Home » » 什麼是道德黑客?

什麼是道德黑客?

很容易有一個簡單的觀點,即所有黑客都是壞人,他們會導致數據洩露並部署勒索軟件。但這不是真的。那裡有很多壞蛋黑客。一些黑客以合乎道德和合法的方式使用他們的技能。“道德黑客”是指在與合法系統所有者簽訂的法律協議範圍內進行黑客攻擊的黑客。

提示:與黑帽黑客相反,道德黑客通常被稱為白帽黑客。

其核心是了解什麼使黑客行為非法。儘管全球各地存在差異,但大多數黑客法都歸結為“未經許可訪問系統是非法的”。這個概念很簡單。實際的黑客行為並不違法;它只是在未經許可的情況下這樣做。但這意味著可以授予許可,允許您做一些否則是非法的事情。

此許可不能僅來自街上或網上的任何隨機人。它甚至不能來自政府(儘管情報機構的運作規則略有不同)。權限需要由合法的系統所有者授予。

提示:需要明確的是,“合法系統所有者”不一定指購買系統的人。指合法地負有法律責任的人說;這對你來說沒問題。通常這將是 CISO、CEO 或董事會,儘管授予許可的能力也可以進一步下放。

雖然可以簡單地口頭給予許可,但從來沒有這樣做過。由於執行測試的個人或公司將對他們不應該進行的測試承擔法律責任,因此需要書面合同。

行動範圍

合同的重要性怎麼強調都不為過。這是唯一授予道德黑客合法性的黑客行為。合同授予對指定的行為和指定的目標進行賠償。因此,必須了解合同及其涵蓋的內容,因為超出合同範圍意味著超出法律賠償範圍並觸犯法律。

如果道德黑客偏離合同範圍,他們就是在走法律的鋼絲。他們所做的任何事情在技術上都是非法的。在許多情況下,這樣的一步是偶然的,很快就會被自己抓住。如果處理得當,這不一定是個問題,但根據具體情況,它肯定會成為問題。

所提供的合同不一定需要專門定制。一些公司提供漏洞賞金計劃。這涉及發布一份公開合同,允許任何人嘗試從道德上入侵他們的系統,只要他們遵守指定的規則並報告他們發現的任何問題。在這種情況下,報告問題通常會得到經濟獎勵。

道德黑客的類型

道德黑客的標準形式是“滲透測試”或 pentest。這是一個或多個道德黑客試圖滲透系統安全防禦的地方。一旦參與完成,道德黑客,在這個角色中被稱為滲透測試者,向客戶報告他們的發現。客戶可以使用報告中的詳細信息來修復已識別的漏洞。雖然可以完成個人和合同工作,但許多滲透測試人員是公司內部資源,或者聘請了專業的滲透測試公司。

提示:這是“滲透測試”而不是“滲透測試”。滲透測試人員不測試筆。

在某些情況下,測試一個或多個應用程序或網絡是否安全是不夠的。在這種情況下,可以進行更深入的測試。紅隊參與通常涉及測試更廣泛的安全措施。行動可以包括對員工進行網絡釣魚練習,試圖通過社會工程學進入建築物,甚至是物理闖入。雖然每個紅隊練習各不相同,但這個概念通常更像是最壞情況下的“假設”測試. 按照“此 Web 應用程序是安全的,但如果有人只是走進服務器機房並拿走了包含所有數據的硬盤驅動器怎麼辦”。

理論上,幾乎任何可用於損害公司或系統的安全問題都對道德黑客開放。然而,這假設系統所有者授予權限,並且他們準備為此付費。

給壞人送東西?

