هک اخلاقی؛ نفوذی قانونی که بیشتر به آن نیاز داریم

اکثر ما هکرها را با لباس‌ هودی سیاه، کلاهی روی سر و نوشتن کدهای نامفهوم در کامپیوتری در یک اتاق تاریک تصور می‌کنیم. تصویری که ما از هکرها داریم، شاید برای مجرمان سایبری و افرادی که با هدف سوءاستفاده به ماشین‌های قربانی حمله می‌کنند، صحیح باشد. منتهی همه‌ی هکرها، متخصصان خراب‌کار نیستند. برخی از آن‌ها حتی زیر چتر حمایت از بشریت فعالیت می‌کنند و عنوان «هک اخلاقی» را برای فعالیت خود انتخاب کرده‌اند. آیا این هکرها فعالیت قانونی دارند؟ آن‌ها چگونه فعالیت خود را در حوزه‌ی قانون حفظ می‌کنند؟ در ادامه‌ی این مطلب زومیت، به پاسخ همین سؤال‌ها و بررسی عمیق‌تر هک اخلاقی می‌پردازیم.

شاید ترکیب عبارت هک اخلاقی در نگاه اول متناقض‌نما به‌نظر برسد، اما چنین رویکردی در دنیای امروز بیش از همیشه واقعی و کاربردی محسوب می‌شود. اگر هک با تعریفی که عموما می‌شناسیم، به‌معنای شکستن رمزهای عبور و کدها برای ورود بدون اجازه به سیستم مالک باشد، هک اخلاقی یعنی شکستن کدی که با مجوز و تأیید مالک صورت می‌گیرد.

در نگاه اول مفهوم اجازه دادن به هک سیستم، عجیب به‌نظر می‌رسد. چنین رویکردی شبیه به آن خواهد بود که شما به فردی برای دزدی از خانه‌تان مجوز بدهید. به‌هرحال دو دلیل کلی برای چنین اقدامی از سوی افراد دیده می‌شود. اولین دلیل، به‌خاطر مسائل آموزشی است و دومی، اهداف امنیتی را دنبال می‌کند.

هک آموزشی زمانی اتفاق می‌افتد که فردی با هدف آموزش موضوع یا نکته، اجازه‌ی نفوذ را به هکر بدهد. چنین مواردی عموما با مجوز هک وب‌سایت شناخته می‌شوند که مفاهیم اولیه‌ی شکستن کدهای امنیتی شبکه را آموزش می‌دهند.

در نگاه اول، وب‌سایت‌های مقصد شبیه به منابعی برای آموزش فعالیت‌های خراب‌کارانه به‌نظر می‌رسند؛ اما درواقع وب‌سایت‌های این‌چنینی با آن هدف توسعه نمی‌یابند. البته این احتمال همیشه وجود دارد که فرد آموزش‌دیده از مهارت‌ها برای اهداف خراب‌کاران استفاده کند.

وب‌سایت‌های قربانی اغلب در بخش معرفی و قوانین خود می‌نویسند که روش مورد نظرشان، آموزش هک به توسعه‌دهنده‌های وب‌ است. چنین آموزشی به توسعه‌دهنده‌ها نشان می‌دهد که هکرهای خراب‌کار، چگونه به سیستم آن‌ها نفوذ می‌کنند. با یادگیری روش مجرمان سایبری، می‌توان راهکارهایی را برای مقابله و جلوگیری از اقدام‌های خراب‌کارانه‌ی آن‌ها به کار گرفت.

در دنیای کنونی همه‌ی اتفاق‌ها پیرامون اینترنت رخ می‌دهد. پیاده‌سازی راهکارهای امنیتی سایبری، امروز بیش از همیشه اهمیت دارد. شرکت‌ها برای پیاده‌سازی راهکار کاربردی، یا با گروه‌های امنیتی قرارداد می‌بندند یا کدهای دفاعی را به‌صورت داخلی و به‌کمک تیم داخلی امنیت توسعه می‌دهند.

وقتی راهکارهای دفاعی شرکت‌ها پیاده‌سازی شوند، باید برای آزمایش آن‌ها عملیاتی را انجام داد. بهترین راه برای درک کاربردی بودن دیواره‌ی دفاعی، انجام حمله‌های تقلبی و برنامه‌ریزی‌شده به سیستم سایبری است. قطعا برای انجام حمله‌ی تستی نیز باید با یک هکر قرارداد بست و درنتیجه رویکردی از جنس هک اخلاقی صورت می‌گیرد.

دوره‌هایی که در بالا اشاره کردیم، قطعا با هدف آموزش هک اخلاقی انجام می‌شوند. البته مجددا یادآور می‌شویم که افراد می‌توانند با استفاده از نکات آموخته‌شده، هر عملکردی داشته باشند؛ اما هدف اصلی دوره‌ها، آموزش فعالیت‌های مجرمانه‌ی سایبری نیست. دوره‌ها با هدف مقابله با جرم‌های سایبری انجام می‌شود و افراد پس از شرکت در آن‌ها، شاید به هکر حرفه‌ای اخلاقی تبدیل شوند.

