雇用黑客：好处、坏处和弊端

作者: Deb Shinder
翻译：PurpleEndurer，2010-09-07第1版
分类：安全
标签：雇用, 网络, 黑客, Hacking, 安全

　　侵入国防部网络，入狱，出狱之后从事安全分析员工作拿高额报酬。有一段时间，这似乎是古怪叛逆青少年们就业的一个热门途径，反正在他们看来，花4年呆在大学课堂里和泡吧没什么区别。从有前科的青少年的角度来看，这确实是梦想成真：他们获得了报酬——通常很丰厚——可以自由自在地做他们正在做的事情，不必担心联邦调查局（FBI）会在之后某个夜晚来敲门（或破门而入）。

　　从招聘公司的角度来看，没事就做网络渗透测试的人比已在法庭上证明水平的人更好吗？这似乎是有道理的，但这一趋势似乎已经停稳下来，因为经济不景气，许多组织已经压缩了正常的雇用规模。不过，即使人力资源部门的工作人员没有记录在案，近距离观察安全咨询公司的雇员（和业主/创始人），你会发现一些背景中包括许多非法活动的人。是什么在支持和反对让这样的人访问您的网络呢？另外，如果出现问题，带来的后果会是什么呢？

　　好处

　　雇用前黑帽子黑客提供网络安全咨询建议的论据是，当涉及到网络入侵游戏时，他们拥有现实世界中的攻击经验。典型的IT专家只知道防守。正在接受网络保护培训的人和为了突入网络而反复试验来掌握这些技术的人在心态上有很大的差别。一个好的黑客真正热爱挑战，并会花很多很多时间来完善自身的技术。

　　此外也存在廉价雇用黑客工作的可能——或者至少薪金比计算机科学博士低——这类博士正在还10万元助学贷款，个人档案上没有重罪记录。然而，不只是缺少传统文凭会让有前科的黑客降低对薪酬的期望。实际上，在网络和系统中寻找漏洞，这些与生俱来的东西会让黑客会不计报酬地愉快工作。

　　坏处

　　即使黑客已经完全洗心革面，你认为可以聘为雇员或承包商，但有犯罪记录不利于发展客户。如果公司拥有或希望投标那些需要安全检查的政府合同，与一个已知黑客有关联则会对公司不利。

　　接下来的问题是黑客是否真的完全洗心革面了。也许他已发誓不再破解美国国防部的密码，也不再编写电脑病毒，但他会不会因为具有这种能力，抵不住诱惑而翻阅公司的机密文件，四处看看呢？你能信任他不会利用业余时间非法下载受保护音乐和电影，或在网络电脑安装上盗版软件（warez）？如果厌倦了，他可能会阅读人事档案来自娱，或导演一个“无害”的小恶作剧，用脚本把每个人的桌面壁纸都变成死机蓝屏画面？

　　这一切都归结为信任问题。让人访问你的网络——特别是那种需要进行安全分析的——类似于给他访问你的银行帐户。这是一个责任重大的角色。你会聘请犯过贪污罪的人来监管你的财物吗？大概不会，因为这样的人在过去已被证实会滥用这类使用权。

　　支持雇用黑客（并且黑客也希望被雇用）的人会说，“这需要以黑制黑。”不过，你不会看到执法机构雇用前凶手来帮助他们抓获暴力罪犯或盗贼，阻止其他破坏者和闯入者。哦，他们可能会利用这些人作秘密线人，但他们都不会让他担当可以信任的角色，因为这样他们将有机会去犯同样的罪行。

　　弊端

　　如果你雇用的黑客并没有彻底洗心革面，只是学会了以更老练的方式来玩把戏，那将会怎样呢？社会工程是通过操纵人，而不是代码，来获得到网络或系统入口的艺术。我一直觉得很有趣的事情就是那些被认为已洗心革面的黑客，到处宣扬社会工程的危险，然后由公司雇用，这些公司不顾这样一个事实，即他们基本上告诉你，他们正在做的可以很容易地促成另一个大的社会工程策略。冒充洗心革面的黑客/顾问是获得网络访问权的一条康庄大道——比冒充电话公司的雇员或从“总部”过来的人更好。不仅可以得到一个进入网络的合法通行证，还可以从中收获薪水。

　　网络内部潜伏有黑客可能带来从严重性到毁灭性的结果。他可以使用网络发动僵尸网络攻击，散布恶意软件，甚至可以访问公司的财务数据和销售信息等商业机密，并把这些机密信息倒卖给你的竞争对手。

