الهكر الأخلاقي Ethical Hacker

الهكر الأخلاقي Ethical Hacker

الهكر الأخلاقي
7
الهكر الأخلاقي
الهكر الأخلاقي

تعريف الهكر الأخلاقي

الهكر الأخلاقي أو القرصنة الأخلاقية محاولة مصرح بها للوصول غير المصرح به إلى نظام كمبيوتر أو تطبيق أو قاعدة بيانات. “قبعة بيضاء”

لذلك الهكر الاخلاقي هو لقب يُطلق على المُخترق الذي يملك جميع المعلومات والدراسات التي تجعله هكر غير أخلاقي ” قبعة سوداء “

أيضا يتضمن تنفيذ الاختراق الأخلاقي تكرار نفس الاستراتيجيات والأفعال التي يتبعها الاختراق الغير أخلاقي.

تساعد هذه الممارسة في تحديد الثغرات ونقاط الضععف الأمنية التي يمكن حلها بعد ذلك قبل أن تتاح الفرصة للهكر الغير أخلاقي لاستغلالها.

 

من هو الهكر الأخلاقي ؟

المخترق الأخلاقي يُعرف أيضًا باسم “قرصان القبعة البيضاء”

المزيد من المشاركات

تفاصيل اختبار شهادة الهكر (CISM)

الآفاق المهنية الذهبية لشهادة (CISM)

شهادة الهكر الأخلاقي OSCP

المتسللون الأخلاقيون أو المخترقون الأخلاقيون معروفون بأنهم خبراء أمنيون يقومون بإجراء الاختبارات والتقييمات الأمنية.

أيضا لديهم القدرة علي اختبار واختراق الأنظمة والسيرفرات ودراسة سلوكها والعمل عليها

لذلك تكوّن مهمته الأساسية انه يعمل علي اكتشاف الثغرات الأمنية ونقاط الضعف في المؤسسات ويسعي الي تأمينها

ولا يشجع أبداً على أي اختراقات أو تدمير , بل يساعد الشركات في استعادة أمنها واستقرارها

يساعد العمل الاستباقي الذي يقومون به على اكتشاف الثغرات الأمنية ونقاط الضعف ويعملون علي تحسين الوضع الأمني للمؤسسة.

كل ذلك يتم بموافقة مسبقة من المؤسسة أو مالك أصول تكنولوجيا المعلومات،

 

ما هو الفارق بين الهكر الأخلاقي والغير أخلاقي ؟

انهم شخصان يمتلكان نفس الادوات والامكانيات ولديهم نفس المهارات ولكن مع اختلاف طبيعة العمل والهدف الذي يسعي اليه كل منهم.

حيث تكون مهمة الهكر الأخلاقي “قرصان القبعة البيضاء”

كالتالي …

1_ يستخدم الهكر الأخلاقي خبرته من أجل حماية وتأمين وتحسين تكنولوجيا المنظمات.

2_ الهكر الاخلاقي يوفر خدمة أساسية لهذه المنظمات من خلال البحث عن نقاط الضعف التي يمكن أن تؤدي إلى خرق أمني.

3_ يقوم بالإبلاغ عن نقاط الضعف المحددة للمنظمة. بالإضافة إلى ذلك ، يقدمون نصائح العلاج. في كثير من الحالات ، بموافقة المنظمة ،

4_ يقوم الهكر الأخلاقي بإعادة اختبار للتأكد من حل الثغرات الأمنية بالكامل.

علي الجانب الاخر تكون مهمة الهكر الغير الاخلاقي “قرصان القبعة السوداء”

كالتالي …

1_ مهمة الهكر الخبيث هي الحصول على وصول غير مصرح به إلى أحد الأجهزة أو البيانات 

   (كلما كانت الحساسية أكثر كلما كان ذلك أفضل) من أجل تحقيق مكاسب مالية أو منافع شخصية أخري

2_ يقوم الهكر الغير أخلاقي (الهكر الخبيث) بتشويه مواقع الويب أو تعطيل الخوادم الخلفية للمتعة أو الإضرار بالسمعة أو التسبب في خسارة مالية

3_ لا تزال الأساليب المستخدمة ونقاط الضعف التي تم العثور عليها غير مبلّغ عنها. لإنهم لا يهتمون بتحسين الوضع الأمني للمنظمات.

