18

برأيي الحل الأمثلة للتخلص من مثل هذه الشخصيات هي عمل Bug bounty program رسمي من حسوب , تضع فيها "مكافئات محدده" للشخص حسب نوعية الثغرة لكن بشكل أساسي يجب عليك تحديد مبلغ محدد للثغرات حسب خطورتها أو تضع حد أدنى مثلاً 100$ وحد أعلى 1000$ حيث يتم مكافئة الشخص ضمن هذه المبالغ حسب خطورة الثغرة , بهذه الحالة سوف يدرك أنه تحت الأمر الواقع وأنه لن يستطيع طلب المزيد , ولا أظن أن يرفض شخص 1000$ مقابل ثغرة خطره لكي يخترق موقع ويضع الإندكس الخاص به :D , وكذلك من الممكن عمل لائحه بالهاكرز الأخلاقيين اللذين إكتشفوا ثغرات لديكم , هذه سوف تكون نقطه جميلة ومن الممكن أن تغير نظرتهم بشكل كلي عن مفهوم "المكافئة الإجبارية أو الإبتزاز".

في حال كانت الشركة توفر برنامج مكافئات فهذا يعتبر وعد مسبق من الشركة بتقديم مكافئة تكون من تقديرها هي وفق الشروط والنطاق الذي تم تحديده ويتم فقط بعد التبليغ عن الثغرة والتأكد من صحتها وليس قبل. في حال عدم وجود برنامج مكافأت فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق.

فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق.

و كأننا نعيش فى المدينه الفاضلة :) الناس ليسوا مثاليون أخى عبدالمهيمن , و أصابعك ليست كلها متشابهه

لا أعتقد أن هذا المقصود من تلك الجملة، المقصود مما فهمته من خلال تدوينة عبدالمهمين أنه يقصد إن هناك إتفاقيات ويجب إحترامها قبل البدء في عملية التبليغ عن ثغرات :)

وهذا ما أردت قوله , أي أنك تقوم بطرح برنامج مكافئات ضمن شروطك الخاصه وضمن حدود معينه للمبلغ لكي يكون الشخص مجبر بالتقيد بهذه الأمور في حال قام بإكشتاف ثغرة معينه عوضاً عن تقيمها من تلقاء نفسه أو إبتزازكم بها كما ذكرت أنت , ولكن الأن تذكرت أنكم بالأصل لا تقدمون برنامج مكافئات فأي ثغرة أو أي خلل أمني يتم إكتشافه أنتم غير مجبرون على تقديم مكافئه له , ولكن يبقى توفير برنامج مكافئات هو الأنسب في مثل هذه الحالات.

فكرة جميلة عزيزي محمد.

لك تحياتي

شكرا لحرفك أستاذ عبدالمهيمن إلى أنه لدي بعض النقاط نظراً لأنه لم يتم إيضاح فكرة ما إذا كان الشخص يطالب بحقه أو أنه سيساعد لترقيع ثغرة ما , عندما تتفرغ أنت كهاكر أخلاقي للبحث عن أخطاء برمجية معينة , لنقل Paypal مثلا , حينها أنت ستكلف على نفسك جهدا ووقت وهنا أنت تعمل كعمل موظف متخصص في الأمن المعلوماتي لدى Paypal فبالتلي اكتشافك لثغرة فعلية هنا يحقق لك أن تطلب مقابل جهودك وهذا لا يعني أنك ستستخدمها للضرر إن لم يتم مكافأتك أبداً , و إن أتينا لبعض المواقع التي لم نخصص لها وقت وجهد عظيم لاكتشاف ثغرة ما , بل بكل بساطة برمجياتها عبارة عن ثغرة , هنا أرى أن المساعدة فيها لا تستحق المال بل تستحق المساعدة نظرا للحاجة الماسة إلى ذلك ونظرا للخطر الذي يحدق بها هذه نظرتي بصدق حيال موضوع " أخلاقي بلطجي " ولا ننكر بوجود هذه النوعيات الذي وكأنه قد ألف كتب البرمجة حتى يرينا بأنه لن يخبر أحداً بالثغرة ليتم معالجتها في آلاف المواقع المفيدة والتعليمية والعامة .

