هک اخلاقی چیست؟ همه چیز درباره ی هک اخلاقی

بسیاری از افراد تا به حال واژه ی هک را شنیده اند. اما این که هک اخلاقی وجود داشته باشد را باور ندارند!. در این مقاله می خواهیم بپردازیم که هک اخلاقی چیست. با توجه به این که افراد زیادی روی موضوع هک تمرکز کرده اند باید بدانید که این می تواند روش مهمی باشد که بر افراد اطراف خود نظارت کنید. اما به صورت اخلاقی.

همچنین می توانید مقاله ی مربوط به آموزش هک حرفه ای را نیز بخوانید .

هک اخلاقی چیست؟

هک اخلاقی که به عنوان تست نفوذ یا تست قلم نیز شناخته می شود، از نظر قانونی به رایانه ها و دستگاه ها نفوذ می کند تا دفاع یک سازمان را آزمایش کند. این یکی از هیجان‌انگیزترین مشاغل فناوری اطلاعات است که هر فردی می‌تواند در آن مشارکت داشته باشد. شما به معنای واقعی کلمه حقوق می‌گیرید تا با آخرین فن‌آوری‌ها همگام شوید و بدون تهدید به نفوذ وارد رایانه شوید.

شرکت ها هکرهای اخلاقی را برای شناسایی آسیب پذیری های سیستم های خود درگیر می کنند. از نقطه نظر تستر نفوذ، هیچ نقطه ضعفی وجود ندارد: اگر در گذشته دفاع های فعلی را هک کنید، به مشتری این فرصت را داده اید که سوراخ را قبل از اینکه مهاجم آن را کشف کند، ببندد. اگر چیزی پیدا نکردید، مشتری شما خوشحال‌تر می‌شود، زیرا اکنون می‌تواند سیستم‌های خود را به اندازه‌ای امن اعلام کند که حتی هکرهای پولی نیز نتوانند به آن نفوذ کنند. برد – برد!

بسیاری از اهکر های اخلاقی به صورت قانونی فعالیت می کنند

هکرهای اخلاقی چه می کنند؟

محدوده و هدف گذاری

برای هر تستر حرفه ای قلم ضروری است که محدوده و اهداف مورد توافق را مستند کند. اینها انواع سؤالاتی هستند که باید در مورد دامنه بپرسید:

چه دارایی های رایانه ای برای آزمون در نظر گرفته شده است؟
آیا همه رایانه‌ها، فقط یک برنامه یا سرویس خاص، پلتفرم‌های سیستم‌عامل خاص، یا دستگاه‌های تلفن همراه و خدمات ابری را شامل می‌شود؟

دامنه فقط نوع خاصی از دارایی رایانه را شامل می‌شود، مانند سرورهای وب، سرورهای SQL، همه رایانه‌های موجود در سطح سیستم عامل میزبان، و آیا دستگاه‌های شبکه شامل می‌شوند؟
آیا تست قلم می تواند شامل اسکن خودکار آسیب پذیری باشد؟
مهندسی اجتماعی مجاز است و اگر چنین است، چه روش هایی؟

تست قلم در چه تاریخی مجاز است؟
آیا روزها یا ساعاتی وجود دارد که تست نفوذ نباید انجام شود (برای جلوگیری از هرگونه قطعی یا قطع خدمات غیرعمدی)؟
آیا آزمایش‌کننده‌ها باید تمام تلاش خود را به کار گیرند تا از ایجاد وقفه در سرویس جلوگیری کنند یا ایجاد هر نوع مشکلی که یک مهاجم واقعی می‌تواند انجام دهد، از جمله وقفه در سرویس، بخش مهمی از آزمایش است؟

این سوالات را در رابطه با اهداف آزمون نفوذ بپرسید.