اذا بالمقارنة بينهم يتضح لنا ان الفارق بين كل منهم هو الغرض الذي يسعي اليه والي اي هدف يسعي كل منهم

من خلال المعرفه والمهارة والامكانيات التي يمتلكها

حيث ان الهكر الأخلاقي يستخدم خبرته ومعرفته الحاسوبية والتكنولوجية لمساعدة المؤسسات والشركات ضحايا الجرائم الالكترونية وحمايتها من الاختراق وتحقيق العدالة

علي عكس الهكر الغير الأخلاقي الذي يوظف نفس الأدوات والامكانيات في ممارسة الجرائم الالكترونية والابتزاز التي تعود له بمنافع مادية وشخصية.

 

المفاهيم الأساسية للهكر الاخلاقية

يتبع خبراء القرصنة عدة مفاهيم أساسية (بروتوكول القرصنة)

كالتالي….

1_ البقاء قانونيا.

تطبيق هذا المفهوم هو عبارة عن الحصول على بعض الموافقات المعينة قبل الوصول وإجراء التقييم الأمني.

2_ تحديد النطاق.

تحديد نطاق التقييم حتي تصبح وظيفة الهكر الأخلاقي قانونية ومعتمدة من قبل المؤسسة.

3_ الإبلاغ عن نقاط الضعف.

يقوم المخترق الأخلاقي بتقديم تقرير مفصل يقوم فيه باخطار واعلام المؤسسة بكل نقاط الضعف والثغرات الأمنية التي تم اكتشافها اثناء التقييم .

وبناءا علي ذلك يقوم بتقديم المشورة العلاجية لحل هذه الثغرات الأمنية والسيطرة عليها قبل فوات الأوان

4_ احترام حساسية البيانات.

بالاعتمادً على حساسية البيانات ، قد يتعين على المخترقين الأخلاقيين الموافقة على اتفاقية عدم إفصاح ،

بالإضافة إلى الشروط والأحكام  التي تفترضها المؤسسة التي تم تقييمها.

 

بعض المهارات والشهادات التي يجب علي الهكر الأخلاقي أن يحصل عليها

يجب أن يتمتع الهكر الأخلاقي بمجموعة واسعة من مهارات الكمبيوتر حيث يجب عليه ان يكون علي دراية كاملة بكل برامج الكمبيوتر

بداية من برامج ويندوز ومرورا ببرامج مايكروسوفت أوفيس وبرامج أمن المعلومات وأيضا جميع لغات الترجمة.

يبدو الأمر صعبا للغاية في البداية ولكن من الضروري ان يوجد الشغف وحب العمل في هذا المجال حتي تتغلب علي تلك الصعوبات

غالبًا ما يتخصص الخبراء ، ليصبحوا خبراء في موضوع (SME) في مجال معين داخل مجال القرصنة الأخلاقية.

يجب أن يكون لدى جميع  الأخلاقيين أساسيات ومهارات معينة كالتالي ….

1_ خبرة في لغات البرمجة.
2_ معرفة جيدة بجميع أنظمة التشغيل.
3_ معرفة وافية بالشبكات.
4_  علي علم وخبرة جيدة في أساسيات مبادئ أمن المعلومات.

 

كيف سيقوم الهاكر الاخلاقي بتدريب نفسه وقدراته أكثر واكثر :

بعض الشهادات الأكثر شهرة ومهنية في مجال الهكر الأخلاقي

1_ شهادة الهكر الأخلاقي المعتمد _ EC Council: Certified Ethical Hacking Certification

2_ شهادة المحترف المعتمد في مجال الأمن الهجومي _ Offensive Security Certified Professional (OSCP) Certification

3_ شهادة +CompTIA Security

4_ شهادة Cisco’s CCNA Security

5_ شهادة SANS GIAC

هناك دراسات وتقنيات أخري أيضا يتبعها خبراء الاختراق منها التي تركز على تطبيقات الويب مثل هذه الدراسة الاكاديمية (OWASP)

 وبعض منها الذي يركز على النظام وجمع المعلومات مثل (OSSTMM , NIST)

بعض الشهادات الاحترافية المطلوبة في هذه المجال

 

ما هي المشاكل التي يعمل عليها الهكر الأخلاقي ؟

أثناء تقييم أمان تكنولوجيا المعلومات الخاصة بالمؤسسة المعنية ، يكون هدف الهكر الأخلاقي هو محاكاة المخترقين المهاجمين.

