من السهل الحصول على وجهة نظر بسيطة مفادها أن جميع المتسللين هم أشرار للتسبب في خروقات البيانات ونشر برامج الفدية. لكن هذا ليس صحيحًا. هناك الكثير من قراصنة الأشرار هناك. يستخدم بعض المتسللين مهاراتهم أخلاقيا وقانونيا. "المتسلل الأخلاقي" هو مخترق يقوم بالاختراق ضمن اختصاص اتفاقية قانونية مع مالك النظام الشرعي.
نصيحة: على عكس أ القراصنة ذو القبعة السوداء، غالبًا ما يُطلق على المخترق الأخلاقي اسم هاكر القبعة البيضاء.
جوهر هذا هو فهم ما يجعل القرصنة غير قانونية. على الرغم من وجود اختلافات في جميع أنحاء العالم ، فإن معظم قوانين القرصنة تتلخص في أنه "من غير القانوني الوصول إلى نظام إذا لم يكن لديك إذن للقيام بذلك." المفهوم بسيط. إجراءات القرصنة الفعلية ليست غير قانونية ؛ إنها تفعل ذلك دون إذن. لكن هذا يعني أنه يمكن منح الإذن للسماح لك بفعل شيء قد يكون غير قانوني لولا ذلك.
لا يمكن أن يأتي هذا الإذن فقط من أي شخص عشوائي في الشارع أو عبر الإنترنت. لا يمكن أن يأتي حتى من الحكومة (على الرغم من أن وكالات الاستخبارات تعمل بموجب قواعد مختلفة قليلاً). يجب منح الإذن من قبل مالك النظام الشرعي.
نصيحة: لتوضيح الأمر ، لا يشير مصطلح "مالك النظام الشرعي" بالضرورة إلى الشخص الذي اشترى النظام. إنه يشير إلى شخص لديه المسؤولية القانونية عن القول ؛ هذا جيد بالنسبة لك. عادةً ما يكون هذا هو CISO أو المدير التنفيذي أو مجلس الإدارة ، على الرغم من إمكانية تفويض القدرة على منح الإذن أيضًا في أسفل السلسلة.
في حين أنه يمكن ببساطة منح الإذن شفهيًا ، إلا أن هذا لا يتم أبدًا. نظرًا لأن الشخص أو الشركة التي تجري الاختبار ستكون مسؤولة قانونًا عن اختبار ما لا يُفترض بهم القيام به ، يلزم وجود عقد مكتوب.
نطاق الإجراءات
لا يمكن المبالغة في أهمية العقد. إنه الشيء الوحيد الذي يمنح أفعال القرصنة شرعية المخترق الأخلاقي. يمنح العقد تعويضًا عن الإجراءات المحددة وضد الأهداف المحددة. على هذا النحو ، من الضروري فهم العقد وما يشمله ، لأن الخروج من نطاق العقد يعني الخروج من نطاق التعويض القانوني وخرق القانون.
إذا ابتعد المخترق الأخلاقي عن نطاق العقد ، فإنه يدير حبلًا مشدودًا قانونيًا. أي شيء يفعلونه غير قانوني من الناحية الفنية. في كثير من الحالات ، قد تكون هذه الخطوة عرضية وسريعة. عند التعامل معها بشكل مناسب ، قد لا تكون هذه مشكلة بالضرورة ، ولكن اعتمادًا على الموقف ، قد تكون كذلك بالتأكيد.
لا يلزم بالضرورة أن يكون العقد المقدم مصممًا بشكل خاص. تقدم بعض الشركات مخطط مكافأة الأخطاء. يتضمن ذلك نشر عقد مفتوح ، مما يسمح لأي شخص بمحاولة اختراق نظامه بشكل أخلاقي ، طالما أنه يلعب وفقًا للقواعد المحددة ويبلغ عن أي مشكلة يحددها. عادة ما يتم مكافأة التقارير المالية في هذه الحالة.
أنواع القرصنة الأخلاقية
الشكل القياسي للقرصنة الأخلاقية هو "اختبار الاختراق" أو pentest. هذا هو المكان الذي يشارك فيه واحد أو أكثر من المتسللين الأخلاقيين لمحاولة اختراق الدفاعات الأمنية للنظام. بمجرد اكتمال المشاركة ، يقوم المتسللون الأخلاقيون ، الذين يطلق عليهم pentesters في هذا الدور ، بإبلاغ العميل بالنتائج التي توصلوا إليها. يمكن للعميل استخدام التفاصيل الواردة في التقرير لإصلاح الثغرات الأمنية المحددة. بينما يمكن القيام بالعمل الفردي والتعاقد ، فإن العديد من pentesters هم موارد شركة داخلية ، أو يتم تعيين شركات pentesting متخصصة.
نصيحة: إنه "اختبار pentesting" وليس "اختبار القلم". لا يختبر جهاز اختبار الاختراق الأقلام.
