道德黑客通過在惡意用戶發(fā)現(xiàn)安全漏洞之前發(fā)現(xiàn)漏洞，為組織帶來價值。他們受到尊重是很自然的。然而，事情并不像看起來那么簡單。道德黑客可能會受到法律訴訟，即使他們破壞了善意的系統(tǒng)。

如果組織要求，道德黑客的行為被認(rèn)為是可以接受的。但即便如此，這也不能免除此類黑客行為的法律訴訟。最不穩(wěn)定的是黑客的位置，他們闖入未經(jīng)請求但用心良苦的系統(tǒng)。管理道德黑客的法律目前不充分且不明確。道德黑客的法律保護需要認(rèn)真關(guān)注。有必要界定工作范圍和其他法律規(guī)定。

什么是道德黑客？

所謂倫理黑客攻擊是指為了發(fā)現(xiàn)安全問題而進(jìn)入系統(tǒng)，但沒有惡意的做法。道德黑客傾向于讓系統(tǒng)的所有者或利益相關(guān)者知道他們的發(fā)現(xiàn)。道德黑客可以通過懇求或不請自來的方式開展工作。組織正式要求黑客測試他們的系統(tǒng)。這種安排被稱為滲透測試。黑客測試系統(tǒng)，通常在工作結(jié)束時提供報告。另一方面，不請自來的黑客出于各種原因測試系統(tǒng)。對于黑客來說，被請求的黑客攻擊可能比未經(jīng)請求的黑客攻擊更危險，主要是因為未經(jīng)請求的黑客缺乏正式的批準(zhǔn)。(了解黑客攻擊的5個原因，了解更多黑客攻擊的積極方面。)

道德黑客的行為是一種有用的防范做法，經(jīng)常被咨詢。然而，道德黑客的行為仍然可能導(dǎo)致許多不同的問題。比如這類黑客在某個階段仍然可以允許惡意接管，缺乏法律協(xié)議可能會導(dǎo)致混亂。

道德黑客與法律——一個案例研究

從表面上看，道德黑客似乎是一種善良的做法，只能引起贊美和感激——情況并非總是如此。2013年，MP面臨法律訴訟，指出醫(yī)療中心網(wǎng)站存在安全漏洞。國會議員使用公共證書登錄醫(yī)療中心網(wǎng)站，偶爾會出現(xiàn)嚴(yán)重的安全問題。當(dāng)國會議員公開他的發(fā)現(xiàn)時，醫(yī)療中心對他提出了法律指控。這一事件引發(fā)了許多關(guān)于道德黑客攻擊的不同問題。國會議員不是專業(yè)黑客——遠(yuǎn)非如此，他甚至不懂計算機。他利用互聯(lián)網(wǎng)上提供的憑據(jù)訪問網(wǎng)站，無意中獲得了機密記錄。為了讓醫(yī)療中心知道他的發(fā)現(xiàn)，他不得不通過官僚程序。在評估形勢的緊迫性時，他通過媒體得知了這一消息。這可能看起來很有趣，也很忘恩負(fù)義，醫(yī)療中心沒有承認(rèn)他的觀點，也沒有感謝他指出安全漏洞，而是決定起訴他。顯然，關(guān)于倫理黑客攻擊還有很多問題需要解決。熱愛黑客。)

道德黑客真的有道德嗎？

從表面上看，倫理黑客的行為是一種有益于組織的道德行為。許多黑客已經(jīng)被請求或未經(jīng)請求，在其他有意圖的人發(fā)現(xiàn)之前，已經(jīng)在系統(tǒng)中發(fā)現(xiàn)了安全漏洞。大多數(shù)組織在內(nèi)部或通過雇傭?qū)I(yè)黑客進(jìn)行道德黑客攻擊。然而，軟件安全是一個巨大而復(fù)雜的領(lǐng)域，內(nèi)部測試可能并不總是揭示所有缺陷，尤其是在處理敏感數(shù)據(jù)(如金融或國防數(shù)據(jù))的大型復(fù)雜應(yīng)用程序的情況下。在這種情況下，您需要一個特殊的黑客來發(fā)現(xiàn)安全漏洞。話雖如此，黑客決定了他們的道德。要理解這一點，請考慮以下問題：

如果道德黑客在黑客過程中做出不道德的行為會怎么樣？例如，如果荷蘭議員出售機密數(shù)據(jù)而不是指出安全漏洞會怎么樣？

被請求的黑客可能會超出工作范圍，冒險進(jìn)入?yún)f(xié)議不允許的軟件部分。

以上場景沒有超出可能性范圍。它們?yōu)槲覀兲峁┝艘粋€強有力的理由來實施一個強有力的法律框架來管理道德黑客的行為。

道德黑客需要法律保護嗎？

毫無疑問，道德黑客的攻擊對組織有利。沒有必要為道德黑客提供法律保護，而是通過界定雙方范圍、角色和責(zé)任的關(guān)鍵法律。法律應(yīng)解決以下問題：

道德黑客的定義

倫理黑客的行為只有正式收集才能完成嗎？即便如此，仍有許多未經(jīng)請求的黑客攻擊機會。如何看待未經(jīng)請求的黑客攻擊？

只有黑客和組織之間的正式和詳細(xì)協(xié)議才會被視為請求的黑客行為。協(xié)議的內(nèi)容應(yīng)從更廣泛的法律框架中獲得。

時間是解決安全漏洞的關(guān)鍵因素。當(dāng)發(fā)現(xiàn)安全漏洞時，可能需要立即修復(fù)，以防止未經(jīng)授權(quán)的損壞。每個組織會很快接受問題描述和必要的行動嗎？官僚程序可能會拖延行動，并為未經(jīng)授權(quán)的黑客留下空缺。不請自來的黑客如果繞過官僚程序，使用荷蘭議員等其他信息渠道，會受到懲罰嗎？

黑客和組織之間的法律協(xié)議應(yīng)明確說明道德黑客的工作范圍。

對被請求和未經(jīng)請求的黑客的補償和獎勵的定義

如果一個未經(jīng)請求的黑客濫用了一個安全漏洞，你如何解決這個問題？

結(jié)論

如果使用得當(dāng)，道德黑客有很大的積極潛力。最大的挑戰(zhàn)之一是主觀解釋。因此，有必要建立一個客觀、全面和明確的法律框架。該框架應(yīng)該在黑客和組織的無拘無束的力量之間取得平衡。過多的電力可能是災(zāi)難性的，因為它會嚴(yán)重?fù)p害系統(tǒng)或黑客的信心或意圖。與此同時，道德黑客團體也可能考慮在法律框架之外實施自我強加的行為準(zhǔn)則。

標(biāo)簽：