راهنمای نهایی برای هک شدن اخلاقی | آنچه شما باید در سال 2020 بدانید


هک شهرت منفی دارد ، اما برخی از هکرها اینترنت را به مکانی بهتر و امن تر تبدیل می کنند. چه آنها از قدرت خود برای خیر و شر استفاده کنند ، هکرها مهارتهای جدی دارند.

اما آیا هک شدن واقعاً می تواند یک چیز خوب باشد؟ هک شدن اخلاقی چیست و چگونه با سایر انواع هک کردن تفاوت دارد؟ هکرهای اخلاقی چه کسانی هستند و چگونه شروع می کنید؟ و چرا یک شرکت با میل خود می گوید بله هک شده است?

در این مقاله برای پاسخ به همه این سؤالات و موارد دیگر به حوزه هک اخلاقی خواهیم رفت.

ما قصد داریم تا به بحث بپردازیم که منظور از هک کردن چیست و تکنیک های واقعی مورد استفاده هکرهای اخلاقی و مخرب را کشف خواهیم کرد.

ما همچنین به منابع دیگری خواهیم پرداخت که می توانند به هکرهای مشتاق کمک کنند. این آسان تر از آن است که فکر کنید در هک شدن اخلاقی درگیر شوید.

هک کردن چیست?

هک چیست

در ساده ترین, هک شدن به روشی غیرمجاز یا ناخواسته به یک دستگاه دیجیتال ، سیستم رایانه ای یا شبکه دسترسی پیدا می کند.

هک کردن برنامه های متنوعی دارد - خوب و بد - اما به راحتی می توان فهمید که چگونه می توان از هک برای اهداف مخرب استفاده کرد.

مشابه نحوه باز کردن قفل درب شما یا باز شدن پنجره شما می تواند شما را در مقابل سارقان آسیب پذیر کند, هکرها می توانند از آسیب پذیری های امنیتی در یک دستگاه ، شبکه یا نرم افزار سوء استفاده کنند تا بتوانند ورود کنند.

تأثیر هک کردن مخرب می تواند بسیار قدرتمند باشد. گزارش سال 2018 شورای مشاوران اقتصادی آمریكا تخمین زد كه هكی مخرب برای اقتصاد آمریكا به اندازه 109 میلیارد دلار در سال 2016 هزینه كرده است.

در سراسر جهان ، متوسط ​​مشاغل 27.9 درصد احتمال هک شدن در طی دو سال آینده را دارند.

با توجه به این یک تهدید بسیار مهم است متوسط ​​نقض داده برای یک شرکت 3.86 میلیون دلار هزینه دارد طبق یک مطالعه جهانی 2018 توسط موسسه Ponemon.

با توجه به این آمار ، جای تعجب نیست که کلمه هک کردن باعث عصبی شدن بسیاری از افراد می شود. با این حال ، هک کردن جنبه کاملاً متفاوتی وجود دارد که در سالهای اخیر شناخت بیشتری پیدا می کند: هک شدن اخلاقی.

در واقعیت, هک اخلاقی یکی از موثرترین راه ها برای محافظت از خود در برابر آسیب پذیری هایی است که توسط هکرهای کلاه سیاه برای اهداف مخرب می تواند مورد سوء استفاده قرار بگیرد..

هک شدن اخلاقی چیست?

یک هکر اخلاقی که به عنوان یک هکر کلاه سفید نیز شناخته می شود ، یک متخصص در زمینه امنیت سایبر است که برای دستیابی به یک دستگاه دیجیتالی ، سیستم رایانه ای یا شبکه سعی در یافتن نقاط ضعف امنیتی دارد..

به نظر می رسد مانند هر نوع هک دیگری ، درست است?

تفاوت این است که یک هکر کلاه سفید از مهارت های هک کردن برای کمک به شرکت ها در یافتن راه هایی برای تقویت امنیت خود استفاده می کند. یک هکر کلاه سیاه از مهارت های هک کردن برای سوء استفاده از نقاط ضعف برای منافع شخصی استفاده می کند.

یک هکر اخلاقی واقعی فقط پس از دریافت اجازه صریح از مالک شروع به هک کردن می کند.

هدف هک اخلاقی ارزیابی سیستم امنیتی موجود و یافتن راه هایی برای تقویت و بهبود حفاظت است. وقتی یک هکر اخلاقی آسیب پذیری را در نرم افزار یک شرکت پیدا کند ، شرکت می تواند پس از سوء استفاده از هکرهای مخرب ، مشکلات را حل کند..

اگر هنوز در مورد تفاوت بین هکرهای کلاه سیاه و هکرهای کلاه سفید اشتباه گرفته اید ، می توانید تصور کنید که سیستم به عنوان یک ساختمان فیزیکی هک شده است ، بسیار مفید است. مثالهای زیر را در نظر بگیرید.

مثال 1: هکرهای کلاه سیاه

کلاه سیاه

یک شب دیر وقت ، گروهی از مردم بدون تنظیم زنگ هشدار به موزه می روند. آنها در حالی که مأموران امنیتی در حال تغییر شیفت هستند ، از شناسایی با عطسه کردن در زمان مناسب جلوگیری می کنند.

این گروه موفق به سرقت چندین نقاشی نادر و گران قیمت شده و بدون اینکه گرفتار شود دور می شود. آنها با فروش نقاشی ها در بازار سیاه مبلغ زیادی درآمد کسب می کنند.

کاملاً بدیهی است که این سناریو فعالیتهای غیرقانونی و مخرب را توصیف می کند. این مثال شبیه به چگونگی یک هکر کلاه سیاه می تواند برای جلوگیری از دسترسی غیرمجاز به پرونده های محرمانه به منظور فروش اطلاعات غیرقانونی به دست آمده ، از سیستم سایبر امنیت کسب و کار دور بزند..

هکرهای کلاه سیاه کسانی هستند که به طور غیرقانونی به اهداف شخصی و یا بدخواه هک می کنند. این شامل هرکسی می شود که به سرقت ، نشت ، دسترسی به داده ها یا اختلال در دستگاه ها و سیستم های رایانه ای به دلیل سوء استفاده ، سود مالی یا هر انگیزه دیگری.

اصطلاح "کلاه سیاه" در واقع از فیلمهای قدیمی غربی ناشی می شود که فرد مجرمان با لباس سیاه او مشخص می شود و قهرمان توسط کلاه سفید خود شناخته می شود.

مثال 2: هکرهای کلاه سفید

راهنمای نهایی برای هک شدن اخلاقی | آنچه شما باید در سال 2020 بدانید

یک موزه می خواهد بداند سیستم های امنیتی آن چقدر خوب عمل می کنند. مدیر موزه نگران این است که این موزه ممکن است در مقابل سارقان آسیب پذیر باشد ، اما بهترین راه برای بهبود امنیت را نمی داند.

مدیر موزه یک متخصص امنیتی را برای کمک به تشخیص آسیب پذیری در سیستم استخدام می کند. این کارشناس امنیتی با تلاش برای ورود به موزه ، سناریوی از زندگی واقعی را بازآفرینی می کند. کارشناس امنیتی و مدیر موزه هر دو توافق نامه کتبی امضا می کنند.

این کارشناس امنیتی با دور زدن زنگ خطر و جلوگیری از نگهبانان امنیتی هنگام تغییر شیفت ، می تواند در یک شب شکسته شود.

