▲白帽黑客工作揭密!
25 岁台湾天才黑客张启元因删了扎克伯格Facebook贴文一战成名,近日又因涉嫌骇入高铁系统擅自修改退票金额将窜改金额20万,他辩称自己的行为只是白帽黑客的行为?究竟白帽黑客的工作内容是什么呢?薪水多少?又与黑帽黑客的工作内容差在哪里?
专门防护资讯安全的道德黑客又俗称「白帽黑客」(White Hat)或是「渗透测试工程师」(Penetration Tester),主要工作就是防范黑帽黑客的工及,替企业电脑系统和维护网络与资讯安全,有效阻止黑客攻击互联网的行为,防堵黑客进续进攻,加强企业的资讯安全。
一般而言,根据《Glassdoor》网站所报导的薪水,「白帽黑客」每年的起薪大约为 59,000 至 84,000 美元;组长的年薪介於 101,000 美元至 152,000 美元之间。
目前市场上想当白帽黑客也有相关的证照可以考,像是最着名的资安管理认证有「CISSP资讯安全管理师」(Certification for Information System Security Professional, CISSP)以及美国国际电子商务顾问局(EC-Council)推出的「道德黑客认证」(Certificated Ethical Hacker, CEH)。
道德黑客认证是个中立型资安技术认证,来自於自美国联邦调查局(FBI)训练人才的课程,取得 CEH 认证者,通常也是黑客技术专家。
白帽黑客与黑帽黑客最大的差异在於,白帽黑客是专门漏洞维护资安、而不是搞破坏,若专门用来从事不法行为的的就被称为「黑帽黑客」。
黑客攻防是资讯安全领域中,最引人注意的部分,CEH 就是学习如何面对并防范黑客的攻击行为,不但要了解病毒、木马或蠕虫的入侵行为,更要培养黑客的攻防技巧。
必须注意的是,所有参加CEH训练课程和考试的学员,都必须事先签署保密协定(NDA),主要是为了避免学员将所学的知识与技巧,用来从事非法的入侵手法。然而,签署保密协定是对学员的善意提醒,若学员从事非法的黑帽黑客入侵行为,仍必需自负责任。
成功的道德黑客必须拥有一定的道德良知,要对科技怀抱热情,而且应具备良好的分析能力,及向上级主管明确提出解决问题的方法。此次张启元的行为,最令人争议的部分,就是他未经过骇入单位的同意就任意窜改,虽然辩称只是为了检测系统的资讯安全,即使窜改金额20万也不会领取,无论如何,只要在未经同意的情况下,仍被归类为黑客的行为。
