هک چیست؟ راهنمای جامع شناخت هکرها، انگیزهها و هک اخلاقی
در دنیای امروز که زندگی، کسبوکار و ارتباطات ما بیش از هر زمان دیگری به سامانههای دیجیتال وابسته شدهاند، امنیت سایبری به یکی از مهمترین دغدغههای سازمانها و کاربران تبدیل شده است. در این میان، واژهی «هک» گاهی با برداشتهای منفی و گاهی با مفاهیم تخصصی و حرفهای همراه است؛ اما در واقع، هک تنها به سوءاستفاده و تخریب محدود نمیشود، بلکه میتواند ابزاری برای شناخت ضعفها، پیشگیری از حملات و تقویت امنیت نیز باشد. آشنایی با مفهوم هک، انواع هکرها، انگیزههای آنها و همچنین هک اخلاقی، به ما کمک میکند تا نگاه دقیقتر و آگاهانهتری نسبت به تهدیدات سایبری و راهکارهای مقابله با آنها داشته باشیم.
هک چیست؟
هک در حوزه امنیت رایانه به بهرهبرداری از آسیبپذیریهای سیستم و دور زدن یا نقض کنترلهای امنیتی بهمنظور دستیابی غیرمجاز یا نامناسب به منابع سیستم اطلاق میشود. این فرایند شامل تغییر ویژگیهای سیستم یا برنامههای کاربردی برای دستیابی به هدفی خارج از مقصود اولیه سازنده آنها است. هک میتواند با هدف سرقت، دستبرد یا توزیع مجدد مالکیت فکری انجام شود که در نتیجه منجر به زیانهای تجاری میگردد.
هک در شبکههای رایانهای معمولاً با استفاده از اسکریپتها یا سایر ابزارهای برنامهنویسی شبکه انجام میشود. از جمله تکنیکهای هک شبکه میتوان به ایجاد ویروسها و کرمها، اجرای حملات منع سرویس، برقراری اتصالات دسترسی از راه دور غیرمجاز به یک دستگاه با استفاده از تروجانها یا درهای پشتی، ایجاد باتنتها، شنود بستهها، فیشینگ و شکستن گذرواژه اشاره کرد. انگیزه هک میتواند سرقت اطلاعات یا خدمات حیاتی، هیجان، چالش فکری، کنجکاوی، آزمایش، کسب دانش، منفعت مالی، اعتبار، قدرت، جلب توجه همتایان، انتقامجویی و کینهتوزی و سایر دلایل باشد.
هکر کیست؟
هکر فردی است که بدون مجوز به یک سیستم یا شبکه نفوذ میکند تا آن را تخریب کند، دادههای حساس را سرقت نماید، یا حملات مخرب انجام دهد. هکر معمولاً فردی باهوش است که مهارتهای بالایی در حوزه علوم رایانه دارد و قادر است نرمافزار و سختافزار رایانه را تحلیل، کاوش و دستکاری کند. بهطور معمول، هکر یک مهندس یا برنامهنویس ماهر است که دانش کافی در زمینههای مختلف فناوری اطلاعات دارد. این افراد معمولاً در حوزه کاری خود متخصص بوده و از یادگیری جزئیات زبانهای مختلف برنامهنویسی و سامانههای رایانهای لذت میبرند.
برای برخی از هکرها، هک کردن نوعی سرگرمی است تا ببینند تا چه اندازه قادرند سیستمها یا شبکههای مختلف را مورد نفوذ قرار دهند. هدف آنها ممکن است صرفاً کسب دانش باشد یا انجام اقدامات غیرقانونی از روی کنجکاوی. در مقابل، برخی دیگر با نیتهای مخرب به فعالیتهای خود مشغولاند؛ مانند سرقت دادههای تجاری، اطلاعات کارتهای اعتباری، شمارههای تأمین اجتماعی، و گذرواژههای ایمیل کاربران.