صبح روز بعد ، کارشناس امنیتی گزارشی را به مدیر موزه ارائه می دهد و توضیح می دهد که چگونه وی قادر به سرقت از راه بود و راه هایی را توضیح داد که این موزه می تواند نقاط ضعف موجود در آن را برطرف کند..

در این مثال ، هیچ قانونی شکسته نشده و هیچگونه فعالیت بدخواهی رخ نداده است. این شبیه به نحوه هکر کلاه سفید می تواند از هک اخلاقی برای کمک به مشاغل در بهبود امنیت سایبری خود و جلوگیری از هک شدن مخرب در آینده استفاده کند.

به راحتی می توان دید که چگونه هکرهای کلاه سفید کاملاً متفاوت از هکرهای کلاه سیاه هستند. اما سناریوهایی که همه چیز سیاه و سفید نیستند چه می گویند?

انواع دیگری از هکرها وجود دارند که قصد بدخواهی ندارند اما خود را مطابق با معیارهای اخلاقی مانند هکرهای اخلاقی واقعی قرار نمی دهند. ما این افراد را هکرهای کلاه خاکستری می نامیم.

مثال 3: هکرهای کلاه خاکستری

GrayHat

یک کارشناس امنیتی دوستدار هنر نگران است که یک موزه محلی از امنیت کافی برخوردار نباشد تا از مجموعه نادر خود محافظت کند. این کارشناس امنیتی نامه ای را به مدیر موزه می نویسد اما هیچ جوابی دریافت نمی کند.

این کارشناس امنیتی نگران این است که اگر به زودی امنیت موزه بهبود نیافته ، نقاشی های ارزشمندی به سرقت برود. برای اثبات نظر خود ، کارشناس امنیتی زنگ هشدار موزه را غیرفعال می کند و به داخل موزه خفه می شود.

کارشناس امنیتی به هیچ وجه شکسته یا آسیب نمی رساند. در عوض ، وی نامه ناشناس را بر روی میز مدیر موزه می گذارد و توضیح می دهد که چگونه او توانست از سیستم امنیتی دور بزند و راهکارهایی برای بهبود امنیت موزه را تشریح می کند.

اگر تغییری ایجاد نشود ، کارشناس امنیتی قصد دارد نقص امنیتی موزه را به این امید که مدیر موزه مجبور شود در نهایت امنیت را بهبود بخشد ، اعلام کند..

این مثال روشن می کند که چگونه خط بین هکرهای کلاه سیاه و هکرهای کلاه سفید می تواند تار شود. هک شدن اخلاقی چیزی غیر از داشتن اهداف خوب است.

همانطور که بعداً خواهیم دید ، یک نفوذ غیرمجاز هنوز هم یک نفوذ غیرمجاز است صرف نظر از اینکه هکر در تلاش بوده تا مفید باشد یا خیر..

اگرچه همه هکرها از مهارت و دانش یکسانی بهره می گیرند, هکرهای اخلاقی واقعی فقط از توانایی های خود برای دستیابی به سیستم ها با اجازه صریح صاحبان استفاده می کنند.

انواع هک شدن اخلاقی

خوب ، بنابراین اکنون می دانیم که یک هکر اخلاقی چیست و چگونه شرکت ها می توانند از استخدام یک هکر اخلاقی بهره مند شوند. اما هکرهای اخلاقی واقعاً چه می کنند?

طیف گسترده ای از ابزارها و تکنیک های هک کردن وجود دارد که معمولاً توسط هکرهای کلاه سفید استفاده می شود. هکرهای اخلاقی اغلب در حوزه های خاصی تخصص دارند, اما اکثر هکرهای ماهر انعطاف پذیر هستند و دائما در حال یادگیری استراتژی های جدید هستند.

هکرهای اخلاقی چه کار می کنند

ارزیابی آسیب پذیری ، آزمایش نفوذ و تیمی قرمز سه اصطلاح است که غالباً با یکدیگر اشتباه گرفته می شوند. آنها در واقع سه رویکرد کاملاً متفاوت را نشان می دهند که هکرهای اخلاقی می توانند از آن استفاده کنند. در ادامه با جزئیات بیشتری در مورد آنها صحبت خواهیم کرد.

هر یک از این حوزه ها می تواند سالها طول بکشد تا بتواند تسلط یابد ، و - مانند دنیای سایبر - دائماً در حال تحول است.

I. ارزیابی آسیب پذیری

ارزیابی آسیب پذیری (VA) روشی است که هکرهای اخلاقی و سایر کارشناسان امنیت اطلاعات از آن استفاده می کنند شناسایی ، رتبه بندی و ارتباط هرگونه آسیب پذیری موجود در یک سیستم.

محققان امنیتی ، هکرها و کاربران نهایی می توانند در یافتن آسیب پذیری ها در نرم افزار ، شبکه و سخت افزار یک شرکت نقش داشته باشند.

هیچ قطعه نرم افزاری مناسب نیست و با هر بروزرسانی یا انتشار جدید ، اشکالات زیادی وجود دارد. به همین دلیل ، بیشتر شرکتهای معتبر توسعه نرم افزار و سخت افزار ، ارزش ارزیابی مکرر آسیب پذیری را تشخیص می دهند.

یک شرکت ممکن است یک هکر اخلاقی را برای انجام یک VA استخدام کند تا بتواند مشکلات مربوط به نرم افزار را قبل از بهره برداری از هکرهای مخرب سوء استفاده کند..

اگر آسیب پذیری نرم افزار به سرعت مورد بررسی و رسیدگی قرار نگرفته ، پیامدهای آن می تواند فاجعه بار باشد. بنابراین به نفع کلیه فروشندگان نرم افزار است که آسیب پذیری ها را قبل از انجام هکرهای جنایی کشف و برطرف کنند.

اگرچه هر VA می تواند در دامنه ، جدول زمانی و رویکرد متفاوت باشد ، اما اکثر هکرهای اخلاقی این چهار مرحله اصلی را دنبال می کنند:

  1. ایجاد یک فهرست کامل از کلیه منابع و دارایی های موجود در سیستم.
  2. دارایی ها را براساس ارزش یا اهمیت آنها برای سیستم کلی رتبه بندی کنید.
  3. هر آسیب پذیری موجود یا احتمالی موجود در هر دارایی را پیدا و تعریف کنید.
  4. با این شرکت همکاری کنید تا کلیه موارد امنیتی که در ارزیابی مشخص شده اند را برطرف کنید.

تفاوت اصلی بین ارزیابی آسیب پذیری و سایر تکنیک های متداول هک اخلاقی این است که ارزیابی آسیب پذیری سناریوی هک کردن در دنیای واقعی را از نو ایجاد نمی کند..

در یک رویکرد VA ، مشتری و هکر اخلاقی معمولاً در کل مراحل با هم همکاری نزدیک دارند.

مشتری قبل از شروع ارزیابی ، به هکرهای اخلاقی اطلاعات و دسترسی زیادی به منابع می دهد ، نه اینکه هکر اخلاقی بتواند اطلاعات را از خارج جمع کند.

یافتن آسیب پذیری

ابزارهای بسیاری وجود دارد که هکرها در ارزیابی آسیب پذیری از آنها استفاده می کنند ، از جمله این موارد برنامه هایی که محیط سیستم را اسکن می کنند ، پروتکل های شبکه را تجزیه و تحلیل می کنند ، و امنیت Android برنامه یا وب را ممیزی می کنند.

