道德黑客可以幫助防止惡意黑客的攻擊

道德黑客通過(guò)在惡意用戶找到安全漏洞之前找到安全漏洞，為組織帶來(lái)價(jià)值。他們被尊重地看待是很自然的。然而，事情并不像看起來(lái)那么簡(jiǎn)單。道德黑客可能會(huì)受到法律訴訟，即使他們破壞善意的系統(tǒng)。

如果組織要求，道德黑客行為被認(rèn)為是可以接受的。但即便如此，它也不會(huì)使這種黑客行為免于法律訴訟。最不穩(wěn)定的是那些闖入未經(jīng)請(qǐng)求但有良好意圖的系統(tǒng)的黑客的立場(chǎng)。管理道德黑客的法律目前不充分且含糊不清。道德黑客的法律保護(hù)問(wèn)題需要得到認(rèn)真關(guān)注。需要確定工作范圍和其他法律規(guī)定。

什么是道德黑客?

所謂的道德黑客攻擊是指為了發(fā)現(xiàn)安全問(wèn)題而進(jìn)入系統(tǒng)的做法，但沒(méi)有任何惡意。道德黑客傾向于讓系統(tǒng)中的所有者或利益相關(guān)者知道他們的發(fā)現(xiàn)。道德黑客可以通過(guò)征求或未經(jīng)請(qǐng)求的方式開(kāi)展工作。組織正式請(qǐng)求黑客測(cè)試他們的系統(tǒng)，這種安排稱為滲透測(cè)試。黑客測(cè)試系統(tǒng)并通常在工作結(jié)束時(shí)提供報(bào)告。另一方面，未經(jīng)請(qǐng)求的黑客出于各種原因測(cè)試系統(tǒng)。對(duì)于黑客而言，被請(qǐng)求的黑客攻擊可能比未經(jīng)請(qǐng)求的黑客攻擊更危險(xiǎn)，主要是因?yàn)槲唇?jīng)請(qǐng)求的黑客缺乏正式批準(zhǔn)。(了解黑客入侵的5個(gè)原因，有關(guān)黑客攻擊的積極方面的更多信息。)

道德黑客行為是一種有益的預(yù)防性做法，經(jīng)常被征求意見(jiàn)。但是，道德黑客行為仍可能導(dǎo)致許多不同的問(wèn)題。例如，此類(lèi)黑客仍然可以允許惡意意圖在某個(gè)階段接管，而缺乏法律協(xié)議可能會(huì)導(dǎo)致混亂的情況。

道德黑客與法律 - 案例研究

從表面上看，道德黑客似乎是一種善意的做法，只能引起贊美和感激 - 這種情況并非總是如此。2013年，荷蘭議會(huì)議員(MP)面臨法律訴訟，指出醫(yī)療中心網(wǎng)站存在安全漏洞。國(guó)會(huì)議員已使用公開(kāi)的證書(shū)登錄醫(yī)療中心網(wǎng)站并偶然發(fā)生嚴(yán)重的安全問(wèn)題。當(dāng)國(guó)會(huì)議員將他的調(diào)查結(jié)果公之于眾時(shí)，醫(yī)療中心對(duì)他提出了法律指控。這一事件引發(fā)了許多關(guān)于道德黑客攻擊的不同問(wèn)題。國(guó)會(huì)議員不是專(zhuān)業(yè)黑客 - 遠(yuǎn)非如此，他甚至都不懂電腦。他使用互聯(lián)網(wǎng)上提供的憑據(jù)訪問(wèn)了該網(wǎng)站，并無(wú)意中獲得了對(duì)機(jī)密記錄的訪問(wèn)權(quán)限。為了讓醫(yī)療中心了解他的發(fā)現(xiàn)，他必須經(jīng)歷一個(gè)官僚程序。在評(píng)估形勢(shì)的緊迫性時(shí)，他通過(guò)媒體了解消息?？赡芸雌饋?lái)既有趣又忘恩負(fù)義，而不是承認(rèn)他的意見(jiàn)并感謝他指出安全漏洞，醫(yī)療中心決定起訴他。顯然，有很多關(guān)于道德黑客攻擊需要解決的問(wèn)題。為了愛(ài)黑客。)

道德黑客真的是道德的嗎?

