黑客：内幕交易新势力

                                2015年09月21日 04:20 国际金融报 

　参与内幕交易的华尔街交易员从家中被带走

　帕拉纳面包公司　

美国证监会

            东欧黑客: Ivan Turchynov

 超级电脑黑客 —— 未来超限战争中

       —— 杀手之锏  军中瑰宝  国之利器

　因为技术，他们成为黑客；因为金钱，黑客变得更黑。

　黑客的世界究竟有多黑？

　欲望有多大，就有多黑。

　一拨来自东欧的黑客与华尔街交易员，里应外合，窃取新闻机构的上市公司财报，获取暴利，内外勾结，利用金融系统，洗钱分赃，长达5年之久。

　“32个人，5年内，盗取15万新闻公告，精选800份，从股市牟利上亿美元。”

　股市是信息不对称的博弈，总有人动歪脑子，比方说，内幕交易。近日，美国证券交易委员会（SEC，下称“美国证监会”）破获一起交易员与黑客勾结，盗取上市公司信息的内幕交易大案。

　案情曝光，美国上市公司惊魂难定，有企业在脸书（Facebook）上打趣，“美国资本市场有三类公司：一种是被黑过，一种是不知道自己被黑过，还有一种是不承认自己被黑过。”

　为了清晰、全面地了解这一“互联网+”内幕交易，我们从帕拉纳面包公司说起。

　2小时获利100万

　交易员Dubovoy向黑客提交一份“采购”清单，“帕拉纳面包案季报”赫然在列，黑客利用SQL注入技术入侵新闻机构的数据库，很快得手。当天，Dubovoy利用该财报做空帕拉纳面包股票，2小时获利100万

　2013年10月22日上午9时04 分，帕拉纳面包公司 （Panera Bread ）上传最新季报给Marketwired，尽管公司利润与华尔街此前的分析一致，但由于公告里面还将提到因到店顾客数减少、人工及食品成本上升，公司会下调第四季度的收入预测。

　按照美国《证券法》，所有的新闻社必须同时公布季报等事先计划的重大消息。为了能做到同时公布，新闻社都事先取得这些季报或者并购消息，然后在事先约定的同一时间向市场发布。因此一旦下午四点股市休市后发布公告，公司第二天的股价可能就会下跌。

　10月3日，Arkadiy Dubovoy 已经为此提前准备。Dubovoy 是一家名为APD Developers 的商品房开发商老板，但是他本人还控制着嘉信理财、E-Trade、Fidelity、美林证券、宏达理财等多家大型投行的经纪账户。

　在此前的沟通中，他已经向黑客列出了自己的 “愿望清单”。这一天，他收到了一封空白邮件，邮件的附件里包括了一张电子表格截图，截图上面显示了18家上市公司的信息，以及预计发布收益情况公告的时间，帕纳拉面包公司赫然在列。

　一名乌克兰黑客接下了这个单子。他利用SQL注入技术入侵了Marketwired等新闻机构的数据库。交易员提供愿望清单后，黑客就会在上市公司上传新闻公告给新闻机构后窃取清单中所列公司的信息，并在公告发布前提供给这些股票交易员。所以，Marketwired 收到季报后不久，Dubovoy 等人也拿到了。

　由于季报包含有对帕纳拉面包公司股价不利的信息，在当天下午2点到4点间三人开始做空帕纳拉面包公司的股票共超过10万股。下午4时05分，帕纳拉面包公司收入公告公布，公司股价果然应声下跌。但 Dubovoy 等3人一个下午就收入了将近100万美元。

　5年盗取15份资料

　交易员自2010年起，透过电邮向黑客提供“愿望清单”，黑客按指示前后窃取逾15万份资料，获利最丰的交易员收入高达1700万美元

　从 Panera Bread（帕纳拉面包公司）公告被窃案中，大概能够了解这种作案的手法和过程。

　这群黑客主要居住在俄罗斯和乌克兰，双方通过电子邮件和聊天工具沟通。按照起诉书的说法，这伙人在沟通中甚至对自己的行为毫不掩饰。比方说，2012年，一位被起诉的俄罗斯黑客直接在聊天软件里面说 “我正在黑prnewswire.com”。

　根据法庭文件的披露，此次涉案的人达32人，作案的时间跨度达5年之久，根据联邦起诉书和SEC指控内容，黑客的攻击对象包括美通社协会有限公司（PR Newswire Association LLC）、Marketwired和美国商业资讯（Business Wire lnc.），而美国商业资讯还是伯克希尔·哈撒韦的子公司等新闻机构的15万份新闻公告，涉及美国银行、卡特彼勒、高乐氏、惠普[微博]等30多家公司。但是为了掩人耳目，涉案的交易员仅从中选择了800份公告作案。