روش دیگر برای یافتن آسیب پذیری ها ، تجزیه و تحلیل کد منبع است. با این حال ، این احتمالاً خسته کننده ترین روش برای یافتن آسیب پذیری هاست ، و شما باید به کد منبع دسترسی داشته باشید که همیشه داده نمی شود.

یک نمونه از روشهای رایج برای یافتن آسیب پذیری ها از طریق تکنیکی به نام fuzzing است. Fuzzing هنگامی است که شما به منظور از بین بردن آسیب پذیری ، با یک برنامه و ورودی آن دخالت می کنید ، که به آشکار سازی آسیب پذیری کمک می کند.

یکی از fuzzer های رایج برنامه ای به نام Radamsa است که از آن برای یافتن آسیب پذیری در QuickTime اپل استفاده شده است که به مهاجمین از راه دور اجازه می دهد تا از طریق یک فایل فیلم فاسد ، یک حمله انکار سرویس (DoS) ایجاد کنند..

دوم تست نفوذ

تست نفوذ روشی است که توسط هکرهای اخلاقی برای آزمایش دفاعیات و رویه های امنیتی یک دستگاه ، شبکه یا سیستم مورد استفاده قرار می گیرد تا دریابیم آیا آسیب پذیری هایی وجود دارند که می توانند از آنها سوء استفاده کنند..

تست نفوذ چیزی است که بیشتر افراد هنگام عکس گرفتن از یک هکر اخلاقی به آن فکر می کنند. هکر اخلاقی باید به ذهن یک هکر کلاه سیاه بپردازد و یک حمله در دنیای واقعی را شبیه سازی کند.

اگرچه ارزیابی آسیب پذیری معمولاً می تواند طیف وسیع تری از اطلاعات را پوشش دهد, آزمایش نفوذ یک روش واقعی تر برای ارزیابی نقاط ضعف سیستم خاص است.

تفاوت بین این دو رویکرد به وسعت و عمق کاهش می یابد. به همین دلیل است که این دو روش اغلب با هم استفاده می شوند.

دو نوع آزمایش نفوذ وجود دارد:

  • آزمون جعبه سفید: قبل از آزمایش نفوذ ، به هکر اخلاقی اطلاعات دقیق در مورد سیستم آزمایش شده داده می شود. این اغلب شامل هکر انجام تست آسیب پذیری است. آزمایش نفوذ پس از آن انجام می شود که هکر اخلاقی به درون سیستم نگاه کند.
  • تست جعبه سیاه: قبل از شروع تست نفوذ ، به هکر اخلاقی اطلاعات کمی در مورد سیستم داده می شود. این کار معمولاً برای بازآفرینی یک سناریو در دنیای واقعی انجام می شود و می یابد چقدر ممکن است یک هکر مخرب از خارج آسیب ببیند. در این حالت ، هکر اخلاقی مجبور است به صورت خودآزمایی شناسایی را انجام دهد.

اگر یک هکر اخلاقی بودید که تست نفوذ را انجام می دادید ، باید مراحل زیر را طی کنید:

فاز 1: جمع آوری اطلاعات

این مرحله شامل جمع آوری هرچه بیشتر اطلاعات در مورد یک هدف است. این اطلاعات به شما کمک می کند حملات خود را در مراحل بعدی طراحی و اجرا کنید.

جمع آوری اطلاعات خوب شما را قادر می سازد تا نقاط ورود و ضعف های احتمالی در یک سیستم را تعیین کنید. نقاط ورودی می توانند فیزیکی باشند (به عنوان مثال درب سرویس) ، الکترونیکی (به عنوان مثال سریع ورود به سیستم) یا انسانی (به عنوان مثال جان م. گیرنده).

چهار دسته از جمع آوری اطلاعات وجود دارد:

  • اطلاعات منبع باز (OSINT): تحقیق درباره اطلاعات عمومی در مورد یک هدف.
  • هوش منفعل: جمع آوری اطلاعات به روشی که قابل شناسایی نیست. این معمولاً محدود به انبارها یا اطلاعات بایگانی شده است.
  • هوش نیمه منفعل: جمع آوری اطلاعات در حالی که سعی می کنید با مخفی کردن و یا استتار کردن اقدامات خود ، از این نظر کشف نشود ، به نظر می رسد مانند ترافیک اینترنت عادی در شبکه هدف.
  • هوش فعال: جمع آوری اطلاعات به روشی که اقدامات شما باید باعث هشدار و هشدار شوند. این به شما امکان می دهد ببینید که چگونه سیستم های امنیتی مشتری شما حملات را شناسایی و از خود دفاع می کنند.

فاز 2: اسکن

پس از جمع آوری هرچه بیشتر اطلاعات ، شما شروع به تحقیق در سیستم می کنید تا بفهمید که چگونه رفتار می کند و می فهمید که چگونه به یک حمله پاسخ خواهد داد.

شما احتمالاً از این مزیت استفاده خواهید کرد ابزارهای نرم افزاری برای اسکن شبکه و زیرساخت های هدف. ممکن است بخواهید شبکه را در یک دوره زمانی نظارت کنید تا هرچه بیشتر داده جمع شود.

شما همچنین ممکن است در بازرسی و تجزیه و تحلیل کد نرم افزار در حالی که استاتیک و در حالی که در حال اجرا است ، صرف کنید ، که به آن تجزیه و تحلیل پویا گفته می شود.

فاز 3: دستیابی و بهره برداری

در این مرحله ، شما تلاش خواهید کرد تا از آسیب پذیری هایی که کشف کرده اید وارد شوید و از آنها بهره برداری کنید.

در اینجا برخی از تکنیک هایی که ممکن است در طی یک آزمایش نفوذ برای استفاده از آن استفاده کنید:

  • دور زدن دیوارهای آتش یا برنامه های وب
  • بهره برداری از خدمات ابری
  • حملات SSH
  • سوء استفاده از گذرواژه‌های ضعیف یا پیش فرض
  • تزریق SQL
  • برنامه نویسی متقاطع
  • حملات انکار سرویس (DoS)
  • کلاهبرداری آدرس MAC

همچنین ممکن است مجبور شوید از آن استفاده کنید مهندسی اجتماعی برای دستیابی به دسترسی این شامل گمراهی یا دستکاری افراد ، به طور معمول کارکنان شرکت برای نفوذ به محیط می شود.

نمونه هایی از مهندسی اجتماعی عبارتند از:

  • حملات فیشینگ
  • اخراج یا جعل هویت یک کارمند شرکت
  • Tailgating ، جایی که هکر شخص مجاز را دستکاری می کند تا دسترسی محدود داشته باشد
  • Quid pro quo ، جایی که هکر به عنوان پشتیبانی فنی مطرح می شود

برای بهره برداری موفقیت آمیز از هرگونه آسیب پذیری ، ابتدا باید از اقدامات متقابل یا مکانیسم های دفاعی موجود استفاده کنید یا از آنها دور می شوید..

به عنوان بخشی از این مرحله ، شما همچنین می توانید ارزیابی کنید که با سوء استفاده از آسیب پذیری چقدر می توان آسیب دید.