從表面上看，道德黑客行為是一種有益于組織的道德行為。有許多黑客被征求或未經(jīng)請(qǐng)求，在有意圖的其他人找到它們之前，已經(jīng)在系統(tǒng)中發(fā)現(xiàn)了安全漏洞。大多數(shù)組織在內(nèi)部或通過(guò)雇用專(zhuān)門(mén)的黑客來(lái)實(shí)施道德黑客攻擊。但是，軟件安全性是一個(gè)龐大而復(fù)雜的領(lǐng)域，內(nèi)部測(cè)試可能并不總能揭示所有缺陷，尤其是在處理敏感數(shù)據(jù)(如財(cái)務(wù)或國(guó)防數(shù)據(jù))的大型復(fù)雜應(yīng)用程序的情況下。在這種情況下，您需要專(zhuān)門(mén)的黑客來(lái)發(fā)現(xiàn)安全漏洞。話雖如此，黑客決定了黑客的道德規(guī)范。要理解這一點(diǎn)，請(qǐng)考慮以下問(wèn)題：

如果道德黑客在黑客工作過(guò)程中執(zhí)行不道德的行為會(huì)怎樣?例如，如果荷蘭議員出售機(jī)密數(shù)據(jù)而不是指出安全漏洞怎么辦?

被請(qǐng)求的黑客可能會(huì)超出工作范圍并冒險(xiǎn)進(jìn)入根據(jù)協(xié)議不允許的軟件部分。

上述情景并非超出可能性范圍，它們?yōu)槲覀兲峁┝藦?qiáng)有力的理由來(lái)實(shí)施強(qiáng)有力的法律框架來(lái)管理道德黑客行為。

道德黑客是否需要法律保護(hù)?

毫無(wú)疑問(wèn)，道德黑客攻擊對(duì)組織有益。不需要為道德黑客提供法律保護(hù)，而是需要通過(guò)定義雙方工作范圍，角色和責(zé)任的重點(diǎn)法律。法律應(yīng)解決以下問(wèn)題：

道德黑客的定義

道德黑客行為只有在正式征集時(shí)才能完成嗎?即便如此，未經(jīng)請(qǐng)求的黑客攻擊也會(huì)有很多機(jī)會(huì)。如何看待未經(jīng)請(qǐng)求的黑客行為?

只有黑客和組織之間的正式和詳細(xì)協(xié)議才會(huì)被視為被請(qǐng)求的黑客行為。該協(xié)議應(yīng)從更廣泛的法律框架中獲得內(nèi)容。

時(shí)間是解決安全漏洞的關(guān)鍵因素。當(dāng)發(fā)現(xiàn)安全漏洞時(shí)，可能需要立即修復(fù)以防止未經(jīng)授權(quán)的破壞。每個(gè)組織是否都會(huì)迅速接受問(wèn)題描述和必要的行動(dòng)?官僚程序可能會(huì)拖延行動(dòng)，并為未經(jīng)授權(quán)的黑客留下空缺。未經(jīng)請(qǐng)求的黑客是否會(huì)受到懲罰，如果他們繞過(guò)官僚程序并使用像荷蘭議員那樣的其他信息渠道?

黑客和組織之間的法律協(xié)議應(yīng)明確說(shuō)明道德黑客的工作范圍。

對(duì)被請(qǐng)求者和未經(jīng)請(qǐng)求的黑客的賠償和獎(jiǎng)勵(lì)的定義

如果未經(jīng)請(qǐng)求的黑客濫用安全漏洞，您如何解決問(wèn)題?

結(jié)論

如果使用得當(dāng)，道德黑客具有巨大的積極潛力?？赡苊媾R的最大挑戰(zhàn)之一是主觀解釋。因此，有必要建立一個(gè)客觀，全面和明確的法律框架。該框架應(yīng)該在黑客和組織不受約束的權(quán)力之間取得平衡。太多的權(quán)力可能是災(zāi)難性的，因?yàn)樗赡軙?huì)對(duì)系統(tǒng)或黑客的信心或意圖造成嚴(yán)重破壞。與此同時(shí)，道德黑客社區(qū)也可能考慮在法律框架之外實(shí)施自我強(qiáng)加的行為準(zhǔn)則。