عبارتی که در بالا تحت عنوان «هکر حرفه‌ای اخلاقی» بیان شد، به‌معنای درآمد و فعالیت رسمی به‌عنوان هکر بود. همه‌ی هکرها، نفوذ را با هدف سرگرمی انجام نمی‌دهند و بسیاری از آن‌ها هک را به چشم یک روش زندگی می‌دانند. درواقع می‌توان با شرکت در برخی دوره‌های هکری و کسب تجربه، رزومه‌ای برای استخدام در شرکت‌های گوناگون فراهم کرد.

شرکت‌ها برای آزمایش سیستم امنیتی خود به هکرهای اخلاقی پول پرداخت می‌کنند و رقم پرداختی هم عموما قابل‌توجه است. آمارهای بین‌المللی از شرکت Infosec نشان می‌دهد که هکرهای اخلاقی تا سالانه ۷۱ هزار دلار درآمد دارند. چنین رقمی در استانداردهای بین‌المللی هم مناسب است و به‌نوعی یک درآمد خوب برای گذران زندگی محسوب می‌شود.

تصور کنید که تعدادی از شرکت‌کننده‌ها در کلاس‌های امنیتی، از نکته‌های آموخته شده برای اهداف مخرب استفاده کنند. آیا اگر دوره‌های آموزشی متوقف شوند، تعداد چنین افرادی در جامعه هم کاهش پیدا می‌کند؟ مشکل ایده، در شناسایی منبع آموزشی و اطلاعاتی مجرمان سایبری دیده می‌شود. بله، قطعا تعطیلی کلاس‌های هک، منجر به کاهش افرادی می‌شود که ازطریق کلاس به دنیای هک سیاه وارد می‌شوند. البته، قطعا همه‌ی هکرهای مجرم از ابتدا با شرکت در کلاس‌ها وارد این حوزه نمی‌شوند. درواقع جامعه‌ای پویا در دارک وب حضور دارند که انواع نکته‌های نفوذ مجرمانه را با هم تبادل می‌کنند. آن‌ها با چنین رویکردی، به‌نوعی کلاس‌ها هک مخفیانه برگزار کرده‌اند.

باتوجه‌به فرضیه‌ی بالا، با تعطیلی کلاس‌های هک، افراد برای یادگیری نکته‌ها به دارک وب مراجعه می‌کنند. دراین‌میان، افراد با اهداف اخلاقی، دیگر به منابع آموزشی دسترسی نخواهند داشت. آن‌ها باید یادگیری را با منابع و دوره‌های ضعیف‌تر ادامه دهند و درنهایت عملکردی نه‌چندان کاربردی و حرفه‌ای دربرابر مجرمان خواهند داشت.

با وجود مزایای متعدد، هنوز بسیاری از افراد با دوره‌های آموزشی شکستن رمز و هک آن‌چنان موافق نیستند. به‌هرحال چنین آموزش‌هایی الزامی هستند و بدون وجود آن‌ها، افراد در برابر مجرمان سایبری، راهی برای دفاع حرفه‌ای نخواهند داشت.

کسب‌وکارها همیشه نیازی اساسی به هکرهای اخلاقی دارند. همان‌طور که گفته شد، استخدام آن‌ها با هدف نفوذ آزمایشی به سیستم‌ها انجام می‌شود. با ادامه دادن رویکردهای این‌چنینی، افراد بیشتری به یادگیری روش‌های امنیتی و فعالیت در این حوزه علاقه‌‌مند می‌شوند. به‌علاوه با پرداخت هزینه‌های مناسب،‌ تمایل به گزارش ضعف‌های امنیتی به‌جای سوءاستفاده از آن‌ها هم بیشتر می‌شود. به‌همین خاطر باید رویکردهایی رسمی در جهت قانونی کردن هک اخلاقی صورت بگیرد.

اگر آموزش و عملکرد هک اخلاقی قانونی نشود، افراد علاقه‌‌مند راهی برای انجام صحیح کارهای خود نخواهند داشت. به‌علاوه آن‌ها از مجوزها و تأییدیه‌های رسمی هم محروم می‌شوند؛ تأییدیه‌هایی که برای کسب شغل‌های امنیتی حیاتی هستند.

هکرهای اخلاقی، به‌‌نام هکرهای کلاه سفید هم شناخته می‌شوند. آن‌ها در اغلب موارد با تصوری که از هک و نفوذ داریم، تفاوت دارند. آن‌ها در اکثر مواقع به‌صورت رسمی با شرکت‌ها قرارداد امضا می‌کنند و حتی به‌عنوان کارمند در برخی از آن‌ها استخدام می‌شوند. چنین افرادی قطعا به آموزش‌های رسمی و قانونی نیاز دارند تا از تغییر مسیر به دارک وب و فعالیت‌های مخرب پیامدی آن دور شوند.