قبل أيام كنت أتصفح بعض المواقع التقنية العربية , ورأيت البعض يسخر من مصطلح "الهاكر الأخلاقي" وكيف من الممكن أن يكون الهاكر هو شخص أخلاقي , يبدو أن مصطلح الهاكر الأخلاقي لم ينضج بالشكل المطلوب بعد بالويب العربي رغم وجود بعض المدونات والمجتمعات التي تتخصص بمجالات الهاكر الأخلاقي وإختبار الإختراق , لذلك ما هو تعريفك للهاكر الأخلاقي وهل سبق وعملت بهذا المجال أو إستأجرت هاكر أخلاقي أو شركة حماية لقياس مستوى الأمن لمؤسستك ؟ وهل تؤمن أساساً بوجود هاكرز أخلاقيين وإمكانية توظيف مهاراتهم بأمور أخلاقيه تفيد الشركات والأشخاص ؟
ما هو تعريفك للهاكر الأخلاقي وهل تؤمن بوجود هاكرز أخلاقيين ؟
لكون كلمة هاكر ارتبطت في أذهان الكثيرين منذ البداية بأنها ذو معنى سيء
فسيكون من المستهجن أن تعقبها بصفة حسنة
تخيل واحد يقول لك : اللص الحنون وهو ذاك اللص الذي اقتحم بيتا فوجد أهله فقراء فرق قلبه فأخرج نصف ما بجيبه وتبرع به لهم .
هل تقبل تلك الرواية و هل يجعل ذلك العمل - إن صح - من اللص شخص جيد.
أرى أنه من الأفضل إن كان ولا بد أن يطلق على شخص مخترق ولكن ذو أهداف نبيلة بكلمات جديدة ليس لها معنى اصطلاحي سيء سابق حتى يتقبله الناس .
فعلا معظم الناس يؤمنون بك ان قلت لهم انك متخصص امن معلومات او باحث امنى و ان قلت لهم انك هاكر اخلاقى يعتقدون انك ستخترقهم مع انه فرق مسميات؟
صحيح ممكن ان يكون هذا سبب رئيسي ولكن من المفترض أن الوعي المتعلق بهذا المجال بإزدياد في الويب العربي خصوصاً مع إنتشار المدونات والصفحات الإجتماعية التي تتحدث عن الهاكر الأخلاقي وحسناته وكيف يمكن الإستفاد منه.
الهاكرز قبل 2000 كانوا جيدون , و مهمين للتقنية و بدونهم لما كان عالم التكنولوجي كما هو اليوم
و لكن بعد ذلك كثيرت من الدعاية السلبية بالاضافة الى الهاكرز الذين لا يلتزمون بكود الهاكر ( القوانين الهاكر الاخلاقية الغير مكتوبة )
خذ مثلا Anonymous كيف كانت قبل و الان هي مجرد اضحوكة , مجرد اطفال يجيدون ال DDos فقط
عزيزي أقترح أن تقرأ عن Anonymous قبل أن تقول عنهم بأنهم حالياً أطفال يجيدون عمل DDos فقط , سوف أعتبر أن كلامك صحيح ولنأتي لتحليل علمي لهجمات DDos على الموقع الضخمه , هجمات DDos على السيرفرات والمواقع العمالقه تحتاج إلى مئات الألاف وأحياناً ملايين الطلبات الضاره لإسقاط موقع ما , هل تعتقد بأن مجموعة "أطفال" قادره على عمل مثل هذه الهجمات ؟ لا أعتقد هذا :)
هل تعتقد بأن مجموعة "أطفال" قادره على عمل مثل هذه الهجمات ؟
اجل , مجرد توزيع برنامج الى الناس و تشغيله بوقت واحد , و تا دا انت الان تشن هجوم DDos
بالفعل، ويوجد برنامج مشهور يستعملونه لذلك (أتذكر مرة أنه كانوا يقومون بتوزيعه عبر الأنترنت لشن هجوم على موقع ما)
و انا اتكلم عن خبرة لأنني كنت موجود (lurker) عند حدوث بعض هجمات Anonymous
و منذ 2010 بدؤا في الانحدار و بدأ اشخاص عاديين بأنتحال شخصيتهم و نزل المستوي من اختراقات جبارة الى هجمات تافهة بال DDos
و أيضا بدأ القدماء بالخروج من Anonymous و اصبحوا الان يكرهون هذا الاسم
و يوجد للقدماء مساهمات قوية للأن مثل قبل اقل من شهر نشر فيدوا لفتاة تعذب سلحفاة نادرة
بأستعمال الاختراق و مهارات اخري استطاعوا تتبع الفيديو الى مكان الفتاة و بيتها و ثم الاتصال بالشرطة و الان هي تواجه السجن
و لكن لا يوجد لهم هجمات كبيرة مثل قبل
خذ مثلا Anonymous كيف كانت قبل و الان هي مجرد اضحوكة , مجرد اطفال يجيدون ال DDos فقط
أحقاً ما تقول....؟!!!