آیا صرفاً برای نشان دادن این است که می توانید به رایانه یا دستگاه نفوذ کنید؟
محرومیت از خدمات یک هدف درون محدوده در نظر گرفته می شود؟
آیا دسترسی به یک کامپیوتر خاص یا استخراج داده ها بخشی از هدف است یا صرفاً دسترسی ممتاز کافی است؟
پس از پایان آزمون چه چیزی باید به عنوان بخشی از مستندات ارائه شود؟ آیا باید همه روش های هک ناموفق و موفق را شامل شود یا فقط مهم ترین هک ها را؟ چه مقدار جزئیات مورد نیاز است، هر ضربه کلید و کلیک ماوس، یا فقط توضیحات خلاصه؟ آیا هک ها باید روی ویدیو یا اسکرین شات گرفته شوند؟

مهم است که دامنه و اهداف به تفصیل شرح داده شود و قبل از هر تلاشی برای تست نفوذ مورد توافق قرار گیرد.تنها با این روش است که می توان از هک های معروف جهانی که تا حالا انجام شده است و تکرار آن ها جلوگیری کرد.

هر هکر اخلاقی هک دارایی خود را (به استثنای تکنیک های مهندسی اجتماعی برای این بحث) با یادگیری هرچه بیشتر در مورد اهداف تست قلم شروع می کند. آن‌ها می‌خواهند آدرس‌های IP، پلتفرم‌های سیستم‌عامل، برنامه‌ها، شماره‌های نسخه، سطوح پچ، تبلیغات را بدانند

محافظت هکر های اخلاقی و ایجاد امنیت

بهره برداری: نفوذ به دارایی هدف

این همان چیزی است که هکر اخلاقی برای آن پول می گیرد – “دخالت”. با استفاده از اطلاعات آموخته‌شده در مرحله کشف، آزمایش‌کننده قلم باید از یک آسیب‌پذیری برای دستیابی به دسترسی غیرمجاز (یا انکار سرویس، اگر هدف این است) سوء استفاده کند. اگر هکر نتواند به یک دارایی خاص نفوذ کند، باید سایر دارایی های درون محدوده را امتحان کند.

اگر من یک کار اکتشافی کامل انجام داده باشم، پس همیشه یک بهره برداری پیدا کرده ام. من حتی یک تست‌کننده نفوذ حرفه‌ای را نمی‌شناسم که حداقل در ابتدا، قبل از اینکه گزارش ارائه‌شده به مدافع اجازه دهد تمام سوراخ‌های پیدا شده را ببندد، به دارایی‌ای که برای نفوذ به آن استخدام شده بودند، نفوذ نکرده باشد.به عنوان مثال در سال های اخیر عده ای به عنوان هکر اخلاقی، هک صرافی ارز دیجیتال را انجام دادند!.

من مطمئن هستم که آزمایش‌کننده‌های نفوذی وجود دارند که همیشه اکسپلویت‌ها را پیدا نمی‌کنند و به اهداف هک خود نمی‌رسند، اما اگر فرآیند کشف را به‌اندازه کافی کامل انجام دهید، بخش بهره‌برداری آنقدرها هم که بسیاری معتقدند دشوار نیست. یک تستر نفوذ یا هکر خوب بودن کمتر به یک نابغه و بیشتر به صبر و دقت مربوط می شود.

ارزیابی آسیب پذیری هک اخلاقی

بسته به آسیب‌پذیری و بهره‌برداری، دسترسی به‌دست‌آمده ممکن است به «تشدید امتیاز» نیاز داشته باشد تا دسترسی کاربر عادی به دسترسی مدیریت بالاتر تبدیل شود. این می‌تواند به استفاده از اکسپلویت دوم نیاز داشته باشد، اما تنها در صورتی که اکسپلویت اولیه قبلاً به مهاجم دسترسی ممتازی را نداده باشد.

بسته به آنچه در محدوده است، کشف آسیب پذیری را می توان با استفاده از نرم افزارهای بهره برداری یا اسکن آسیب پذیری خودکار کرد. نوع دوم نرم افزار معمولاً آسیب پذیری ها را پیدا می کند، اما از آنها برای دسترسی غیرمجاز سوء استفاده نمی کند.

در مرحله بعد، آزمایش‌کننده قلم یا اگر در مقصد نهایی خود باشند، عمل هدف توافق شده را انجام می‌دهند، یا از رایانه مورد سوء استفاده فعلی برای دسترسی نزدیک‌تر به مقصد نهایی خود استفاده می‌کنند. تسترها و مدافعان قلم این حرکت را «افقی» یا «عمودی» می نامند، بسته به اینکه مهاجم در همان کلاس از سیستم حرکت می کند یا به سمت خارج به سیستم های غیر مرتبط. گاهی اوقات هدف هکر اخلاقی باید ثابت شود که به آن رسیده است (مانند افشای اسرار سیستم یا داده های محرمانه) یا صرف مستندسازی از نحوه انجام موفقیت آمیز آن کافی است.