　这些交易员自2010年起，透过电邮向黑客提供“愿望清单”，包括上市公司资料及公布业绩时间表，黑客按指示窃取后，把稿件转发至秘密网站，供交易员提前浏览再进行买卖，前后涉及逾15万份资料。交易员快人一步取得企业敏感资讯，进行股票、期权及其他证券交易，获得巨额利益，再传入离岸空壳公司及爱沙尼亚、澳门等地的银行账户，并与黑客瓜分，提供信息的黑客按固定费率从非法交易的获利中提成。其中50岁的避险基金经理及摩根斯坦利前员工 Vitaly Korchevsky 获利最多，将近 1700 万美元。

　“被告人是有良好组织的团伙，非法进入新闻社和他们客户的电脑系统。用史无前例的黑客和交易手段投资公开市场进行证券欺诈。”检察官保罗·费雪曼(Paul J. Fishman)在发布会上说，“这些人对三大新闻社发动一系列精细的网络攻击，窃取了极为机密的商业信息，并且以这些公司和他们股东的损失为代价获取暴利。”

　此次受害的新闻社除了专发财经信息的通讯社美通社，更有隶属于“股神”沃伦·巴菲特伯克希尔·哈撒韦公司的商业新闻社和加拿大的市场新闻社。根据司法部的调查，美通社的网络安全人员每次都觉察到了黑客的入侵，并及时反应，只是每次猫捉老鼠的游戏都以黑客在逃走前得到了商业机密而告终。商业新闻社则是因为恶意软件有超过200名员工的用户名和密码泄露，造成黑客冒充新闻社的编辑人员接触敏感信息。市场新闻社则是因为网站软件漏洞被黑客成功地利用名为SQL Injection的攻击手段建立了一条远程登陆通道，从而随意进出系统。

　两类黑客手法升级

　一拨黑客专门攻击企业电子邮件帐号，获得关于并购和其他市场动向的机密信息；另一拨黑客给ATM取款机安装恶意软件，让取款机变傻，“取款100卢布(62.402, 1.2500, 2.04%)，但出来的金额是5000卢布”

　当然，不仅股票证券市场受到黑客们的青睐，其他领域也正在遭受黑客们的“频频光顾。”

　信息安全公司FireEye报告称，自2013年年中以来，一个名为“FIN4”的黑客组织尝试攻击了超过100家公司的电子邮件账号，试图获得关于并购和其他市场动向的机密信息，攻击目标包括超过60家上市公司，这些公司来自生物技术和其他医疗健康领域，例如医疗设备，以及医院设备和药品等。

　消息人士称，美国证监会已要求这些公司提交关于信息安全攻击的数据。此外美国证监会也希望了解，黑客如何通过“鱼叉式钓鱼”等方式获得这些企业员工的电子邮件密码。

　斯塔克表示，他已见到过美国证监会向这些公司索取信息的文件，但并不清楚这一调查的范畴。

　“FIN4黑客可能来自美国或欧洲，因为他们的英语非常流畅，并对金融市场和投行运作有着深刻的理解。这些黑客瞄准医疗和制药公司是由于，这些公司的股价波动很大，因此更容易通过内幕消息获利。”FireEye表示，“这些黑客使用虚假的微软[微博]Outlook登录页面来欺骗企业高管和顾问，以获得他们的用户名和密码。”

　FireEye安全威胁情报经理劳拉·加兰特(13.2813, 0.1983, 1.52%)(Laura Galante)表示：“非常狡猾的一点是，他们将自己置入电子邮件讨论之中，从而获得遗漏的信息。他们确实非常了解自己的目标。”

　还有一类黑客，专门攻击银行系统。

　一个来自俄罗斯和乌克兰的黑客团伙也逐渐进入了警方的视线，该团伙专门入侵银行等金融机构并给ATM取款机安装恶意软件。该团伙的成员使用Carberp木马的变种盗取了俄罗斯银行200万美元的资金，他们之中8人曾经在2012年因使用该木马盗窃而被捕，但是据说仅仅在出狱几小时后，他们又开始重新策划实施犯罪。

