写点什么

道德和正确的认知

用户头像
沈传宁
关注
发布于: 2020 年 05 月 08 日

一、我为什么要写这篇文章

任何一个行业都有其黑暗面,也有大量利用行业特性获取利益的案例,对于想迈进信息信息安全行业,特别是希望成为一个传说中很酷的“白帽子”的新人来说,道德是一个不得不强调的问题,如同习武前先讲“武德”,在成为一名信息安全从业人员之前,也希望更好的了解计算机领域的相关道德规范。从事信息安全专业避不开“黑客”这词,这个由"hacker"翻译过来的词已经不再是诞生之初的含义了(至少在中国,在当下) ,而迈进这个领域,推荐先阅读这三篇文章,尽管已经很古老,古老到甚至可能超过某些读者的年龄,但是我觉得还是值得好好阅读的。


>《黑客文化简史》


>《开拓智域》


>《大教堂与市集》


时代变迁,过去的可能再也找不回来,但是无论如何,作为一名信息安全从业人员,基本的底线还是要有的,这个底线很简单,就是“不违法”,这不是信息安全从业人员必须遵守的,而是每个人都必须遵守的底线。对于信息安全从业人员来说,如何做到不违法。


二 、知法方能不违法

了解什么是违法的行为,这是简单的道理,但是大部分的从事信息安全或者说想迈进这个行业的人都没认真去了解,也或者觉得没必要去看。连什么行为属于违法都不知道,你敢说你真的是一个好的渗透测试人员。渗透测试和其他的入侵差别在哪?不是是否恶意,而是是否得到授权。所有未经授权的所谓“渗透测试”,都是违法的。不要认为没有对网站实施破坏就没有触犯法律,好好看看刑法 285 条。想研究技术的,不知道有 VirtualBox 和 Metasploit、WebGoat 这些东西吗?


三、正确的认知


这是做到“不违法”的关键,因为大量的触犯法律的根本原因就是抵抗不了各种诱惑。这些诱惑包括很多,有获得成就感、有为了出名、有为了利益,虚荣心等。由于我国无良和无知的很多媒体对所谓黑客和攻击者过度渲染,经常给一些攻击者带上天才、高材生等光环(以前每次看到一个猜密码入侵系统、或者用个简单 SQL 注入漏洞入侵了系统,媒体给扣上计算机天才这样字眼的报道,我就想骂记者,又打算坑多少人进来),能入侵系统总被视为酷或者很牛的,于是大量小朋友们为了炫耀或者成就感而投身“黑客”这一行业。大量的脚本小子(script kiddie)诞生了,网上找找各种现成的工具,对网上各种系统尝试,找到一个有漏洞的,搞定然后挂上自己名号或报出去。这样的“渗透测试工程师”至少不是我觉得好的渗透测试工程师。利用工具发现已知的漏洞和入侵并不能证明什么,就如同一个人用枪打死人,并不是因为你牛逼,而是因为你有这把枪。真正的安全专家应该是知道如何造出把好枪,如何在合适时候用好这把枪,如果帮助普通老百姓躲避和防护不被持枪者攻击。


四、看淡利益的诱惑

由于互联网的大繁荣而信息安全相对落后,使得在这个行业中哪怕略微懂点技术的想从中获利真是太容易了。各种黑产对稍微懂点技术又敢干的人来说,很容易就能从中获利。很多人容易迷失在其中,毕竟现在是一个利益的社会。十多年前,我还在上海辛苦带安全服务团队做安全服务业务,一年收入也就勉勉强强接近十万,是的,很低。当时就有人跟我开玩笑说,弄个木马挂出去一个月的收入可以轻松顶上一年辛苦渗透、应急响应及安全服务的收入了。因为有个不太熟的朋友找到我,让我做网页挂马引导赌博网站的,说一年收入一个多亿,还算少的,分成能上千万。还好我这样的标准中国教育家庭出来的人,还有点小小良心,另外也有点清高,没有接受。其实凡事有利也有弊,干黑产灰产的,也做好进去的准备。随着互联网的快速发展,真正在这个领域有所积累,技术上能成为比较靠前的一批,以现在信息安全的热门情况,收入不怎么会低。我认识原来很多一、两万月薪的大牛,现在都百、千万年薪或者创业当 CEO 了,所以建议还是真正掌握点技术,心安理得的拿自己该拿的钱。


作为信息安全从业人员,也请明白,并非所有不违法的都是可以做的。除了违法的黑产,还有游走在法律边缘的灰产,有些事虽然不违法,但也不是信息安全从业人员应该去做的,至于什么是不能做的,这个就看你的本心了。


总之,要想成为一个优秀的渗透测试工程师,道德和正确的认知是非常重要的!


本文是“成为优秀的渗透测试工程师”系列文章之一。

沈传宁:成为优秀的渗透测试工程师


用户头像

沈传宁

关注

还未添加个人签名 2020.05.05 加入

还未添加个人简介

评论

发布
暂无评论
道德和正确的认知