چگونه یک هکر اخلاقی شویم؟

هر هکری برای تبدیل شدن به یک هکر اخلاقی باید چند گام متداول بردارد که حداقل آن این است که مطمئن شوید قبل از نفوذ به چیزی از افراد مناسب اجازه دارید. نقض نکردن قانون برای هکر اخلاقی بودن بسیار مهم است. همه تسترهای نفوذ حرفه ای باید از یک کد اخلاقی پیروی کنند تا هر کاری را که انجام می دهند راهنمایی کند. EC-Council، خالق آزمون Certificated Ethical Hacker (CEH)، یکی از بهترین کدهای عمومی اخلاقی موجود را دارد.

همچنین بخوانید: چگونه هکر شویم ؟

اکثر هکرهای اخلاقی به یکی از دو روش به آزمایش‌کنندگان نفوذ حرفه‌ای تبدیل می‌شوند. یا مهارت های هک را به تنهایی یاد می گیرند یا در کلاس های آموزشی رسمی شرکت می کنند. خیلی ها مثل من هر دو را انجام دادند. اگرچه گاهی اوقات توسط خودآموزان مورد تمسخر قرار می گیرند، دوره های هک اخلاقی و گواهینامه ها اغلب دروازه ای برای یک شغل با درآمد خوب به عنوان یک آزمایش کننده نفوذ تمام وقت هستند.

برنامه درسی آموزش امنیت فناوری اطلاعات امروز مملو از دوره ها و گواهینامه هایی است که به افراد می آموزند چگونه یک هکر اخلاقی باشند. برای اکثر آزمون های گواهینامه می توانید خودتان مطالعه کنید و تجربه خود را به مرکز آزمون بیاورید یا یک دوره آموزشی تایید شده را بگذرانید. در حالی که برای استخدام به عنوان تستر نفوذ حرفه ای نیازی به گواهینامه هک اخلاقی ندارید، ضرری ندارد.

انواع هکر اخلاقی

هکر اخلاقی معتبر

هکر اخلاقی EC-Council’s Certificate Ethical Hacker (CEH) به راحتی قدیمی ترین و محبوب ترین دوره و گواهینامه نفوذ است. دوره رسمی، که می تواند به صورت آنلاین یا با مربی حضوری برگزار شود، شامل 18 حوزه موضوعی مختلف از جمله موضوعات هک سنتی، به علاوه ماژول هایی در نرم افزارهای مخرب، بی سیم، ابر و سیستم عامل های تلفن همراه است. دوره کامل از راه دور شامل شش ماه دسترسی به Cyber ​​Range iLab آنلاین است که به دانش آموزان اجازه می دهد بیش از 100 مهارت هک را تمرین کنند.

اخذ گواهینامه CEH مستلزم گذراندن یک دوره رسمی یا در صورت خودآموزی، مدرک دو سال تجربه یا تحصیلات مرتبط است. این شامل 125 سوال چند گزینه ای با محدودیت زمانی چهار ساعته است. شرکت در آزمون مستلزم پذیرش آیین نامه اخلاقی EC-Council است که یکی از اولین کدهای اخلاقی مورد نیاز شرکت کنندگان در آزمون امنیت کامپیوتر بود. برنامه درسی و آزمایش به طور معمول به روز می شود.

SANS GPEN

موسسه SysAdmin، Networking and Security (SANS) یک سازمان آموزشی بسیار معتبر است و هر چیزی که همراه با گواهینامه‌هایشان آموزش می‌دهند، بسیار مورد احترام متخصصان امنیت فناوری اطلاعات است. SANS چندین دوره و گواهینامه های تست قلم را ارائه می دهد، اما GIAC Penetration Tester پایه آن (GPEN) یکی از محبوب ترین هاست.