　大多数的网络金融攻击都是盗取用户银行卡里的资金或者攻击用户的网上银行，像这伙人一样专门入侵银行，然后用巧妙的方式盗走资金的实属罕见。根据Fox-IT和Group-IB这两个机构发布的报告，这个团伙目前已经从东欧的各大银行盗取了1500多万美元。他们的攻击手法一般是这样的：首先利用office软件的漏洞给各大金融机构发送包含恶意软件的钓鱼邮件，一旦有机器中了恶意软件，他们便以此机器作为跳板渗透到银行内网。他们的目标一般是ATM取款机，修改取款机的程序，让取款机能取出更多的钞票，“取款100卢布，但出来的金额是5000卢布”，目前能修改52种不同的取款机。据了解，目前该组织已经攻击了超过50家俄罗斯银行，这伙组织非常猖狂。根据调查，从踩点到攻击成功，平均只需42天。

　一场高成本执法行动

　美国证监会顺藤摸瓜，抽丝剥茧，从2010年一份黑客邮件入手，7名居住在美国的交易员最终在各自的家中被捕，2名在乌克兰的黑客也被国际通缉

　美国证监会早已对一个黑客组织展开调查，但是这一切并不容易。

　整个案件的“头”是一封来自乌克兰的电子邮件，发送者是一个年轻的乌克兰籍黑客，时间定格在2010年10月。这名黑客后来被发现正是本案主犯之一Ivan Turchynov。

　美国证监会指控，在逾5年时间里，黑客Ivan Turchynov和Oleksandr Ieremenko利用先进技术入侵新闻专线服务，通过使用代理服务器掩饰自己的身份，并冒充新闻专线雇员和客户，在数百家企业通过通讯社发布盈利公告前，窃取了尚未公开的重要信息。

　美国证监会还指控，Turchynov和Ieremenko创建了一个秘密的网络，将偷窃而来的数据传送给在俄罗斯、乌克兰、马耳他、塞浦路斯、法国以及美国的乔治亚州、纽约州和宾夕法尼亚州。内幕交易者们向黑客列出了一张希望窃取内幕信息对象的“愿望清单”，然后迅速通过黑客了解到的信息买卖股票并赚取利润。

　令人叹为观止的是，两名黑客还制作了视频教程，指导交易者如何使用其非法产品进行股票买卖。当业务越做越大后，两名黑客开始通过聊天工具和电子邮件“钓鱼”，企图吸纳更多的内幕交易者和黑客加入其中。

　一名消息人士表示，美国证监会已要求至少8家上市公司提交数据泄露事故的细节。此举表明，SEC对于美国企业和政府部门遭到的黑客攻击越来越关注。

　美国证监会互联网执法部门前负责人约翰·斯塔克(John Reed Stark)表示，这是首次就数据泄露可能导致内幕交易展开调查，“信息安全事故带来了一种非法内幕交易的危险新方式。”

　这种形式的内幕交易突破了传统案件中上市公司内部人员主动提前泄露商业信息的模式，这造成监管和侦察上更加困难。“证监会对新闻社没有司法管辖权。新闻社很难因为被黑客攻击造成商业机密泄露而负上法律责任。但是声望上可能造成的损失会促使他们改进系统。”阿萨勒律师说，“报社或电视台是私有企业，如果他们总是泄露敏感的金融信息，即使美国证监会不采取措施，上市公司也会追溯他们的责任，甚至起诉他们。”

　检方提出的起诉罪名包括证券欺诈、电信欺诈和洗钱等一系列罪行。美国证券交易委员会、联邦调查局和特工处都对案件展开调查。路透社说，这是一桩罕见的黑客行为和证券交易结合的案件，为已知最大的黑客所窃取信息最终用于内线交易的案件，也是美国检方首次因黑客窃取内部信息并实行证券欺诈提起刑事诉讼。先前，美国证券交易委员会在少数民事案件中起诉过黑客。

　此次7名居住在美国的交易员在最终在各自的家中被捕，2名在乌克兰的黑客也被国际通缉。美国证监也对这9名利用黑客手段的嫌疑人同时提起民事诉讼，并对其他相关人员提起民事诉讼，总共起诉了遍布全球的17人以及15家公司。在此宗案件中，被联邦政府控制的银行账户金额高达650万美元，同时还有价值550万美元的资产被查封，包括船屋、公寓大楼以及购物中心。

　此案中担当FBI特别探员的甫瀚咨询公司（Protiviti）的风险控制顾问彼得·格鲁皮（Peter Grupe）表示，现在“内幕交易”正变得越来越复杂：“过去你要提防的是雇员在收发室里截取邮件，或是律师事务所中能够获取非公开信息的办事员，但现在你得防备世界上每一个地方的人。”

