杰西卡克鲁兹和埃德霍普金斯是黑客,但不是你想象的那样。
他们是所谓的白帽黑客(或道德黑客) ) — 随着越来越多的组织遭遇数据泄露,这种黑客越来越多地被澳大利亚公司雇用。
道德黑客合法地瞄准公司以发现其系统中的漏洞。然后,他们会告诉客户如何解决这些问题,以免其他不道德的黑客以非法或不道德的方式利用这些问题,包括访问私人客户数据。
“我们先于其他人破坏事物, “克鲁兹女士说。 “当然是在允许的情况下。”
霍普金斯先生说,道德黑客是“匆忙”和“世界上最好的工作”。
“你这样做没有警察在你家门口卷起的风险,也没有做可怕事情的道德负担,”他说。
“所以它是最好的黑客攻击类型。”
Georg Thomas 是咨询公司 Deloitte 的网络安全顾问和网络团队的高级经理。
电信巨头 Optus 已聘请德勤对其最近的数据泄露进行独立的外部审查。
Thomas 博士说,白帽黑客是“具有相同技能和用途的网络安全专业人士与恶意黑客相同的工具和技术,但意图是好的”。
“黑客看起来像普通人。你可以在街上走过一个人,但你不会知道,”他说。
不同类型的黑客
黑客主要分为三种类型:
黑帽黑客——他们通常以恶意或非法方式行事,以获取一些个人或经济利益,或者只是为了造成混乱
灰帽黑客——他们也试图非法发现安全系统中的漏洞,但可能会使用他们发现的信息来提醒违规组织(并要求金钱作为回报),发布详细信息在线漏洞,或将其出售给政府或执法部门
白帽黑客——他们使用类似的工具来查找安全系统中的漏洞,但组织会为此付费想要发现可能的漏洞。他们也被称为道德黑客
Thomas 博士说,大多数道德黑客都为咨询公司工作,然后“基本上所有其他组织都参与其中”攻击他们的系统。
克鲁兹女士——她曾学习软件工程,但发现她更喜欢“破坏事物”——她说白帽黑客“形形色色”。
“我不会每天穿着连帽衫去上班,也不会在黑暗中工作,”她说。
克鲁兹女士和她的同事霍普金斯先生— 拥有 IT 和管理咨询背景 — 在咨询公司普华永道 (PwC) 的进攻性安全团队工作。
“我们正在尝试以一种过去的方式使用技术“不是故意的,”霍普金斯先生说。
“人们不一定会想到或理解的是,黑客可以合法地进行。”
道德黑客正在上升,随着更多引人注目的数据泄露
Thomas 博士说澳大利亚公司越来越多地转向白帽黑客为了改进他们的网络安全系统。
越来越多的组织受到网络攻击的打击——其中最大的一次导致数百万客户的个人详细信息被泄露.
这里只是一些最近经历过数据泄露的组织和公司:
Optus,澳大利亚最大的电信公司之一Medibank,澳大利亚最大的私人健康保险提供商之一 Woolworths Group 的 MyDeal 在线购物平台澳大利亚联邦警察Rockstar Games,侠盗猎车手系列视频游戏的创造者澳大利亚临床实验室,澳大利亚最大的病理学公司之一s
Thomas 博士说,通常可能会花钱请道德黑客进行测试的组织鉴于“不断变化的威胁形势”,他们的系统现在每年一次这样做的频率更高。
网络犯罪报告激增
澳大利亚网络安全中心表示,上一财年网络犯罪报告跃升 13% 至 76,000 份,这意味着该机构与前一年每 8 分钟相比,每 7 分钟接收一次报告。
“当您考虑组织获得被黑,通常不仅仅是一次攻击——它是多次攻击,而一次碰巧幸运,”他说。 “这就是为什么需要频繁测试的原因。”
普华永道澳大利亚网络安全和数字信任负责人 Robert Di Pietro 表示,他所在的公司的需求也在增加。
“这是一套非常专业的技能,”他说。 “这必须以安全和受控的方式进行。”
如何执行 '道德黑客?
