内容
资料来源:Devonyu / iStockphoto
带走:
道德黑客可以帮助防止恶意黑客的利用,那么对他们的法律保护为何如此重要?
道德黑客通过在有恶意意图的人发现安全漏洞之前发现安全漏洞,从而为组织带来价值。尊重他们似乎是很自然的。但是,事情并不像看起来那样简单。即使道德黑客有良好的意图,他们也可能会受到法律制裁。
如果组织要求进行道德黑客攻击,则可以接受。但是即使那样,也无法使这种黑客行为不受法律诉讼的影响。最危险的是那些擅自闯入系统但具有良好意图的黑客的位置。目前,有关道德黑客的法律还不够完善和模糊。道德黑客的法律保护问题需要认真关注。需要确定工作范围和其他法律规定。
什么是道德黑客?
所谓的道德黑客攻击是一种旨在发现安全问题但没有任何恶意意图的侵入系统的做法。道德黑客倾向于让系统的所有者或利益相关者知道他们的发现。有道德的黑客可以主动或主动进行工作。组织正式邀请黑客测试他们的系统,这称为渗透测试。黑客会测试系统,通常会在工作结束时提供报告。另一方面,未经请求的黑客出于各种原因对系统进行测试。与未经请求的黑客相比,自发黑客对黑客的危害可能较小,主要是因为未经请求的黑客缺乏正式批准。 (了解有关黑客应从正面的五个方面的更多信息,以了解对黑客的感谢。)
道德骇客是一种有益且预防性的做法,并且经常被请教。但是,道德黑客仍然会引起许多不同的问题。例如,此类黑客仍然可以在某个阶段允许恶意意图接管,并且缺乏法律协议可能导致混乱的局面。
道德黑客与法律–案例研究
从表面上看,道德黑客似乎是一种善意的做法,应该只引起赞扬和感激-并非总是如此。 2013年,荷兰的一名国会议员(MP)因指出医疗中心网站的安全漏洞而面临法律诉讼。国会议员已经使用公开可用的凭据登录了医疗中心网站,并偶然遇到了严重的安全问题。当国会议员将其调查结果公开时,医疗中心就对他提出法律指控。该事件引发了许多有关道德黑客的问题。 MP并不是一个专业的黑客-与其相距甚远,他甚至都不精通计算机。他使用Internet上可用的凭据访问了该网站,并且无意中获得了机密记录。为了让医疗中心知道他的发现,他必须经历一个官僚程序。在评估情况的紧迫性后,他通过媒体发布了消息。医疗中心没有承认他的意见并感谢他指出安全漏洞,而是决定起诉他,这似乎既有趣又不感恩。显然,关于道德黑客的问题很多,需要解决。 (有关黑客的更多信息,请参阅《黑客之爱》。)
道德黑客真的是道德的吗?
从表面上看,道德黑客行为是使组织受益的道德行为。有许多黑客在主动或不请自来的情况下,先在系统中发现了安全漏洞,然后其他有恶意的人发现了它们。大多数组织在内部或通过雇用专门的黑客在不同程度上实施道德黑客。但是,软件安全性是一个广阔而复杂的领域,内部测试可能并不总是能够发现所有缺陷,尤其是在大型且复杂的应用程序处理敏感数据(例如财务或国防数据)的情况下。在这种情况下,您需要专门的黑客来发现安全漏洞。话虽这么说,是由黑客决定黑客行为的道德标准。要了解这一点,请考虑以下问题:
- 如果道德黑客在黑客工作过程中执行不道德行为怎么办?例如,如果荷兰国会议员出售机密数据而不是指出安全漏洞该怎么办?
- 所请求的黑客可能会超出工作范围,无法进入协议所禁止的软件部分。
以上情况并非不可能,它们为我们提供了实施强大的道德黑客法律框架的充分理由。
道德黑客活动需要法律保护吗?
毫无疑问,道德黑客对组织有益。除了向道德黑客提供法律保护外,还需要通过定义双方工作范围,角色和职责的重点法律。法律应解决以下问题:
没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
当没有人关心软件质量时,您就无法提高编程技能。
- 道德黑客的定义
- 是否应仅在正式征求意见后进行道德黑客攻击?即便如此,还是会有很多主动进行黑客攻击的机会。如何查看不请自来的黑客行为?
- 只有黑客与组织之间的正式和详细的协议才会被视为请求的黑客。该协议应从更广泛的法律框架中获取内容。
- 时间是解决安全漏洞的关键因素。识别到安全漏洞后,可能需要立即修复以防止未经授权的破坏。每个组织都会促进对问题描述和必要措施的迅速接受吗?官僚主义的程序可能会延迟行动,并为未经授权的黑客敞开大门。如果不请自来的黑客绕过官僚程序并使用其他信息渠道(例如,荷兰国会议员),将受到惩罚吗?
- 黑客与组织之间的法律协议应明确说明道德黑客的工作范围。
- 定义了针对请求和未经请求的黑客的补偿和奖励
- 如果未经请求的黑客滥用了安全漏洞,您将如何解决该问题?
结论
如果使用得当,道德黑客具有巨大的积极潜力。它面临的最大挑战之一可能是主观解释。因此,有必要建立一个客观,全面和明确的法律框架。该框架应在黑客和组织不受限制的权力之间取得平衡。过多的功能可能会造成灾难性的后果,因为它可能会破坏系统或破坏黑客的信心或意图。同时,除了法律框架外,道德黑客社区还可能考虑实施自我强加的行为准则。