如何聘請黑客 - 封面

如何聘請黑客? 這是正確的?

若昂·佩德羅·博阿文圖拉頭像
隨著數字化轉型的發展,公司尋求了解如何聘請黑客來利用漏洞並提高數字安全性。

儘管通常與非法行為和可疑性質的個人聯繫在一起,這個詞 黑客,其實指的是一種與科技和計算相關的亞文化。 隨著一個日益相互關聯的社會的到來,黑客在就業市場中的重要性和影響力已經發展成為一個獨立的專業類別。

因此,世界各地的公司都想知道如何聘請黑客來了解數字時代並適應涉及其自身資產和員工虛擬安全的問題。

83 年對黑客和網絡安全的需求將增長 2022%

尤其是在巴西,近年來黑客服務開始受到更多重視。 第二個數據來自 布拉斯康公司,巴西信息和通信技術公司協會有一個 兩萬四千名技術專家的短缺 接受過網絡安全方面的培訓——也就是說,如果存在缺陷,就會存在無法滿足的需求。 巴西每年培訓大約四萬六千名IT專業人員,但這些數字低於市場需求,因為盈虧平衡點應該在七萬名左右。

值得注意的是,這一需求仍遠未得到滿足,相信這一需求將會增加。 根據 PwC Digital Trusts Insights 報告,趨勢是 巴西 83% 的公司最終不得不增加對網絡安全的投資 整個 2022 年。另一個趨勢是,網絡安全支出也將增長 69% 左右,高於前年的增幅,巴西公司的投資增幅為 55%。

這種趨勢仍然是 COVID-19 大流行的延伸影響之一。 隨著數字化經營業務的指數級增長,也出現了 黑客活動增加 330% 鑑於大規模採用 家庭辦公室 這在以前並不常見。 以前,個人電腦和工作電腦是分開的機器,但這些功能都集中在一台機器上,這增加了信息流,成為壞脾氣黑客的金礦。

關於網絡安全的說明性圖像。
趨勢是,在 COVID-330 大流行期間黑客入侵增加 19% 將導致巴西網絡安全支出增長 69%。 (圖片:Flickr)

然而,並不是每個黑客都符合這種描述,因為也有專門為防止網絡犯罪分子採取行動而採取行動的專業人員,而且正如已經指出的那樣,這是一個缺乏專業人員的市場。 根據 Intera,一家數字招聘公司,與專業黑客行動相關的收入增​​長了 265%,其客戶群增加了 125%,特別是對於能夠理解這種服務重要性的大型零售品牌.

鑑於此,面對日益增長的網絡安全需求,看到了機遇,出現了一個由顧問和專業人士組成的“黑客市場”,他們轉而填補這一空白。 同樣,有一些專門從事這一領域的招聘和人力資源公司,促進了關注公司係統安全的企業家的行動。

也可以直接拉攏這些黑客,但僱傭這樣的中間人可以加快這個過程。 A 相互影響例如,專注於吸引人才,以保證 90% 的自信,並將尋找熟練黑客的時間減少 80%。 另一家專注於網絡安全的巴西公司是 安全科技,它也專注於該領域,並提供從網絡監控到數字法律的服務。

因此,重要的是要了解黑客並不總是對應於在互聯網上對毫無戒心的用戶實施犯罪的個人。 事實上,它只是這個分類中的一個類別,與一種生活方式和行為準則有關,這種生活方式和行為準則起源於 60 年代的反主流文化,並且產生了即使在今天的專業市場上也能收穫的成果。 

麻省理工學院技術模型鐵路俱樂部的成員,2005 年。(圖片:mit/disclosure)
麻省理工學院技術模型鐵路俱樂部的成員,2005 年。(圖片:麻省理工學院/披露)

什麼是黑客?

