هك اخلاقي؛ نفوذي قانوني كه بيشتر به آن نياز داريم
اكثر ما هكرها را با لباس هودي سياه، كلاهي روي سر و نوشتن كدهاي نامفهوم در كامپيوتري در يك اتاق تاريك تصور ميكنيم. تصويري كه ما از هكرها داريم، شايد براي مجرمان سايبري و افرادي كه با هدف سوءاستفاده به ماشينهاي قرباني حمله ميكنند، صحيح باشد. منتهي همهي هكرها، متخصصان خرابكار نيستند. برخي از آنها حتي زير چتر حمايت از بشريت فعاليت ميكنند و عنوان «هك اخلاقي» را براي فعاليت خود انتخاب كردهاند. آيا اين هكرها فعاليت قانوني دارند؟ آنها چگونه فعاليت خود را در حوزهي قانون حفظ ميكنند؟ در ادامهي اين مطلب اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران، به پاسخ همين سؤالها و مطالعه عميقتر هك اخلاقي ميپردازيم.
هك اخلاقي چيست؟
شايد تركيب عبارت هك اخلاقي در نگاه اول متناقضنما بهانديشه متخصصين برسد، اما چنين رويكردي در دنياي امروز بيش از هميشه واقعي و متخصصدي محسوب ميشود. اگر هك با تعريفي كه عموما ميشناسيم، بهمعناي شكستن رمزهاي عبور و كدها براي ورود بدون اجازه به سيستم مالك باشد، هك اخلاقي يعني شكستن كدي كه با مجوز و تأييد مالك صورت ميگيرد.
در نگاه اول مفهوم اجازه دادن به هك سيستم، عجيب بهانديشه متخصصين ميرسد. چنين رويكردي شبيه به آن خواهد بود كه شما به فردي براي دزدي از خانهتان مجوز بدهيد. بههرحال دو دليل كلي براي چنين اقدامي از سوي افراد ديده ميشود. اولين دليل، بهخاطر مسائل يادگيريي است و دومي، اهداف امنيتي را دنبال ميكند.
هك اخلاقي با رويكرد يادگيريي
هك يادگيريي زماني اتفاق ميافتد كه فردي با هدف يادگيري موضوع يا نكته، اجازهي نفوذ را به هكر بدهد. چنين مواردي عموما با مجوز هك وبسايت شناخته ميشوند كه مفاهيم اوليهي شكستن كدهاي امنيتي شبكه را يادگيري ميدهند.
در نگاه اول، وبسايتهاي مقصد شبيه به منابعي براي يادگيري فعاليتهاي خرابكارانه بهانديشه متخصصين ميرسند؛ اما درواقع وبسايتهاي اينچنيني با آن هدف توسعه نمييابند. البته اين احتمال هميشه وجود دارد كه فرد يادگيريديده از مهارتها براي اهداف خرابكاران استفاده كند.
وبسايتهاي قرباني اغلب در بخش معرفي و قوانين خود مينويسند كه روش مورد انديشه متخصصينشان، يادگيري هك به توسعهدهندههاي وب است. چنين يادگيريي به توسعهدهندهها نشان ميدهد كه هكرهاي خرابكار، چگونه به سيستم آنها نفوذ ميكنند. با يادگيري روش مجرمان سايبري، ميتوان راهكارهايي را براي مقابله و جلوگيري از اقدامهاي خرابكارانهي آنها به كار گرفت.
هك اخلاقي با رويكرد امنيتي
در دنياي كنوني همهي اتفاقها پيرامون اينترنت رخ ميدهد. پيادهسازي راهكارهاي امنيتي سايبري، امروز بيش از هميشه اهميت دارد. شركتها براي پيادهسازي راهكار متخصصدي، يا با گروههاي امنيتي قرارداد ميبندند يا كدهاي دفاعي را بهصورت داخلي و بهكمك تيم داخلي امنيت توسعه ميدهند.
وقتي راهكارهاي دفاعي شركتها پيادهسازي شوند، بايد براي آزمايش آنها عملياتي را انجام داد. بهترين راه براي درك متخصصدي بودن ديوارهي دفاعي، انجام حملههاي تقلبي و برنامهريزيشده به سيستم سايبري است. قطعا براي انجام حملهي تستي نيز بايد با يك هكر قرارداد بست و درنتيجه رويكردي از جنس هك اخلاقي صورت ميگيرد.
شركتها براي آزمايش سيستم امنيتي خود هكر استخدام ميكنند
در دورههاي يادگيريي الكترونيك، نمونههاي متعددي از يادگيري هك اخلاقي مشاهده ميكنيم كه بهصورت كاملا رسمي و قانوني هم اجرا ميشوند. چنين دورههايي چگونه مجوز قانوني دريافت كردهاند؟ آيا در دورههاي مذكور، روش ورود به حسابهاي متخصصي و سيستم افراد ديگر يادگيري داده ميشود؟
دورههايي كه در بالا اشاره كرديم، قطعا با هدف يادگيري هك اخلاقي انجام ميشوند. البته مجددا يادآور ميشويم كه افراد ميتوانند با استفاده از نكات آموختهشده، هر عملكردي داشته باشند؛ اما هدف اصلي دورهها، يادگيري فعاليتهاي مجرمانهي سايبري نيست. دورهها با هدف مقابله با جرمهاي سايبري انجام ميشود و افراد پس از شركت در آنها، شايد به هكر حرفهاي اخلاقي تبديل شوند.
