hacker的本質-身份大盜

hacker恐怕是計算機世界裏最神祕的角色，他來無影去無蹤，神不知鬼不覺，彷彿在計算機世界裏無所不能。電影裏的hacker上到遙控衛星導彈，下到控制紅綠燈，短短几秒鐘，就能改天換地，簡直就是現代世界中的魔法師！
但電影畢竟是電影，現實世界裏也看不到魔法，那麼現實世界中的hacker究竟幹些什麼呢？諸君看到這裏，想必心中各有答案。姑且聽聽個人見解如何？在中學時代看電影《hacker帝國》時，咱們心目中的hacker是一羣人機合一的傢伙，在計算機的世界裏他們就是神；在研究生時代，一位老師認爲hacker是爭奪CPU使用權的人，由於控制了CPU就控制了一切；在網絡安全這個行當裏工做十二年以後，我愈來愈以爲hacker就是一名身份大盜，或者說hacker就冒用身份的人。
爲何那麼說呢？由於hacker***的共同特色都是要在系統中進行不符合自身身份的操做。這麼說有點繞口，換個說法就是hacker作不了系統中全部用戶能作的事以外的事。感受這個解釋更繞了。咱們來舉例子吧，例如：一個數據庫管理員可以對數據庫進行增、刪、改操做，那麼hacker能幹的事最多與該管理員同樣，不可能幹得比他多，若是該hacker還經過數據庫得到了操做系統shell，那麼他能幹的事也不會超過administrator。也就是說不論hacker從什麼方向來，目的是什麼，他中間必需要冒用別人的身份（即使新建用戶也是假手於人）。
上述說法好像與我研究生時老師的觀點同樣（hacker是CPU搶佔者），但若是咱們將社會工程***包括在***測試內的話，我以爲個人說法更全面一些。畢竟不是全部***都須要跟計算機打交道，何況即使是美國***測試標準中，也不是每一個步驟都須要搶佔CPU的，例如：偵查階段。
那麼我對hacker的說法就恰當嗎？先放一放這個問題，我來解釋一下如此理解hacker帶來的好處。就目前我所知的網絡安全世界裏充斥着各類技術、框架、語言、漏洞等等，其中任何一項拿出來都夠我研究不少年。例如：單說web***一個方向，其中涉及的諸如HTTP、HTTPS、PHP、SSL、CA、瀏覽器、Apache、Kali Linux等等，我上面所寫的每一個詞後面都是若干本書，要搞懂全部東西談何容易？對於絕大多數人來講，這都是學海無涯的絕望，根本就談不上hacker彈指之間改天換地的瀟灑。既然窮盡不了，就要設定目標，屏蔽干擾。學海無涯，燈塔是岸！我找的這個燈塔就是hacker的定義。假如咱們所作的一切都是爲了冒用某個身份，那麼你天然知道在偵查階段應該尋找什麼信息，你天然理解爲何要提權，你天然理解後門的重要性，你天然理解消除痕跡的必要性等等，這樣理解使以前另我眼花繚亂的各類腳本、模塊、漏洞、shell它們之間有了某種聯繫。這就是個人handler。
聽我胡扯到如今，諸君可有想法？那麼我對hacker的說法就恰當嗎？諸君對hacker又有什麼見解呢？歡迎留言交流！