道德黑客編寫、使用和共享黑客工具,讓他們的生活更輕鬆。質疑這樣做的道德規範是公平的,因為黑帽子可以選擇這些工具來造成更大的破壞。但實際上,完全有理由假設攻擊者已經擁有這些工具,或者至少是類似的東西,因為他們試圖讓他們的生活更輕鬆。沒有工具並試圖讓黑帽更難攻擊是依靠默默無聞的安全性。這個概念在密碼學和大多數安全領域普遍不受歡迎。

負責任的披露

道德黑客有時可能會在瀏覽網站或使用產品時偶然發現漏洞。在這種情況下,他們通常會嘗試負責任地向合法系統所有者報告。之後的關鍵是如何處理這種情況。合乎道德的做法是私下將其披露給合法的系統所有者,讓他們解決問題並分發軟件補丁。

當然,任何道德黑客也有責任通知受此類漏洞影響的用戶,以便他們可以選擇做出自己的安全意識決定。通常,私下披露後 90 天的時間範圍被視為開發和發布修復程序的適當時間。如果需要多一點時間,可以准許延期,但不一定要這樣做。

即使沒有可用的修復方法,公開詳細說明問題也是合乎道德的。然而,這假設道德黑客已嘗試負責任地披露問題,並且一般來說,他們正試圖通知普通用戶,以便他們可以保護自己。雖然某些漏洞可能會通過有效的概念利用證明進行詳細說明,但如果尚無修復程序,通常不會這樣做。

雖然這聽起來可能不完全合乎道德,但最終會使用戶受益。在一種情況下,公司承受著足夠的壓力來及時提供解決方案。用戶可以更新到固定版本或至少實施解決方法。另一種選擇是公司無法針對嚴重的安全問題立即部署修復程序。在這種情況下,用戶可以就繼續使用該產品做出明智的決定。

結論

道德黑客是在法律約束下行事的黑客。通常,合法系統所有者與他們簽訂合同或以其他方式授予他們入侵系統的許可。這樣做的前提是,道德黑客將負責任地向合法系統所有者報告發現的問題,以便修復這些問題。道德黑客建立在“以賊捉賊”的基礎上。通過使用道德黑客的知識,您可以解決黑帽黑客可能利用的問題。道德黑客也被稱為白帽黑客。在某些情況下也可能使用其他術語,例如“pentesters”用於招聘專業人員。


Leave a Comment

如何克隆硬碟

如何克隆硬碟

在資料是寶貴資產的現代數位時代,在 Windows 上複製硬碟對許多人來說可能是一個至關重要的過程。這份綜合指南

如何修復驅動程式 WUDFRd 在 Windows 10 上載入失敗?

如何修復驅動程式 WUDFRd 在 Windows 10 上載入失敗?

您在啟動電腦時是否遇到錯誤訊息,提示驅動程式 WUDFRd 無法在電腦上載入?

如何修復 NVIDIA GeForce Experience 錯誤代碼 0x0003

如何修復 NVIDIA GeForce Experience 錯誤代碼 0x0003

您是否在桌面上遇到 NVIDIA GeForce 錯誤代碼 0x0003?如果是,請閱讀部落格以了解如何快速輕鬆地修復此錯誤。

How to Use Auto Clicker for Chromebook

How to Use Auto Clicker for Chromebook

Today, were going to delve into a tool that can automate repetitive clicking tasks on your Chromebook: the Auto Clicker. This tool can save you time and

如何在 2023 年從 Windows PC 中移除 GPU

如何在 2023 年從 Windows PC 中移除 GPU

您需要從 PC 上卸下 GPU 嗎?和我一起在這個分步指南中解釋如何從您的 PC 中刪除 GPU。

如何在台式機和筆記本電腦中安裝 NVMe SSD

如何在台式機和筆記本電腦中安裝 NVMe SSD

買了新的 NVMe M.2 SSD 但不知道如何安裝?繼續閱讀以了解如何在筆記本電腦或台式機上安裝 NVMe SSD。

什麼是邏輯炸彈?

什麼是邏輯炸彈?

邏輯炸彈是一種安全事件,攻擊者會在其中設置延遲操作。繼續閱讀以了解更多信息。

什麼是震網?

什麼是震網?

Stuxnet 是一種自我傳播的蠕蟲病毒。這是第一次使用網絡武器,也是第一個惡意軟件實例。

什麼是道德黑客?

什麼是道德黑客?

道德黑客是在法律約束下行事的黑客。繼續閱讀以了解有關該主題的更多信息。

什麼是對稱加密?

什麼是對稱加密?

密碼學有很多不同的部分。如果你想加密一些數據,你可以使用兩種類型的算法: symmetric