هك اخلاقي؛ نفوذي قانوني كه بيشتر به آن نياز داريم

اكثر ما هكرها را با لباس‌ هودي سياه، كلاهي روي سر و نوشتن كدهاي نامفهوم در كامپيوتري در يك اتاق تاريك تصور مي‌كنيم. تصويري كه ما از هكرها داريم، شايد براي مجرمان سايبري و افرادي كه با هدف سوءاستفاده به ماشين‌هاي قرباني حمله مي‌كنند، صحيح باشد. منتهي همه‌ي هكرها، متخصصان خراب‌كار نيستند. برخي از آن‌ها حتي زير چتر حمايت از بشريت فعاليت مي‌كنند و عنوان «هك اخلاقي» را براي فعاليت خود انتخاب كرده‌اند. آيا اين هكرها فعاليت قانوني دارند؟ آن‌ها چگونه فعاليت خود را در حوزه‌ي قانون حفظ مي‌كنند؟ در ادامه‌ي اين مطلب اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران، به پاسخ همين سؤال‌ها و مطالعه عميق‌تر هك اخلاقي مي‌پردازيم.

شايد تركيب عبارت هك اخلاقي در نگاه اول متناقض‌نما به‌انديشه متخصصين برسد، اما چنين رويكردي در دنياي امروز بيش از هميشه واقعي و متخصصدي محسوب مي‌شود. اگر هك با تعريفي كه عموما مي‌شناسيم، به‌معناي شكستن رمزهاي عبور و كدها براي ورود بدون اجازه به سيستم مالك باشد، هك اخلاقي يعني شكستن كدي كه با مجوز و تأييد مالك صورت مي‌گيرد.

در نگاه اول مفهوم اجازه دادن به هك سيستم، عجيب به‌انديشه متخصصين مي‌رسد. چنين رويكردي شبيه به آن خواهد بود كه شما به فردي براي دزدي از خانه‌تان مجوز بدهيد. به‌هرحال دو دليل كلي براي چنين اقدامي از سوي افراد ديده مي‌شود. اولين دليل، به‌خاطر مسائل يادگيريي است و دومي، اهداف امنيتي را دنبال مي‌كند.

هك يادگيريي زماني اتفاق مي‌افتد كه فردي با هدف يادگيري موضوع يا نكته، اجازه‌ي نفوذ را به هكر بدهد. چنين مواردي عموما با مجوز هك وب‌سايت شناخته مي‌شوند كه مفاهيم اوليه‌ي شكستن كدهاي امنيتي شبكه را يادگيري مي‌دهند.

در نگاه اول، وب‌سايت‌هاي مقصد شبيه به منابعي براي يادگيري فعاليت‌هاي خراب‌كارانه به‌انديشه متخصصين مي‌رسند؛ اما درواقع وب‌سايت‌هاي اين‌چنيني با آن هدف توسعه نمي‌يابند. البته اين احتمال هميشه وجود دارد كه فرد يادگيري‌ديده از مهارت‌ها براي اهداف خراب‌كاران استفاده كند.

وب‌سايت‌هاي قرباني اغلب در بخش معرفي و قوانين خود مي‌نويسند كه روش مورد انديشه متخصصينشان، يادگيري هك به توسعه‌دهنده‌هاي وب‌ است. چنين يادگيريي به توسعه‌دهنده‌ها نشان مي‌دهد كه هكرهاي خراب‌كار، چگونه به سيستم آن‌ها نفوذ مي‌كنند. با يادگيري روش مجرمان سايبري، مي‌توان راهكارهايي را براي مقابله و جلوگيري از اقدام‌هاي خراب‌كارانه‌ي آن‌ها به كار گرفت.

در دنياي كنوني همه‌ي اتفاق‌ها پيرامون اينترنت رخ مي‌دهد. پياده‌سازي راهكارهاي امنيتي سايبري، امروز بيش از هميشه اهميت دارد. شركت‌ها براي پياده‌سازي راهكار متخصصدي، يا با گروه‌هاي امنيتي قرارداد مي‌بندند يا كدهاي دفاعي را به‌صورت داخلي و به‌كمك تيم داخلي امنيت توسعه مي‌دهند.

وقتي راهكارهاي دفاعي شركت‌ها پياده‌سازي شوند، بايد براي آزمايش آن‌ها عملياتي را انجام داد. بهترين راه براي درك متخصصدي بودن ديواره‌ي دفاعي، انجام حمله‌هاي تقلبي و برنامه‌ريزي‌شده به سيستم سايبري است. قطعا براي انجام حمله‌ي تستي نيز بايد با يك هكر قرارداد بست و درنتيجه رويكردي از جنس هك اخلاقي صورت مي‌گيرد.

دوره‌هايي كه در بالا اشاره كرديم، قطعا با هدف يادگيري هك اخلاقي انجام مي‌شوند. البته مجددا يادآور مي‌شويم كه افراد مي‌توانند با استفاده از نكات آموخته‌شده، هر عملكردي داشته باشند؛ اما هدف اصلي دوره‌ها، يادگيري فعاليت‌هاي مجرمانه‌ي سايبري نيست. دوره‌ها با هدف مقابله با جرم‌هاي سايبري انجام مي‌شود و افراد پس از شركت در آن‌ها، شايد به هكر حرفه‌اي اخلاقي تبديل شوند.