هکرها و انگیزههای آنها
هکرها معمولاً بر اساس نوع فعالیت و اهدافشان در یکی از دستههای زیر قرار میگیرند:
۱. بچه اسکریپتیها
اسکریپتکیدیها هکرهای فاقد مهارت هستند که با اجرای اسکریپتها، ابزارها و نرمافزارهایی که توسط هکرهای حرفهای توسعه یافتهاند، اقدام به نفوذ در سیستمها میکنند. آنان بیشتر بر کمیت حملات تمرکز دارند تا کیفیت آنها. این نوع هکرها معمولاً هدف مشخص یا انگیزه خاصی ندارند و صرفاً برای جلب توجه، کسب شهرت، یا نمایش مهارتهای فنی خود دست به حمله میزنند.
۲. هکرهای کلاه سفید
هکرهای کلاه سفید یا تستنفوذگران افرادی هستند که مهارتهای هک را برای اهداف دفاعی به کار میگیرند. امروزه تقریباً در هر سازمانی کارشناسان امنیتی وجود دارند که با شناخت روشهای هک و پیادهسازی راهکارهای مقابلهای، شبکه و سامانههای اطلاعاتی سازمان را در برابر حملات مخرب ایمن میکنند. این افراد با مجوز رسمی صاحب سیستم فعالیت دارند.
۳. هکرهای کلاه سیاه
هکرهای کلاه سیاه افرادی هستند که از مهارتهای برجسته رایانهای خود برای مقاصد غیرقانونی یا مخرب استفاده میکنند. این دسته از هکرها اغلب در فعالیتهای مجرمانه مشارکت دارند و با عنوان کرکرها نیز شناخته میشوند.
۴. هکرهای کلاه خاکستری
هکرهای کلاه خاکستری در دورههای مختلف به صورت تهاجمی و تدافعی فعالیت میکنند. آنها ممکن است به هکرهای دیگر در کشف آسیبپذیریهای موجود در یک سیستم یا شبکه کمک کنند، و در عین حال برای بهبود امنیت محصولات نرمافزاری یا سختافزاری از طریق بررسی محدودیتها و نقاط ضعف، با شرکتها همکاری نمایند.
۵. هکتیویستها
هکتیویسم نوعی فعالگرایی (Activism) است که در آن هکرها با نفوذ به سیستمهای رایانهای دولتی یا سازمانی، اقدامی اعتراضی انجام میدهند. هکتیویستها از تواناییهای هک برای افزایش آگاهی عمومی نسبت به اهداف اجتماعی یا سیاسی خود و گاه برای افزایش شهرت شخصی در فضای آنلاین و آفلاین استفاده میکنند. آنان معمولاً با تغییر ظاهر یا از کار انداختن وبسایتها به بیان دیدگاههای سیاسی خود میپردازند. در برخی موارد، هکتیویستها دادههای محرمانه را استخراج کرده و برای افشای عمومی منتشر میسازند.
اهداف رایج هکتیویستها شامل نهادهای دولتی، مؤسسات مالی، شرکتهای چندملیتی و سایر سازمانهایی است که از نظر آنان تهدید محسوب میشوند.
صرفنظر از نیت یا انگیزه هکتیویستها، دسترسی غیرمجاز به سیستمها همواره یک جرم محسوب میشود.
- هکرهای دولتی
هکرهای دولتی افراد ماهر و متخصص در زمینه نفوذ و هک هستند که توسط دولتها استخدام میشوند تا به سیستمهای اطلاعاتی سایر دولتها یا سازمانهای نظامی نفوذ کنند، اطلاعات فوقسری را به دست آورند، و در مواردی باعث تخریب زیرساختهای اطلاعاتی دشمن شوند. هدف اصلی این نوع عاملان تهدید، شناسایی آسیبپذیریهای زیرساختهای ملی، بهرهبرداری از آنها، و جمعآوری اطلاعات حساس یا اطلاعات جاسوسی است.
- تروریستهای سایبری
تروریستهای سایبری افرادی با طیف وسیعی از مهارتهای فنی هستند که با انگیزههای دینی یا سیاسی اقدام به ایجاد ترس و آشفتگی در مقیاس گسترده از طریق حمله به شبکههای رایانهای میکنند. هدف آنها ایجاد اختلال گسترده در زیرساختهای حیاتی و ایجاد رعب در جامعه هدف است.