2015年10月19日 星期一

他曾是一名超级黑客，

一天终于被FBI发现了，

怎么暴露的呢？说来也很搞笑

• 2015-05-31 04:36 PM 

作为一个资深熊孩子，西恩・帕克（Sean Parker）在读高中时就已经战斗力爆表。

这家伙的课余爱好是攻击世界各地的网站。他甚至列了张清单，立志黑遍上面的所有国家。

对他干的坏事，家里人多少知道点，只是不知道有多严重——直到有一天，他老爸发现自己家被大批FBI特工包围了。。。。。。

特工们告诉他，他儿子攻击了多个政府和军事基地的网站。而当他们冲进学校找到帕克的时候，他还在听历史课呢。

熊孩子偶尔也会干干好事，比如捐了2500万美元成立斯坦福过敏研究中心

那他的黑客行为是怎么暴露的呢？说来也很搞笑。

身为一个天才黑客，帕克同学当然知道如何躲过监控。但有次他老爸早上5点起床，看到他还在上网，顿时气不打一处来，冲过去就把他键盘拔走了。

要知道当时帕克正在黑一个网站，要隐藏身份必须退出登录。但键盘都没了还怎么退出？结果FBI就这样追踪到了他的位置。

他的〝光荣〞事迹传开后，许多机构慕名而来请他开发软体，其中甚至包括中央情报局（CIA）。光高三那年，他就赚到了8万美金。

这时他结识了另一个熊孩子——15岁的天才黑客肖恩・范宁（Shawn Fanning）。他们俩一拍即合，开发了史上最早的盗版音乐分享网站Napster。

上线没多久，Napster用户量就突破了千万。网站上的盗版音乐让唱片公司损失了数以亿计的金钱。

整个唱片业都炸锅了，所有唱片公司都联合起来疯狂起诉他们。

虽然Napster最后被告倒了，但他们开创的P2P分享模式却彻底改变了音乐产业，将CD送进了坟墓。

Napster失败后帕克一度身无分文，每天睡在朋友家沙发上。女友曾劝他去星巴克端盘子。

休整了几个月之后，帕克同学又启动了下一个项目——通讯录应用Plaxo，并拿到了大牌投资机构红杉的钱。

这家公司虽然名气不大却影响深远。它的病毒营销技巧受到了社交网站的普遍借鉴，其中包括大获成功的Facebook和Linkedin。

公司业务走上正轨之后，帕克同学却开始掉链子了。他不但经常翘班，开会也经常迟到好几个小时。

最后红杉等投资人终于受不了了，联手把帕克赶出了公司。

在外面四处忽悠+鬼混的时候，帕克同学偶然遇上了Facebook创始人扎克伯格。

在他的帮助下，扎克伯格将Facebook建成了史上最成功的社交网站，而帕克自己也从中赚到了几十亿美元。

刚加入Facebook时，帕克自说自话在CTO莫斯科维茨的房间打了个地铺——没几天就被他女友赶出去了。

其实在创业前期，西恩・帕克是最了解Facebook真正潜力的人，甚至超过扎克伯格自己。

就在被帕克拉去银行开企业账户时，扎克伯格还想着开学就回哈佛上课。气疯了的帕克在银行里和他大吵了一架，看得银行副总裁目瞪口呆。

Facebook火了以后，帕克同学也终于找到了报复红杉的机会。在帕克的怂恿下，扎克伯格居然穿着睡衣去和红杉谈判，还在会上狠狠羞辱了他们的负责人。电影《社交网路》重现了帕克的复仇。

错过Facebook让红杉至少损失了50亿美元。

自己是个熊孩子也就算了，帕克同学找的老婆也很有趣。

他们俩经常玩各种奇怪的Cosplay，还把婚礼搞成了一场《指环王》的Cosplay Show。

为了营造出《指环王》中的氛围，帕克同学花1000万美元在加州的一处自然保护区搭建了庞大的婚礼舞台。

当然了，这种破坏环境的熊孩子行为立即受到了正义的制裁。加州海岸委员会给帕克同学开出了一张250万美元的罚单，真是可喜可贺。

上回书说到，跟上时代发展的脚步，

   做一名组织需要的流氓：

 黑客攻陷共青团资料库曝光

        〝五毛党〞信息 

•                         2015-05-25 06:31 PM 

• 

• 

• 

中国黑客近期在网上声称接连攻陷据称是上海和重庆共青团组织的资料库，对外曝光包括共青团中央要求各地高校组织网路宣传队伍，各种活动统计信息，以及网路宣传员个人资料等文件。