مجرد أطفال .....لقد أرعبو الجميع بعملياتهم
نعم أومن بوجود الهكر الاخلاقي . فالاختراق الاخلاقي اصبح مهنة ويقدم له راتب شهري عند الشركات العالمية . وهذا نتيجة انتشار الاخطار الامنية. حيث يقوم الهكر الاخلاقي بالتفكير بنفس الطريقة التي يفكر بها الهكر الغير اخلاقي . حيث يختبر الاختراق بكشف الثغرات الآمنية ومن ثم ترقعيها .
نعم أنا مؤمن بوجود الهكر الاخلاقيين في كل انحاء العالم .
لنضرب مثال بسيط جدا في اقوى مختبرين الانظمه و البرامج و المواقع "عبدالله العلي"
مصطلح هكر كان جيد و لكنه تحول لمصطلح غير جدا .
يالطبع يوجد هاكر اخلاقي . كمثال يوجد موقع hackerone.com و bugcrowd.com . من خلال المواقع يمكن للهاكرز الاخلاقيين ان يحاولو ايجاد ثغرات في المواقع (هناك مواقع مشهورة ك yahoo/twitter/whmcs/cloudflare ) مقابل مال او نقاط او جائزة الخ الخ .
"وهل تؤمن أساساً بوجود هاكرز أخلاقيين وإمكانية توظيف مهاراتهم بأمور أخلاقيه تفيد الشركات والأشخاص"
نعم . و مثال على ذلك :
Yahoo :
367 Hackers thanked
1212 bugs close
و يعني الناس تجد ثغرات مش بالسهلة في مواقع كبيرة ك جوجل و فايسبوك ( /XXE/RCE/SQLI/XSS ) .
والناس شغالة هناك كل يوم ثغرات تترقع و ناس تاخد فلوس
. اللذين شوهوا سمعة الهاكر الاخلاقي هم الاشخاص الدين يدهبون لموقع مش عامل bounty program اساسا . يعني اختبار اختراقه مش مصرح به اساسا (غير قانوني) و يبدا يبتز صاحب الموقع و يطلب فلوس !!!!!!!!!!!!!!!!!!! هادا مش اخلاقي بتاتا .
انا لا اثق بمن يسمي نفسه هكر اخلاقي
و متأكد من ان 99% ممن يأخذون دورات هكر اخلاقي هم يريدون ان يصبحون هكر من النوع السيء
لماذا لا تثق بمن يسمي نفسه هاكر أخلاقي ؟ :) ,, أكبر الشركات العالمية مثل Facebook , Google , Adobe يوجد لديها قائمة بالهاكرز الأخلاقيين اللذين ساعدوها على إكتشاف نقاط الضعف في مواقعها , وبخصوص الدورات حسب مجال عملنا في iSecur1ty فإننا نقدم دورات تتعلق بأمن المعلومات والهاكر الاخلاقي ويوجد شركات عالمية أيضاً تعطي دورات في هذا المجال وأستطيع أن أقول لك بان أكثر من 80% من اللذين يأخذون هذه الدورات غرضهم التعليم الصحيح والحصول على شهادة معتمده في هذا المجال , أما بالنسبة للأشخاص اللذين يرغبون في أخذ المعلومات الموجوده في أي دورة كانت بشكل سيء فهذا الموضوع يرجع للشخص نفسه ومقدم الدورة يقوم بشرح الدورة على أساس منهج عملي وعلمي أخلاقي لمحاولة زيادة وعي المتدرب وتغير نمط تفكيره لكي يستغله بالشكل الجيد والمفيد.