- جاسوسان سازمانی یا صنعتی
جاسوسان صنعتی افرادی هستند که در زمینه جاسوسی شرکتی فعالیت میکنند و با نفوذ غیرقانونی به سازمانهای رقیب، اطلاعات حیاتی و محرمانه را سرقت مینمایند. تمرکز اصلی آنها بر سرقت اطلاعاتی نظیر نقشههای طراحی، فرمولها، طرحهای محصول و اسرار تجاری است. این عاملان تهدید معمولاً از حملات پایدار پیشرفته (Advanced Persistent Threats – APTs) برای نفوذ به شبکه استفاده میکنند و ممکن است تا سالها بدون شناسایی در محیط هدف باقی بمانند.
در برخی موارد، این افراد از تاکتیکهای مهندسی اجتماعی برای سرقت اطلاعات حساس مانند برنامههای توسعه، راهبردهای بازاریابی یا دادههای مالی شرکت هدف استفاده میکنند که نتیجه آن میتواند زیان مالی قابلتوجه و آسیب به اعتبار سازمان باشد.
- هکرهای کلاه آبی
کلاهآبیها متخصصان امنیت سایبریِ قراردادی هستند که توسط سازمانها استخدام میشوند تا سیستمها یا نرمافزارها را از نظر وجود آسیبپذیریها ارزیابی کنند. آنها ارزیابی امنیتی، تست نفوذ و تحلیل آسیبپذیری انجام میدهند تا اطمینان حاصل شود که نقاط ضعف پیش از آنکه توسط عاملان مخرب مورد سوءاستفاده قرار گیرند، شناسایی و برطرف شدهاند.
- هکرهای کلاه قرمز
کلاهقرمزها مانند هکرهای کلاه سیاه از تاکتیکهای تهاجمی استفاده میکنند، اما هدفشان خنثیسازی تهدیدها پیش از ایجاد خسارت است. آنها علاوه بر شناسایی و گزارش آسیبپذیریها، اقدامات فعالانه برای نابود کردن فعالیتهای کلاهسیاهها انجام میدهند و اغلب فراتر از دفاع صرف عمل میکنند. رویکردشان از نظر هدف به کلاهسفیدها نزدیک است، اما برای مقابله با هکرهای مخرب از قواعد اخلاقی استاندارد پیروی نمیکنند.
- هکرهای کلاه سبز
کلاهسبزها افرادی هستند که انگیزه آنها تبدیل شدن به متخصصان حرفهای در حوزه امنیت سایبری است. آنها زمان زیادی را صرف مطالعه و تمرین هک اخلاقی میکنند و هدفشان تقویت امنیت است، نه ایجاد آسیب.
- هکرهای انتحاری
هکرهای انتحاری افرادیاند که قصد دارند زیرساختهای حیاتی را برای یک «هدف» یا باور خاص از کار بیندازند و نگران پیامدهایی مانند زندان یا مجازاتهای دیگر نیستند. این افراد مشابه عاملان انتحاری عمل میکنند که برای انجام حمله از جان خود میگذرند و بنابراین نسبت به عواقب کار خود بیتفاوتاند.
- تیمهای هکری
تیم هکری یک مجموعه یا ائتلاف از هکرهای ماهر است که منابع و بودجه اختصاصی خود را دارند. آنها بهصورت هماهنگ کار میکنند تا فناوریهای پیشرفته را پژوهش کنند، آسیبپذیریها را کشف کنند، ابزارهای پیچیده توسعه دهند و حملات را با برنامهریزی دقیق اجرا کنند.
- افراد داخلی
افراد داخلی فردی داخل یک سازمان (معمولاً کارمند یا شخص مورد اعتماد) است که به داراییهای حیاتی آن سازمان دسترسی دارد. تهدیدات داخلی زمانی رخ میدهد که این فرد از سطح دسترسی ویژه خود برای نقض قوانین یا ایجاد آسیب عمدی به اطلاعات یا سامانههای سازمان استفاده کند.
افراد داخلی بهراحتی میتوانند قوانین امنیتی را دور بزنند، منابع ارزشمند را خراب کنند یا به دادههای حساس دسترسی یابند. تهدیدات داخلی معمولاً از کارمندان ناراضی، کارمندان اخراجشده، یا کارکنان آموزشندیده ناشی میشود.
