..eWeek实验室的Openhack项目旨在帮助电子商务在复杂、异构的计算环境中更好地工作。Openhack是去年的交互式Hackpcweek.com测试的一个演变,在该测试中,我们将Linux和Apache Web服务器与微软公司的WindowsNT和Internet信息服务器4进行了比较,以了解在敌对的Internet环境中,每个服务器的情况如何。使用Openhack,我们将采取互动测试的概念向前迈进一步:我们邀请黑客在Openhack.com网站上拍摄他们最好的照片。检查这些攻击的数量、类型和目标将使我们能够衡量模拟电子商务环境中各种计算平台的安全性和脆弱性。
该项目的公共Web服务器是www.openhack.co,在那里您可以找到最新更新的日志。开放式设备的IP范围从38.144.1622.2到38.144.162.15-在那个空间里的任何东西都是公平的游戏。这是对黑客的公开挑战,我们已经提高了难度和奖励。破解Openhack.com将返还500美元不等的赏金,从破坏Web服务器的500美元到破坏电子邮件服务器的1500美元不等,再到破解数据库服务器的2500美元不等。对于DDoS(分布式拒绝服务)攻击不会给予奖励,这些攻击通常被用作转移注意力的策略。这个项目始于6月26日,目的是为eWeek读者提供尽可能多的信息,以在严密的安全和开放的通信之间取得正确的平衡。因此,在颁发奖金之前,我们必须得到关于成功黑客是如何进行的(包括任何使用的代码)的详细信息。这些细节和对项目结果的分析将发表在今后一期的eWEEK上。技术和商业实践的出现增加了最先进的电子商务网站的复杂性和脆弱性。这反映在更加复杂的Openhack环境中,我们不是把重点放在一个平台的安全性和另一个平台的安全性上,而是测试不同平台在安全环境中的共存程度。openhack.com包含多个子网,用于托管电子邮件和目录服务、电子商务应用程序和后端企业级数据库。服务器农场大量使用的是SunMicrosystems公司的硬件和Solaris操作系统,以及Linux、OpenBSD、NT和Windows2000。康柏电脑公司和戴尔电脑公司也提供了服务器。Openhack网站实际上位于PSINet公司的多伦多数据中心。我们建立了该网站与顾问来自GuardentInc.,一个纯游戏互联网安全咨询,评估和管理服务公司,总部设在沃尔瑟姆,马萨诸塞州。此外,Sun和微软的安全专家也在现场协助加固各自的操作系统。护卫顾问协助加强了开放源码操作系统。Openhack网站主要是由AxentTechnologiesInc.的猛禽防火墙加固的。为了确保该网站能够抵御不断的攻击,防火墙已被集群使用负载平衡硬件来自Radware Ltd.我们将使用互联网安全系统公司的RealSecure5入侵检测系统在防火墙外。我们强大的防火墙集群背后有三个攻击目标。首先是Web服务器,运行Mandrake Soft的Linux,Mandrake和ApacheWeb服务器..我们将使用Axent的NetProwler入侵检测系统来监视Web服务器子网上的活动。第二个目标是一个电子邮件子网,承载在Windows2000高级服务器上运行的Exchange2000的最新版本。(对于即将发布的消息传递平台来说,这次测试将是一次火洗礼。)由于Exchange2000使用微软的ActiveDirectory作为其目录服务,我们将在Exchange子网中有一个单独的Advanced Server系统托管一个ActiveDirectory树。最终目标是运行在Sun企业E4500服务器上的Oracle8i数据库。该服务器正在运行Solaris8操作系统,并在其前面添加了OpenBSDIP过滤器的保护。一个网络飞行记录器入侵检测设备将监视这个子网。这次Openhack测试将持续到7月21日,或者直到所有的奖金都被支付出去。我们将捐出2,500美元用于成功记录的入侵。在多次提交同一类型的裂纹的情况下,第一次通过电子邮件发送给我们的书面提交将获胜。
