入到這些系統中,藉此找到系統的弱點,發現讓它變得安全的方法。結合她當時爲其它很多公司高層管理人士教授安全課程的職務,麥卡錫也開始爲更多的公司提供這樣的“入侵服務”。她從教學的角度來做一些入侵,希望籍此讓她的學生們——那些高管人員理解他們公司的漏洞將如何被黑客利用,將構成怎樣的威脅。
“從保護系統的角度來說,我覺得這項工作是非常激動人心的。我可以在其中對未來可能出現的狀況進行前瞻性的思考,確保自己的思路是領先於黑客的,至少是領先好幾步的。”麥卡錫這樣評價自己曾經的“黑客”工作。
事實上,相比之下一個真正黑客要做的技術工作比一個安全人員要輕鬆許多。安全問題實際上就是黑客與安全人員之間的“不對稱”戰爭,防禦要比攻擊更困難和複雜。不論現在的企業裝備瞭如何精良的“銅牆鐵壁”,安全公司又如何爲他們出謀劃策,就好像伊拉克戰爭中“來複槍打下直升機”一樣,雖然其真實性有待考證,但沒人否認其可能性。而且,這種可能性如今正在變得越來越大。麥卡錫說:“我在六、七年前爲Sun工作時侵入一個系統所需要的時間比現在長多了,因爲當時我要花更多的時間來開發具體的入侵工具。而現在這樣的工具都可以在互聯網上下載到。”因此,現在市面上有很多“二流”黑客,他們通過從網上下載的黑客工具來扮演黑客的角色,非常“方便”。
但作爲安全人員,麥卡錫的工作就不僅僅是入侵攻擊那麼簡單了。她必須通過這種設身處地的作法來最終了解黑客要做什麼,併爲此做好準備,而這在現實當中是相當困難。不過,麥卡錫多年攻擊他人網絡的經歷已經給她的思維模式帶來了巨大的改變。她可以像黑客一樣思考。
企業中的“遊說者”
在加州的一家公司裏,麥卡錫正在爲他們的首席安全官做一些事情。這家公司在入侵檢測方面只有一種基於簽名的身份管理產品。麥卡錫在它的防火牆外安裝了一個基於協議的入侵檢測的測試程序,三十天內一共識別出了八萬次攻擊,而這個小小的測試程序還僅僅是“抓”到了所有攻擊中的一部分。此前這家公司由於資金不足忽略了安全問題,麥卡錫通過其它一些現身說法的例子和那個自制的測試程序說服了該公司的高層,最終在安全方面撥款幾百萬美元來加強其入侵檢測能力。
這正是麥卡錫心目中最能體現自我價值的工作方式。在實際工作中的情況是這樣的,入侵他人系統的經歷確實給麥卡錫帶來了豐富的技術積累,但是她在今天要面對的安全威脅速度更快、結構性更強、技術含量更高、破壞性更大,她並沒有太多時間把現在遇到的突發性問題與過去自己所做的入侵實況作對比。相對於解決突發事件,她更多的是藉助自己的經驗去設想未來可能遇到的威脅、未來的攻擊將會是怎樣的,而這些纔是最能說服那些身處險境而不自知的人的最佳材料。
“這一點是非常重要的,如果高管人員沒有被說服,他們就不會對這些實際已經存在的安全問題投入資金。這些人平時總是忙於一些具體的業務問題。”麥卡錫說,“我過去那段與衆不同的工作經歷讓我可以把安全看成一個業務問題來對待,而不僅僅是計算機電腦問題。” 事實證明,“黑客”的經歷幫助麥卡錫更好地與公司高層溝通安全問題,也能輕鬆地與家庭用戶溝通。
現在,麥卡錫更關注的是如何更快地拿出安全產品來,更好地完成教育工作,“特別是在教育工作方面,我同樣要確保我的思路具有領先於黑客的前瞻性思考”。她目前在賽門鐵客公司的CTO下面工作,首席技術官辦公室每天迎來的各種不同的新項目都是由麥卡錫着手來操作的。除此之外,她還在賽門鐵克公司內部啓動一些新的商業計劃,比如賽門鐵克出版社。在這個由首席技術官領導的出版社中,麥卡錫參與了大部分的工作,協助出版社不斷在市場上推出一些安全方面的、同時面向企業高管和技術人員的最新著述。
麥卡錫正在通過各種途徑來展開她的“遊說”工作。除了外出演講和授課,她寫作了《信息安全——企業抵禦風險之道》一書。這本書的主旨是講述如何構建世界級信息安全組織,而麥卡錫依舊是藉助她滿腹的典型案例來闡述安全專家的看法。剛開始計劃寫這本書的時候,麥卡錫的藍圖跟現在出版的成品完全不是一回事,她在簽約以後突然意識到以前的思路不對,因爲她以前計劃的那本書“不能很快地幫助公司的高層管理人員去解決安全問題”,於是重頭開始。這樣一來,留給麥卡錫的時間就只有六個月了,她還不能丟掉她的全職工作,賽門鐵克同期又給她分派了一個全新的項目——實施某個新的安全產品。因此,她只能花去大量的業餘時間來寫書。
不論是寫書還是教課,麥卡錫真正希望的就是“能從根本上改變人們對信息安全的思考方式”。就好像前面提到的那家每個月遭受八萬多次攻擊卻不自知的加州公司,麥卡錫也許正看着這樣的人和公司着急,思維模式是個首要問題。她說她的未來工作計劃首先就是要把賽門鐵克出版社建成安全領域最大的出版社,然後自己再出一本書。