什麼是黑客以及什麼可以稱為“黑客”的想法黑客文化”最早可追溯至 60 年代,起源於美國的一群計算愛好者 麻省理工學院 (麻省理工學院)稱 科技模型鐵路俱樂部. 曾接待過科技界的知名人士,如 Steve Russell(負責創建 Spacewar遊戲第一個廣泛分佈的視頻遊戲), TMRC 是一群技術愛好者的庇護所,他們可以在這裡發展自己的技能。

正是在這個俱樂部裡,“破解”的出現是為了定義修改計算機和系統以改進其功能的活動。 不僅如此, 黑客 它成為一種生活方式,一種要遵循的意識形態,具有自己的道德準則。 根據 Steven Levy 在 黑客:計算革命的英雄l (1994),計算機可以讓我們的生活變得更好,因此,應該像信息一樣可以自由、無限制地訪問。

黑客們認為,通過拆解組件、了解它們的工作原理並利用這些知識創造新的、更有趣的東西,可以學到關於世界運作系統的重要課程。

利維,斯蒂芬。 黑客:計算機革命的英雄。 紐約:戴爾出版社,1994 年,第 32-33 頁,意譯。
科技模型鐵路俱樂部的太空戰展示(圖片來源:計算機歷史博物館)
Tech Model Railroad Club 的太空戰展覽(圖片來源:計算機歷史博物館)

對他們來說,計算是世界的反映(反之亦然),黑客的主要目標是不斷改進任何系統,總是尋找缺陷並試圖解決它們。 試圖糾正錯誤和尋求更完美的系統似乎是一種原始本能。 對於黑客來說,這種做法堪比藝術創作,每個人都有自己的編程邏輯,一種簽名。

黑客文化的另一個重要方面是,黑客以改進系統為目標,同時也以提高自己為目標,向同行證明自己的素質,展示自己獨特的專業知識和技能,證明自己是黑客中的佼佼者。 社區內對黑客的欣賞與他們的性別和年齡無關,只要他們是好的。 黑手黨男孩,世界上最臭名昭著的黑客之一,以在壯舉時僅 15 歲就摧毀了雅虎和 CNN 等大品牌的網站而聞名,他解釋了適用於這種黑客文化特徵的情況以及發生了什麼給他:

我真的走進其中一個聊天室說,“我要告訴你我能做到這一點。 為我列出你認為世界上最強大的網絡,我會把他們拿下”。 發送了幾個建議,其中之一是 CNN 網絡。 所以我說,“好吧,CNN? 在 30 秒內進入 CNN”,然後 CNN 宕機了,包括託管在該公司服務器上的另外 1.500 個站點。 動機是以某種方式嚇唬 IRC 上的所有其他黑客。

黑手黨男孩, 在 Showmetech 的獨家專訪中
Mafiaboy,Michael Calce 的網絡暱稱,是一位臭名昭著的黑客,因在 2000 年年僅 XNUMX 歲時摧毀了重要的互聯網門戶而聞名(圖片來源:cnn/disclosure)
MafiaBoy,Michael Calce 的網絡暱稱,是一位臭名昭著的黑客,因在 2000 年年僅 XNUMX 歲時摧毀了重要的互聯網門戶而聞名(圖片來源:CNN/披露)

根據 黑客道德規範,所有信息必須免費. 通常與這樣的“誡命”相關聯的還有另一個鼓勵 不相信當局促進權力下放,因為通常認為此類信息不斷被視為權威的人物所壟斷的想法以及維護信息可以自由運行的系統的最佳方式恰恰是沒有限制權限的開放系統。 正是在對這種理想的模棱兩可的解釋中,關於黑客社區的性質發生了衝突。

如何找到靠譜的黑客?

僱用黑客, 最初需要採取一些 關懷. 正如我們所見,認證問題很重要,但也有必要考慮我們要雇用的人員的性質。 畢竟,我們不能將我們的網絡安全託付給任何人,不是嗎?

雖然這是一個普遍的想法 刻板印象 “黑客生活在暗網”,甚至他們只接受比特幣支付,因為它們是難以追踪的虛擬貨幣等等,這些想法在現實生活中出現時,是相當有問題的,並且可能正確地引發alert ,因為“好”的黑客不需要躲在這種詭計後面。 畢竟,我們想要的不是違法的東西。

那是因為採取預防措施是不違法的。 如果您認為您的公司是 易受傷害的 甚至已經懷疑它有問題,懷疑系統已經成為受害者 可疑活動 — 考慮到 崩潰, 緩慢, 文件消失, 無正當理由的殘留文件 - 追求可以做出的人可能是個好主意 診斷.

