|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-08-16, 09:12 AM | #1 |
註冊會員
|
你會雇用改過自新的駭客嗎?
你會雇用改過自新的駭客嗎?
Kimberly Henderson•陳奭璁整理 2004/08/13 基於保護電腦網路安全的需要,企業是否值得冒風險雇用一名駭客呢?針對這個問題,我們詢問了相關專家的看法。 在TechRepublic的問題與解答專欄中,成員Aldanatech向專家諮詢:「出於安全的目的,企業是否應該雇用一名曾被起訴過的駭客?」這個問題的提出立即得到來自各方不同的意見。四名負責安全問題的專家和經理對「是否值得冒險雇用一名'改過自新'的駭客」闡述了各自不同的觀點和立場。 Harris Corporation首席安全工程師Bill Wall指出: 當一名駭客惡意開展工作時,其目的不外是為了取得財務利益,不然就是想展示自己有能力製造破壞引起混亂。因此,人們很難從客觀上判斷所雇用的駭客是否真的「改過自新」。 在某些情況下,企業或許需要具備某方面專門的人才協助他們解決實際困難,並且能夠確定他們的確已經改過自新。在進行入侵測試時,你說不定會擔心他們會不會作了什麼你不知道的手腳?當察覺到他們有異常舉動時,企業必須查明發生了什麼情況,否則將可能面臨嚴重的內部威脅。 然而,如果還有其他選擇的話,Bill Wall建議企業最好雇用受過訓練的安全專業人士。畢竟,雇人來作入侵測試不難,如何修補漏洞甚至寫出協定才是真正困難的地方。 Bill Wall舉例說:「在招聘面試過程中,若求職者誇口他們入侵功力多強,我一定優先刪掉,寧可選擇有去上過課,瞭解安全入侵,且能管理規定的。有些自認為高手的駭客總喜歡露一手來證明他的厲害,這類我盡量會必而遠之,因為這跟信任度有關係。相對而言,我更樂意雇用接受過專業訓練,並能真正適應工作需要的安全專業人士。」 CI Host公司執行長Christopher Faulkner指出: 我們沒有刻意去雇用任何類型的駭客,這並不表示我們不能雇用他們。我認為與一般安全專業人士相比較,職業駭客確實具備某方面超群的才智和技能。 同時,我們應該認識到駭客之間也存在區別。他們都傾向於展示證明自己的實力,其中有些駭客認為自己具備比常人更豐富的技能,並且希望利用這些技能維護網路安全;另一些惡意駭客的破壞行為則是我們深感憂慮的問題。 我們資料中心的工作人員有39人,從他們掌握的技能水平來說,許多人足以稱之為駭客。他們通常是年輕的男性,不習慣於墨守成規。儘管他們不在美國公司總部工作,也沒有上班的穿著,但他們具備超群的技能。我們不要求這些人必須持有大學文憑,而是更看重他們的實際工作經驗。 此外,必須承認的是這些員工善於學習和掌握最新的駭客技術,與同業動態,他們會瞭解他們那個社群的人在聊些什麼,有許多消息來源,這點是非常重要的。 Shavlik Technologies公司安全架構長Eric Schultze的觀點: Schultze曾經協助撰寫了一本揭露駭客內幕的書籍,內容涉及到駭客可能採取何種方式入侵到銀行、保險公司、或其他組織的安全系統,以及這些公司應採取哪些對應的防範和處理措施。 Schultze表示:「我認為雇用能夠改過自新的駭客不僅是合法的,而且相信他們能夠很好的完成工作任務。顯然,他們非常聰明能幹,就我個人來說,我相信他們能夠以認真負責的態度來完成所分配的任務。」 「儘管如此,還有一個關鍵的問題必須得到重視。雇用一個改過自新的駭客應該取得公司股東和高層主管的一致同意。顯然,風險是肯定存在的。雖然我相信他們能夠很好的為公司效力,甚至於事實上他們也的確為公司做出貢獻,但意外情況也可能出現。舉個例子來說:如果公司財務部門的所有機器系統突然當機,而此時為我們工作的一位「改過自新」的駭客碰巧經過財務部,毫無疑問他將受到公司的懷疑。」 「我的觀點是應該給予諸如Kevin Mitnick這類改過自新的駭客一個機會,事實上我也的確邀請了Kevin到公司為我們的職員做了一次演講,目的是為提高員工們的安全防範意識。但我們也僅僅是邀請他來進行演講並支付報酬,而不是聘請他來擔任顧問或從事實際的網路管理員之類的工作。」 西門子商業服務中心資訊安全主管Dave Bixler的觀點: Dave Bixler指出:「我們必須認識到曾遭法律起訴與改過自新的人之間存在著差別。出於客戶要求,我們有必要對員工的背景和經歷進行詳細瞭解。」 「我贊同給改過自新的人提供機會。然而若某人曾被指控犯有重罪,特別是利用電腦進行違法犯罪行為,即便他是一個我們需要的人材,我們也不會考慮錄用。正如你不會雇用一個銀行搶劫犯來擔任銀行警衛工作一樣,銀行系統的客戶顯然也不會贊成我們雇用這類人員。因為我們與客戶之間的電腦系統存在相互連接的關係。更準確的來說,整個商業環境都是一種相互連接協同工作的關係。」 對於支持雇用駭客的人們來說,通常他們的心態是希望「以毒攻毒」。他們認為雇用這樣的人可以更清楚的瞭解駭客的想法和手段。Dave Bixler對上述觀點持否定態度。他說:「我並不關心破壞者有什麼樣的想法。我的工作並非是對這些人的動機和行為進行心理分析,而是阻止和防範他們的破壞活動。當你想要做更多瞭解的時候,或許可以徵求他們的意見和看法,但你絕不能說'由於你擅長搶劫銀行,如今你已改過自新,因此我們想讓你成為這方面問題的專家'。」 Dave Bixler補充說:「事實上,所謂的駭客中只有百分之一的人是真正瞭解UNIX、 Windows、網路安全、防火牆方面的知識,他們才是真正的駭客高手。我接觸過的駭客中有一位已經創建了自己的網路安全公司,吸引我樂意與他進行交談的原因,並不是他所掌握的入侵或破壞電腦系統的技巧,而是他所具備的專業知識和技能。」 |
送花文章: 68,
|
2004-08-16, 04:59 PM | #4 (permalink) | |
協調管理員
|
引用:
因為有安全想法的人才是好的 因為他是有技術,可是很危險,而且之前過新聞 就是有一個工程師,寫了一個銀行的收資等等程式,可是流有後門 而後門就是像結算出來的0.0005等小數,都匯到他自己的帳號中 很難發現吧 通常一般人都只看到小數後的二位 像這種,每運算一資就有一點點加到自己的帳戶 一天下來的交易次數,之後的自己想像吧 |
|
送花文章: 11706,
|