هک اخلاقی دستهای از نفوذهای کامپیوتری محسوب میشود که نهتنها قانونی، بلکه در بسیاری موارد الزامی و حیاتی محسوب میشود.
اکثر ما هکرها را با لباس هودی سیاه، کلاهی روی سر و نوشتن کدهای نامفهوم در کامپیوتری در یک اتاق تاریک تصور میکنیم. تصویری که ما از هکرها داریم، شاید برای مجرمان سایبری و افرادی که با هدف سوءاستفاده به ماشینهای قربانی حمله میکنند، صحیح باشد. منتهی همهی هکرها، متخصصان خرابکار نیستند. برخی از آنها حتی زیر چتر حمایت از بشریت فعالیت میکنند و عنوان «هک اخلاقی» را برای فعالیت خود انتخاب کردهاند. آیا این هکرها فعالیت قانونی دارند؟ آنها چگونه فعالیت خود را در حوزهی قانون حفظ میکنند؟ در ادامهی این مطلب زومیت، به پاسخ همین سؤالها و بررسی عمیقتر هک اخلاقی میپردازیم.
هک اخلاقی چیست؟
شاید ترکیب عبارت هک اخلاقی در نگاه اول متناقضنما به نظر برسد، اما چنین رویکردی در دنیای امروز بیش از همیشه واقعی و کاربردی محسوب میشود. اگر هک با تعریفی که عموما میشناسیم، بهمعنای شکستن رمزهای عبور و کدها برای ورود بدون اجازه به سیستم مالک باشد، هک اخلاقی یعنی شکستن کدی که با مجوز و تأیید مالک صورت میگیرد.
در نگاه اول مفهوم اجازه دادن به هک سیستم، عجیب به نظر میرسد. چنین رویکردی شبیه به آن خواهد بود که شما به فردی برای دزدی از خانهتان مجوز بدهید. بههرحال دو دلیل کلی برای چنین اقدامی از سوی افراد دیده میشود. اولین دلیل، بهخاطر مسائل آموزشی است و دومی، اهداف امنیتی را دنبال میکند.
هک اخلاقی با رویکرد آموزشی
هک آموزشی زمانی اتفاق میافتد که فردی با هدف آموزش موضوع یا نکته، اجازهی نفوذ را به هکر بدهد. چنین مواردی عموما با مجوز هک وبسایت شناخته میشوند که مفاهیم اولیهی شکستن کدهای امنیتی شبکه را آموزش میدهند.
در نگاه اول، وبسایتهای مقصد شبیه به منابعی برای آموزش فعالیتهای خرابکارانه بهنظر میرسند؛ اما درواقع وبسایتهای اینچنینی با آن هدف توسعه نمییابند. البته این احتمال همیشه وجود دارد که فرد آموزشدیده از مهارتها برای اهداف خرابکاران استفاده کند.
وبسایتهای قربانی اغلب در بخش معرفی و قوانین خود مینویسند که روش مورد نظرشان، آموزش هک به توسعهدهندههای وب است. چنین آموزشی به توسعهدهندهها نشان میدهد که هکرهای خرابکار، چگونه به سیستم آنها نفوذ میکنند. با یادگیری روش مجرمان سایبری، میتوان راهکارهایی را برای مقابله و جلوگیری از اقدامهای خرابکارانهی آنها به کار گرفت.
هک اخلاقی با رویکرد امنیتی
در دنیای کنونی همهی اتفاقها پیرامون اینترنت رخ میدهد. پیادهسازی راهکارهای امنیتی سایبری، امروز بیش از همیشه اهمیت دارد. شرکتها برای پیادهسازی راهکار کاربردی، یا با گروههای امنیتی قرارداد میبندند یا کدهای دفاعی را بهصورت داخلی و بهکمک تیم داخلی امنیت توسعه میدهند.
وقتی راهکارهای دفاعی شرکتها پیادهسازی شوند، باید برای آزمایش آنها عملیاتی را انجام داد. بهترین راه برای درک کاربردی بودن دیوارهی دفاعی، انجام حملههای تقلبی و برنامهریزیشده به سیستم سایبری است. قطعا برای انجام حملهی تستی نیز باید با یک هکر قرارداد بست و درنتیجه رویکردی از جنس هک اخلاقی صورت میگیرد.
شرکتها برای آزمایش سیستم امنیتی خود هکر استخدام میکنند
در دورههای آموزشی آنلاین، نمونههای متعددی از آموزش هک اخلاقی مشاهده میکنیم که بهصورت کاملا رسمی و قانونی هم اجرا میشوند. چنین دورههایی چگونه مجوز قانونی دریافت کردهاند؟ آیا در دورههای مذکور، روش ورود به حسابهای کاربری و سیستم افراد دیگر آموزش داده میشود؟
دورههایی که در بالا اشاره کردیم، قطعا با هدف آموزش هک اخلاقی انجام میشوند. البته مجددا یادآور میشویم که افراد میتوانند با استفاده از نکات آموختهشده، هر عملکردی داشته باشند؛ اما هدف اصلی دورهها، آموزش فعالیتهای مجرمانهی سایبری نیست. دورهها با هدف مقابله با جرمهای سایبری انجام میشود و افراد پس از شرکت در آنها، شاید به هکر حرفهای اخلاقی تبدیل شوند.
