史萊姆論壇 - 你會雇用改過自新的駭客嗎？

你會雇用改過自新的駭客嗎？

Kimberly Henderson•陳奭璁整理　　2004/08/13

基於保護電腦網路安全的需要，企業是否值得冒風險雇用一名駭客呢？針對這個問題，我們詢問了相關專家的看法。

在TechRepublic的問題與解答專欄中，成員Aldanatech向專家諮詢：「出於安全的目的，企業是否應該雇用一名曾被起訴過的駭客？」這個問題的提出立即得到來自各方不同的意見。四名負責安全問題的專家和經理對「是否值得冒險雇用一名'改過自新'的駭客」闡述了各自不同的觀點和立場。

Harris Corporation首席安全工程師Bill Wall指出：

當一名駭客惡意開展工作時，其目的不外是為了取得財務利益，不然就是想展示自己有能力製造破壞引起混亂。因此，人們很難從客觀上判斷所雇用的駭客是否真的「改過自新」。

在某些情況下，企業或許需要具備某方面專門的人才協助他們解決實際困難，並且能夠確定他們的確已經改過自新。在進行入侵測試時，你說不定會擔心他們會不會作了什麼你不知道的手腳？當察覺到他們有異常舉動時，企業必須查明發生了什麼情況，否則將可能面臨嚴重的內部威脅。

然而，如果還有其他選擇的話，Bill Wall建議企業最好雇用受過訓練的安全專業人士。畢竟，雇人來作入侵測試不難，如何修補漏洞甚至寫出協定才是真正困難的地方。

Bill Wall舉例說：「在招聘面試過程中，若求職者誇口他們入侵功力多強，我一定優先刪掉，寧可選擇有去上過課，瞭解安全入侵，且能管理規定的。有些自認為高手的駭客總喜歡露一手來證明他的厲害，這類我盡量會必而遠之，因為這跟信任度有關係。相對而言，我更樂意雇用接受過專業訓練，並能真正適應工作需要的安全專業人士。」

CI Host公司執行長Christopher Faulkner指出：

我們沒有刻意去雇用任何類型的駭客，這並不表示我們不能雇用他們。我認為與一般安全專業人士相比較，職業駭客確實具備某方面超群的才智和技能。

同時，我們應該認識到駭客之間也存在區別。他們都傾向於展示證明自己的實力，其中有些駭客認為自己具備比常人更豐富的技能，並且希望利用這些技能維護網路安全；另一些惡意駭客的破壞行為則是我們深感憂慮的問題。

我們資料中心的工作人員有39人，從他們掌握的技能水平來說，許多人足以稱之為駭客。他們通常是年輕的男性，不習慣於墨守成規。儘管他們不在美國公司總部工作，也沒有上班的穿著，但他們具備超群的技能。我們不要求這些人必須持有大學文憑，而是更看重他們的實際工作經驗。

此外，必須承認的是這些員工善於學習和掌握最新的駭客技術，與同業動態，他們會瞭解他們那個社群的人在聊些什麼，有許多消息來源，這點是非常重要的。

Shavlik Technologies公司安全架構長Eric Schultze的觀點：

Schultze曾經協助撰寫了一本揭露駭客內幕的書籍，內容涉及到駭客可能採取何種方式入侵到銀行、保險公司、或其他組織的安全系統，以及這些公司應採取哪些對應的防範和處理措施。

Schultze表示：「我認為雇用能夠改過自新的駭客不僅是合法的，而且相信他們能夠很好的完成工作任務。顯然，他們非常聰明能幹，就我個人來說，我相信他們能夠以認真負責的態度來完成所分配的任務。」

「儘管如此，還有一個關鍵的問題必須得到重視。雇用一個改過自新的駭客應該取得公司股東和高層主管的一致同意。顯然，風險是肯定存在的。雖然我相信他們能夠很好的為公司效力，甚至於事實上他們也的確為公司做出貢獻，但意外情況也可能出現。舉個例子來說：如果公司財務部門的所有機器系統突然當機，而此時為我們工作的一位「改過自新」的駭客碰巧經過財務部，毫無疑問他將受到公司的懷疑。」

「我的觀點是應該給予諸如Kevin Mitnick這類改過自新的駭客一個機會，事實上我也的確邀請了Kevin到公司為我們的職員做了一次演講，目的是為提高員工們的安全防範意識。但我們也僅僅是邀請他來進行演講並支付報酬，而不是聘請他來擔任顧問或從事實際的網路管理員之類的工作。」

西門子商業服務中心資訊安全主管Dave Bixler的觀點：

Dave Bixler指出：「我們必須認識到曾遭法律起訴與改過自新的人之間存在著差別。出於客戶要求，我們有必要對員工的背景和經歷進行詳細瞭解。」

「我贊同給改過自新的人提供機會。然而若某人曾被指控犯有重罪，特別是利用電腦進行違法犯罪行為，即便他是一個我們需要的人材，我們也不會考慮錄用。正如你不會雇用一個銀行搶劫犯來擔任銀行警衛工作一樣，銀行系統的客戶顯然也不會贊成我們雇用這類人員。因為我們與客戶之間的電腦系統存在相互連接的關係。更準確的來說，整個商業環境都是一種相互連接協同工作的關係。」

對於支持雇用駭客的人們來說，通常他們的心態是希望「以毒攻毒」。他們認為雇用這樣的人可以更清楚的瞭解駭客的想法和手段。Dave Bixler對上述觀點持否定態度。他說：「我並不關心破壞者有什麼樣的想法。我的工作並非是對這些人的動機和行為進行心理分析，而是阻止和防範他們的破壞活動。當你想要做更多瞭解的時候，或許可以徵求他們的意見和看法，但你絕不能說'由於你擅長搶劫銀行，如今你已改過自新，因此我們想讓你成為這方面問題的專家'。」

Dave Bixler補充說：「事實上，所謂的駭客中只有百分之一的人是真正瞭解UNIX、 Windows、網路安全、防火牆方面的知識，他們才是真正的駭客高手。我接觸過的駭客中有一位已經創建了自己的網路安全公司，吸引我樂意與他進行交談的原因，並不是他所掌握的入侵或破壞電腦系統的技巧，而是他所具備的專業知識和技能。」