هک اخلاقی (Ethical Hacking) چیست؟

هک اخلاقی (Ethical Hacking) چیست؟

خب در این مطلب آموزشی قرار هست به مفهوم هک اخلاقی یا همون (Ethical Hacking) بپردازیم. بریم ببینیم این مفهوم چی هست و چرا هک میتونه کلا اخلاقی باشه و آیا هک کلا اخلاقی هم داره یا نه؟

ضمنا ما دوره کامل هکر اخلاقی یا همون هکر قانونمند یعنی CEH رو هم داریم که میتونید از اینجا دریافتش کنید.

هک اخلاقی تلاشی مجاز برای دستیابی به دسترسی غیرمجاز به یک سیستم کامپیوتری، برنامه یا داده است که با استفاده از همان راهبردها و اقداماتی که حمله کنندگان بد نیت به کار میبرن انجام میشه.

این روش به شناسایی آسیب پذیری های امنیتی کمک میکنه که بعداً قبل از اینکه یک حمله کننده بد نیت فرصت بهره برداری از آنها رو داشته باشه، قابل رفع شدن میشن.

هکر ها اخلاقی کارشناسان امنیتی هستند که این ارزیابی های امنیتی پیشگیرانه رو انجام میدن تا به بهبود وضعیت امنیتی یک سازمان کمک کنن.با کسب تأییدیه قبلی از سازمان یا مالک یک دارایی IT، ماموریت یک هکر اخلاقی بر خلاف هک بد نیت است.

بریم ببینیم مفاهیم کلیدی در دنیای هک اخلاقی و هکر قانونمند چیه؟

مفاهیم کلیدی هک اخلاقی چیست؟

کارشناسان هک چهار مفهوم کلیدی پروتکل رو دنبال میکنن:

• قانونی بمونید
• قبل از دسترسی و انجام ارزیابی امنیتی، تاییدیه لازم رو بگیرید

• دامنه رو مشخص کنید
• دامنه ارزیابی رو مشخص کنید تا کار هکر های اخلاقی قانونی بمونه و در محدوده تایید شده سازمان باشه

• یافته ها رو افشا کنید
• سازمان رو از تمام آسیب پذیری هایی که در حین ارزیابی کشف شدن مطلع کنید و مشاوره رفع آسیب پذیری ها رو ارائه بدید

• به حساسیت داده ها احترام بذارید
• با توجه به حساسیت داده ها، ممکنه هکر های اخلاقی مجبور باشن تا علاوه بر سایر شرایط و ضوابط مورد نیاز سازمان مورد ارزیابی، با قرارداد عدم افشا موافقت کنن

هکرهای اخلاقی با هکرهای مخرب چطور متفاوت هستن؟

هکرهای اخلاقی از دانش و مهارت هاشون برای ایمن سازی و بهبود فناوری سازمان ها استفاده میکنن.
اونا با شناسایی آسیب پذیری هایی که ممکنه منجر به نقض امنیتی بشن یک خدمت ضروری ارائه میکنن و آسیب پذیری های کشف شده رو به سازمان گزارش میدن.
علاوه بر این، راهکارهایی برای رفع این آسیب پذیری ها ارائه میکنن.
در خیلی از موارد هکرهای اخلاقی یک بار دیگه هم آزمایش انجام میدن تا مطمئن بشن که آسیب پذیری ها به طور کامل برطرف شدن.

هدف هکرهای مخرب اینه که برای کسب سود مالی یا به دست آوردن شناخت شخصی به یک منبع به صورت غیرمجاز دسترسی پیدا کنن (هرچی حساس تر، بهتر). برخی از این هکرها برای سرگرمی، تخریب شهرت یا ایجاد ضرر مالی، وب سایت ها رو تخریب میکنن یا سرور های بک اند رو از کار میندازن. روش هایی که استفاده میکنن و آسیب پذیری هایی که پیدا میکنن گزارش نمیشن.اونا اصلاً به بهبود وضعیت امنیتی سازمان ها اهمیتی نمیدن .

حالا بریم ببینیم مهارت ها و گواهینامه های مورد نیاز برای هک اخلاقی چی هستند.

