«
»

僱用駭客-2010-06-15

任何關於僱用駭客的文章,都會在駭客(Hacker)的定義上陷入僵局。什麼是「駭客(hacker)」?「駭客」又和「怪客(cracker)」有什麼不同?我有自己定義,但我寧可用更特別的方式來定義這個問題:你是否會把你電腦網路中需要信任的職缺交給一位電腦罪犯?更廣泛的說,你是否會把工作交給一個曾經犯過與此工作有關罪責的人?

當然答案會是「視情況而定」:看犯罪的細節、看相關的道德倫理議題、看那種犯罪的再犯率高不高,最重要的,要看犯下罪行那個人本身的狀況而定。

你是否會僱用一個戀童癖的罪犯在日間托兒中心工作?你是否會僱用 Bernie Madoff(美國金融詐騙犯)來管理你的投資基金?這兩個問題的答案幾乎可以肯定是No!但是你可能會顧用銀行搶匪來當來銀行安全的顧問;可能會找個做過不實廣告的人為你的下一個商業活動撰寫宣傳稿;也可能會找一個開地下拆車廠的人幫你修理汽車,全看這個人和他所犯下的罪行而定。

事情可能更隱晦難明:你是否會僱用在中情局受訓過的刺客當自己的保鑣?你是否會讓曾經指揮成功侵略行動的將領負責防禦工作?若他們所處的國家都把他們視為罪犯的話你又會怎麼想?當然在不同情況下所需考量的法律、道德議題也不同,但在這兩個例子中,人們知道某些犯罪手法是可以轉為防禦之用的。

有了這個認知之後,再回頭考慮電腦領域的狀況:入侵系統(Hacking)是一種思維模式,是一種思考安全議題的方法,它的重點在於對系統的攻擊,但這種思維對於系統的防禦來說也是非常寶貴的。因為電腦系統非常複雜,要知道如何防禦,需要有人從攻擊者的角度來思考。

無可否認,從攻擊者的角度來思考與表現的跟罪犯一樣之間有所差異;研究運作中系統的弱點跟利用這些系統弱點去牟取個人利益同樣有差別。但是在電腦犯罪的認定上存在很大的模糊空間,至少早期的狀況是如此,那時許多駭客的定罪是不當與不公的。而且人在青少年時期的行為與之後的行為也不會相同。此外,一個人在被當作駭客定罪前後的行為也很有可能會有所差異,一切取決於那個人實際的狀況,不能概括而論。

身為雇主,其目標應在如何找到道德與倫理兼備,而且有能力勝任工作的人,雖然曾被當作駭客定罪,對一個人來說是不利的標記,但也不該因此完全被排除在工作機會之外。

「我們不僱用駭客」與「我們不僱用重型犯」被不當地一概而論,就像堅持「我們只僱用有某某安全證照的人」所犯的錯一樣,它們有某個程度的效用(如果你遵循這些作法可能就比較不會請錯人),但是這種認定是粗劣而帶有瑕疵的。就好比有認證的待聘員工不必然是好員工,有駭客罪行的人也不見得是壞員工。當然,根據表單上有的檢查項目來挑人選比較簡單,但是這個方法並不能讓你找到最好的員工。最好的辦法是去觀察個人的行為並將這些檢查項目納入實際狀況中的觀察項目之列,只是我們不見得有時間這樣做。

去年冬天,美國明尼蘇達州明尼阿波里斯市(Minneapolis)一位專為重型犯服刑後爭取公平待遇的律師提到他曾見過的一個告示:「徵鏟雪工人,重型犯除外」。若一個服刑後的重犯連鏟雪的工作都不能應徵,這對社會來說不是一件好事。

Source Webpage: http://www.schneier.com/crypto-gram-1006.html

This entry was posted by islab on 2010 年 06 月 15 日 at 03:54:44 under Crypto-Gram Newsletter. You can leave a response, or trackback from your own site. Follow any responses to this entry through the RSS 2.0 feed.

One Comment

  1. 陳俊良 says:

    許多安全事件防衛者本身其實很少在直接接觸或操作攻擊方面的相關,若是能跟某些攻擊者取得共識或是讓該為攻擊者能減少危害,這類的雇用反而更加的需要。

    2011 年 03 月 16 日, 14:14:06

Leave a Reply