Thomas 博士说,白帽黑客使用与黑帽黑客类似的策略,包括网络钓鱼活动——试图诱骗人们打开电子邮件中的链接并分享他们的凭据 — 甚至在必要时跟随人们进入建筑物。
他们还创建自己的黑客工具,甚至可能检查社交媒体资料以建立组织的形象,它的结构及其可能的漏洞。
“这些相同的攻击向量是道德黑客将要尝试的,因为那是坏人正在做的事情。所以尝试去做是有意义的相同的东西,”Thomas 博士说。
道德黑客可以与来自各行各业的客户合作,并且可以试图入侵从内部系统到网站、移动应用程序、云服务、关键基础设施甚至 ATM 机的所有事物。
克鲁兹女士说她目前正在与一家金融机构合作,“测试他们的一些内部和外部应用程序”。
“你可以测试人们每天使用的东西,”她说。
公众对道德黑客的发现“会感到惊讶”
与之交谈的白帽黑客ABC 表示,公众会对他们在流行的网站和平台中发现的漏洞感到惊讶。
“有时你得到的只是一个网站,没有别的。他们只是说,'给你。我们希望您对此进行测试,'”克鲁兹女士说。
Optus 或 Medibank,专家说一切都是为了钱
数以百万计的澳大利亚人最近在处理他们的个人数据方面表现不佳。随着这一切的发生,您可能想知道黑客究竟对您的数据做了什么以及它会如何影响您?
“有时你这样做然后就会说,‘好吧,我可以访问你客户的数据。’
“或者可能是,‘嘿,这个网站给了我一个访问您的整个公司环境。'"
普华永道的 Di Pietro 先生说,公司在发现流行网站和平台的漏洞时并不感到惊讶,因为黑客“总是会发现”。
“没有完全安全的系统,”他说。 “但我确实认为公众可能会对我们发现的大量东西感到惊讶。”
“从内部”入侵 Google
上个月,Google 推出了一个关于其内部网络安全的 YouTube 系列团队,标题为 Hacking Google。
一集介绍了公司的红队,他们的工作是“从内部入侵 Google”。
这一集详细介绍了红队如何利用黑客技术(和一些社会工程学)来获得 Google 的第一款可穿戴产品 Google Glass 的蓝图,而该产品仍在开发中。
该公司表示,该团队在其活动期间入侵了 17 个内部帐户并窃取了 258 GB 的数据。
What's阻止道德黑客流氓?
Thomas 博士说,道德黑客遵守道德和道德标准,但之前也经过审查
会进行背景调查,并可能会签署保密协议等文件。
“除了他说,有诸如参与规则之类的东西。
“这是一份文件,明确概述了黑客的限制。这样做有助于为道德黑客被允许做什么以及他们被允许瞄准哪些系统提供严格的界限。”
道德黑客霍普金斯先生说白帽黑客“如果以错误的方式完成,可能会非常危险”,因为如果事情没有正确完成,可能会产生额外的问题。
“我们拥有的访问权限以及我们拥有的事情我们发现,如果黑帽黑客通过攻击我们或通过我们没有尽可能安全地操作,显然对黑帽黑客非常有利,”他说。
网络安全面临技能短缺
Thomas 博士说,与整个经济中的许多行业一样,网络安全也面临着技能短缺。
澳大利亚政府此前曾帮助举办黑客比赛,以鼓励 stud从事网络安全工作。
澳大利亚急需网络安全专业人士。以下是您如何成为一名专家
我们与一些专家讨论网络安全专家的工作以及成为一名专家的途径。 p>阅读更多
普华永道的 Di Pietro 先生表示,与过去几十年相比,来自不同背景的人们为网络安全“贡献了不同的视角”,但仍然存在技能短缺。
“我认为,如果我们将网络撒得比我们多年来所做的更广泛,我们将大大缩小这一差距,”他说。
道德黑客先生霍普金斯说,即使黑客“很有挑战性”,它是“任何人都可以掌握”的技能组合。
“只要你足够好奇和有创造力——最重要的是坚持不懈够了——任何人都可以做到。”
澳洲中文论坛热点
- 悉尼部份城铁将封闭一年,华人区受影响!只能乘巴士(组图)
- 据《逐日电讯报》报导,从明年年中开始,因为从Bankstown和Sydenham的城铁将因Metro South West革新名目而
- 联邦政客们具有多少房产?
- 据本月早些时分报导,绿党副首领、参议员Mehreen Faruqi已获准在Port Macquarie联系其房产并建造三栋投资联