عبارتي كه در بالا تحت عنوان «هكر حرفه‌اي اخلاقي» بيان شد، به‌معناي درآمد و فعاليت رسمي به‌عنوان هكر بود. همه‌ي هكرها، نفوذ را با هدف سرگرمي انجام نمي‌دهند و بسياري از آن‌ها هك را به چشم يك روش زندگي مي‌دانند. درواقع مي‌توان با شركت در برخي دوره‌هاي هكري و كسب تجربه، راخبار تخصصيه‌اي براي استخدام در شركت‌هاي گوناگون فراهم كرد.

شركت‌ها براي آزمايش سيستم امنيتي خود به هكرهاي اخلاقي پول پرداخت مي‌كنند و رقم پرداختي هم عموما قابل‌توجه است. آمارهاي بين‌المللي از شركت Infosec نشان مي‌دهد كه هكرهاي اخلاقي تا سالانه ۷۱ هزار دلار درآمد دارند. چنين رقمي در استانداردهاي بين‌المللي هم مناسب است و به‌نوعي يك درآمد خوب براي گذران زندگي محسوب مي‌شود.

تصور كنيد كه تعدادي از شركت‌كننده‌ها در كلاس‌هاي امنيتي، از نكته‌هاي آموخته شده براي اهداف مخرب استفاده كنند. آيا اگر دوره‌هاي يادگيريي متوقف شوند، تعداد چنين افرادي در جامعه هم كاهش پيدا مي‌كند؟ اشكال ايده، در شناسايي منبع يادگيريي و اطلاعاتي مجرمان سايبري ديده مي‌شود. بله، قطعا تعطيلي كلاس‌هاي هك، منجر به كاهش افرادي مي‌شود كه ازطريق كلاس به دنياي هك سياه وارد مي‌شوند. البته، قطعا همه‌ي هكرهاي مجرم از ابتدا با شركت در كلاس‌ها وارد اين حوزه نمي‌شوند. درواقع جامعه‌اي پويا در دارك وب حضور دارند كه انواع نكته‌هاي نفوذ مجرمانه را با هم تبادل مي‌كنند. آن‌ها با چنين رويكردي، به‌نوعي كلاس‌ها هك مخفيانه برگزار كرده‌اند.

باتوجه‌به فرضيه‌ي بالا، با تعطيلي كلاس‌هاي هك، افراد براي يادگيري نكته‌ها به دارك وب مراجعه مي‌كنند. دراين‌ميان، افراد با اهداف اخلاقي، ديگر به منابع يادگيريي دسترسي نخواهند داشت. آن‌ها بايد يادگيري را با منابع و دوره‌هاي ضعيف‌تر ادامه دهند و درنهايت عملكردي نه‌چندان متخصصدي و حرفه‌اي دربرابر مجرمان خواهند داشت.

با وجود مزاياي متعدد، هنوز بسياري از افراد با دوره‌هاي يادگيريي شكستن رمز و هك آن‌چنان موافق نيستند. به‌هرحال چنين يادگيري‌هايي الزامي هستند و بدون وجود آن‌ها، افراد در برابر مجرمان سايبري، راهي براي دفاع حرفه‌اي نخواهند داشت.

كسب‌وكارها هميشه نيازي اساسي به هكرهاي اخلاقي دارند. همان‌طور كه گفته شد، استخدام آن‌ها با هدف نفوذ آزمايشي به سيستم‌ها با ادامه دادن رويكردهاي اين‌چنيني، افراد بيشتري به يادگيري روش‌هاي امنيتي و فعاليت در اين حوزه علاقه‌‌مند مي‌شوند. به‌علاوه با پرداخت هزينه‌هاي مناسب،‌ تمايل به گزارش ضعف‌هاي امنيتي به‌جاي سوءاستفاده از آن‌ها هم بيشتر مي‌شود. به‌همين خاطر بايد رويكردهايي رسمي در جهت قانوني كردن هك اخلاقي صورت بگيرد.

اگر يادگيري و عملكرد هك اخلاقي قانوني نشود، افراد علاقه‌‌مند راهي براي انجام صحيح كارهاي خود نخواهند داشت. به‌علاوه آن‌ها از مجوزها و تأييديه‌هاي رسمي هم محروم مي‌شوند؛ تأييديه‌هايي كه براي كسب شغل‌هاي امنيتي حياتي هستند.

هكرهاي اخلاقي، به‌‌نام هكرهاي كلاه سفيد هم شناخته مي‌شوند. آن‌ها در اغلب موارد با تصوري كه از هك و نفوذ داريم، تفاوت دارند. آن‌ها در اكثر مواقع به‌صورت رسمي با شركت‌ها قرارداد امضا مي‌كنند و حتي به‌عنوان متخصص در برخي از آن‌ها استخدام مي‌شوند. چنين افرادي قطعا به يادگيري‌هاي رسمي و قانوني نياز دارند تا از تغيير مسير به دارك وب و فعاليت‌هاي مخرب پيامدي آن دور شوند.