Foundstone终极黑客实战培训手记

    前记

    今天终于和培训机构核实了在11月底参加Foundstone举办的终极黑客实战培训的日期和班次.

    这是foundstone第一次在新加坡举办这样的培训, 由于今年其培训对象主要是针对象新加坡警察部队,电脑局, 电信局等这类的重要机构, 所以这次对计划外的一些机构只准备了两个照顾班. 由于foundstone终极黑客培训的实战性极强, 所以新加坡政府要求前来参加培训的所有学员不但必须是电脑安全行业的正式员工, 而且还要把所有个人资料在电脑局登记备案. 即便是这么苛刻的条件,前来报名要参加培训的人还是络绎不绝. 而我这次参加培训还多亏了一位好朋友的帮忙. 由于他的鼎力支持,我最终居然能够以完全免费的身份参加这五天价值人民币4万左右的培训, 想起来真是开心之极. 而且这次培训除了可以让自己有机会系统性的学习黑客技术, 我还从讲师那里得知该培训可以为我将来的CISSP增加32个教育学分(要知道,没有别的任何培训可以象Ultimate Hacking这样直接给CISSP加教育分的哟)更是开心不已. :D

    foundstone的终极黑客实战培训在电脑安全界应该是最有名的, 除了那套被黑客们称为Bible的Hacking Exposed系列丛书是他们编写的, 另外光是那一长串他们为其做长期安全顾问和培训的机构名单就不得不让人刮目相看, 如: CIA, Dept of Defense(USA), FBI, NASA, National Security Agency(USA), AT&T, Cisco, IBM, ISS, 等等(略去上百个名字)... :P

    顺便说一句, 和Foundstone Ultimate Hacking比起来,Certified Ethical Hacker就差太多了. 我看过它的教材,也参加过他们的演示教学, 它给我的印象除了教材的很多内容好象都是从Hacking Exposed里抄袭来的, 其讲师的水平和设备质量更无法和Ultimate Hacking相提并论. Foundstone的终极黑客培训除了保证有根据实际情况而配置在不同网络下的20多台服务器和防火墙供学员练习, 另外还为每个学员特别配置了一台双系统,双启动的笔记本电脑来上机, 讲师也都是从美国本部派来的专家.难怪我的那些从事安全行业的朋友都对其(CEH)不感冒.

    <注：这是在参加Foundstone终极黑客实战培训前写的一篇随笔，当时的发表时间：2004年10月26日 15:08>

    后记

    为期整整5天的Foundstone终极“黑客”实战培训终于结束了。

    就和当初预想的一样，这短短的五天过得特别的充实，刺激和紧张。等到最后一天下午当自己按照规定完成既定目标时，虽然当时觉得累得不行了，但是心里却是激动得不得了，老有一种想狂呼的冲动。（呵呵，好象又回到年轻时当学生的年代了）

    因为在这五天学习中，根据要求，自己前前后后一共黑掉了培训环境中的16架不同的服务器，有NT4，Win2K，也有Linux，Unix和Solaris。黑这些服务器时并不是那么容易，因为服务器的网络配置比较复杂，有的是在LAN环境下的，有的是在WAN环境下，更有的则是在防火墙后面。有几个特定的服务器还需要先成功建立起攻击跳板后才可以攻击得到，而且在黑掉每台服务器后还要记得如何隐藏自己的攻击记录。所幸的是，自己这几天的心血和专注没有白费，每一个目标都合格的做到了。

    虽然这五天学会了使用不少工具，也学到了不少找漏洞的窍门，不过感触最深的还是foundstone在培训中一直强调的黑客思维，因为只有当你掌握到了正确的思维方法，才算是学会了如何钓鱼。接下来，不管新的服务器是什么，新的补丁打到了什么程度。只要合理运用这种思维方式，一定可是找到突破的口子。也正因为这样，作为安全专家，我们才可以成功有效的保护好网络内的各种资源。

    看来要成为一个合格的安全专家，还真的必须要先学会如何当好合格的“黑客”才可以。