دعنا نوضح الأمر هكذا، فلنفترض أن الموقع هو عبارة عن باب منزل، الشخص الذي قام ببناء الباب هو شخص من نوع الـWhite، قام ببناءه ومن الممكن أن يطمئن على سلامته من حين لأخر، إن كان لديك يافطة وعلقتها على الباب مكتوب عليها "حاول كسر هذا الباب وإن وجدت أنه قابل للكسر أخبرني"، فهذا تصرح من صاحب الباب يخبرك فيه أن بإمكانك محاولة كسر الباب لزيادة أمان هذا الباب، أما إن لم يكن هناك يافطة تصرح لك بذلك! فهذا معناه أنك ستُعتبر مخرب يريد اقتحام الباب بدون إذن وفي هذه الحالة يمكن لصاحب الباب أن يتخذ معك الإجراءات القانونية (هذا بافتراض أن هذه القوانين مطبقه في الوطن العربي)!

مع أن ليس كل (Black Hat) هو Malicious إلا أننا دعنا نضعه في هذه الخانة موقتاً.

للأسف الكثيرين يخطئون في تعريف ماهيتهم. ويأخذون المصطلحات الإنجليزية وما فهموه منها لتناسب أهوائهم.

كلام جميل جدا,كلماتك عزيزي تمثل واقع اراه ايضا في كل مكان,والعنوان لفت انتباهي للتعليق هنا.

Bug bounty program احدى الافكار الجميلة,لكن نحتاج لحلول جذرية بتوعية الهاكر الاخلاقي وايصال فكرة مفهوم الهاكر الاخلاقي الحقيقي,علما ان معظمهم يستخدمون برمجيات وحلول جاهزة لاكتشاف الثغرات,ويقوم بعد ذلك بالتواصل مع الشركة على انه "اكتشف" ثغرة.

علميا هذا ليس هاكر اخلاقي ولا علاقة له بالهاكر اصلا.

نحتاج لاعداد برامج توعوية خاصة من خلال شبكة الانترنت او من خلال مقالات متخصصة لنشر الوعي الصحيح بخصوص هذا المجال, ايضا,ناهيك عن عدد المرات التي قمنا بالتحقيق بجرائم الكترونية متعددة ونصل بالنهاية الى الفاعل وهو يحمل اسم هاكر اخلاقي وقد قام بتفيذ العملية.

فعلا هناك فرق

وللاسف اصبح هذا على الصعيد العام

أحببت فقط التعليق على هذا النقطة

"في حال عدم وجود برنامج مكافأت فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق"

للأسف انت تتحدث عن هذا الموضوع في بلاد انعدمت فيها قوانين الانترنت، نود ان تكون هناك قوانين تحد من عمليات القرصة العشوائية على خصوصاً في الويب العربي لكن للأسف لا يوجد امكانيات لدى الكثير من الدول للقيام بعمليات متابعة وتقفي اثر.

لذلك أصبح الحوار عن الهاكر البلطجي , فمن مبدأ ألا قوانين سيتولى كل شخص أمره ليعمل بضميره , وللأسف البعض معدوم الضمير ..

كلام جميل اظن المشكلة في الجشع الذي يصيب البشر فيردوا تغطية جشعهم بالمال

اخي انت ذكرت اي سيكرتي

هناك تغير ملحوظ في هذا المجتمع اصبح يميل الى الدورات المدفوعة اكثر

في الحقيقة هذه ما يحز في نفسي

وهكذا اغلب المواقع وكأن تعلم هذا المجال حكرا لمن يمتلك في جيبه فيزا وماستر كارد

حماية واختراق

مجتمع يهتم باختبار الإختراق والهاكر الأخلاقي، دراسة الثغرات، الحلول الأمنية، أمن الشبكات و إدارة السيرفرات وغيرها من المجالات..

4.26 ألف متابع