某白帽未授权渗透测试政府网站被抓,从中你应该学会什么
安全技术是一把双刃剑,有人会利用它去犯罪牟利,有些人会它来帮助企业和有关部门解决安全问题,打击犯罪。当然有不少安全从业者在工作和学习过程中,能接触到更多核心数据、核心业务,与数据和金钱走得太近的人,受到身边环境氛围和一些不法分子的诱惑,而迷失的案例不在少数。如何去面对这些利益的诱惑,如何在安全道路上,如何保护自己,作为信息安全从业者如何去明确安全责任边界,法律边界,这也是我们今天要探讨的话题。
随着近几年大家对信息安全专业热衷,更多安全新人疯狂涌入到安全行业当中,很多安全新人在安全意识和自律上相比之下,了解的相对偏少。但是,问题来了,如果一个安全从业者缺乏安全认知,缺乏法律意识,甚至没有最基本的自律,职业道德,再谈什么安全人才的价值?对于广大已经走过早期安全新人阶段的从业者、已在各个领域有一定建树的行业专家,资深大拿更应该有责任和义务站出来去给行业新人、从业者去引导,避免“类似事件”的发生,明确风险边界,哪些有明显的问题,哪些是法律界限,相对模糊。
从个人经验和经历给大家分享一些心得和可操作性的建议。首先,尽可能的多了解国内的法律法规的,包括行业政策的规定,推荐了解下:刑法直接跟计算机相关的罪名和条款《非法侵入计算机信息系统》、《非法获取计算机信息系统罪》、《非法控制计算机信息系统罪》、《非法获取个人公民信息罪》、《敲诈勒索罪》、《提供专门用于侵入、非法控制计算机信息系统的程序、工具罪》等罪名,间接使用互联网信息技术犯罪的种类就多了,再次不一一列举,有条件的情况下,可以买本《刑法修正案十》和网络安全法学习一下。在工作和生活当中,希望从业者注意以下几个事项,真的爱自己请重点关注:
1、没有授权的前提下,不要触碰各类网站(包含企业网站),特别是国家事务、国防建设、尖端科学,政府相关网站,不要触碰ZF与国家背景企业的网站。
2、不要在不明确业务边界和责任边界的前提下,突破原有的系统权限和数据权限。
3、不要持有公民信息,不要搭建社工库,云盘、电脑、手机不要存储公民信息数据。
4、项目授权范围内做的相关工作,获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除。
5、写技术文章的过程中,不要过于披露涉及漏洞与通用型问题细节,不要提供工具!!文章内容该模糊化的地方,要做二次处理避免被二次利用。
6、不要做漏洞、数据交易,不要在不了解对方背景情况下给“犯罪分子”提供技术思路。
7、多学习法律、不要过度炫技,低调求发展。
网安专家的看法和建议:
一、不要无知,做法盲。网络安全行业被无知媒体和无法律意识从业者,强化包装成极客,为所欲为的极客,这是无知法盲的包装!
二、不要无畏,知法犯法。网络安全行业技术人员要强化法律风险,重点去学学《刑法》《网络安全法》。会计做假账都知道有可能要取消从业资格,甚至坐牢。网络安全从业者更甚!
三、不要侥幸,害人终害己。小黑入行的导师和网络安全行业管理者,要严肃告诫从业人员,网络安全行业是高危职业。不仅强调技术门槛高,技术难度高,更要强调入罪风险高!切记,传授犯罪方法也是犯罪!”
最后,不要在自己年轻的时候为自己的无知,买单。
希望以此可以积极引导大家走上正确的安全道路
不要从白帽子黑客,然后入狱几年,出来后就变成了绿帽子黑客
目录 返回
首页
- 评论列表