改革hacker-turned-security-consultant凯文·米特尼克因闯入电话和软件公司网络在联邦监狱服刑5年。他谈到了自己过去的黑客行为,计算机安全以及他如何将一个非法的爱好变成有用的职业.
黑客入侵并不总是非法的。70年代末,我开始从事他们所谓的“偷电话”。这是同样的爱好苹果创始人史蒂夫•乔布斯和史蒂夫·沃兹尼亚克了。在1978年的那个时候,还没有法律禁止黑客行为。第一部将黑客行为定为犯罪的法律于1980年在加州通过。我是在违法之前做的。我的兴趣是娱乐——对知识的追求、挑战和窃取的信息的战利品。没有金钱动机或恶意使用、披露或销毁数据的意图。
玩这个游戏前先学习规则。刚开始的时候我就知道黑客很狡猾,但我没想到这会给我带来麻烦。在我那个年代,他们没有教我们关于黑客或使用电脑的道德规范。现在,我告诉孩子们不要步我的后尘。随着计算机越来越容易获得,有更多的道德方式来了解计算机安全。另外,现在有法律了。
不是每个人都把安全当回事。我一直在测试一家公司,一家金融机构,他们是由萨班斯-奥克斯利法案和其他规定。我做过他们的安全评估每一次我都是这样令人惊讶的是,这些公司通过安全审计来发现他们的漏洞,但却没有采取什么措施。法律要求他们进行审计,所以你会认为审计人员会要求他们解决问题,但在很多情况下,他们不会。
用你的力量行善,而不是作恶。2000年我被释放时,美国政府向我寻求帮助。美国参议员弗雷德·汤普森和约瑟夫利伯曼邀请我在国会作证政府的计算机安全漏洞.一旦我的释放限制解除,我就开始了全面的安全工作,比如培训、安全评估和产品评估。这是命运的逆转。以前,我在做一些令人兴奋的事情——但那是未经授权和非法的。现在,我又做了让我惹上麻烦的事,只不过我是经过授权的。客户把他们的网络交给我,让我侵入,这样他们就能修复安全漏洞。对我来说,这是同样的行为,但它帮助了我的客户,这是合法和道德的,所以这是一个双赢的局面。有趣的是,你可以把黑客这样的犯罪活动变成一个合法的企业。我想不出还有什么违法行为可以这么做。
即使是黑客也会被黑。攻击者找到了进入我的Web服务器的方法。然而,我的网站是由第三方托管公司托管的,所以当我的网站被黑客攻击时,是托管服务的安全缺陷,而不是我自己的。当然很尴尬,我不喜欢这样。幸运的是,我在面向公众的服务器上没有任何专有信息。缺点是人们认为我的公司被黑了,但实际上是这家托管公司的网络被黑了,而不是我自己的网站。
了解更多关于这个主题的信息
这篇文章,“关于计算机安全的5个教训”最初是由首席信息官 .