因此,當談到 完全合法化的做法,沒有必要深入互聯網黑社會的最深層。 在網絡上簡單地搜索服務站點可以使這種做法更加容易。 例如,其中之一是 忍者,一個門戶網站,其目標是在 服務供應商 和那些需要他們的人。 在網站本身上有一個類別“資訊科技服務“,這可能適合尋找網絡安全黑客專家。

也可以直接在培訓中心找到這些專業人員。 例如,巴西有 黑旗學院,一個專門的平台,其使命是培養網絡安全領域的計算專業人員。 他們自己有一個方法叫做“在公司”,這使得病房的服務可供需要它們的公司使用。 在他們的網站上有一個聯繫選項卡,顯示他們對任何有此類需求的人開放。

如何聘請黑客? 這是正確的?。 隨著數字化轉型的發展,公司尋求了解如何聘請黑客來利用漏洞並提高數字安全性。
Hackaflag Academy 甚至推廣#HFBR,這是一項促進黑客錦標賽的活動,以測試他們的技能,並且可以在該主題上與巴西的主要專家會面(圖片: Hackaflag 學院/Youtube)

此外,我們已經在同一份報告中提到了兩家專注於網絡安全的公司,例如 相互影響安全科技. 因為他們是專家,所以他們可以根據公司的需要,在某種程度上,建議最好的行動和服務。 個性化. 因此,溝通非常重要。 反過來,成本顯然會根據服務的特殊性和範圍而有所不同。 招聘過程也可能有所不同,具體取決於相關中介或黑客的政策。

值得注意的是,一些似乎需要專門黑客的服務有時可以用更實際的方式解決。 一 黑客可以識別克隆手機,但可以通過直接向移動運營商報告問題來採取行動。 在這種情況下,除了建議修改密碼、配置兩步登錄等,黑客自己也會推薦這種操作。 常見的在線安全實踐. 當然,如果可能的話,這樣的專家的意見總是很重要的。

值得一提的是 社交媒體黑客,例如 Facebook、Instagram 或 LinkedIn,或不定期收集某人的信息, 針對數字安全的攻擊 受《通用數據保護法》和《互聯網民權框架》保護的個人。 因此,它們是非法行為。 對網站和在線服務器的入侵也是如此。 我們甚至不需要詳細了解銀行信息,對嗎?

黑客有什麼用?

黑客通常被歸類為技術和系統專家,他們在了解我們日益相互關聯的社會並幫助以安全和優化的方式構建和維護社會方面發揮著重要作用。 黑客將世界視為系統,因此總是看到改進的空間。

考慮到社會的目標是不斷向數字環境遷移,重要的是我們擁有此類系統的專家,這樣對此類知識不感興趣的普通人也能感到安全和受到保護。

這就是這種二分法的來源。 黑客在我們的日常生活中扮演著越來越重要和現實的社會角色,即使我們經常看不到他們以實際的方式行事,甚至最終因非法和不道德的行為而上新聞。 然而,還有一些人關心和關心一個和平、沒有威脅,甚至是惡意黑客的互聯社會。

關於系統入侵的說明性圖像。
並不是所有的黑客都是邪惡的,有些黑客的行為恰恰是為了在有惡意的人利用他們之前找到系統中的漏洞並修復它們。 (圖片:iStock)

白帽/黑帽

社區對黑客道德規範的解釋方式多種多樣,這意味著黑客本身最終會根據他們的行為方式被歸類為不同的定義。

Kevin Poulsen 在 80 年代被稱為黑客的漢尼拔講師,直到他於 1991 年被捕並在獲釋後成為一名記者(圖片來自 creative commons)。
Kevin Poulsen,Black Hat 在 80 年代被稱為黑客的漢尼拔萊克特,直到他於 1991 年被捕並在獲釋後成為一名記者(圖片來自 creative commons)。

對應於負面刻板印象的黑客,負責在外來信息之後入侵易受攻擊的系統並促進網絡混亂的黑客通常被稱為 黑帽 (黑帽黑客,意譯),因為它通過權力下放和信息自由的命令為其非法行為辯護,即使它與私人信息有關。 他們仍然是黑客,但他們仍然不能代表整個亞文化。 有時,它們也被稱為餅乾。

例如,Kevin Poulsen 是 80 年代臭名昭著的黑帽黑客,被稱為“黑客中的漢尼拔萊克特”。 通過侵入無線電台電話線贏得汽車而名聲大噪。 如今,他退休了,出獄後成為一名科技記者。