شما ممکن است سعی کنید ببینید که آیا می توانید سرقت داده ها ، رهگیری ترافیک یا فرآیندهای خرابی. با این حال ، مهم نیست که از مرزهای توافق هک اخلاقی خود با مشتری سبقت نگیرید.

فاز 4: حفظ دسترسی و پوشش آهنگ

هدف از این مرحله سوم این است که دریابید چه مدت می توانید ارتباط خود را بدون شناسایی حفظ کنید.

برخی از انواع حملات در طی روزها ، هفته ها یا حتی ماه ها اتفاق می افتد. ممکن است بخواهید کشف کنید که آیا امکان مخفی کردن نفوذ و دسترسی در طی یک دوره زمانی طولانی وجود دارد.

فاز 5: تحلیل و گزارش

در پایان تست نفوذ خود ، یک آن را ایجاد می کنید گزارش عمیق از همه چیزهایی که در طول آزمون آموخته اید.

این شامل توضیحی در مورد همه آسیب پذیری های کشف شده ، چقدر مهم بودن آنها ، چگونگی بهره برداری از آنها ، پیامدهای احتمالی و توصیه هایی برای بهبود امنیت.

III. Redaming

تیم سازی قرمز شبیه به یک تست نفوذ استاندارد است ، با چند تفاوت مهم.

تیم قرمز گروهی از هکرهای اخلاقی است یا متخصصان امنیت سایبری که یک محصول ، خدمات یا تأسیسات فیزیکی خاص را برای آزمایش دفاع از محیط آزمایش می کنند.

یک تیم قرمز تلاش می کند یک حمله به دنیای واقعی را بازآفرینی کنید تا حد امکان. به همین دلیل ، اکثر تیمهای IT و امنیتی شرکت اطلاعاتی در مورد آزمایش از قبل ارائه نمی دهند مگر اینکه کاملاً لازم باشد.

این آزمایش اغلب در مدت زمان طولانی تری نسبت به سایر روش ها انجام می شود. تیم های قرمز معمولاً از ترکیبی استفاده می کنند ابزارهای نرم افزاری ، تکنیک های مهندسی اجتماعی و بهره برداری از محیط فیزیکی.

مزایای هک اخلاقی

در سطح ممکن است استخدام شخصی برای تلاش برای نقض سیستم خود ، دیوانه کننده به نظر برسد. ولی وارد ذهنیت یک هکر کلاه سیاه می شوید تنها راهی برای کسب و کار برای آزمایش واقعی دفاع است.

شرکتی که نمی خواهد یک هکر اخلاقی را استخدام کند ، باید برای داشتن هر حمله احتمالی ، به داشتن یک دفاع کامل متکی باشد. این مسئله شرکت را در یک نقطه ضعف ثابت قرار می دهد.

حتی اگر یک شرکت بهترین دفاع را در جهان داشته باشد واقعیت این است یک هکر فقط باید یک نقطه ضعف برای پیدا کردن کل سیستم پیدا کند.

تقریباً غیرممکن است بدون اینکه دفاع خود را به یک آزمایش واقع بینانه بفهمید آن نقطه ضعف چیست. یک هکر اخلاقی ماهر می تواند مقدار قابل توجهی از وقت ، پول و تلاش را در یک شرکت صرفه جویی کند.

تصور کنید که یک شرکت IT در حال طراحی نرم افزار جدید برای بازار است. آنها در یک برنامه دقیق قرار دارند ، اما جستجوی تست امنیتی می تواند عواقب جدی در آینده داشته باشد.

کدام یک ساده تر است: از جمله هر نوع دفاع قابل تصور است به گونه ای که این نرم افزار از هرگونه حمله احتمالی مصون باشد یا استخدام یک هکر اخلاقی برای شناسایی مناطق آسیب پذیر نرم افزار?

مثال زیر را در دنیای واقعی در نظر بگیرید که چه چیزی باعث ایجاد یک سازمان برای همکاری با هکرهای اخلاقی می شود:

  • در سال 2017 ، یک حمله باج افزار معروف به WannaCry ده ها بیمارستان در سراسر انگلیس را به خطر انداخت. کارمندان بیمارستان از رایانه های خود قفل شده بودند و بیش از 19،000 قرار ملاقات مجبور شدند لغو شوند. تخمین زده می شود که این حمله 92 میلیون پوند برای خدمات بهداشت ملی انگلیس (NHS) برای تعمیر IT و درآمد از دست رفته هزینه داشته است. در پی این حمله ، سرویس بهداشت ملی انگلیس یک مرکز عملیاتی امنیتی جدید با 20 میلیون پوند بودجه برای بهبود و ارزیابی امنیت با استفاده از هک اخلاقی ایجاد کرد.

هک شدن اخلاقی 1

اضافه کردن یک هکر اخلاقی به تیم طراحی نرم افزار ، نه تنها روند آزمایش امنیت را انجام می دهد سریعتر و کارآمدتر بلکه مؤثرتر است.

این بدان معناست که شرکتی که یک هکر اخلاقی را استخدام می کند ، هر دو هستند پس انداز پول و ایجاد محصولی قوی تر.

مشتری ها در هکر اخلاقی به دنبال چه چیزی می گردند?

وقتی یک شرکت هکر اخلاقی استخدام می کند ، آنها به دنبال شخصی هستند تخصص امنیت سایبری که می تواند به طور کامل چشم انداز یک هکر مخرب را در اختیار بگیرد تکرار حملات واقع گرایانه.

هکرهای اخلاقی باید داشته باشند دانش پیشرفته در مورد روش ها ، مهارت ها و طرز تفکر هکرهای کلاه سیاه برای به خطر انداختن دفاع های امنیتی.

شرکت ها همچنین به دنبال کسی هستند که باشد حرفه ای ، ارتباطی و شفاف. شرکتها معمولاً باید اعتماد زیادی به هکرهای اخلاقی داشته باشند. این نقشی است که با مسئولیت زیادی همراه است.

هکرهای اخلاقی وظیفه دارند شرکت را کاملاً مطلع کنید از همه چیزهایی که در طول آزمایش کشف می کنند.

در حالت ایده آل ، هکر اخلاقی نیز با این شرکت همکاری خواهد کرد تا اطمینان حاصل شود که همه مشکلات و آسیب پذیری ها پس از اتمام آزمایش با اطمینان برطرف می شوند.

آیا هک شدن اخلاقی قانونی است?

هک شدن اخلاقی گاهی اوقات در یک وجود دارد منطقه خاکستری قانونی گیج کننده. در بیشتر جهان ، قوانین موجود در مورد هک اخلاقی مبهم است و به وضوح تمام سناریوهای ممکن را پوشش نمی دهد.

هم هکرها و هم شرکتها باید برای محافظت از خود قدم بردارند و مطمئن شوند که هیچ قانونی در حال نقض شدن نیست.

شرایط هک قانونی

راهنمای نهایی برای هک شدن اخلاقی | آنچه شما باید در سال 2020 بدانید

به طور کلی ، بهترین راه برای هر دو طرف برای اطمینان از قانونی بودن آنها ، این است توافق نامه کتبی امضا کنید این شغلی را تعیین می کند که هکر اخلاقی برای انجام آن استخدام شده است.

یکی از اصلی ترین تفاوت های هک قانونی و غیرقانونی این است که آیا هک مجاز یا غیرمجاز بوده است.