آيا هك كردن درآمد دارد؟
عبارتي كه در بالا تحت عنوان «هكر حرفهاي اخلاقي» بيان شد، بهمعناي درآمد و فعاليت رسمي بهعنوان هكر بود. همهي هكرها، نفوذ را با هدف سرگرمي انجام نميدهند و بسياري از آنها هك را به چشم يك روش زندگي ميدانند. درواقع ميتوان با شركت در برخي دورههاي هكري و كسب تجربه، راخبار تخصصيهاي براي استخدام در شركتهاي گوناگون فراهم كرد.
شركتها براي آزمايش سيستم امنيتي خود به هكرهاي اخلاقي پول پرداخت ميكنند و رقم پرداختي هم عموما قابلتوجه است. آمارهاي بينالمللي از شركت Infosec نشان ميدهد كه هكرهاي اخلاقي تا سالانه ۷۱ هزار دلار درآمد دارند. چنين رقمي در استانداردهاي بينالمللي هم مناسب است و بهنوعي يك درآمد خوب براي گذران زندگي محسوب ميشود.
درآمد جهاني هكرهاي كلاه سفيد سالانه به ۷۱ هزار دلار ميرسد
، روش درآمدي هك اخلاقي با مجرمان سايبري كاملا تفاوت دارد. مجرمان ابتدا به سيستمها نفوذ كرده و سپس درخواست پول ميكنند. چنين عملكردي قطعا بهمعناي خطر دستگيري، زندان و جريمههاي سنگين خواهد بود. درمقابل، هكرهاي اخلاقي عمومي ازطريق آگهيها استخدام خود شركتها جذب ميشوند. آنها پس از استخدام، با مجوز خود شركتها عمليات نفوذ را انجام ميدهند. شركتها براي پرداخت هك اخلاقي دو روش دارند؛ آنها يا از هكر ميخواهند كه براي نفوذ به سيستم تلاش كند، يا جوايزي را براي پيداكردن باگ امنيتي در سيستمهاي خود به هكرها پرداخت ميكنند.
تعطيلي دورههاي يادگيريي هك
تصور كنيد كه تعدادي از شركتكنندهها در كلاسهاي امنيتي، از نكتههاي آموخته شده براي اهداف مخرب استفاده كنند. آيا اگر دورههاي يادگيريي متوقف شوند، تعداد چنين افرادي در جامعه هم كاهش پيدا ميكند؟ اشكال ايده، در شناسايي منبع يادگيريي و اطلاعاتي مجرمان سايبري ديده ميشود. بله، قطعا تعطيلي كلاسهاي هك، منجر به كاهش افرادي ميشود كه ازطريق كلاس به دنياي هك سياه وارد ميشوند. البته، قطعا همهي هكرهاي مجرم از ابتدا با شركت در كلاسها وارد اين حوزه نميشوند. درواقع جامعهاي پويا در دارك وب حضور دارند كه انواع نكتههاي نفوذ مجرمانه را با هم تبادل ميكنند. آنها با چنين رويكردي، بهنوعي كلاسها هك مخفيانه برگزار كردهاند.
باتوجهبه فرضيهي بالا، با تعطيلي كلاسهاي هك، افراد براي يادگيري نكتهها به دارك وب مراجعه ميكنند. دراينميان، افراد با اهداف اخلاقي، ديگر به منابع يادگيريي دسترسي نخواهند داشت. آنها بايد يادگيري را با منابع و دورههاي ضعيفتر ادامه دهند و درنهايت عملكردي نهچندان متخصصدي و حرفهاي دربرابر مجرمان خواهند داشت.
چرا هك اخلاقي بايد قانوني باشد؟
با وجود مزاياي متعدد، هنوز بسياري از افراد با دورههاي يادگيريي شكستن رمز و هك آنچنان موافق نيستند. بههرحال چنين يادگيريهايي الزامي هستند و بدون وجود آنها، افراد در برابر مجرمان سايبري، راهي براي دفاع حرفهاي نخواهند داشت.
كسبوكارها هميشه نيازي اساسي به هكرهاي اخلاقي دارند. همانطور كه گفته شد، استخدام آنها با هدف نفوذ آزمايشي به سيستمها با ادامه دادن رويكردهاي اينچنيني، افراد بيشتري به يادگيري روشهاي امنيتي و فعاليت در اين حوزه علاقهمند ميشوند. بهعلاوه با پرداخت هزينههاي مناسب، تمايل به گزارش ضعفهاي امنيتي بهجاي سوءاستفاده از آنها هم بيشتر ميشود. بههمين خاطر بايد رويكردهايي رسمي در جهت قانوني كردن هك اخلاقي صورت بگيرد.
اگر يادگيري و عملكرد هك اخلاقي قانوني نشود، افراد علاقهمند راهي براي انجام صحيح كارهاي خود نخواهند داشت. بهعلاوه آنها از مجوزها و تأييديههاي رسمي هم محروم ميشوند؛ تأييديههايي كه براي كسب شغلهاي امنيتي حياتي هستند.
هكرهاي اخلاقي، بهنام هكرهاي كلاه سفيد هم شناخته ميشوند. آنها در اغلب موارد با تصوري كه از هك و نفوذ داريم، تفاوت دارند. آنها در اكثر مواقع بهصورت رسمي با شركتها قرارداد امضا ميكنند و حتي بهعنوان متخصص در برخي از آنها استخدام ميشوند. چنين افرادي قطعا به يادگيريهاي رسمي و قانوني نياز دارند تا از تغيير مسير به دارك وب و فعاليتهاي مخرب پيامدي آن دور شوند.
هم انديشي ها