آیا هک کردن درآمد دارد؟
عبارتی که در بالا تحت عنوان «هکر حرفهای اخلاقی» بیان شد، بهمعنای درآمد و فعالیت رسمی بهعنوان هکر بود. همهی هکرها، نفوذ را با هدف سرگرمی انجام نمیدهند و بسیاری از آنها هک را به چشم یک روش زندگی میدانند. درواقع میتوان با شرکت در برخی دورههای هکری و کسب تجربه، رزومهای برای استخدام در شرکتهای گوناگون فراهم کرد.
شرکتها برای آزمایش سیستم امنیتی خود به هکرهای اخلاقی پول پرداخت میکنند و رقم پرداختی هم عموما قابلتوجه است. آمارهای بینالمللی از شرکت Infosec نشان میدهد که هکرهای اخلاقی تا سالانه ۷۱ هزار دلار درآمد دارند. چنین رقمی در استانداردهای بینالمللی هم مناسب است و بهنوعی یک درآمد خوب برای گذران زندگی محسوب میشود.
درآمد جهانی هکرهای کلاه سفید سالانه به ۷۱ هزار دلار میرسد
شایان ذکر است، روش درآمدی هک اخلاقی با مجرمان سایبری کاملا تفاوت دارد. مجرمان ابتدا به سیستمها نفوذ کرده و سپس درخواست پول میکنند. چنین عملکردی قطعا بهمعنای خطر دستگیری، زندان و جریمههای سنگین خواهد بود. درمقابل، هکرهای اخلاقی عمومی از طریق آگهیها استخدام خود شرکتها جذب میشوند. آنها پس از استخدام، با مجوز خود شرکتها عملیات نفوذ را انجام میدهند. شرکتها برای پرداخت هک اخلاقی دو روش دارند؛ آنها یا از هکر میخواهند که برای نفوذ به سیستم تلاش کند، یا جوایزی را برای پیداکردن باگ امنیتی در سیستمهای خود به هکرها پرداخت میکنند.
تعطیلی دورههای آموزشی هک
تصور کنید که تعدادی از شرکتکنندهها در کلاسهای امنیتی، از نکتههای آموخته شده برای اهداف مخرب استفاده کنند. آیا اگر دورههای آموزشی متوقف شوند، تعداد چنین افرادی در جامعه هم کاهش پیدا میکند؟ مشکل ایده، در شناسایی منبع آموزشی و اطلاعاتی مجرمان سایبری دیده میشود. بله، قطعا تعطیلی کلاسهای هک، منجر به کاهش افرادی میشود که از طریق کلاس به دنیای هک سیاه وارد میشوند. البته، قطعا همهی هکرهای مجرم از ابتدا با شرکت در کلاسها وارد این حوزه نمیشوند. درواقع جامعهای پویا در دارک وب حضور دارند که انواع نکتههای نفوذ مجرمانه را با هم تبادل میکنند. آنها با چنین رویکردی، بهنوعی کلاسها هک مخفیانه برگزار کردهاند.
با توجه به فرضیهی بالا، با تعطیلی کلاسهای هک، افراد برای یادگیری نکتهها به دارک وب مراجعه میکنند. دراینمیان، افراد با اهداف اخلاقی، دیگر به منابع آموزشی دسترسی نخواهند داشت. آنها باید یادگیری را با منابع و دورههای ضعیفتر ادامه دهند و درنهایت عملکردی نهچندان کاربردی و حرفهای دربرابر مجرمان خواهند داشت.
چرا هک اخلاقی باید قانونی باشد؟
با وجود مزایای متعدد، هنوز بسیاری از افراد با دورههای آموزشی شکستن رمز و هک آنچنان موافق نیستند. بههرحال چنین آموزشهایی الزامی هستند و بدون وجود آنها، افراد در برابر مجرمان سایبری، راهی برای دفاع حرفهای نخواهند داشت.
کسبوکارها همیشه نیازی اساسی به هکرهای اخلاقی دارند. همانطور که گفته شد، استخدام آنها با هدف نفوذ آزمایشی به سیستمها انجام میشود. با ادامه دادن رویکردهای اینچنینی، افراد بیشتری به یادگیری روشهای امنیتی و فعالیت در این حوزه علاقهمند میشوند. بهعلاوه با پرداخت هزینههای مناسب، تمایل به گزارش ضعفهای امنیتی بهجای سوءاستفاده از آنها هم بیشتر میشود. بههمین خاطر باید رویکردهایی رسمی در جهت قانونی کردن هک اخلاقی صورت بگیرد.
اگر آموزش و عملکرد هک اخلاقی قانونی نشود، افراد علاقهمند راهی برای انجام صحیح کارهای خود نخواهند داشت. بهعلاوه آنها از مجوزها و تأییدیههای رسمی هم محروم میشوند؛ تأییدیههایی که برای کسب شغلهای امنیتی حیاتی هستند.
هکرهای اخلاقی، بهنام هکرهای کلاه سفید هم شناخته میشوند. آنها در اغلب موارد با تصوری که از هک و نفوذ داریم، تفاوت دارند. آنها در اکثر مواقع بهصورت رسمی با شرکتها قرارداد امضا میکنند و حتی بهعنوان کارمند در برخی از آنها استخدام میشوند. چنین افرادی قطعا به آموزشهای رسمی و قانونی نیاز دارند تا از تغییر مسیر به دارک وب و فعالیتهای مخرب پیامدی آن دور شوند.