另一方面,黑客 白帽 (白帽黑客) 是那些關心構建越來越安全的系統的人。 從這個角度來看,他通常負責查找系統中的錯誤,以通知負責人(以謹慎的方式),或徹底解決問題。 市場上的知名人士,如 Apple 的聯合創始人 Steve Wozniak、負責 WWW 協議的 Tim Berners-Lee,以及經典的 TMC 成員,如 Steve Russell,都被認為是白帽。

Tim berners-lee 負責設計 www 協議,負責塑造當今世界使用互聯網的方式,被認為是白帽黑客。 (圖片來自創意共享)
Tim Berners-Lee 負責設計 WWW 協議,負責塑造當今世界使用互聯網的方式,被認為是白帽黑客。 (圖片來自創意共享)

除了這兩者之外,還有一種中間地帶叫做 灰色帽子 (灰帽黑客,意譯),他們通常識別系統故障並搶救與之相關的數據,但實際上並不犯罪。 與灰帽有關的一個非常典型的案例是在 2021 年 XNUMX 月,當時 衛生部被黑客入侵 他只是簡單地留下一條消息,公開警告系統中的缺陷,並留下最後通牒,說下一個攻擊者可能不會像他那樣友善。

三個相同的黑客,但帽子顏色不同(黑色、灰色和白色)。
白帽黑客合法行事,而黑帽黑客則以其非法行為而聞名。 在兩者的中間有灰帽,它以被認為模棱兩可的方式運作。 (圖片:Shutterstock)

幾個月後,也就是十二月, 同一個衛生部成為新的黑客攻擊的目標。 顯然,幾個月前沒有聽取 Gray Hat 的建議,另一組入侵了該系統並最終劫持了有關 ConectaSUS 的用戶數據,使該站點離線並僅留下警告。 考慮到這種攻擊危害國家安全並因此構成犯罪,很可能被誣陷為黑帽行動。

一個奇思妙想:這個分類來自老西部片的一個慣例,好人被白色牛仔帽準確地識別出來,而壞人的本性則因為黑色帽子而很快被識別出來。

1945年電影《西部天空下》中的場景,好人戴白帽子,壞人戴黑帽子。
這個名稱來自老西部片,壞人戴黑帽子,好人戴白帽子。 照片中是 1945 年《西部天空下》中的兩個角色。(圖片來源:Universal/disclosure)

好黑客常用服務

衛生部被灰帽黑客警告過系統的漏洞,不是嗎? 從理論上講,衛生部負責人的下一步工作是檢查相關係統的完整性。 為此,理想的做法是聘請專業的黑客和專家來發現系統中存在的缺陷,然後進行補救,以避免漏洞被利用時的潛在後果。

因此,白帽黑客被認為是負責識別潛在漏洞然後關閉它們的好人。 這種做法不僅通過分析系統並指出此類缺陷來實現,而且還通過強制入侵(顯然是經過編程並事先通知其承包商)來模擬真實攻擊中存在的上下文和變量。

這就是為什麼一個“優秀”的黑客還需要對被認為是非法的策略有很好的了解,因為他需要始終比那些意圖不那麼高尚的人領先一步。 關於如何的知識 惡意軟件 和其他病毒的行為很重要,因為它可以阻止系統,該系統可以重新編程以在逆境中表現得更安全。

關於網絡安全和白帽黑客的說明性圖像。
“好黑客”的行為旨在為其他用戶提供一個健康、和平和安全的計算環境。 (圖片:iStock)

專業的白帽黑客除了在技術層面了解系統外,還需要具備社會工程學知識,即參考其所服務的公司員工的行為理解和完整性驗證。

O 人的因素 對於公司係統中可能出現的任何漏洞,仍然負有很多責任。 這就是為什麼黑客自己進行欺詐性電子郵件活動的原因——同樣,總是以承包商的授權為目標——以便能夠驗證員工自身的弱點,他們最終難以區分真正的電子郵件和有害的電子郵件。

這也與社會工程學有很大關係,社會工程學是信息安全的一個分支,涉及情緒和心理操縱以獲取被認為是機密的數據,這些數據通常是通過談話和說服而自願接收的。

說明性圖像與黑客寓言地保證用戶的安全。
White Hack 在黑客市場的主要活動領域之一是網絡安全。 (圖片:iStock)

