专访：天才黑客Gabriel Bergel的黑客人生

专访：天才黑客Gabriel Bergel的黑客人生，Gabriel 可以算得上是信息安全界的摇滚明星了，除此之外，他还是一个崇尚维京文化（Viking）的半机械人。他十分热爱维京人的文化，并且他还在自己的双手中植入了两块电子芯片。

GabrielBergel（@gbergel）算是去年黑客圈内最具天赋的黑客之一。接下来，让我们一起来了解一下 GabrielBergel 吧！

Gabriel Bergel 简介

Gabriel 可以算得上是信息安全界的摇滚明星了，除此之外，他还是一个崇尚维京文化（Viking）的半机械人。他十分热爱维京人的文化，并且他还在自己的双手中植入了两块电子芯片。身兼数职的他，是“8.8 计算机安全大会”（@8dot8）的创办者和组织者，安全服务提供商 Dreamlab（@hacking4def）的总裁兼 CSO，安全组织 ElevenPaths（?@ElevenPaths）的 CSA。除此之外，他还是巴西科洛科洛足球队（@colocolo）的忠实粉丝。

毫无疑问，你是目前世界上最具天赋的网络安全专家之一，你是如何一路走来成长为一个如此厉害的黑客的？你是什么时候开始学习黑客技术的？

首先，非常感谢你的提问。我认为我只是一名普通的黑客，我对黑客技术非常有激情和动力。当我还是一个小孩的时候，我就开始研究这些技术了，可能主要是因为我以前比较爱玩游戏机的原故吧。我的第一台游戏机是 Atari2600，第二台是 Atari800 XL。慢慢地我也逐渐长大了，到 1990 年，我得到了一台 286 笔记本电脑（黑白屏幕），而正是这个时候，我才真正感受到了自己对计算机的热情。我一开始学习的是电气工程学，但是学了一段时间之后我发现自己对这方面并不感兴趣。于是乎，我打算研究一下系统工程学。说实话，我觉得自己从来都不擅长编程，可能这就是我喜欢信息安全的原因吧？哈哈！(话说，学信息安全不是更应该要编程能力吗？)

一般来说，所有学习系统工程专业的人出来都会被贴上“程序员”的标签，而在我完成了系统工程专业的学习之后，我开始对数据网络、路由和交换机等领域产生了兴趣。正是那个时候，我开始仔细研究这些设备，然后尝试从通信网络和 Web 中发现一些有意思的东西。大概在 2000 年左右，我才正式踏足黑客领域。

在你的黑客生涯中，你所遇到过的最困难的挑战是什么？

我曾经遇到过几次技术方面的挑战，但是我认为最困难的地方并不是技术层面上的东西。我当初创建 8.8 计算机安全大会（www.8dot8.org）的时候，我还记得第一届大会是在智利举办的（此后大会也在拉巴斯和玻利维亚等地举办过，明年将在秘鲁首都利马举办）。经过多年的努力，这个技术大会已经成为了很多人所向往参加的大会了。但是在 2011 年这个大会首次举办的时候，由于此前没有多少类似的会议可以供我们参考，所以大会也出现了很多的问题。

一开始，我们还在担心是否可以申请到一个场馆来举办会议，之后又在想是否有赞助商愿意赞助我们。警察是否会同意我们举办大会？普通民众是否可以参与呢？到底会不会有人来进行技术演讲？我们是否应该在会场提供免费畅饮的啤酒呢？这一大堆问题当时确实让我们焦头烂额。但是，当我们的大会有四百多号人参与的时候，当各大电视台在黄金时段播放大会报到的时候，当人们开始拥抱我们并询问明年大会何时举办的时候，我意识到我们成功了，这也让我拥有了无比的成就感。

在你看来，哪四款工具是黑客手中所必须的？理由是什么？

1. 头脑和智慧：虽然现在黑客工具越来越多了，我们可以使用这些工具来轻松达到我们的目的。但是对于一名真正的黑客来说，他的智慧和头脑才是最关键的东西。因为一名黑客是否合格，主要取决于他的观念、策略、毅力、态度和道德等因素，这些特质是每一位黑客都应该具有的。因此，我认为这些“软技术”比任何的黑客工具和攻击技巧都要重要。不过别担心，我认为这些东西都是可以通过后天的学习来获取。

2. Nmap：我不确定自己是否属于老旧的学院派。但是，这的确是一款非常基础的工具，而且它也是黑客工具中最出类拔萃的。而且对我来说，进行端口扫描是日常工作中最基本的一项任务了。它包含有很多的功能选项和脚本，它是一款非常灵活的、强大的、便携的、易于使用的免费工具，而且 Nmap 的开发人员还提供了非常完整的操作文档。

3. Kali Linux：在我看来，它就是黑客工具中的“瑞士军刀”，Kali 配置了超过 600 种黑客工具，而且都是免费的。它已经为我们搭建好了一个安全开发环境，而且其中的数据包和代码库都已经使用 GPG 进行签名。该系统支持多种语言，用户完全可以对该系统进行定制化修改。

4. Spiderfoot：虽然这种类型的工具目前有很多，但是我独爱这一款。SpiderFoot 是一个免费的、开源的网站信息收集工具，你可以根据指定域名获得信息，如网站子域、电子邮件地址、Web 服务器的版本信息等，它可以帮助渗透测试人员自动化的实现网站的信息收集和资源探测等工作，可以提高我们的工作效率。SpiderFoot 采用 Python 语言编写，可以运行于 Linux 和 Windows 系统上。所以我强烈建议各位使用这款工具。

你认为目前互联网上最有趣的黑客社区是哪一个？

在我看来，目前互联网上最有意思的三大黑客社区是三个西班牙网站。第一个就是 ChemaAlonso（好友兼上司）的博客（http://www.elladodelmal.com），这也是我长久以来一直在关注的一个博客。该博客包含有很多有价值的信息，还提供了很多免费的电子书、视频、大会报到以及各种关于信息安全和黑客技术的文章。第二个黑客社区就是 Dragonjar（http://www.dragonjar.org），这是我另一个朋友 Jaime Restrepo 创建的，该网站也是拉丁美洲地区最大的安全社区。与 Chema 的博客一样，这个网站也提供了很多有价值的安全新闻、技术文章、以及黑客大赛的详细内容，它甚至还举办有自己的黑客大会-“DragonjarCon”。第三个就是 SBD（http://www.securitybydefault.com），它与之前两个网站非常相似。

我想要强调的是，这些都是技术网站，它们提供了高质量的信息，这些内容会进行动态更新，学习这些网站中的知识可以让你快速成长，而且有很多信息安全专家都是从这些网站中走出来的。

你认为目前哪一个领域更加容易受到黑客的攻击？理由是什么？

对于现在的网络犯罪分子而言，最大的驱动力就是金钱。所以它们肯定会选择最脆弱的目标来进行攻击。很明显，银行和金融行业是最容易得到金钱的目标。虽然这两个目标是最容易受到攻击的，但也是安全实践最为规范的。为了防止网络攻击，银行和金融公司会在安全防护技术和安全管理流程等方面投入大量的资源。但是，与这些行业有关的其他部门却不会频繁遭受攻击，而且他们也不会在安全保护上下功夫，例如零售行业、酒店餐饮和汽车租赁（含出租车）等部门，往往会放松警惕。需要注意的是，这些行业与银行一样，需要涉及到支付手段和信用卡的使用，所以它们很有可能会成为黑客在下一阶段中的首要攻击目标。