توافق نامه کتبی اثبات این است که هکر اخلاقی از نظر قانونی مجاز است سعی کنید از آسیب پذیری های امنیتی شرکت استفاده کرده و به سیستم دسترسی پیدا کنید.

قبل از استخدام یک هکر اخلاقی ، شرکت ها نیز باید تحقیقات خود را انجام دهند و اطمینان حاصل کنند که از هکر درخواست نمی کنند کاری غیرقانونی انجام دهد.

سازمانها ممکن است قانون را نقض کنند از هکرها بخواهید به داده های محرمانه مشتری دسترسی پیدا کنند بدون دریافت مجوز مشتری.

برای شرکتی که یک هکر اخلاقی را استخدام می کند ، توافق نامه کتبی می تواند فرصتی برای شرکت باشد تا اطمینان حاصل کند که درخواست هک شدن آنها قانونی است و اثبات آنچه دقیقاً به هکر اجازه داده اند ایجاد کند..

دیدار با چهار شرط زیر بهترین راه برای محافظت از هر دو طرف است از عواقب قانونی خودداری کنید برای هک اخلاقی:

  1. هکر اخلاقی و مشتری هر دو در مورد و توافق نظر دارند بیانیه کار امضا کنید (SOW) این هدف از هک اخلاقی را شرح می دهد ، از هکر خواسته می شود چه کاری انجام دهد ، هکر مجاز به انجام آن است ، هکر در صورت اتمام پروژه به مشتری ارائه می دهد و هرگونه محدودیت و محدودیتی را به هکر ارائه می دهد..
  2. اگر ممکن است هکر اخلاقی در معرض اطلاعات محرمانه باشد ، از هکر خواسته می شود توافق نامه عدم افشای امضا را امضا كنید به طوری که اطلاعات خصوصی یا حساس به درستی رسیدگی شود.
  3. هر دو طرف باید سند آزادی مسئولیت را امضا کنید که هکر اخلاقی را از هرگونه مسئولیت در صورت قطع سرویس یا مشکلات ناشی از اقدامات مجاز انجام شده در طول فعالیت هک اخلاقی ، رهایی می بخشد.
  4. هکر اخلاقی باید تمام تلاش خود را بکند تا حد امکان شفاف باشید با مشتری افشای کامل یکی از مهمترین اصول هک اخلاقی است.

هک شدن اخلاقی غیرمجاز - آیا قانونی است?

باشه ، پس توافق نامه کتبی عالیه و همه. اما در مورد موقعیت هایی که چندان سیاه و سفید نیستند چه می گویم?

تصور کنید یک هکر کلاه سفید است که به طور غیر منتظره با یک نقص امنیتی در وب سایت یک شرکت مواجه می شود. او سعی می کند نقص امنیتی را ارزیابی کند تا دریابد که آیا باید سعی کند آن را به شرکت گزارش دهد.

در حالی که انجام این کار ، او ناخواسته دسترسی پیدا می کند به پایگاه داده محرمانه وب سایت او به سرعت و به صورت خصوصی از کشف این شرکت خبر می دهد و حتی ایده هایی را برای چگونگی رفع مشکل به آنها می دهد.

در کمال تعجب او ، به جای اینکه از این شرکت تشکر و پاداش حاصل شود, وی به دلیل دسترسی غیرمجاز به پایگاه داده سیستم تحت تأثیر اتهامات قانونی قرار گرفته است.

متأسفانه ، چندین مثال در دنیای واقعی از این سناریو وجود دارد. حتی اگر اهداف هکرها خوب بودند ، قانون همیشه اهداف را در نظر نمی گیرد.

وقتی این واقعیت را در نظر بگیرید که همه هکرهای اخلاقی مستقیماً توسط یک شرکت استخدام نمی شوند ، مسائل پیچیده می شوند. در عوض ، برخی از کلاه های سفید مانند هوشیار عمل می کنند. آنها وقت خود را صرف یافتن و گزارش نقص های امنیتی می کنند که شرکت ها نتوانسته اند خود را برطرف کنند.

آنها غالباً نیتهای نجیب دارند و هدف اصلی آنها تبدیل شدن به جهان به مکانی امن تر است. از نظر حقوقی ، این گاهی اوقات خوانده می شود حسن نیت هک شدن.

محققان امنیتی همچنین ممکن است از تکنیک های هک استفاده کنند برای ارزیابی نقص امنیتی در شبکه ها ، دستگاه ها یا نرم افزارها به عنوان بخشی از تحقیقات آنها.

برنامه های فضل اشکال و برنامه های افشای آسیب پذیری (VDP) می توانند برخی از موارد را ارائه دهند محافظت قانونی به هکرهای اخلاقی.

یک برنامه فضل اشکال سیستم پاداش ارائه شده توسط یک توسعه دهنده نرم افزار یا وب سایت به هر هکر کلاه سفید است که یک آسیب پذیری را برای شرکت کشف و گزارش می کند..

به طور معمول ، برنامه های bugy bugy صریحاً توسط شرکت به صورت کتبی تعریف و تشریح می شوند. این می تواند به عنوان توافق نامه کتبی عمل کند و زمینه ای را برای پناهجویان اخلاقی فراهم کند و آنها را از اتهامات مدنی یا کیفری محافظت کند..

برنامه های افشای آسیب پذیری (VDPs) شبیه به مزایای اشکال است ، اما مشوق های مالی ارائه نمی دهند. آنها یک کانال امن برای هکرهای کلاه سفید و محققان امنیتی ایجاد می کنند تا آسیب پذیری های کشف شده با حسن نیت را گزارش دهند.

از آنجا که جرایم سایبری در عصر دیجیتال به یک تهدید فزاینده برای مشاغل تبدیل می شود ، تعداد بیشتری از سازمان ها VDP های خود را اعلام می کنند.

بسیاری از شرکت ها تشخیص می دهند که برنامه های VDP و برنامه های bug bounty می توانند بهترین راه برای بهبود امنیت آنها و ترغیب هکرها به گزارش کشف خود به جای اعلام علنی آسیب پذیری یا بهره برداری از آن باشند..

اگر شما علاقه مند به شرکت در بخش های مختلف باگ هستید ، مهمترین چیز این است که شرایط و ضوابط را بخوانید از برنامه با دقت.

هکرهای اخلاقی باید اطمینان حاصل کنند که اقدامات آنها کاملاً تحت پوشش شرایط مکتوب برنامه است تا خود را از عواقب قانونی محافظت کنند.

نمونه هایی از دنیای واقعی هک شدن اخلاقی

بیایید به مثالهای هکرهای اخلاقی در دنیای واقعی بپردازیم و پیامدهای خوب و بدی را که آنها برای فعالیت هکری با آنها روبرو شده اند.

این مثالها توضیح می دهند که چگونه هک اخلاقی بسته به شرایط و بستر قانونی می تواند قانونی باشد یا نباشد.

دیو دیتریچ

مهندس نرم افزار و محقق امنیت سایبری دانشگاه واشنگتن ، دیو دیتریچ به دلیل تحقیقات خود در مورد ابزارهای حمله توزیع شده انکار سرویس (DDoS) مشهور است.

پس از یک سری از حملات DDoS در مقیاس بزرگ در سراسر جهان ، در اواخر دهه 90 و اوایل 2000 باعث ایجاد وحشت شد ، Dittrich با استفاده از تکنیک های هک اخلاقی تحقیقات مربوط به میزبان به خطر افتاد..

