پرش به مطلب اصلی

مقدمه‌ای بر هک قانونمند

اهداف آزمون CEH پوشش داده شده در این بخش:

  • II. تحلیل/ارزیابی (Analysis/Assessment)
  • ج. ارزیابی‌های ریسک
  • د. روش‌های ارزیابی فنی
  • III. امنیت (Security)
  • ل. حریم خصوصی/محرمانگی (در رابطه با تعاملات کاری)
  • V. رویه‌ها/متدولوژی (Procedures/Methodology)
  • ح. متدولوژی تست امنیت
  • VII. اخلاقیات (Ethics)
  • الف. منشور رفتار حرفه‌ای
  • ب. تناسب و درستی فعالیت‌های هک

به آغاز سفر خود برای تبدیل شدن به یک هکر قانونمند (Certified Ethical Hacker) خوش آمدید. در این دوره، شما ابزارها، فناوری‌ها، روش‌ها و مهارت‌های مورد نیاز برای کسب مدرک «هکر قانونمند نسخه ۹» از EC-Council را خواهید آموخت. با این حال، در حالی که این مجموعه آنچه را که برای آمادگی و قبولی در آزمون نیاز دارید به شما می‌دهد، تلاش می‌کند تا دانش و مهارت‌های اضافی مورد نیاز برای تبدیل شدن به یک تست‌کننده نفوذ (Penetration Tester) موفق را نیز در اختیارتان قرار دهد.

در این مطالب، دقیقاً یاد خواهید گرفت که هکر قانونمند بودن مستلزم چیست و چه مسئولیت‌ها و انتظاراتی با این عنوان همراه است. شما اخلاقیات و پرسش‌هایی را که با تکنولوژی و کارهای عملی در این حوزه هیجان‌انگیز همراه هستند، تجربه خواهید کرد.

هکرهای قانونمند یا تست‌کنندگان نفوذ، مدت‌هاست که وجود دارند، اما به دلیل افزایش جرایم سایبری و مقررات در دهه گذشته، نسبت به گذشته محبوبیت بیشتری پیدا کرده‌اند. واقعیت این است که یافتن ضعف‌ها و نقص‌ها در سیستم‌ها و رسیدگی پیشگیرانه به آن‌ها، کم‌هزینه‌تر از مقابله با پیامد‌هایی است که پس از وقوع حادثه پیش می‌آید. در پاسخ به این نیاز، سازمان‌ها به دنبال ایجاد تیم‌های تست نفوذ داخلی خود بوده‌اند و در صورت نیاز با کارشناسان خارجی قرارداد می‌بندند.

یادداشت

در این وب‌سایت با دو اصطلاح «تست‌کننده نفوذ» (Penetration Tester) و «هکر قانونمند» (Ethical Hacker) مواجه خواهید شد. اگرچه هر دو صحیح هستند و هر دو در صنایع IT و امنیت استفاده می‌شوند، اما اولی معمولاً محبوب‌تر از دومی است. در بیشتر موارد، شما با اصطلاح تست‌کننده نفوذ یا مخفف رایج آن، «پنتستر» (Pentester) برخورد خواهید کرد.

کسب مهارت‌های مرتبط با هک قانونمند، شما را به سرعت و به طور موثر در نقش ارزیابی محیط‌ها قرار می‌دهد تا تهدیدها و آسیب‌پذیری‌ها را شناسایی، اکسپلویت (Exploit) و گزارش کنید و اقدامات اصلاحی را توصیه نمایید. البته توجه داشته باشید که پنتسترها معمولاً اقدامات اصلاحی را انجام نمی‌دهند، زیرا این تصمیمی است که کارفرما (مشتری) باید بگیرد، اما در برخی موارد ممکن است مشتری از شما بخواهد که این کار را انجام دهید.

سازمان‌ها یاد گرفته‌اند که از طریق ترکیبی قوی و مؤثر از تدابیر فنی، مدیریتی و فیزیکی، به وضعیت خود رسیدگی کنند و تا حد امکان از مشکلات بزرگ جلوگیری نمایند. فناوری‌هایی مانند شبکه‌های خصوصی مجازی (VPNs)، پروتکل‌های رمزنگاری، سیستم‌های تشخیص نفوذ (IDSs)، سیستم‌های جلوگیری از نفوذ (IPSs)، لیست‌های کنترل دسترسی (ACLs)، بیومتریک، کارت‌های هوشمند و سایر دستگاه‌ها به امنیت کمک کرده‌اند. تدابیر متقابل مدیریتی (Administrative countermeasures) مانند سیاست‌ها، رویه‌ها و سایر قوانین نیز در دهه گذشته تقویت و اجرا شده‌اند. تدابیر فیزیکی شامل قفل‌های کابلی، قفل‌های دستگاه، سیستم‌های هشدار و دستگاه‌های مشابه است. نقش جدید شما به عنوان یک هکر قانونمند با همه این موارد و بسیاری موارد دیگر سروکار خواهد داشت.

به عنوان یک هکر قانونمند، نه‌تنها باید محیطی را که در آن کار می‌کنید بشناسید، بلکه باید بدانید چگونه ضعف‌ها را پیدا کرده و در صورت نیاز به آن‌ها رسیدگی کنید. اما قبل از پرداختن به همه این‌ها، این بخش به بحث درباره تاریخچه هک و معنای هکر قانونمند بودن می‌پردازد. ما همچنین نگاهی به فرآیند تست نفوذ خواهیم داشت و اهمیت قراردادها را بررسی خواهیم کرد.