据网上星期天消息，网名为〝Xiaolan's Blog〞的网友发布〝重庆市共青团学校部邮件打包下载〞消息称，和上一篇差不多，这次是重庆的，时间跨度为2013年至今，包含网宣员名单、上级给的指令、各种活动的统计信息，还有一份对于重庆共青团组织意见报告会的录音文件。

这次曝光的有多份共青团中央向各省级团委学校部发布的文件，包括〝关于召开高校共青团网路新媒体工作推进会的通知〞、〝关于开展高校共青团网路新媒体应用影响力排行的通知〞等文件，对组建青年网路文明志愿者队伍，提高和加强各省级团委学校部、各校团委官方微信公众号排行榜、粉丝数、活跃度等，以及推送宣传社会主义核心价值观信息等等方面进行详细指导。

被曝光的还包括重庆许多高校主要是学生会干部的网路宣传员的基本信息登记表，其中有姓名、职务、QQ号、微信号和手机号码等。

此前，网名〝斌麟夜话〞的网友5月19日在脸书上表示，黑客团队攻陷五毛总站资料库，曝光五毛团体个人信息资料，〝打击了丧尽天良的五毛杂碎的嚣张气焰〞，并称团中央要求各省、直辖市和自治区团委胁迫大专院校学生进行网路谎言工作，〝对此表示强烈抗议！学生应该是学习，而不是被你们匪帮组织胁迫散布谎言的〞。

这次黑客攻陷的〝五毛〞资料库里最显眼的红头文件，是共青团中央2014年发出的〝关于做好高校共青团网路宣传队伍建设的有关工作的通知〞，要求各地高校组织网路宣传队伍，积极主动创发、转发评论内容，增加政治敏感性等。

这个资料库里的100份文档，还包括要求高校特别增加政治敏感性和鉴别力、针对有关不适宜公开发布的工作通知，学校在六四期间排摸学生思想动态和活动，以及建立全国高校共青团网路宣传工作组QQ群等方面的通知和指导等。

其中，东华大学今年4月4日的《网路舆情报告》，内容涵盖军事、政治及商业活动，如中国海军护航舰编队赴叶门、缅甸总统特使就缅军机炸弹致中国边民伤亡事正式道歉、习近平提出筹建亚洲基础设施投资银行、苹果推出〝以旧换新〞政策等，内容很广。

此外，文档中还有上海大学防范六四期间学生思想动态的简况。文件称，根据团市委学校部的紧急通知和有关工作要求，〝我校第一时间了解和排摸了六四期间学生的思想动态和集体活动情况〞，〝同时做好网路舆情监控，对人、对微博、对乐乎论坛（上海大学师生论坛）进行密切关注，及时跟踪〞。

同时，上海各大院校主要是学生会干部在新浪、腾讯及QQ注册的微博、微信用户名，以及真实名字及手机号码，也赫然在列，其中包括上海政法大学、上海外国语大学等。

记者星期一下午按照曝光文件上的名字和电话拨打团中央学生部的电话，接电话的男子表示电话是学生部的，不过称记者要找的人不在办公室，而且该男子不愿对重庆、上海共青团组织资料库资料被曝光一事加以评论。

许多网友表示，共青团中央在任务主要是学习的大学生中，招募和组建试图影响社会舆论的〝五毛水军〞，专门替当局说话，甚至有时是说谎话的做法是不道德的。对此，网路作家、时事评论员田奇庄表示认同。

他说：〝它这里头有好多，是利用经济手段，引诱学生说他们并不是心甘情愿的话，我觉得这确实是很不道德的。〞

曾做过记者的田奇庄表示，当局近年来下功夫组建希望能够影响舆情、发表尽可能对官方有利评论的全职或兼职的网路评论员和网路宣传员队伍，即网民所指的五毛，这是中国社会特有的一种社会现象，但实际效果不一定有效。

他说：〝这个已经成为非常严重的一种社会现象了。一件事出来以后，社会上有各种不同的反应，这是正常的。结果你非要控制这个舆情，引导这个舆情，而且想法儿改变舆情，这种做法很蠢，因为这不可能改变。现在大家都很明智，都能比较轻松容易地获得信息。你越是组织这样的东西，大家越是反感。〞

据报道，目前中国大陆有近6亿5千万网民。据香港明报4月6日报道，一份据称是共青团中央的文件显示，团中央决定成立青年网路志愿者队伍，目标是全国超过1050万人，高校是招揽重点，其中香港中文大学深圳分校被分配的名额是100人，广州中山大学则高达9000人。