تحقیقات او گاهی او را مجبور به دسترسی به اطلاعات شخصی کرد از دارندگان حساب با سیستم های مصالحه.

دیتریچ به طور مکرر در مورد چگونگی فعالیت هکری وی می تواند وی را با مشکلات جدی قانونی روبرو کند. حتی اگر اهداف او خوب بود, برخی از اقدامات وی می توانست به عنوان یک نفوذی غیرمجاز تلقی شود.

خوشبختانه, دیتریچ هرگز با عواقب قانونی برای هک شدن خود روبرو نشده است. بخشی از دلیل اینکه اقدامات دیتریش هک اخلاقی تلقی می شود به این دلیل است که وی برای پیروی از رهنمودهای دقیق اخلاقی بسیار تلاش کرد.

محقق سعی کرد شفاف و ارتباطی با همه قربانیان حمله DDoS که در تحقیقات وی شرکت داشتند. وی همچنین از فعالیت های وی و کلیه یافته های تحقیق خود به مقامات دولتی خبر داد.

Dittrich اکنون یک طرفدار بزرگ هک اخلاقی برای مقابله با ابزارهای مخرب مخرب است. او معتقد است که هکرهای اخلاقی برای ایجاد و پیروی از یک کد اخلاق سخت هکری برای محافظت از خود و دیگران باید با هم همکاری کنند.

گلن مانگام

داستان گلن مانگام ، دانشجوی توسعه نرم افزار انگلیسی ، نمونه ای عالی از این است خطرات ناشی از هک غیر مجاز حتی اگر نیت شما خوب باشد.

در سال 2011 ، مانگام متوجه برخی آسیب پذیری های امنیتی در یاهو شد! موتور جستجو با استفاده از تکنیک های هک ، دانشجوی توسعه نرم افزار جزئیات بیشتری را در مورد آسیب پذیری ها کشف کرد.

وی گزارشی از فعالیت ها و یافته های خود تهیه کرد ، که سپس به یاهو ارسال کرد. همراه با توصیه هایی برای چگونگی بهبود امنیت.

یاهو! اقدامات منهام را هک اخلاقی دانست. این شرکت از گزارش وی تشکر کرده و حتی به خاطر تلاشهایش پاداش چند هزار پوندی به وی داده است.

با این حال ، شانس مانگام بعداً در همان سال تغییر کرد وقتی او همین روال را با فیس بوک امتحان کرد. این بار با تشویق موفقیت قبلی خود ، این بار اقدامات شدیدتری را در مورد شکار خود یافت تا آسیب پذیری ها را پیدا کند.

مانگام با موفقیت هک شد به حساب کارمند فیس بوک ، که او برای دستیابی به چندین سرور فیس بوک استفاده می کند.

مانگام ضمن بررسی آسیب پذیری های امنیتی که با وی روبرو شد ، گفت کد منبع محرمانه بارگیری شده است از سرورهای فیس بوک روی هارد دیسک منزل وی. او ادعا می کند که سعی داشت گزارشی مشابه با گزارشی که برای Yahoo! ایجاد کرده است را جمع کند. به منظور کمک به فیس بوک در بهبود امنیت آنها.

متأسفانه ، فیس بوک چیزهای دیگری را دید. این شرکت شواهدی مبنی بر نقض غیرمجاز پیدا کرد و مستقیماً به FBI رفت ، که نفوذ را به مانگام بازگرداند.

هنگامی که مقامات انگلیس با دانشجوی توسعه نرم افزار مقابله کردند ، او بلافاصله اعتراف کرد که چه کار کرده است و سعی در توضیح اهداف خود داشت ، اما خیلی دیر شد.

فیس بوک اقدامات مانگام را هک اخلاقی ندید. وکلا این شرکت معتقدند که دسترسی غیرمجاز هرگز بی ضرر نبوده و باید بدون در نظر گرفتن مقاصد هکر مجازات شود. مانگام به دلیل اقدامات خود به هشت ماه زندان محكوم شد.

چارلی میلر

چارلی میلر یک محقق آمریکایی در زمینه امنیت سایبر و هکر اخلاقی مشهور است که پیش از این برای NSA ، Twitter و Uber کار کرده بود..

میلر چندین بار به خاطر کشف نقایص امنیتی مهم در دستگاه ها و نرم افزارهای محبوب پاداش داده شده است. او هرگز به دلیل تبعیت از قوانین سختگیرانه اخلاق هکری ، به دلیل هک شدن با پیامدهای قانونی روبرو نشده است.

در اینجا چند نمونه از آنچه میلر با هک اخلاقی به دست آورده است:

  • 2007: میلر در برنامه آیفون سافاری آسیب پذیری اساسی را کشف کرد که می تواند برای هک کردن و ربودن آیفون ها مورد استفاده قرار گیرد. اپل پس از اینکه میلر یافته های خود را به این شرکت گزارش داد توانست با موفقیت این مشکل را برطرف کند.
  • 2008: یک کنفرانس هکرها در کانادا به دلیل نشان دادن چگونگی آسیب پذیری امنیتی برای هک کردن MacBook Air در کمتر از 2 دقیقه ، یک جایزه 10،000 دلاری به میلر اعطا کرد..
  • 2009: میلر یک نقص امنیتی در سیستم پردازش پیام متنی آیفون داشت که آیفون ها را در برابر حملات DDoS آسیب پذیر قرار می داد.
  • 2011: میلر در تراشه های باتری لپ تاپ های اپل آسیب پذیری اساسی یافت که می تواند به راحتی از آن برای آلوده کردن لپ تاپ به بدافزار یا آسیب رساندن به دستگاه استفاده شود.
  • 2012: میلر روشی را در معرض نمایش قرار داد که هکرها می توانند از آن برای محافظت از فروشگاه های تلفن همراه Google استفاده کنند ، این امکان را برای هکرها فراهم می کند تا برنامه های مخرب اندرویدی را برای سرقت داده ها ، ارسال اسپم یا پول درآوردند. Google با کمک میلر توانست مشکل را ترمیم کند.
  • 2015: چارلی میلر و هریک اخلاقی وی کریس والاسک یک آسیب پذیری را در سیستم سرگرمی متصل به اینترنت جیپ چروکی کشف کردند. تنها با آدرس IP اتومبیل ، این دو هکر توانستند با ارسال دستورات به شبکه کنترل داخلی داخلی (CAN) موتور اتومبیل ، استراحت ، فرمان و موارد دیگر را کنترل کنند. فیات کرایسلر که صاحب جیپ چروکی است ، پس از افشای میلر و والاسک توانست به سرعت یک پچ امنیتی ایجاد کند..

تبدیل شدن به یک هکر اخلاقی

نمونه های دنیای واقعی در بخش قبلی نشان می دهد که چگونه یک اخلاق هک اخلاقی می تواند بین اقدامات یک هکر با پاداش 10 هزار دلار یا حکم زندان تفاوت قائل شود..

پیروی از دستورالعمل های مربوط به هک اخلاقی تنها راه کار با خیال راحت و قانونی به عنوان یک هکر است. همینطور است کسب درآمد بعنوان یک هکر اخلاقی بسیار ساده تر است از کلاه سیاه یا کلاه خاکستری.

