如何向非技术人员传达对道德黑客攻击的积极感受?

信息安全 渗透测试 伦理
2021-09-05 11:22:19

概括:

对于大多数非技术人员来说,无论是因为某些重大漏洞而在新闻中还是在电影中听到有关计算机安全的信息,都有两种黑客:

  • 通常是大公司聘请的专业人士,以确保网络安全。这些都是好人。
  • 违法者,他们在任何专业和法律框架之外自行行事。这些是坏人。

然而,这些人缺少的是,在被聘为专业 IT 安全工程师之前,需要发展某些必须通过个人经验的知识。

而且,这类新闻和电影加上这件事的技术性,给这个问题带来了某种“神秘”的感觉,常常引起人们从迷恋到拒绝的非常情绪化的反应。

我们如何才能保持其他人的敏感性,并以积极、可理解的方式呈现道德黑客行为?

这个问题主要集中在学校管理上,教师和校长可能无法正确了解该主题,并且为了保护学生免受不良影响,可能会鼓励他们做出错误的决定。

背景故事:

(作为上述问题的具体说明)

让我在这里坦率地说。两年前,我在 7 年级(12 岁)的时候换了学校。我一直很难结交新朋友,这次也不例外。我一直对技术很感兴趣,因为我无事可做,所以我开始编码,并在此过程中进行渗透测试。我创建了自己的渗透测试网站,学校里的每个人都开始称我为学校的黑客。在这个过程中,我结交了很多朋友,经常帮助他们解决技术相关的问题。

但是,您必须了解,在印度,您只需要获得 BSc(计算机科学学士)学位即可成为学校教师。我学校教电脑的那两位女士嫉妒了我两年多,跑去对校长说了一大堆废话。

校长打电话给我妈妈,告诉她家里没有监控,她是一个坏父母,正在毁掉我的未来。我的母亲,作为一个了不起的人,相信学习黑客只是一种获取知识的方式,并为我辩护

和校长的对话是这样的

Principal: So what do you mean by ethical hacking? (she insists on calling penetration
           testing that)
Me: Basically finding bugs in code and fixing them before a bad guy can exploit them.
Principal: But why would you want to do that? Can't companies hire people to do that?
          I'm a principal do I go and find faults in other schools? (She has been
          brainwashed)
Me: Because there are open source codes and free software and the organisations can't
    afford to hire people to do the job. Also, I think it is fun.
Principal (to my mother):Why are you even letting Rahul do all this?
Mom: Because I think this is a part of learning and since he is getting good grades, I
     don't see anything to complain about.
Principal: But why do it at this age?
Mom: Because this is his passion.
Principal: There is no surveillance at home. He is going down the wrong path. I am
           banning him from using school computers and forbidding him from taking
           computers as his hobby. (referring to the hobby subject in school) 
Mom: If he's going down the wrong path, then take him in the computer hobby and bring him to the right path.
Principal: We cannot trust him.
Mom (sarcastic and bitter): So should we take away his phone, lock away the computers,
                            destroy his passion?
Principal: Mrs <insert surname here>, If I was in your place, I would have done that long ago.

不久之后,我又换了学校。我怎样才能防止在我的新学校发生类似的情况?

PS:我现在上 9 年级(14 岁)...

1个回答

可悲的是,我认为这种情况并不新鲜,也不会在不久的将来消失。我不知道你是否读过黑客宣言这篇文章写于八十年代,但你很可能会在这篇文章的某些方面认出自己……

你的文字很有趣,你首先解释了你很难交朋友,所以你想了如何解决这个问题,最后想出了一个解决方案。所以现在你到了第二步:如何与当局打交道(我可以将其限制在学校管理部门,但我认为问题比这更普遍,学校管理人员只是对黑客在网络中的错误形象做出反应通常的(亚)文化)。

我曾担任技术支持工程师几年。从第一天开始,我们就被告知要尽可能少地使用“问题”这个词,并且无论如何都要不惜一切代价避免使用“问题”这个词。相反,在与客户沟通时,我们应该只讨论“意外行为”、“修复”和“改进”。

这听起来可能很傻,但事实是,使用积极的词会让你的听众产生积极的感觉,而使用消极的词只会放大他们可能已经拥有的所有错误感受。

所以我对你下一步的建议是,既然你已经掌握了技术技能,那就是发展你的“营销方面”

你谈论错误、漏洞……啊,校长听到了这些扭曲、令人毛骨悚然、可怕的词。有些孩子通过接触药物来放松自己,这个接触了BUGS!愿有人拯救他的灵魂!

你会说话而不是分享实例中的良好实践吗?在某种程度上,道德黑客就是这样:某人没有应用一些好的做法,导致他的系统出现安全漏洞,所以你为了他和其他人的安全与他分享好的做法。

你能想象校长说“我是校长,我会去和其他学校分享好的做法”吗?我想你明白我的意思;)。除了使用积极的话语使人们产生更积极的感受之外,它也让他们争论的空间更小。批评某人入侵系统、破坏安全措施和利用漏洞很容易。批评某人分享良好做法,作为一名优秀和负责任的平民参与公共安全并不容易

另一点是,我不知道您与为您学校工作的人之间的确切关系,但如果您能“同情”一些 IT 人员或相关人员,那将是非常有帮助的。这里的目标是明显有帮助,所以这不会是孩子的话反对校长的话,但是为学校工作的其他人(因此从校长的角度来看,他的话更值得信赖的人)可以证明这样一个事实,例如,您提出了一些解决网络或计算机问题的建议,您参与帮助他人的困难等。

我意识到学校里很可能没有真正的“IT人”,这里的目标只是被标记为一个干净、乐于助人、仁慈和负责任的人。如果你什么都不做,由于你不寻常的和被误解的爱好,你默认被标记为一个不负责任的讨厌的松散者。您可以通过选择您希望他人感知的您自己的图像来尝试反转此标志。这会通过您使用的词语和您的可见行为传递,因此请选择两者。

最后,你也可以开始建立某种简历,它可以很简单:

  • 一份清单,收集您在何处以及如何获得技术帮助。越具体越好:“我正在寻找错误以防止坏人利用它们”并没有告诉校长任何事情(除了您处理与错误和坏人有关的事情),“网站 example.com 有一个允许任何人访问所有用户的个人信息的缺陷,我通知网站所有者以便他能够更正它“:如何合理地反对这种倡议?
  • 如果你参加了一些公开比赛,无论结果如何,这样的比赛都是你职业生涯后期遇到的认证考试的一步,
  • 如果您参与了任何公共项目。参与意味着关系和责任,您现在创建的链接和参与可能对您将来有用(参加过开源项目在申请高中时总是一个很大的奖励)。

编写和维护这样的列表在未来对你很有用,如果你说“ IT 安全工程师实际上是需要并主要被公司雇佣,我绝对不会想象一个负责人会争辩说你正在摧毁你的未来”学习成为他们中的一员。顺便说一下,这是我的简历

用三个词来概括这一切,那就是沟通、沟通、沟通选择你的措辞,避免任何可能被错误理解的事情,与学校管理部门合作,让他们学会了解你的好方法,尽可能将你的个人经验用于学校项目(我记得在英语课程中进行过无主题演讲逆向工程的基础给我的同学们;))。

其它你可能感兴趣的问题
上一篇在决定是否应通知用户进行渗透测试时,您应该考虑哪些因素? 下一篇将每个 Web 服务用户隔离在自己的服务器上是否有意义?