这份编号为〝中青发（2015）9号〞的文件要求，各省、市、县团级团组织参加〝青年网路文明志愿者〞行动的人数，原则上不少于该地团员总数的20%，且须覆盖到每一个班级团支部。

另据报道，一份官方文件透露，长沙市委外宣办几年前选聘网评员，底薪600元，每发一帖给五毛钱，因此，这些网评员被网民蔑称为〝五毛党〞。此外，《环球时报》2010年1月曾发表北京学者张胜军教授的文章《〝五毛党〞帽子能吓住谁》，认为〝五毛党〞是编造出来的，是西方媒体对中国〝爱国网民〞的污衊，经过西方媒体热炒的〝五毛党〞一词，从开始的大帽子，逐渐成为对中国爱国主义挥舞的大棒子。

     非你莫属 — 超级黑客叫板互联网大佬

   如何成为一名优秀的黑客？

                                8 个回答

                   2014.10.25 11:33更新为一图流

目测会被压缩，备份了一份发博客了，大牛莫黑，原谅小菜，我不是装逼，只是想共享一点是一点，该黑的是那些毫无共享的商业狗，不是吗？
http://chinasiro.com/Hearts/Zhihu-Hacker.aspx

2014.10.21 12:57更新「关于技术」

优秀的黑客，因为梦想而活着的人。

当然不只是在信息安全，在设计、开发或者修自行车中，你也可能是个黑客。

在生活中的思维和行为也一定要黑客。

当然我所说的“黑客”是精神，而不是技能。

我决定很认真的回答这个问题，长期更新。

在共享的同时，也激励了自己。

「什么是他妈的黑客」

在这个名词泛滥的信息时代，盗号的可以称之为黑客，使用别人工具破坏的也是黑客，那么我是什么吗，或者说我们他妈的算什么。

有人说我们是黑客白帽，但也有朋友徘徊在黑白之间，WTF，明明一家人非扣个帽子，真心希望看过答案的人，把那些初入网络的脚本小子称之为小学生，骇客他们都配不上。

那么黑客到底他妈的有什么特征呢？

第一点，追随自由。

但这个自由在我的眼里应该是这样的「Freedom is not free」或者是「畏法度者最自由」

毕竟脚下踩着灰，吸着中国的空气，在为人民服雾的环境中，追随自由过头了就是犯罪。

自由，你可以编程，自由你可以像我一样去骂WTF，也可以去买些新的硬件，但不能伤人伤己…

第二点，懂得共享。

就目前国内环境而言，大部分社区和技术峰会，乱七八糟的会议和演讲，都是“伪共享”，不以共享为目的的技术交流都是耍流氓，对，耍——流氓。

为毛我要这样讲，你的母亲会教会你走路，不需要任何门票也不需要任何门槛，这是真正的共享。

听演讲需要门票，以共享为精神的社区却有着访问权限，我了个大操！你们真的明白什么叫他喵的共享？臭流氓！

再一个例子，就是我把这个字发到知乎，你点了赞，别人看到动态，发链接给别人，别人再转发，期间没有任何障碍。

这只是说共同特点，后面再详细讲。

第三点，痴迷技术。

互联网有着二十四小时运行的能力，人类也有着不同时差的情况，铸造出了一小群痴迷于此的黑客。

不停的利用互联网查阅自己感兴趣的知识，就像你在翻阅这行字一样，只不过他们更倾向于自己业内的事情。

程序员有过千辛万苦Debug的那一刻，设计师有过灵光一现，筷子掉在半空中—咻—稳稳抓住，心里痛爽一句“哥练过，酷酷的”。

痴迷到什么程度我不清楚，但我个人如果把自己所接受到关于此类的知识总结整理一遍，我只想到了万马奔腾！！脑袋真的会爆炸，可惜至今没兴趣把追求技术的心思，丢在某些用不到的学问上。

