هاكر أخلاقي “بلطجي”
برأيي الحل الأمثلة للتخلص من مثل هذه الشخصيات هي عمل Bug bounty program رسمي من حسوب , تضع فيها "مكافئات محدده" للشخص حسب نوعية الثغرة لكن بشكل أساسي يجب عليك تحديد مبلغ محدد للثغرات حسب خطورتها أو تضع حد أدنى مثلاً 100$ وحد أعلى 1000$ حيث يتم مكافئة الشخص ضمن هذه المبالغ حسب خطورة الثغرة , بهذه الحالة سوف يدرك أنه تحت الأمر الواقع وأنه لن يستطيع طلب المزيد , ولا أظن أن يرفض شخص 1000$ مقابل ثغرة خطره لكي يخترق موقع ويضع الإندكس الخاص به :D , وكذلك من الممكن عمل لائحه بالهاكرز الأخلاقيين اللذين إكتشفوا ثغرات لديكم , هذه سوف تكون نقطه جميلة ومن الممكن أن تغير نظرتهم بشكل كلي عن مفهوم "المكافئة الإجبارية أو الإبتزاز".
في حال كانت الشركة توفر برنامج مكافئات فهذا يعتبر وعد مسبق من الشركة بتقديم مكافئة تكون من تقديرها هي وفق الشروط والنطاق الذي تم تحديده ويتم فقط بعد التبليغ عن الثغرة والتأكد من صحتها وليس قبل. في حال عدم وجود برنامج مكافأت فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق.
فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق.
و كأننا نعيش فى المدينه الفاضلة :) الناس ليسوا مثاليون أخى عبدالمهيمن , و أصابعك ليست كلها متشابهه
لا أعتقد أن هذا المقصود من تلك الجملة، المقصود مما فهمته من خلال تدوينة عبدالمهمين أنه يقصد إن هناك إتفاقيات ويجب إحترامها قبل البدء في عملية التبليغ عن ثغرات :)
وهذا ما أردت قوله , أي أنك تقوم بطرح برنامج مكافئات ضمن شروطك الخاصه وضمن حدود معينه للمبلغ لكي يكون الشخص مجبر بالتقيد بهذه الأمور في حال قام بإكشتاف ثغرة معينه عوضاً عن تقيمها من تلقاء نفسه أو إبتزازكم بها كما ذكرت أنت , ولكن الأن تذكرت أنكم بالأصل لا تقدمون برنامج مكافئات فأي ثغرة أو أي خلل أمني يتم إكتشافه أنتم غير مجبرون على تقديم مكافئه له , ولكن يبقى توفير برنامج مكافئات هو الأنسب في مثل هذه الحالات.
كلام جميل جدا,كلماتك عزيزي تمثل واقع اراه ايضا في كل مكان,والعنوان لفت انتباهي للتعليق هنا.
Bug bounty program احدى الافكار الجميلة,لكن نحتاج لحلول جذرية بتوعية الهاكر الاخلاقي وايصال فكرة مفهوم الهاكر الاخلاقي الحقيقي,علما ان معظمهم يستخدمون برمجيات وحلول جاهزة لاكتشاف الثغرات,ويقوم بعد ذلك بالتواصل مع الشركة على انه "اكتشف" ثغرة.
علميا هذا ليس هاكر اخلاقي ولا علاقة له بالهاكر اصلا.
نحتاج لاعداد برامج توعوية خاصة من خلال شبكة الانترنت او من خلال مقالات متخصصة لنشر الوعي الصحيح بخصوص هذا المجال, ايضا,ناهيك عن عدد المرات التي قمنا بالتحقيق بجرائم الكترونية متعددة ونصل بالنهاية الى الفاعل وهو يحمل اسم هاكر اخلاقي وقد قام بتفيذ العملية.
دعنا نوضح الأمر هكذا، فلنفترض أن الموقع هو عبارة عن باب منزل، الشخص الذي قام ببناء الباب هو شخص من نوع الـWhite، قام ببناءه ومن الممكن أن يطمئن على سلامته من حين لأخر، إن كان لديك يافطة وعلقتها على الباب مكتوب عليها "حاول كسر هذا الباب وإن وجدت أنه قابل للكسر أخبرني"، فهذا تصرح من صاحب الباب يخبرك فيه أن بإمكانك محاولة كسر الباب لزيادة أمان هذا الباب، أما إن لم يكن هناك يافطة تصرح لك بذلك! فهذا معناه أنك ستُعتبر مخرب يريد اقتحام الباب بدون إذن وفي هذه الحالة يمكن لصاحب الباب أن يتخذ معك الإجراءات القانونية (هذا بافتراض أن هذه القوانين مطبقه في الوطن العربي)!
مع أن ليس كل (Black Hat) هو Malicious إلا أننا دعنا نضعه في هذه الخانة موقتاً.
للأسف الكثيرين يخطئون في تعريف ماهيتهم. ويأخذون المصطلحات الإنجليزية وما فهموه منها لتناسب أهوائهم.
أحببت فقط التعليق على هذا النقطة
"في حال عدم وجود برنامج مكافأت فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق"
للأسف انت تتحدث عن هذا الموضوع في بلاد انعدمت فيها قوانين الانترنت، نود ان تكون هناك قوانين تحد من عمليات القرصة العشوائية على خصوصاً في الويب العربي لكن للأسف لا يوجد امكانيات لدى الكثير من الدول للقيام بعمليات متابعة وتقفي اثر.
اخي انت ذكرت اي سيكرتي
هناك تغير ملحوظ في هذا المجتمع اصبح يميل الى الدورات المدفوعة اكثر
في الحقيقة هذه ما يحز في نفسي
وهكذا اغلب المواقع وكأن تعلم هذا المجال حكرا لمن يمتلك في جيبه فيزا وماستر كارد
التعليقات