受够了没完没了的工作会议和如石沉大海般的简历投递?不妨考虑到违法犯罪行业试试运气——至少各位不用再穿得人模狗样跑去参加那种折磨人的面试。
恶意黑客的职业生涯可能并不是摆脱求职难题的最佳选项,网络安全企业Digital Shadows公司在其最新研究成果当中指出。着眼于普网与暗网中的超过1亿个网站,各位研究人员发现黑客所采取的新人招募过程与大家习以为常的求职经历基本一致。(举例来说,面试依然存在——只不过会涉及一些匿名技术。)
与其它行业一样,黑客也会通过网络物色各类优秀人才,Digital Shadows公司战略副总裁Rick Holland表示。
“信誉是真的、真的非常重要,”Holland指出,因此来自同业者的强烈推荐对于候选者来说将是个积极的开端。
在雇用犯罪分子时,信誉不仅能够证明其有能力更好地完成任务,同时亦可解决一大潜在风险:事实上,该行业的从业者很担心某位看似出色的候选者其实身为联邦调查局卧底。而一系列经过精心安排的引介与推荐有助于解决这些难题。
如果招聘人员需要公布一套接入口,他们握有几种选项。黑客论坛的知名度往往比较高,其中相当一部分内容受密码保护,而且用户一般会选择使用假名。不过这样做仍具有一定风险——任何人未以匿名方式登入的用户,其网络流量都能够被轻松追踪。
Holland指出,一旦具体威胁可能影响到其客户,该公司将强制要求对论坛的域名主机进行下线操作。举例来讲,某些帖子可能会以悬赏方式指定要求黑客侵入目标企业的某台内部服务器。
另外一种较为安全但亦会提高查看难度的方式就是在暗网中发布求助-招聘广告——大家只能利用Tor进行访问的互联网组成部分。作为一款网络浏览器,Tor能够通过一条随机服务器字符串对实际网络请求进行转发,从而掩饰其真实来源。研究人员甚至发现普网与暗网当中都存在有黑客专用之岗位发布平台,其以收费服务方式提供求助-招聘载体——我们可以将其理解为网络犯罪领域的Moster.com网站。
黑客们会发布一种广泛的特质以设定潜在候选者范畴。某些岗位要求其具备特定技能(例如SQL注入或者拒绝服务攻击),同时拥有一定程度的编程语言(包括Perl、Python以及C)使用能力。另外,在考量是否聘用特定对象时,黑客们亦会参考其对特定企业之网络与系统的熟悉程度。
类似的基本要求还有很多。某项招聘须知写道,“您必须拥有流利的英语口语表达能力,语法水平不高则相对可以接受。”另外积极的心态同样非常重要,该须知中提到候选者应当“积极并渴望学习新的编程语言、攻击向量以及与之相关的一切专业知识。”
一旦吸引到了感兴趣的候选者,黑客们的下一步工作就是进行面试。Holland表示,大多数面试通过Skype进行,但也有一些要求参与者采取其它更为严格的安全通信机制。为了保护参与者的身份,黑客们往往使用Skype音频通话而非视频交流,且允许他们利用变声工具掩藏自己的真实身份。他们还可以利用Tor等服务隐匿自己在进行语音通话时产生的网络流量。
如果面试一切顺利,那么候选者也就正式获得了工作机会。研究人员发现,黑客工作往往分为两大类别:合同工,即黑客每月获得底薪与基础工作量,并以一定比例对恶意活动带来的收益进行分配。Holland表示目前很难弄清黑客的工作能够带来多少收入,因为与薪酬相关的内容往往采取私下交流的方式商定。
不过聘用通知有时还会附带一些其它条款。研究人员发现,某些网络犯罪集团会为新员工设置试用期:DeleteSec黑客团伙就规定,新晋人员“必须在三个月之内入侵某个网站”以证明自己的技术水平。
Holland同时指出,他在研究黑客招募工作过程中学到的最重要的一点在于,犯罪分子对于基础性安全漏洞一直保持高度关注。
“这类漏洞能够被很轻松地重构为一种颇具泛用型的工具,”他解释称。尽管本周于旧金山召开的RSA网络安全大会发布了一系列相关安全产品,但以拒绝服务攻击以及SQL注入为代表的基础性攻击手段仍然很受欢迎——其已经存在十年以来,而且仍能帮助黑客顺利达成既定目标。因此,只要切实掌握这些“永流传”性质的技术,大家就完全能够在自己的犯罪道路上有所“建树”。
本文转自d1net(转载)
