https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

白帽駭客 CEH認證介紹

2009 / 06 / 29
馮智偉
白帽駭客 CEH認證介紹
資訊安全,人人有責,已是全民皆備的共識。從一般民眾到資深技術工程人員,需要不同等級的資安訓練,以建立對資訊安全的正確觀念與因應之道。

  
自網際網路興起到目前電子商業的欣欣向榮,人們對於網路使用的範圍也從以往單純的瀏覽網頁,演變到工作及生活上不可或缺的必備工具。然而,隱藏在新興資訊產業背後,資訊安全的威脅正悄悄降臨。

  網路日漸普及,資訊安全的考驗自然襲捲而來;但是,有別於一般人的普遍認知,資安的維護責任不應僅侷限於公司內部的網管人員或是電信業者的系統人員,資安所牽涉的層面也不僅只有電腦病毒,隨著資訊應用技術的突飛猛進,人們對於資訊安全更應具備正確的觀念,以避免因為無知造成的重大經濟損失。

  如日前媒體曾經報導的新聞事件:警察機關因內部人員在電腦上加裝Foxy,導致許多記載個人資料的檔案外洩;還有今年5月報稅期間,使用網路報稅的民眾誤入網路釣魚陷阱,以致進入有心人士架設的「偽網站」而不自知,結果信用卡遭到冒用或是身分資料被盜用。諸如此類的事件時有耳聞,再再顯示了「資訊安全,人人有責」,已是全民皆備的共識。

  無論對個人或企業而言,資訊都形同一種資產,更需要資安技術來加以防謢。有鑑於此,美國國際電子商務顧問局(ECCouncil)提供了一系列相關課程,從一般民眾到資深技術工程人員,給予不同等級的資安訓練,以建立對資訊安全的正確觀念與因應之道。

EC-Council提供多樣化認證等級
  
  不同於坊間將資安問題分列為單一主題,EC-Council乃是廣泛針對安全問題進行分析、研究之課程。課程內容是蒐集來自學界、業界等受過正規訓練的資訊網管人員,以及駭客的想法與思維所集合而成的,藉此真正了解實務上的資安漏洞與惡意駭客入侵時的可能作法。

  E C - C o u n c i l提供的認證等級分為C E A、C E P、CEC、CEH、CHFI、ECSA/LPT等。其中CEA、CEP、CEC3項認證為電子商務的認證,CEH、CHFI與ECSA/LPT為駭客技術領域認證。CEA認證與教育課程包含電子商務安全、網路安全設計、Linux安全、顧客關係管理(CRM)、供應鏈管理(SCM)等共11項科目。CEH與CHFI目前為美國FBI機構訓練資訊人才的認證與教育課程,在台灣已做為軍方單位、金融票卷、資訊網路公司等重視資訊安全單位的人員訓練課程,CEH同時也是近年來在資訊安全領域中快速成長的證照。

  CEH這門課,主要介紹駭客常用的工具及攻擊方法,從中實際了解駭客行為及其思維模式,進而知道如何保護網路安全、強化系統免受攻擊。其課程中所模擬的網路環境,詳細介紹駭客如何掃描並攻擊網路系統,以及如何制定策略、權限以防堵不法駭客的入侵。CEH是Certified Ethical Hacker的簡稱,重點在於Ethical Hacker這個名詞。Ethical Hacker是指行為合乎道德倫理規範的駭客,因此有人稱CEH為白帽駭客認證,希望與違反道德倫理規範的怪客(Cracker)做區別。

飛客?駭客?怪客?
  
  何謂駭客(Hacker)?駭客的起源約可追溯自網路尚未發達的70年代,當時電腦玩家們互通訊息的唯一選擇只有電話通訊系統。在幅員廣大的地方如美國,巨額的長途電話費用是一個沉重的負擔,再加上有一群人不滿當時美國電話系統市場,全都是由美國電話電報公司(AT&T)所獨佔,於是這群人發明了一種模擬長途電話訊號的儀器,這個儀器可以「騙」過電話公司的長途撥接控制系統,暱稱為「藍盒子」
(BlueBox)。經過一段時間的演變,凡是使用藍盒子或是相關技術來操弄電話系統的人,開始有了「飛客」(Phreak)的綽號,這便是「駭客」的前身。

