道德駭客:心態與動機
在過去幾十年中,“駭客”一詞所帶有的負面含義讓人難以理解為什麼有人會自稱為“道德駭客”。然而道德駭客在網路安全中扮演著日益重要的角色,而且道德駭客社區的人數還在快速增長。如果你想與道德駭客打交道、在他們中間找工作或者成為其中一份子,就有必要理解這種獨特的網路安全專業人員的心態與動機。
並不僅是金錢誘因
與許多兼職工作一樣,金錢是重要因素之一,但不一定是決定性因素。一項最近的道德駭客社區調查顯示,金錢是很多人參與道德駭客工作的重要誘因。當然報酬確實可以很豐厚,三分之一的道德駭客每月至少可以賺到 1,000 美元。但成為道德駭客並不僅僅是為了金錢報酬。根據該調查,60%的道德駭客每週花費至少 10 小時進行駭客活動,40%的人花費超過 20 小時,還有 18%的人每週超過 40 小時。付出這種時間顯示,他們參與駭客活動並不僅僅因為金錢報酬。因為道德駭客擁有的技能,他們在網路安全分析員的工作中,薪酬可能更高。
好奇心是激發動力
對於許多道德駭客來說開始之旅都是源於對解決問題和學習事物的深刻興趣。例如,德國的一名電腦科學博士生 Sebastian Neef(化名 Gehaxelt)17 歲那年開始進行駭客活動。當時駭客攻擊和破壞網站是常態。他說,這似乎是很酷的事情,且這項工作似乎相對簡單。但他與某些以破壞為目的的混亂元素不同,因為他動機是好奇心,並且想知道當他發現系統漏洞時,管理員會做出怎樣的反應。其中一些管理員很感激他的幫助,將漏洞修復;但有些管理員卻不理會。Sebastian 的故事很普遍,許多駭客都是源於對技術和好奇心的興趣而展開的。但一旦他們發現自己的技能,如上癮般沉迷於駭客活動,道路就分為兩條:一是成為道德駭客,另一條是為了破壞而走向不良之路。
社群歸屬感極強
和其他專業人士一樣,道德駭客也會形成社群和團體,分享技巧和相互尊敬。這些社區不像娛樂足球隊那樣每個人都為了一個共同目的而努力;但確實具有競爭性。許多道德駭客社區都有排行榜,每個人都知道誰在排行榜的頂端,每個人都想成為第一名。同時存在合作的 camaraderie。Sebastian 和其他大約 30 位道德駭客在德國的 bug bounty Slack 頻道上。每年一次,他們租用共同工作空間,選擇一些目標,在一起工作,看誰能發現到最多漏洞。對於 Sebastian 來說社區還包括週二的聚會,人們在一起討論安全或參加 Capture the Flag 比賽。
保護自己的親朋不受傷害提供目的
在某些方面,道德駭客與其它人沒有什麼不同。他們關心每天使用的網站和其他技術的安全。但是不像大多數人,道德駭客具有測試技能和知識的能力,他們能夠檢測技術漏洞,確保這些技術的安全性。一旦你看過潛伏在技術中的危險,並意識到自己有能力發現問題,就很難不去行動。而且不僅僅因為 bug bounty 誘因,道德駭客也關心自己的安全和親朋好友的網路安全。與內外科技領域的其他專業人員一樣,Sebastian 和他的同伴都受到自主性、技能掌握和公眾認可等方面的激勵。道德駭客可以自行在任何時間進行工作,試圖找到組織基礎設施中攻擊者可能利用的弱點。這是網路安全領域中,極少數人可以獲得的自主性。作為一名道德駭客,能夠揭露其他人無法發現的組織系統和網路的漏洞,因所特定的技能和知識而帶來社群認可感與自豪感。但是大多數情況下,道德駭客這樣做是因為他們想做對的事情,特別是如果這些措施帶來更強的安全防護措施,以預防未來的攻擊。這些專業人員有潛力做到許多網路安全領域的人可能認為無法實現的事,也就是讓“駭客”這個詞匯重新獲得好評。