بعد القيام بذلك ، يبحثون عن ناقلات هجوم ضد الهدف. الهدف الأول هو إجراء الاستطلاع والحصول على أكبر قدر ممكن من المعلومات.

بعد ذلك وبمجرد أن يجمع الهكر الأخلاقي معلومات وافية ، فإنه يستخدمها للبحث عن نقاط الضعف والثغرات ضد الأصل.

يقومون بإجراء هذا التقييم بمجموعة من الاختبارات الآلية واليدوية.

وأيضا الأنظمة المتطورة قد تحتوي على تقنيات إجراءات مضادة معقدة قد تكون معرضة للخطر.

رغم ذلك لا يتوقفون عند الكشف عن نقاط الضعف.

بل يستخدم المخترقون الأخلاقيون عمليات استغلال الثغرات الأمنية لإثبات كيف يمكن لمهاجم غير أخلاقي أو (الهكر الخبيث)  استغلالها.

 

أكثر أساليب الاختراق شيوعاً، وأكثرها خطورة :

  • هو الاختراق الذي يستهدف تطبيقات الويب والبرامج المساعدة في تشغيل المواقع وإدارتها
  • بعض الأحيان يتعرض مستخدم الويب والبرامج لخطر الاختراق , ويرجع السبب في كثرة الاختراق الي كثرة استخدامها من قبل مديري المواقع والصلاحيات التي تتوفر لديهم بعد عملية الاختراق.

 

أكثر الثغرات التي توجد في وقتنا الحالي :

  • XSS «Cross-site scripting
  • SQL Injection
  • CSRF «Cross Site Request Forgery
  • Information Leakage and Improper Error Handling

وهي عبارة عن عملية تسريب للمعلومات عن طريق الانترنت مما يسهل مهمة المخترق بوجود تقنية (Google Hack)

 

شروط وأحكام الهكر الأخلاقي

للهاكر الاخلاقي شروط واحكام  يجب عليه اتباعها والموافقة عليها بتوقيع اتفاقية تسمي Google Of Ethic

وهي تعتبر اتفاقية اخلاقية تهدف الي ان الهكر الأخلاقي يجب عليه عدم الافشاء والمحافظة علي السرية التامة في اختبار الاختراق الذي يقوم به

ولا يقوم بتسريب اي معلومات حول اختبار الاختراق ولا عن الجهة التي تم اختبارها 

أيضا عدم الافشاء عن نقاط الضعف والثغرات الامنية والمشاكل الصغيرة التي تم اكتشافها 

وبناءا علي ذلك يقوم بتقديم تقرير كامل يوضح فيه جميع الثغرات الامنية ثم تقديم المشورة العلاجية وكيفية حلها 

من أجل مساعدة المؤسسة المعنية علي تأمين مصادرها وحماية بيانتها من الاختراق واستقرارها.

أقرأ أيضا عن أمن المعلومات

 

قد يعجبك ايضا المزيد عن المؤلف
7 تعليقات
  1. القرصنة الأخلاقية المعتمدة CHE - مدونة تقنية التوأم لتقنية المعلومات TwiinTech

    […] أقرأ أكثر عن الهكر الأخلاقي ما هو الهكر الأخلاقي […]

  3. ما هو الأمن السيبراني - مدونة تقنية التوأم لتقنية المعلومات TwiinTech

    […] الهكر الأخلاقي Ethical Hacker […]

  5. أنواع الهكر الأخلاقي المختلفة - مدونة تقنية التوأم لتقنية المعلومات TwiinTech

    […] للتعرف أكثر علي الهكر الأخلاقي […]

  6. لماذا تحتاج الشركات للهكر؟ - مدونة تقنية التوأم لتقنية المعلومات TwiinTech

    […] فوائد تجنيد فريق من القراصنة الأخلاقيين […]

  7. الدور الوظيفي للهكر الأخلاقي - مدونة تقنية التوأم لتقنية المعلومات TwiinTech

    […] في مقال سابق ، تحدثنا عن هذا كصناعة ناشئة ، ونما الطلب على الهكر الأخلاقي منذ ذلك الحين فقط. […]

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.