دوره رسمی GPEN، SEC560: تست نفوذ شبکه و هک اخلاقی، می‌تواند به صورت آنلاین یا حضوری برگزار شود. آزمون GPEN دارای 115 سوال، محدودیت زمانی سه ساعته است و برای قبولی باید 74 درصد نمره داشته باشید. هیچ آموزش خاصی برای هر آزمون GIAC مورد نیاز نیست. GPEN تحت پوشش منشور اخلاقی عمومی GIAC قرار دارد، که آن‌ها با توجه به تعداد زیادی از قبول شدگان امتحانی که به دلیل نقض این آیین‌نامه رد صلاحیت شده‌اند، آن را بسیار جدی می‌گیرند.

انواع هکر اخلاقی در هک اخلاقی

عمل هک اخلاقی را هک کلاه سفید می نامند و به کسانی که آن را انجام می دهند هکرهای کلاه سفید می گویند. برخلاف هک اخلاقی، هک «کلاه سیاه» شیوه‌هایی را توصیف می‌کند که شامل نقض‌های امنیتی است. هکرهای کلاه سیاه از تکنیک های غیرقانونی برای به خطر انداختن سیستم یا از بین بردن اطلاعات استفاده می کنند.

برخلاف هکرهای کلاه سفید، هکرهای “کلاه خاکستری” قبل از ورود به سیستم شما اجازه نمی خواهند. اما کلاه خاکستری نیز با کلاه سیاه متفاوت است زیرا آنها هک را برای هیچ منفعت شخصی یا شخص ثالث انجام نمی دهند. این هکرها هیچ گونه قصد بدی ندارند و سیستم ها را برای سرگرمی یا دلایل مختلف هک می کنند و معمولاً هر تهدیدی را که پیدا می کنند به مالک اطلاع می دهند. هک کلاه خاکستری و کلاه سیاه هر دو غیرقانونی هستند زیرا هر دو یک نقض غیرمجاز سیستم هستند، حتی اگر نیت هر دو نوع هکر متفاوت باشد.

کلاه سفید در مقابل هکر کلاه سیاه

بهترین راه برای تمایز بین هکرهای کلاه سفید و کلاه سیاه نگاهی به انگیزه آنهاست. هکرهای کلاه سیاه با نیت مخرب انگیزه دارند که با منافع شخصی، سود یا آزار و اذیت آشکار می شود. در حالی که هکرهای کلاه سفید به دنبال آسیب‌پذیری و رفع آن هستند تا از سوء استفاده از کلاه سیاه جلوگیری کنند.

راه های دیگر برای تشخیص تمایز بین هکرهای کلاه سفید و کلاه سیاه عبارتند از:

تکنیک های مورد استفاده

هکرهای کلاه سفید تکنیک‌ها و روش‌هایی را که توسط هکرهای مخرب دنبال می‌شوند تکرار می‌کنند تا به مغایرت‌های سیستم پی ببرند، و تمام مراحل دومی را تکرار می‌کنند تا بفهمند حمله سیستمی چگونه رخ داده یا ممکن است رخ دهد. اگر نقطه ضعفی در سیستم یا شبکه پیدا کردند، بلافاصله آن را گزارش می کنند و نقص را برطرف می کنند.

قانونی بودن

حتی اگر هک کلاه سفید از همان تکنیک ها و روش های هک کلاه سیاه پیروی می کند، تنها یک مورد از نظر قانونی قابل قبول است. هکرهای کلاه سیاه با نفوذ به سیستم ها بدون رضایت قانون را زیر پا می گذارند.

مالکیت

هکرهای کلاه سفید توسط سازمان ها به کار گرفته می شوند تا به سیستم های آنها نفوذ کنند و مسائل امنیتی را شناسایی کنند. هکرهای کلاه سیاه نه مالک سیستم هستند و نه برای کسی که مالک آن است کار می کنند.

نتیجه

بسیاری از افراد هستند که بعد از یادگیری برنامه نویسی تبدیل به هکر های اخلاقی می شوند. این افراد در شرکت های مختلفی شروع به کار می کنند و حقوق های بالایی هم دریافت می کنند. اما استفاده کردن از این حقوق گاهی نیاز به مراتب بالاتری را می طلبد. بنابراین باید این موضوع را با توجه به نوع هک اخلاقی در نظر داشته باشید. هر کسی نمی تواند خودش را در محدوده ی هک اخلاقی نگه دارد. به دلیل این که وسوسه ی قدرت در مورد بسیاری از افراد وجود دارد پیش می آید که از این حوزه خارج شوند.