最后一点，梦想。

点燃手中的烟，抬头遥看远方，默默的念“是的，梦想”。

我一直坚持“梦想与金钱无关”的原则来做，在我看来但凡注重利益就一定会影响纯度。

想想几年后，你会因为今天的你，对互联网安全做出了贡献，没有赚取利润，而后悔吗？

我不会，我可以刷盘子可以学设计学开发，也不愿意去拿着技术去赚钱，我要保护好他，除非哪天逼不得已，需要拿我的梦想去养活更多有梦想的人。

接触这行十余年，发展比其他大牛慢，但我发现一个共同点。

大牛都是学院派，曾经都是别的行业。

而我们这些野生的，都是从小的兴趣，坚持走到今天。

所以一直讨厌某些大牛，技术好背景厚，但你们他妈的能不能别太商业化？！

本来好好的环境从04年开始逐渐变臭，铜臭味！

你们可以拿着技术当作饭吃，我们却只能拿着梦想当饭吃，当然我们吃的还他妈是精神食粮。

不过庆幸的是，我们已经想好了一个项目，理论上可以打击下目前的各种不够黑客的环境，预计明年中旬成熟之后才会上线。

今天就写这么么多，明天起来了再继续写下关于技术？关于生活和思维？

——2014.10.21凌晨1:12


中午睡前来一发，关于技术的吧。

第一点，我想提到的是「获取渠道」

小时候，我们的获取渠道是黑基那种站点上的视频，回首简直不堪入目，但是！但是！虽然层次不高，至少那个年代的我们，可以把自己懂的共享给别人，哪怕渣技术哪怕只是为了装逼也会投稿，好吧我就不吐槽这几年不断涌出的商业狗了。

根据我个人的获取渠道，有以下几点:

～RSS订阅
订阅各大漏洞平台，资讯站点，个人博客。
获取效率比自己手动打开网站要高很多。

～微博
恩，不得不提这的确是个双刃剑。
可以最高效的获取业界动态，甚至针对个人的动态。
悲剧的是像我这样的屌丝毫无存在感(′▽`〃)好吧，哥哥，我可以求个粉吗

～社区论坛
其实这是最不能的办法，因为你不能确保社区内容质量，更不能确定你是否有阅读权限阿。
╰_╯操他妈的社区论坛式的伪共享！

～朋友圈
这里当然不是说微信了啦。
人都有自己的基友阿，比如我大九区就很好啊，各有千秋的人聚在一起，偶尔喝个小酒，失恋了恋爱了群里聊聊天，当然技术也是如此阿。
太子狗T_T我辣么爱你，你竟然爱上了那个美利坚5555555

具体都需要订阅哪些RSS看你个人爱好啦，不然订阅了忽略而过就是浪费时间阿。

有了获取渠道，恩，该谈谈「学习方式」

针对不同的类别，都有不同的具体方式。

但唯独不会变的就是('∀`)坚持啦

好吧，上面那行对了一半，其实是(′ェ`)实战！

阅尽AV的目的还是在实战中找到自我～

做开发的有过，看十遍书不如做一次项目的感觉？

做设计的有过，想十个创造不如拿笔画一遍草图感觉？

做安全同理，但优秀的地方在于要分清什么情况下适合白盒战场和黑盒战场。

白盒是指自己搭建受攻陷的环境，指能够获取源码或者其他详细信息。

适用于，测试开源产品，0day，或者无法快速找到别人在用的漏洞。说个详细的，代码审计。

黑盒指你蒙着双眼去寻找G点，不知道目标使用的环境。

适用于，去挖掘厂商漏洞，或者说是商业产品的漏洞，毕竟开源已经很普及了。说个详细的XSS盲打。

其实有一个好的习惯就是，整理自己的文档，当你今后遇到同一问题的时候可以快速解决。

简单写这些，别笑，写成天书的你看不下去，所以我能写成这样，已经够了喂！明明就是个成天卖萌的暖男(○’ω’○)不过不至于看完连朋友都做不得吧。

有空写真正的精髓吧「思维和生活」

以上，更新于2014.10.21 12:57

我姓王、六爺、严桂峰 等人赞同

还不是一名优秀黑客，只是小白而已，但是也来回答一下，乘着我刚接触不久，码一下我的个人经验。

首先快速入门很重要，因为只有进了门之后你才知道这里面都有什么，你需要学习的是什么。

怎么快速入门？好吧，我也简单说说，关注一些大牛，像 @余弦@tombkeeper@黑哥@大风 等，关注一些你感兴趣的话题，一些主流的论坛（为了避免广告嫌疑不具体指出。不过不介意你关注我的博客http://hal0eye.com ），然后肯定会遇到一些不会的词汇，google+baidu吧，感觉百度百科有些东西讲的还是不错的,比如我就通过百度百科把基础的网络协议过了一遍，而我的入口仅仅是一个ping.当然还有书籍，我是搞web的所以推荐《web前端黑客技术揭秘》《白帽子讲安全》《黑客攻防技术宝典web实战篇》
实践是检验真理的唯一标准！实践真的狠重要，怎么实践？从最简单的sql注入开始吧，（当然我说简单，是相对那些小站防备不高的来说的），我最开始的时候直接关键词一搜一大把，不过请保持节操，进去看看，练练手就行了，不要搞破坏。要学会使用渗透工具，不要听那些天天鄙视工具狗的人的，要善假于物也，然后要弄懂工具的原理，可以慢慢来，不要慌，不急不躁多思考。

