绿盟安全月刊->第11期->业界动态 黑客的练兵场－－openhack.com

日期：2000-07-11

互联网安全是一个过程，不是产品。eWeek 实验室专门开设一个名为Openhack（公开攻击）计划，该计划是帮助电子商务在复杂的、变化的电脑领域里更能保护好自己。

　　Openhack是去年的交互Hackpcweek.com测试的一个演化。当时，黑客用Linux和Apache网络服务器对微软的Windows NT和互联网信息服务器4进行攻击。并想测试最严重的互联网攻击下，能发生什么情况。

　　在www.openhack.com网站上，攻击者可以随心所欲地对给目标进行攻击。而且www.openhack.com允许黑客攻击的IP从38.144.162.2到38.144.162.15。在些范围内，黑客们的所作所为都是一种游戏。黑客们可公开进行挑战。网站还提供不同难度的攻击及赌注。根据不同的侵入级数，黑客们可获得不奖励。如攻破了Openhack.com的服务器，可获得500美元的奖励；如对电子邮件服务器造成了危害，可获得1500美元的奖励；如进入了服务器的数据库，可获得2500美元的奖励。不过如采用Ddos（拒绝服务）程序，则没有奖励。

　　这个开始于6月26日的计划，其目的是帮助eWeek的读者尽可能知道高度保密和公开通讯之间的平衡点。而且eWeek在给黑客颁发资金之前，将获得黑客们的成功程度（包括他们使用何种代码）。而且这些结果及分析报告将在eWeek上公布。

　　在这次测试上，Openhack.com 有专门用于黑客的服务器，该服务器上有SUN微系统的硬件及Solaris操作系统，也有Linux、 OpenBSD、 NT 和 Windows 2000操作系统。康柏、戴尔都提供了服务器。

　　另外也从SUN及微软请来了安全专家，对他们的各自的系统进行现场加固。一些安全顾问也将协助对加强这些操作系统的防护。

　　Openhack 网站是由Raptor防火墙进行加固的。并在SUN的Ultra 10服务器上运行。为了能支持信连续的黑客攻击，防火墙还专门安装了硬件进行平衡。使用互联网安全专家的监测软件 RealSecure 5对黑客进行进行跟踪。

　黑客需要攻击三个目标：第一是网络服务器，服务器为MandrakeSoft的 Linux Mandrake 和 Apache网络服务器。这时该网站将使用 Axent的 NetProwler入侵监测系统对黑客在网络服务器子网的行为进行监视。

　　第二个目标是电子邮件服务器。使用的是Windows 2000的高级服务器的Exchange 2000。而且　在Exchange子网上有许多活动的目录。

　　最后一个目标是Oracle8i的数据库。它是在Sun的E4500服务器上。它有OpenBSD IP过滤器。此时将使用Network Flight Recorder（网络飞行记录）入侵监测系统对黑客在网络服务器子网的行为进行监视。