بالنظرة بالمقارنة
اختراق موقع ما قد يجلب لك عقوبات وسجن
اختراق موقع ما ثم اخبار الشركة عنه قد يجلب لك مالا
اختراق موقع ما ثم اخبار الشركة عنه قد يجلب لك مالا
او ان الشركة تقاضيك لأنك اخترقت الشركة بدون إذن
لكن ان كانت الشركة عندها Bounty-Program او مصرحة بها باى طريقة لن تقاضى الا اذا استغليت اختراقك و كسرت قواعد الموقع او القانون
جهل الانسان بتعريف الهاكر الاخلاقي و أهميته يجعله يطبق عليه تعريفات اخرى مسيئة, الهاكر الاخلاقي هو الخبير الامني الذي يقوم بالبحث في ثغرات المواقع الكبيرة, عند اكتشاف ثغرة يقوم بتبليغ المواقع او الشركة من اجل إغلاقها, ربما يحصل على مكافأة او يتم وضعه في لائحة الشرف
كيف يدعو شخص كهذا للسخرية او يعتبر شخص سيء
كيف يدعو شخص كهذا للسخرية او يعتبر شخص سيء
لان الهاكر "الاخلاقي" عادة يبتز الشركة ان لم تقم بالدفع لأستعمال خدماته و في كثير من الاحيان يقوم بتركيب ابواب خلفية للانظمة لكي يعود اليها
و انا حصل لي تجربة مع هذا النوع و قرأت الكثير من تجارب الشركات بنفس هذه المشكلة
كلامك هذا يؤكده مقال عبدالمهيمن الاغا
لكن ليس كل الهاكرز الاخلاقين كما تقول هناك هاكرز صالحين
هذا هو المفهوم الخاطئ الذي أتكلم عنه :) , الهاكر الاخلاقي عزيزي هو شخص يقوم بمحاولة إختراق لأهداف "مصرح له" القيام بعملية إختبار إختراق عليها , ويقوم بمحاكاة هذا النظام لمحاولة إكشتاف الثغرات والمشاكل الأمنية ومن ثم تقديم "تقرير رسمي" لإدارة المؤسسة أو القسم المختص حسب "إتفاق وعقد رسمي أيضاً" وبهذا تكون العملية إحترافيه وواضحه للطرفين ولا يوجد فيها أي عملية إبتزاز .. أما مثلاً إن كانت الشركة لم تتفق مع هاكر أخلاقي أو لم يكن لديها برنامج مكافئات وقام شخص ما بمحاولة إكتشاف ثغرات وإبتزاز لهذه المؤسسه فهذا لا يكون هاكر أخلاقي , هذا مخرب وبإمتياز أيضاً.
الهاكر الاخلاقي
هناك فرق بين المفترض ان يكون و الموجود فعلا , انا اتكلم عن الحاصل
الحاصل بشكل كبير هو ما يجب عن يكون عليه الهاكر الأخلاقي , لو تعلم عدد الهاكرز الأخلاقيين العرب اللذين تشهد لهم الشركات العملاقة بقوتهم لغيرت فكرتك تماماً , وإن صدف ورأيت شخص أو شخصين يزعمون بأنهم هاكرز أخلاقيين وينفذون العكس فهذا إستثاء وليس قاعدة.
شخص أو شخصين يزعمون بأنهم هاكرز أخلاقيين وينفذون العكس فهذا إستثاء وليس قاعدة.
لا يوجد هكر اخلاقي جيد , اذا انت تريد ان تصبح خبير امني اذهب و احصل على شهادة حماية مثل CCNA Security او اخواتها
الهكر الاخلاقي هو اكتشاف الثغرات واغلاقها وقد يقدمها
موظف يؤدي عمله
خدمة مقدمه من طرف اخر
هاوي ومحب لتقنيه
انا اؤمن بوجود هاكرز اخلاقيين الذين لديهم إمكانية توظيف مهاراتهم بأمور أخلاقيه تفيد الشركات والأشخاص
انا شخصيا اطمح ان اكون هاكر اخلاقي
وهذا حلمي واتمنى ان يتحقق ولكنني اعرف انه طريق صعب
وعندي سىؤال اذا كنت لا تمانع اخي الكريم
لقد ارسلت رسائل الى مجتمع isecurity
ولكن لم يصلني اي رد لانني اريد بشدة المشاركة في الدورات والجصول على الشهادة CEH
التعليقات