  雖然許多網路入侵、破解密碼的知識技巧,其實都是來自於飛客的經驗累積,但「飛客」主要還是指專門針對電話通信系統動手腳的專家,比如說破解電話總機外線轉撥密碼或是電話盜打等事件,就是典型飛客的行徑。

  而「駭客」,其英文hacker原是由"hacking"這個意思而來,hacking表示的是「利用高度技術做出正常動作之外的行為,超過系統原來設定的功能範圍」,因此「駭客」的行為,常常出乎常人的意料之外。

  我們常在各大媒體看到關於駭客的新聞,其實大眾所認知的駭客應該稱作怪客(Cracker),怪客與駭客是截然不同的,怪客對他人電腦或網路進行入侵、攻擊、破壞與竊取資料;駭客則否,駭客的目的多半在於測試自己的功力,但不進行破壞與竊盜行為,更不會藉此牟利。不過,由於在一般共識下,駭客一詞早已取代了怪客,成為人們目前慣於使用的通稱,我們亦無必要再加以扭轉此認知,只是需要些微區別,用"Ethical Hacker"表示合於道德規範的駭客,意即白帽駭客,而「駭客」則指稱從事入侵破壞工作的"Cracker"。

因材施教 多層次教學

  EC-Council課程,不僅針對資安技術人員,一般使用者也能學習。以往一般使用者遇到資安問題時,只想到把電腦交給工程師處理,工程師雖然具備較高深的電腦網路技術,能夠解除部分資安所造成的危機,卻無法從一般使用者的角度來思考問題盲點,往往無法將資安威脅有效解決。舉例來說,系統工程師會要求一般使用者在設定帳號密碼時必須遵守一些密碼規則,例如密碼長度必須8個字元以上的長度、而且要使用數字與英文字母及無意義的鍵盤按鍵作為排列組合的元素、還要定期更換密碼等。由於這些規則對一般使用者而言往往過於嚴格且難以記憶,一般使
用者要不就是常常忘記密碼必須重設,增加工程師不必要的業務負擔;要不就是將密碼寫在便條紙上以便提醒自己,這些便條紙若落入有心人士手中,公司的許多機密資料也就會因此曝光。

  因此無論企業或個人都應重視網路威脅所帶來的損失,所有電腦使用者,都應該認知到,資訊安全不只是工程師的事,只要使用電子服務,就無可避免會曝露在資安威脅之下;所以,每個電腦使用者,至少要懂得保護自己,避免成為駭客的跳板,而工程師則是要進一步保護公司的資產,不致受到駭客入侵破壞。

  近2年,企業對資訊安全的認知,有所提升;究其原因,應歸功於政府對資安問題的重視,促進了企業正視該問題,像是從去年開始,政府單位在聘用資訊室人員時,CEH證照已成為必要條件之一。不過光具備資安的理論基礎是不夠的,倘若沒有實務經驗的配合亦是惘然,理論與實務應是相互呼應的;因此,做為一個資安從業人員,在取得CEH證照之後,將不能以此為滿足,除了不間斷地提升自己的知識能力,還應該強化更多其他相關專業,例如:網路方面的CCNA、CCNP等證照,或是作業平台方面的MCSA/MCSE或Linux相關證照。這樣一來,高階工程人員在自我提升或薪資升遷方面,都可望會有更多、更好的保障。

  隨著資訊發展為企業與工作者帶來更有效率及更便利的工作環境,資訊安全的議題也越來越受重視,每個企業都需要資安人才。企業在找人的時候,都喜歡找擁有證照的人才,據資策會的估計,從去年開始至2011年,資訊安全結合服務的模式,平均每年以4成6的幅度成長,放眼未來成長的前景更為可觀。

  資安工作不需要天才,但要有恆心與毅力,要能一直不停的學習與鑽研,資訊安全是一種技能,而未來所有企業會一直需要具有這種技能的人才。

EC-Council小簡介
  International Council of E-CommerceConsultants,擁有許多會員以及遍佈全世界的聯會,總行設於美國紐約。對於台灣人民而言,E C - C o u n c i l或許是個新的名詞,但對全世界資訊安全好手及電子商務領域專家而言,這是一個代表專業與榮譽的名詞。目前ECCouncil認證通行亞洲超過13個國家,通行世界超過 50 個國家。