في بعض الحالات ، لا يكفي اختبار ما إذا كان واحد أو أكثر من التطبيقات أو الشبكات آمنة. في هذه الحالة ، يمكن إجراء المزيد من الاختبارات المتعمقة. عادةً ما تتضمن مشاركة الفريق الأحمر اختبار نطاق أوسع بكثير من الإجراءات الأمنية. يمكن أن تشمل الإجراءات القيام بتمارين التصيد ضد الموظفين ، أو محاولة الهندسة الاجتماعية لطريقك إلى مبنى ، أو حتى اقتحام المبنى جسديًا. في حين أن كل تمرين للفريق الأحمر يختلف ، فإن المفهوم عادةً ما يكون أكثر بكثير من اختبار "ماذا لو". على غرار "تطبيق الويب هذا آمن ، ولكن ماذا لو دخل شخص ما إلى غرفة الخادم وأخذ محرك الأقراص الثابتة بكل البيانات الموجودة عليه."
إلى حد كبير أي مشكلة أمنية يمكن استخدامها لإلحاق الضرر بشركة أو نظام هي من الناحية النظرية مفتوحة للقرصنة الأخلاقية. هذا يفترض أن مالك النظام يمنح الإذن ، ومع ذلك ، وأنهم مستعدون للدفع مقابل ذلك.
إعطاء الأشياء للأشرار؟
يقوم المتسللون الأخلاقيون بكتابة أدوات القرصنة واستخدامها ومشاركتها لتسهيل حياتهم. من الإنصاف التشكيك في أخلاقيات هذا الأمر ، حيث يمكن للقبعات السوداء أن تستغل هذه الأدوات لإحداث المزيد من الفوضى. من الناحية الواقعية ، من المنطقي تمامًا افتراض أن المهاجمين لديهم بالفعل هذه الأدوات ، أو على الأقل شيء مثلهم ، حيث يحاولون تسهيل حياتهم. عدم امتلاك الأدوات ومحاولة جعل الأمر أكثر صعوبة بالنسبة للقبعات السوداء هو الاعتماد على الأمن من خلال الغموض. هذا المفهوم مرفوض بشدة في علم التشفير ومعظم عالم الأمان بشكل عام.
الإفصاح المسؤول
قد يتعثر المخترق الأخلاقي أحيانًا عبر ثغرة أمنية عند تصفح موقع ويب أو استخدام منتج. في هذه الحالة ، يحاولون عادةً الإبلاغ عن ذلك بشكل مسؤول إلى مالك النظام الشرعي. الشيء الرئيسي بعد ذلك هو كيفية التعامل مع الموقف. الشيء الأخلاقي الذي يجب القيام به هو الكشف عن ذلك بشكل خاص لمالك النظام الشرعي للسماح لهم بإصلاح المشكلة وتوزيع تصحيح البرنامج.
بالطبع ، أي متسلل أخلاقي مسؤول أيضًا عن إبلاغ المستخدمين المتأثرين بهذه الثغرة الأمنية حتى يتمكنوا من اختيار اتخاذ قراراتهم الأمنية الواعية. عادةً ما يُنظر إلى الإطار الزمني الذي يبلغ 90 يومًا من الكشف الخاص على أنه مقدار مناسب من الوقت لتطوير ونشر الإصلاح. بينما يمكن منح الامتدادات إذا كانت هناك حاجة إلى مزيد من الوقت ، إلا أن ذلك لا يتم بالضرورة.
حتى لو لم يكن الإصلاح متاحًا ، فهو يستطيع كن أخلاقيًا في تفصيل المشكلة علنًا. ومع ذلك ، يفترض هذا أن المخترق الأخلاقي قد حاول الكشف عن المشكلة بمسؤولية ، وبشكل عام ، أنهم يحاولون إبلاغ المستخدمين العاديين حتى يتمكنوا من حماية أنفسهم. على الرغم من أنه قد يتم تفصيل بعض الثغرات الأمنية بإثبات عملي لمفهوم الاستغلال ، إلا أنه لا يتم ذلك غالبًا إذا لم يكن الإصلاح متاحًا بعد.
على الرغم من أن هذا قد لا يبدو أخلاقيًا تمامًا ، إلا أنه يفيد المستخدم في النهاية. في أحد السيناريوهات ، تتعرض الشركة لضغوط كافية لتقديم الإصلاح في الوقت المناسب. يمكن للمستخدمين التحديث إلى إصدار ثابت أو على الأقل تنفيذ حل بديل. البديل هو أن الشركة لا تستطيع نشر حل لمشكلة أمنية خطيرة على الفور. في هذه الحالة ، يمكن للمستخدم اتخاذ قرار مستنير بشأن الاستمرار في استخدام المنتج.
خاتمة
الهاكر الأخلاقي هو مخترق يتصرف ضمن قيود القانون. عادةً ما يتم التعاقد معهم أو منحهم إذنًا من قبل المالك الشرعي للنظام لاختراق النظام. يتم ذلك بشرط أن يقوم المتسلل الأخلاقي بالإبلاغ عن المشكلات التي تم تحديدها بشكل مسؤول إلى مالك النظام الشرعي حتى يمكن إصلاحها. القرصنة الأخلاقية مبنية على "ضبط اللص للقبض على لص". باستخدام معرفة المتسللين الأخلاقيين ، يمكنك حل المشكلات التي كان من الممكن أن يستغلها قراصنة القبعة السوداء. يشار إلى المتسللين الأخلاقيين أيضًا باسم قراصنة القبعة البيضاء. يمكن أيضًا استخدام مصطلحات أخرى في ظروف معينة ، مثل "pentesters" لتوظيف المهنيين.