你會聘請一位有案底的電腦駭客來管理公司網路嗎?

在一場小組座談會上,支持和反對者演出火爆的唇槍舌戰,意見嚴重分歧。 




「怎麼對股東解釋,公司將聘請坐過牢,而且不止一次,而是多次入獄的罪犯,來監督公司的網路?」惠普公司首席安全策略師Ira Winkler說。他主張,駭客不但引進不了任何特別的安全知識,而且還會帶給受雇的公司無法讓人消受的風險。

這個問題影射的駭客是Kevin Mitnick,他曾因多次電腦犯罪確立而被補入獄。如今,重獲自由的Mitnick是RSA安全會議的座上賓,他聲稱,駭客是可以僱用的,但事前應經過仔細的評估。

「我認為那視個人的情況而定──他們會貢獻什麼樣的價值,」他說:「值得信任與否,必須依據個別情況評估。」

這場爭論反映出安全業者對自己過往歷史的不安。有些安全專家從公家機關或學校習得安全技能,但另有許多今日的安全顧問和研究人員,以前也當過駭客。常常,這些人也許未涉及任何不法行為,但有些犯罪者只是沒被逮到罷了,Mitnick說。

「這一行許多現在備受尊敬的人,以前也幹過駭客行為──我曾和其中若干人談過往事,」Mitnick說。現在擔任安全顧問的Mitnick表示,企業直到今天仍想掩飾那個事實,「他們站在高高的階梯上宣稱不聘用駭客,但事實上他們已經這麼做」。

Mitnick因電腦犯罪於1995年2月遭逮捕,入獄服刑將近五年,出獄後有三年的時間在使用電腦方面受到限制。現在,他評論電腦安全性、寫了一本書,並創立自己的安全公司,稱為Defensive Thinking。

許多安全專家不相信駭客能貢獻些什麼。例如,國際資訊系統安全認證協會(The International Information Systems Security Certification Consortium),也就是掌管「專業認證資訊系統安全」(Certified Information Systems Security
Professional)證書的機構,就不准會員和駭客稱兄道弟。

Winkler看法類似。這位安全專家質疑,一個非法入侵他人電腦網路罪證確鑿的犯人,如何能洗心革面到讓人百分之百信任的地步,而系統管理員正是獲得絕對信賴的職務。

「駭客犯罪的原因,是因為他們已合理化犯罪行為,」Winkler說:「我聽說(Mitnick)把竊聽電話稱為一項嗜好。那不是嗜好,而是犯罪。」

信賴 vs 技能

美國司法部智慧財產部副主管Christopher Painter和其他討論會成員也同應,犯過電腦罪行的駭客行為不負責任,因此值得懷疑。他說:「駭客的行徑顯示對別人的權利和財產不尊重。那麼,叫我如何能把我王國的錀匙託付給他們?」

擔任Mitnick案起訴檢察官的Painter強調,聘請駭客徒增安全性的風險,恐怕不是企業願意承擔的。

但是,曾擔任駭客委託律師的史丹福大學網際網路與社會中心主任Jennifer Granick說,駭客從實務中學習,通常獲得別人所缺乏的技術與知識。

Granick說,從事某些維護安全的活動,需要從駭客的角度來思考。「就電腦安全性的某些方面而言,是需要思索防範之道。你必須預判駭客可能有哪些舉動,才能防患於未然,」她說。

她強調,聘請曾經幹過電腦犯罪的人,不表示獎勵犯罪行為。她說:「駭客犯罪時的思考方式與常人無異,那就是:『我不會被抓到。』」

就連Winkler也承認,他僱用了所謂有道德駭客組織Ghetto Hackers的數名成員。但他說,該組織並不支持非法入侵行為,而且在現實世界具有合格證書。

「我聘用人是看履歷表,不是看犯罪記錄,」他說。

雖然許多人承認自己是舊學派的駭客,也就是純粹喜歡玩弄科技而已。但現在所稱的駭客,通常被視為入侵他人系統者。

Mitnick說,即使是犯過罪的駭客,也可能改過遷善,希望對加強安全性貢獻自己的一份心力,而不是想破壞安全性。這就像許多已戒毒的人士在恢復健康之後,願意以過來人的身分,提供吸毒者建議一樣。

但司法部的Painter說,Mitnick的比喻不當。他說:「那不是請吸毒成癮者擔任輔導員,而是請他們擔任藥劑師。」


嗯嗯.... 的確是得承受"超大"的風險= =

不過誰會比駭客更了解自己作案手法?習慣?
arrow
arrow
    全站熱搜

    ozaki1024 發表在 痞客邦 留言(9) 人氣()