مهارت ها و گواهینامه های مورد نیاز برای هک اخلاقی چیه؟

یک هکر اخلاقی باید طیف گسترده ای از مهارت های کامپیوتری داشته باشه، اونا معمولا در یک حوزه خاص تخصص پیدا میکنن و به عنوان یک کارشناس در اون زمینه خاص از دنیای هک اخلاقی شناخته میشن.

هر هکر اخلاقی باید داشته باشه:

• تخصص در زبان های اسکریپت نویسی
• مهارت در سیستم های عامل
• دانش کامل از شبکه
• پایه ای محکم در اصول امنیت اطلاعات

برخی از شناخته شده ترین و پرطرفدارترین گواهینامه ها:

• EC Council: Certified Ethical Hacking Certification
• Offensive Security Certified Professional (OSCP) Certification
• +CompTIA Security
• Cisco’s CCNA Security
• SANS GIAC
• OSWE

هک اخلاقی چه مشکلاتی رو شناسایی میکنه؟

هدف هک اخلاقی اینه که یک حمله واقعی رو شبیه سازی کنه تا مسیرهای احتمالی حمله به هدف رو شناسایی کنه
اولین قدم اینه که عملیات شناسایی (Reconnaissance) انجام بشه و تا جای ممکن اطلاعات جمع آوری بشه.

وقتی هکر اخلاقی به اندازه کافی اطلاعات جمع آوری کرد، از اون اطلاعات برای پیدا کردن آسیب پذیری ها استفاده میکنه.
اونا این ارزیابی رو با ترکیبی از تست های خودکار و دستی انجام میدن.
حتی سیستم های پیشرفته هم ممکنه با وجود تکنولوژی های پیچیده مقابله با حمله، آسیب پذیر باشن.

علاوه بر شناسایی آسیب پذیری ها، هکرهای اخلاقی از اکسپلویت ها برای سوء استفاده از این آسیب پذیری ها استفاده میکنن تا نشون بدن یک هکر مخرب چطور میتونه از اون سوء استفاده کنه.

برخی از رایج ترین آسیب پذیری هایی که توسط هکرهای اخلاقی کشف میشن شامل این موارد هست:

• حملات تزریقی (Injection Attacks)
• نقص در احراز هویت و مجوزدهی (Broken Authentication and Authorization)
• پیکربندی های امنیتی اشتباه (Security Misconfigurations)
• آسیب پذیری های منطق تجاری (Business Logic Vulnerabilities)
• استفاده از اجزایی با آسیب پذیری های شناخته شده (Use of Components with Known Vulnerabilities)
• افشای داده های حساس (Sensitive Data Exposure)
• زنجیره آسیب پذیری ها (Vulnerability Chaining)

بعد از پایان دوره تست، هکرهای اخلاقی یک گزارش جامع تهیه میکنن که شامل جزئیات بیشتر در مورد آسیب پذیری های کشف شده و همچنین مراحل لازم برای وصله (Patch) یا کاهش اونها هست.

محدودیت های هک اخلاقی چیه؟

دامنه (Scope): هکرهای اخلاقی اجازه ندارن فراتر از دامنه مشخص شده پیش برن تا یک حمله موفقیت آمیز انجام بدن. البته بحث در مورد پتانسیل حملات خارج از دامنه با سازمان غیرمنطقی نیست

منابع (Resources): هکرهای مخرب محدودیت زمانی ندارن، اما هکرهای اخلاقی اغلب با این محدودیت مواجه هستن. علاوه بر این، قدرت محاسباتی و بودجه هم از جمله محدودیت های هکرهای اخلاقی هست

روش ها (Methods): بعضی از سازمان ها از کارشناسان میخوان که از اجرای تست هایی که ممکنه منجر به کرش کردن سرورها بشه (مثل حملات انکار سرویس یا Denial-of-Service) خودداری کنن

امیدوارم که کامل با مفهوم و جزئیات یک هکر قانونمند آشنا شده باشید.

در انتها اگر این مطلب براتون مفید بود، خوشحال میشیم نظراتتون رو با ما به اشتراک بگذارین.