　　如果你处于医疗或金融服务这样的受管制行业，这种内部安全漏洞可能会置你于一种不稳定的位置。如果你知情并自愿把数据托付给一个已知黑客，那要说服你尽职尽力去保护数据是非常困难的。

　　你还需要考虑这些自诩的黑客是否真的有他所吹嘘的技术水平。毕竟，如果他被定罪，这意味着他被抓住了——如果他真的很厉害，为什么不能隐藏自己的踪迹？也许他只是一个“脚本小子”，剽窃其他人写的工具代码并只会笨拙地使用。另一方面，如果他没有被逮捕或定罪过，你又凭什么认为他是一个真正的黑客呢？也许他只是一个只会说不会做的主。

　　关键是非法访问他人网络的人可能没有强烈的是非感，和/或可能不服管。如果他还没有因为违反法律而感到内疚，你又凭什么会认为他将愿意遵守公司的政策和规则，以及你为他作为雇员或顾问而划定的界限呢？

　　同样重要的是要记住“物以类聚。”黑客往往乐于与其他黑客作朋友。他们互相学习，这也是一种文化，这种文化中的成员们彼此争斗，得到大量满足。即使“你的”黑客不会试图损害您的网络或资产，你能确定他在与黑客朋友们吹嘘时不会无意中泄露有关信息，以致他的黑客朋友们习惯性地进来并肆虐？

　　记住：所有的黑客都是不一样的

　　在上个月的网络犯罪专栏，即对网络罪犯进行的剖析和分类中，我讨论了不同的网络罪犯有不同的犯罪动机。如果你考虑聘请一名前黑客，一个好主意是深入分析他的背景和记录，并尝试精确辨别他到底属于哪一种类别。这可以给你一个线索来评估如果聘请他会带来多大的风险。

　　十几岁的前黑客无意中进入了联邦政府的受保护网络，尽管没有真正的破坏意图，很可能被抓住而“极度恐惧”。（另一方面，身陷囹圄的经历也可能激怒了他，在“变坏”不仅不会受到蔑视，而且可能受到钦佩奖励的环境里，他的犯罪倾向可能会增强）。一个更加成熟的白领罪犯，会故意将钱从他人帐户转移到自己的帐户中，或作为受聘黑客从事企业间谍活动，可能有更根深蒂固的犯罪心态，不是那么容易改变的。

　　在雇用一个人来做你自己不知道如何做的工作时，总是会存在一些风险元素，因为他容易对你耍诡计。更大的风险是雇用过去存在非法行为的人——但一些黑客是比另外一些更危险。

　　保护公司避免走火

　　如果你决定雇佣前黑客，请采取下列步骤来保护公司避免可能带来的后果：

　　做一个彻底的背景调查。不要以为黑客告诉你的话都是真的。信不信由你，有些人即使真的没有做，却会声称自己是罪犯，只要他们认为这样做会获得一份高薪的工作，从而可以在他们的朋友面前装酷。

　　与黑客签订劳动合同（或独立承包商协议），其中要有非常明确地设置界限，禁止没有具体授权的访问，禁止使用或分享在渗透测试或其他工作中收集到的资料，并对违约处罚作明确规定。

　　考虑黑客是否则具有雇员不诚实／忠诚保证书，如果黑客是一个承包商，则要求他提供保险凭证，一旦他以偷盗、骗取或其他方式故意对你造成业务损失，就要进行赔偿。

　　不要给黑客除了工作需要之外的任何访问权利。永远不要给他管理密码。如果他能靠自己获得这些，你就知道你这存在安全问题，但你不应该提供给他。

　　如果黑客离开了或合同工作结束，要更改密码（即使你认为他确实没有掌握它们），并确保在适当的位置有强力入侵检测/预防监控措施。

　　在黑客为你工作当时以及之后要监控网络访问，并留心观察任何可疑活动。请记住，黑客可能使用其他用户的帐户，不一定就是你给他的。

　　总结

　　除了实际的原因，那些为公司定立此基调的人必须审查雇用黑客是否符合自己的道德守则。你是要鼓励这种从自己的犯罪背景中获利的做法吗？

　　关于最后一点，我整列用了男性的代名词，不仅是因为我讨厌语法不正确地使用“they（他们）”和“them（他们）”足以作为一个特例，而且也是因为大多数黑帽黑客——尤其是被定罪的——是男性。（完）

（http://blogs.techrepublic.com.com/security/?p=4209&tag=leftCol;post-4209）