值得注意的是,這種對系統故障的不斷搜索仍然符合對 Tech Model Railroad Club 制定的黑客道德準則的解釋。 畢竟,黑客致力於不斷改進系統,使它們變得越來越高效——而公司的系統組成不僅由計算機、代碼和技術設備組成,還由使用它們的人組成。

例如,在一個實際的例子中,在政府領域,白黑客通常被招募 高級選舉法院 參與進行 公安考試 (TPS) 旨在以受控方式模擬索賠條件,並通過執行與電子投票機相關的各種測試來嘗試識別系統中的潛在故障。

應該注意的是,計算理解並不是正式成為 White Hacker 或專業黑客的唯一必要條件。 可靠是必要的,為此,受人尊敬的機構可以為那些打算走這條路的人頒發證書。 歐 歐共體理事會例如,是一家專注於電子商務的網絡安全專業組織,並有權授予此類文憑。 A Foundstone 終極黑客,來自 McAfee,是另一個實體,甚至是授予此類認證的先驅。

對邪惡黑客的刻板描述。
“邪惡的黑客”已經影響了對黑客的刻板印象(圖片來自 creative commons)

常見的邪惡黑客服務(以及為什麼它們是非法的)

White Hat 旨在加強系統,而 Black Hat 的目的恰恰相反,利用系統缺陷為自己的利益從事被視為非法、配置為網絡犯罪的活動。 與任何犯罪一樣,有法律確定什麼是非法活動,從這個角度來看,網絡犯罪分子即使處於他認為自己已經征服的網絡環境中,仍然容易成為對法律作出反應的自然人。您是公民的國家。

例如,公民數字信息的安全受到相應法律的保障。 互聯網民用框架,於 2014 年頒布,儘管存在一些爭議,但被認為是與網絡和整個虛擬環境相關的政策方面的先驅。 由於互聯網民權框架是一項確保我們數據機密性的法律,因此根據巴西法律,企圖入侵可被視為犯罪。 這同樣適用於 Lei General de Proteção de Dados.

除了可以被視為黑幕的最終目標之外,Black Hat 使用的手段也受到判斷。 例如,為了挖礦加密貨幣,第三方入侵計算機以在用戶不知情的情況下安裝挖礦腳本,利用他人的機器謀取私利的情況並不少見。

網絡釣魚和社會工程是兩種拉攏受害者的黑客技術,目的是讓他們在不知不覺中自願交出信息。 (圖片:股票)
網絡釣魚和社會工程是兩種拉攏受害者的黑客技術,目的是讓他們在不知不覺中自願交出信息。 (圖片:iStock)

為此,黑帽黑客通常會利用侵入性代碼和腳本(例如 木馬 和別的 惡意軟件) 不同意也承擔保證用戶安全功能的操作系統的條款​​和條件(好像不遵守國家自己的立法是不夠的理由)。

對於那些維護旨在非法行為的頁面的人來說也是如此,從提供盜版內容到銷售毒品或維護非法色情材料網絡,他們經常需要置身於法律之外,這樣責任人就不會被抓到並可以繼續他們的業務秘密——通常在平行網絡上運行,如深網和暗網。

值得注意的是 社會工程學 Ø 網絡釣魚 — 偽裝成官方電子郵件和網站的欺詐性電子郵件和網站 — 也是黑帽子使用的方法,主要針對最毫無戒心的人。

這就是為什麼網絡安全最終成為當今互聯世界中越來越多地討論和考慮的問題,無論是在涉及小型到大型公司的情況下,還是涉及作為個人的公民,甚至是重要的政府機構。

也閱讀

馬庫斯·哈欽斯 (Marcus Hutchins) 是一位知名黑客,他發現了強大的 Wannacry 病毒的漏洞,但這一壯舉讓他的黑帽歷史曝光,並引起了當局的注意。 檢查你的故事.

豐特斯: 福布斯, 熊貓安全, CNN, “紐約時報”, 啟動它, UFSC, 布拉斯康公司


了解更多關於秀美科技

註冊以透過電子郵件接收我們的最新消息。

145評論
發表評論

您的電子郵件地址將不會被發表。 必填字段標有 *

相關文章