تعداد فزاینده ای از شرکت ها در سراسر جهان متوجه اهمیت سرمایه گذاری زیاد در امنیت سایبر هستند. این افزایش آگاهی بدان معنی است که حوزه امنیت اطلاعات سریعتر از همیشه در حال رشد است.

با افزایش تقاضای فعلی هکرهای اخلاقی ماهر ایجاد شغل و افزایش حقوق, چشم انداز هکرهای مشتاق کلاه سفید هرگز روشن تر نبوده است.

حتی نمونه هایی از هکرهای کلاه سیاه وجود دارد که طرف هایشان را عوض می کنند زیرا تعداد بسیار زیادی فرصت برای هکرهای اخلاقی نسبت به گذشته وجود دارد.

یکی از مشهورترین موارد این است کوین میتنیک, یک هکر کلاه سیاه فوق العاده با استعداد آمریکایی که اعتقاد بر این است که به دست آورده است دسترسی غیرمجاز به صدها دستگاه و شبکه طی چند دهه.

میتنیک سالها از مقامات خودداری کرد ، اما وی پس از تعقیب و گریز معروف FBI در سال 1995 ، دستگیر ، دستگیر و به 5 سال زندان محکوم شد..

امروز ، میتنیک یک مشاور امنیتی بسیار موفق است که دارد ارائه خدمات هک اخلاقی به برخی از بزرگترین شرکتهای جهان. داستان هکرهای کلاه سیاه قبلی برای هرکسی که در زمینه هک کردن حرفه ای مشغول به کار است جذاب و الهام بخش است.

به لطف آگاهی روزافزون درباره فواید هک اخلاقی ، وجود دارد یک تن از منابع و فرصت ها در آنجا وجود دارد که هکرهای اخلاقی بتوانند از آن استفاده کنند.

کسب درآمد به عنوان یک هکر اخلاقی

هک شدن اخلاقی یک زمینه جالب و جالب برای ورود است اما می تواند یک مورد نیز باشد راه عالی برای درآمدزایی. دو راه اصلی وجود دارد که هکرهای اخلاقی برای کسب درآمد می توانند از آن استفاده کنند.

بسیاری از هکرهای اخلاقی توسط مشاغل یا شرکتهای مشاوره استخدام می شوند. در اینجا برخی از عناوین شغلی مشترک که هکرهای اخلاقی را به خود جلب می کند:

  • تحلیلگر امنیت اطلاعات
  • تحلیلگر امنیت سایبری
  • مهندس امنیت
  • تستر نفوذ
  • مدیر امنیت اطلاعات
  • محقق امنیت سایبری

طبق گفته Payscale ، متوسط ​​حقوق سالانه یک هکر معتبر اخلاقی در ایالات متحده آمریکا تا سال 2019 90،000 دلار است ، اما برندگان برتر می توانند بیش از 130،000 دلار درآمد داشته باشند.

در اینجا برخی از دامنه متوسط ​​حقوق در سال 2019 است برای یک هکر اخلاقی در ایالات متحده بر اساس مکان:

  • واشنگتن ، دی سی: 66،182 دلار - 125،937 دلار
  • نیویورک ، نیویورک: 49،518 دلار - 128،634 دلار
  • آتلانتا ، جورجیا: 49،682 دلار - 112،217 دلار
  • سان آنتونیو ، تگزاس: 51،824 دلار - 91،432 دلار

برخی از هکرهای اخلاقی ترجیح می دهند به جای پیوستن به یک شرکت ، کار انفرادی را انجام دهند. این هکرها معمولاً از طریق نعمت های باگ ، پول خود را می گیرند.

برنامه های باگ اشکال

بسیاری از وب سایت ها و توسعه دهندگان نرم افزار ارزش ارائه به مردم را می شناسند انگیزه برای افشای هرگونه اشکال و آسیب پذیری که به جای سوءاستفاده از آنها یا اعلام عمومی آنها با آنها روبرو می شوند.

یک bounty bugy یک پاداش است که توسط یک وب سایت یا توسعه دهنده نرم افزار ارائه می شود کاربران و هکرهای اخلاقی که اشکالی را برای شرکت پیدا کرده و گزارش می دهند. بیشترین پاداش ها معمولاً برای کشف یک اشکال است که به طور بالقوه می تواند توسط یک هکر مخرب سوء استفاده شود ارائه می شود.

حمایت های قانونی برای برنامه های bugy bug با جزئیات بیشتر در ابتدای مقاله در این مقاله مورد بحث قرار گرفته است. به طور کلی ، مهمترین چیز این است که شرایط و ضوابط برنامه bug bounty را با دقت بخوانید و دستورالعمل های ارائه شده توسط شرکت را دنبال کنید.

نعمت های اشکال می توانند راهی عالی برای هکرهای با استعداد اخلاقی برای کسب درآمد باشند. در اینجا لیستی از چند برنامه باقیمانده اشکالات ارائه شده توسط شرکتهای مشهور ، به همراه درآمد احتمالی:

  • فیس بوک: 500 دلار - 50،000 دلار
  • اپل: تا 200000 دلار
  • GitHub: 600 دلار - 30،000 دلار+
  • Google: 100 دلار - 30،000 دلار+
  • مایکروسافت: تا 100000 دلار
  • نتفلیکس: 200 دلار - 20،000 دلار
  • Uber: 500 دلار - 10،000 دلار
  • پی پال: حداکثر 30،000 دلار

بسیاری از وب سایت ها اطلاعات مربوط به برنامه های bug-bug خود را در پایگاه داده هکرن میزبانی می کنند.

هک شدن اخلاقی 2

شروع به کار به عنوان یک هکر اخلاقی

یکی از بهترین موارد در مورد هک اخلاقی این است که اینگونه است در دسترس همه. هیچ راه درست و صحیحی برای تبدیل شدن به یک هکر بزرگ وجود ندارد.
هک شدن اخلاقی با بسیاری از مشاغل دیگر متفاوت است که در آن باید برای رسیدن به موفقیت مسیری سخت و سنتی را دنبال کنید. در حقیقت ، برخی از معروف ترین هکرهای اخلاقی بوده اند کاملاً خودآموز.

به خاطر داشته باشید که هیچ کس یک شب یک هکر با استعداد نمی شود. یادگیری مهارت های هک کردن طول می کشد زمان ، تلاش و فداکاری. حتی هکرهای باتجربه مجبور می شوند که به طور مداوم مهارت های جدید را بیاموزند زیرا فناوری به سرعت تغییر می کند.

اگر در آن سرمایه گذاری شده اید یادگیری و به طور مداوم مهارت های خود را بهبود می بخشید, سپس شما در حال شروع به یک شروع عالی هستید.

از آنجا که مسیرهای ممکن بسیاری وجود دارد که بتوانیم به عنوان یک هکر اخلاقی مشتاق اقدام کنیم ، ما قصد داریم موارد را به هم بریزیم مراحل رسمی و غیر رسمی که شما می توانید.

یادگیری رسمی - مدارک و گواهینامه ها

هیچ مدرک یا مدرک خاصی وجود ندارد که برای یک حرفه در هک اخلاقی لازم باشد ، اما گذراندن دوره ها در فناوری اطلاعات ، علوم کامپیوتر ، مهندسی کامپیوتر یا حتی ریاضیات می تواند شما را برای ورود به این زمینه آماده کند.

هر مدرکی که شامل یادگیری باشد زبان های برنامه نویسی و توسعه نرم افزار مهمترین مورد برای هکرهای اخلاقی خواهد بود.

