动机纯粹就可以吗?
前一阵子,克里斯·罗伯茨声称黑进波音737机上娱乐系统并被FBI问询的事情引发了一波汹涌澎湃的论战。公共舆论最开始站在罗伯茨一边,但后来因为FBI提交法庭的书面陈述仅事情发生了戏剧性转变。陈述表明,罗伯茨承认在空中对飞机网络进行了实时“渗透测试”。
这份陈述引起了有关白帽子道德问题的深切关注。根据口供,罗伯茨有能力控制飞机偏离预定航线,其后果是相当可怕的。没人认为罗伯茨有一丁点儿危害自身或其他乘客的意图,但如果口供是真实的,危害机上人员的可能性就是现实存在的。
有人认为,所有一切都归结到意图问题。如果白帽子黑客不打算造成任何伤害,且除了测试目标系统的安全性之外没有任何恶意企图(可能就是想负责任地披露发现的漏洞),很多安全专业人士都认为这类黑客活动是道德的。毕竟,没造成伤害,没有数据被盗,还可能披露了漏洞。
但什么时候白帽子黑客就越界了呢?道德底线该划到哪儿呢?
似乎,白帽子这个词在不同人眼里有着不同含义。一方面,有那么一群网络安全产业中的专业人士,整个职业生涯都建立在做一个严格意义上的白帽子上。这些安全专业人士必须坚守原则,从不在应邀和获批之外进行扫描、探测或检查。他们遵从严格的规定,悉心呵护自身名誉和未来收入保障。
然而,当目光从职业白帽子身上移开后,定义便发生了偏移。很多自认为是白帽子的人大概都有过查查看自己的网银有没有开放的智能平台管理界面端口的举动,只要他们的动机是为了通知银行。对他们而言,这一行为就像检查自家银行晚上有没有关好门一样理所应当。再怎么说,他们的动机都是相当纯粹的。
然而,我们最主要的争议,就在这一点上。纯粹的意图并不意味着行为就是道德的。无论意图多么高尚,白帽子黑客仍然能够并且相当容易地,造成“无意”的伤害。
拿数据采集与监控系统(SCADA)和关键基础设施的安全评估举个例子。比如白帽子黑客拿这些实时运行的工控系统做渗透测试时,我们需要正确评估,这些做测试的安全专业人士是否能够保证系统安全和100%可运行。但如果评估是由像那架飞机上的罗伯茨一样漠视安全的个人操作的,测试过程就有可能演变为对公众的严重威胁,后果可能会不堪设想。
现如今许多科技公司包括国内,都有为提交漏洞的白帽子提供奖励的计划。谷歌最近新的安卓漏洞奖励计划,奖金已高达4万美元。
这些公司已做好开放渗透测试的准备,想必也有了应对可能的安全事件和系统部分异常的计划,并且有能力承担风险。但对一些拥有重要信息系统或敏感数据的企业或机构来说,很难做到这一点。白帽子黑客需要承认并尊重这种事实,不仅仅因为私自测试通常是不道德的,违反法律的,还因为这种行为有可能造成重大经济损失,甚至将他人的人身安全置于危险之中。