经过大量的实战之后，我想你再回过头去看那基本书的时候就不会那么云里雾里了。要有“卧槽，你说的好有道理的感觉”。

说到工具，多说几句，我入门的时候最开始是safe3,北极熊，jsky，之类的，现在的话有工具包，然后kali也用的越来越溜了。自己慢慢网上找吧。
以上都做的差不多了，就要停下来整理整理了，要形成体系，要有一套自己的思考方式，对于渗透的整个过程和思路都要有完整的认知。

要学会分配自己的时间，就是告诉你该翘课的就别犹豫，有的课真的是一文不值的说。

然后选个自己想深入的方向，所谓的T型人才，既要有广度，又要有深度。
乌云最近出来个乌云维基，上面总结的清晰明了：WooYun WiKi [WooYun WiKi]
最后介绍下自己:大三，接触网络安全将近4个月的时间，当然，我的专业是软件工程，有一定的编程基础，所以感觉学的快点,哈哈^-^!

---------------------------------昨天有人加我好友之后又问了我怎么学，所以再补充点吧--------------------------
首先要有自己的目标，比如我刚开始的目标就是随便黑一个试试，看看就行，记得第一次还是朋友给我找的一个任意文件上传的漏洞，然后传个大马上去了。虽然过程简短，没有想象中的难喝复杂，但是说实话，当我打开大马页面的那一刻还是非常刺激的，第一次吗，速度总是有点快的。

之后，我就立了短期目标，恩，就是把学校的站拿下几个，然后就要各种搜资料啊，（其实学校的站还是比较简单的，我拿下之后要么提乌云，要么提学校了，我是白帽^-^）.怎么搜资料？呵呵，你可以上乌云直接找找例子啊，不懂的在查资料，然后配合上面给出的工具么，最终我还是拿下学校的教务系统了。

为什么黑站？恩，其实就是为了练练手感吧，有时候也是为了找点乐子，恩！这是一种病，很多小站提乌云根本就是忽略，对于这样的厂商就权当给中国的网络安全做贡献了吧。

再后来，就慢慢的深入学习，如上所说的。

萧逸、丛亮、刘宇潇 等人赞同

居然是半个校友，说“半个”是因为我退学了╮(╯▽╰)╭

首先，你得成为一个“黑客”。

要记住，只有当真正的黑客们承认你是个“黑客”的时候，你才是个真正的“黑客”，而不是script kiddie。

• 关注技术，而不是结果。你可以黑掉了无数的网站，但你有可能依然只是个script kiddie；你可以没有任何“战果”，但是却有一群技术宅津津乐道你分享的技术；你可以脱裤出售，做黑产，发家致富，也可以研究攻击和防御的方法，让网络变得更加安全。

• 学会搜索，而不是无脑提问。用好搜索引擎，很多问题都可以找到答案，同时搜索引擎也是最好的黑客工具之一。

• 交流，而不是闭门造车。交流能获得更多的灵感，同时也能避免很多弯路。

• 思考，而不仅仅是学习。学习的是前人的经验，只有思考才是自己的，才能到达没有人涉足的地方，做到极致。

• 动手，而不仅仅是说说。Talk is cheap. Show me the code.

• 分享，而不仅仅是索取。当你从社区汲取营养的时候，别忘了回馈。
  

我能说的只有这些了，也许这些不全正确，但至少这是我的做法。
“黑客”是把事情做到极致的一群人，我还不够格~

庄飀 赞同

肯潜心研究和钻研深层次的东西，而不是那些表面上的东西，后者只能做个脚本小子。

周鹏龙、Z某人、俊逸 赞同

真正优秀的黑客不会想要盗取朋友的QQ。真是浪费时间。

真正优秀的黑客不会想要盗取男/女朋友的任何信息。这不能解决你们的任何关系。

真正优秀的黑客不会想要入侵学校系统。用黑客思维来努力学习提高成绩比使用黑客技术欺骗更好。

真正优秀的黑客不会想要入侵公司系统。这不能解决任何问题，找一个更好的BOSS更重要。

真正优秀的黑客不会想要偷窥隐私。主动认识自然会告诉你。

How to Become a Hacker  

http://www.wikihow.com/Become-a-Hacker

World War Zero: How Hackers Fight to Steal Your Secrets

http://time.com/2972317/world-war-zero-how-hackers-fight-to-steal-your-secrets/