اگر فاقد تجربه در دنیای واقعی هستید ، یکی از بهترین راه هایی که می توانید خود را به عنوان یک هکر اخلاقی با استعداد متمایز کنید این است که گواهینامه. چند اعتبار مختلف وجود دارد که هکرهای اخلاقی می توانند از آن برخوردار شوند.

هکر اخلاقی معتبر (CEH)

برای تبدیل شدن به یک هکر اخلاقی دارای گواهینامه ، باید مدارک معتبری را از شورای بین المللی مشاوران تجارت الکترونیک دریافت کنید (EC-Council).

CEH یک است مجوز ورود به سطح. به دست آوردن آن ثابت می کند که شما در سطح تئوری می فهمید که هک شدن اخلاقی چیست ، چگونه با هک کردن غیر اخلاقی تفاوت دارد ، چه نوع حملات وجود دارد و چگونه می توانید در برابر آنها محافظت کنید.

امتحان تشکیل شده است 125 سوال چند گزینه ای موضوعاتی از قبیل: ردپایی و شناسایی ، اسکن شبکه ، داده های خرابکار ، سرورهای ربودن ، تزریق SQL ، هک سیستم ، هک برنامه های وب و مهندسی اجتماعی را پوشش می دهد. امتحان تقریباً ادامه دارد چهار ساعت.

هکر اخلاقی معتبر (عملی)

پس از کسب مدرک CEH خود ، واجد شرایط شرکت در آزمون عملی CEH نیز هستید. این یک گواهینامه سطح متوسط.

در حالی که اعتبار CEH در سطح ورودی همه چیز نشانگر این است که شما روشها و ابزارهای هک اخلاقی را می فهمید ، امتحان عملی در مورد اثبات این است که شما همچنین می دانید که چگونه از آنها استفاده کنید.

همانطور که از نام آن پیداست ، شما می توانید تمام نظریه هایی را که هنگام کسب CEH با آن روبرو شده اید ، تمرین کنید. امتحان است سخت تر از CEH و مورد نیاز است شش ساعت در کل از چالش — 20 چالش — در یک شبکه مجازی با دستگاه های هک شده است.

حرفه ای مجاز به امنیت تهاجمی (OSCP)

صدور گواهینامه OSCP برای هکرهای اخلاقی است که می خواهند ثابت کنند که آنها نه تنها نحوه هک کردن بلد هستند بلکه در واقع می دانند چگونه این کار را طبق یک استاندارد سختگیرانه اخلاق و قوانین تجاری.

این یک هکر خوب بودن یک چیز است ، اما این یک هکر حرفه ای و اخلاقی چیز دیگری است. برای تصویب OSCP که می خواهید تست نفوذ در برابر یک شبیه سازی زنده را انجام دهید شبکه با دستگاه های آسیب پذیر.

در شرایطی که واقعیت را تقلید می کند هک می شوید. در پایان آزمون نفوذ خود ، باید گزارشی از چند صد صفحه در مورد یافته های خود بنویسید و تحویل دهید.

این یک گواهینامه پیشرفته, اما به دست آوردن آن ثابت می کند که شما یک هکر اخلاقی برجسته هستید.

یادگیری غیررسمی - مهارت ها و منابع

یکی از بهترین راه های شروع کار یادگیری یک یا چند زبان برنامه نویسی است. می توانید در کلاس رسمی برنامه نویسی ثبت نام کنید ، اما قطعاً مجبور نیستید.

بسیار عالی وجود دارد منابع آنلاین رایگان برای هکرها مبتدی و پیشرفته برای بهبود مهارت های برنامه نویسی خود. در اینجا چند نمونه هستند:

منابع برنامه نویسی

Codecademy یک سایت تعاملی است که برای مبتدیان بسیار عالی است. شما باید اصول زبانهای مختلف برنامه نویسی را به روشی عملی یاد بگیرید.

Codewars روشی سرگرم کننده و تعاملی برای یادگیری برنامه نویسی اساسی و واسط در چندین زبان برنامه نویسی محبوب است.

Free Code Camp خود را به عنوان یک چکمه کد نویسی تبلیغ می کند. بعد از اینکه راه خود را از طریق برنامه درسی کار کردید ، می توانید در پروژه های واقعی برای افراد غیرانتفاعی کار کنید.

همچنین می توانید برخی از دوره های عالی عالی برنامه نویسی را در سیستم عامل های یادگیری آنلاین مانند Coursera ، edX ، Udacity ، Udemy و حتی در YouTube پیدا کنید.

اگر تازه وارد برنامه نویسی نشده اید و مطمئن نیستید از کجا شروع کنید ، برخی از محبوب ترین زبان های برنامه نویسی که توسط هکرها استفاده می شود Python، HTML، Javascript، SQL، Ruby و Perl هستند..

منابع و بسترهای نرم افزاری هک آنلاین

منابع زیادی در آنجا وجود دارد که به هکرهای اخلاقی کمک می کند مهارت های جدید را بیاموزید و دانش موجود خود را تمرین کنید. در اینجا چند منبع برای یادگیری تکنیک های اساسی هک کردن و حتی استفاده از مهارت های هک کردن در شبیه سازی های واقع گرایانه آورده شده است.

Cybrary دوره های آموزش آنلاین رایگان را در طیف گسترده ای از مهارت های هک و امنیت مربوط به فضای مجازی ارائه می دهد.

دانشگاه Bug Hunter یک منبع عالی است که توسط گوگل ایجاد شده است و به هکرهای اخلاقی مشتاق کمک می کند یاد بگیرند که چگونه گزارش های آسیب پذیری حرفه ای را برای مزایای اشکالات تهیه کنند.

Hacksplaining یک سایت سرگرم کننده و تعاملی است که در مورد تکنیک های مختلف هک کردن درس می آموزد. این مکان بسیار خوبی برای یادگیری اصول تکنیک های هک کردن و همچنین نحوه دفاع در برابر آنها است.

Hack Me یک پروژه مبتنی بر جامعه است که در آن می توانید کد برنامه های آسیب پذیر وب را برای اهداف آموزشی و پژوهشی بسازید ، میزبان و به اشتراک بگذارید.

EnigmaGroup منبعی برای هکرهای اخلاقی بالقوه است که می توانند مهارت های تست نفوذ خود را توسعه دهند.

هک این سایت خود را به عنوان یک زمینه‌ی آموزش رایگان و حقوقی برای هکرها برای آزمایش و گسترش مهارتهای هک خود تبلیغ می کند.

منابع هک اضافی

اگر واقعاً به دنبال شیرجه زدن به هک اخلاقی هستید ، ممکن است این لیست های منبع اضافی برای شما مفید باشد.

  • کتابهای الکترونیکی امنیتی: کتابهای الکترونیکی هک و امنیت سایبری در Github میزبان.
  • بانک اطلاعاتی منابع هک آنلاین: لیست تالار گفتگو ، بلاگ ها ، کانال های YouTube ، مقالات و منابع در مورد انواع مهارت ها و مضامین هک کردن.
  • دوره ها و آموزش ها: لیست رشته ها و جلسات معتبر در زمینه مباحث مربوط به امنیت سایبر.
  • مهندسی اجتماعی: منابع و مواد برای کمک به شما در یادگیری تکنیک های واقعی مهندسی اجتماعی.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me