- ۱۵. باندهای تبهکاری: باندهای تبهکاری گروههایی از افراد یا جوامع هستند که در فعالیتهای مجرمانه سازمانیافته، برنامهریزیشده و طولانیمدت مشارکت دارند. آنها قربانیان را در حوزههای قضایی مختلف در اینترنت مورد سوءاستفاده قرار میدهند و همین امر یافتن آنها را دشوار میکند. هدف اصلی این عوامل تهدید، اختلاس غیرقانونی پول از طریق اجرای حملات سایبری پیچیده و فعالیتهای پولشویی است.
- هکرهای سازمانیافته: هکرهای سازمانیافته گروهی از هکرها هستند که بهصورت مشترک در فعالیتهای مجرمانه کار میکنند. چنین گروههایی در قالب ساختاری سلسلهمراتبی متشکل از رهبران و مجریان، بهخوبی سازماندهی شدهاند. این گروه همچنین میتواند چندین لایه مدیریتی داشته باشد. این هکرها افراد شرور یا مجرمان حرفهای هستند که از دستگاههای خود استفاده نمیکنند؛ بلکه برای انجام انواع حملات سایبری بهمنظور دستبرد زدن به پول قربانیان و فروش اطلاعات آنها به بالاترین پیشنهاددهنده، از دستگاههای اجارهای یا باتنتها و خدمات کرایمور استفاده میکنند. آنها همچنین میتوانند مالکیت فکری، اسرار تجاری و برنامههای بازاریابی را به کلاهبرداری بهدست آورند؛ بهصورت مخفیانه به شبکه هدف نفوذ کنند؛ و برای دورههای طولانی بدون شناسایی باقی بمانند.
مفاهیم هک اخلاقی
یک هکر اخلاقی فرآیندهایی مشابه با هکر مخرب را دنبال میکند. مراحل دستیابی به دسترسی به یک سیستم رایانهای و حفظ آن، صرفنظر از نیت هکر، مشابه هستند.
این بخش مروری بر هک اخلاقی، ضرورت انجام هک اخلاقی، دامنه و محدودیتهای هک اخلاقی، و مهارتهای موردنیاز یک هکر اخلاقی ارائه میدهد.
هک اخلاقی چیست؟
هک اخلاقی به بهکارگیری مهارتهای رایانهای و شبکه با هدف کمک به سازمانها برای آزمودن امنیت شبکههایشان از نظر وجود حفرهها و آسیبپذیریهای احتمالی گفته میشود. کلاهسفیدها که با عنوان تحلیلگران امنیت یا هکرهای اخلاقی نیز شناخته میشوند، افرادی یا متخصصانی هستند که هک اخلاقی را انجام میدهند. امروزه بسیاری از سازمانها (مانند شرکتهای خصوصی) برای کمک به تقویت امنیت سایبری خود، کلاهسفیدها را استخدام میکنند. آنها با کسب مجوز از مالک شبکه یا سیستم و بدون قصد ایجاد آسیب، عملیات هک را بهصورت اخلاقی انجام میدهند. هکرهای اخلاقی تمام آسیبپذیریها را برای رفع و اصلاح به مالک سیستم و شبکه گزارش میدهند و از این طریق امنیت سیستمهای اطلاعاتی سازمان را افزایش میدهند. هک اخلاقی شامل استفاده از ابزارها، ترفندها و تکنیکهای هک است که معمولاً توسط مهاجمان به کار گرفته میشوند تا وجود آسیبپذیریهای قابل بهرهبرداری در امنیت سیستم را بررسی و تأیید کنند.
امروزه واژه «هک» بهطور نزدیک با فعالیتهای غیرقانونی و غیراخلاقی مرتبط دانسته میشود. با توجه به اینکه دسترسی غیرمجاز به هر سیستمی یک جرم محسوب میشود، همچنان بحثهایی درباره این موضوع وجود دارد که آیا هک میتواند اخلاقی باشد یا خیر. تعاریف زیر را در نظر بگیرید:
اسم «هکر» به فردی اشاره دارد که از یادگیری جزئیات سیستمهای رایانهای و گسترش قابلیتهای آنها لذت میبرد.
فعل «هک کردن» به توسعه سریع برنامههای جدید یا مهندسی معکوس نرمافزارهای موجود برای بهبود آنها یا افزایش کاراییشان به روشهای نوآورانه و خلاقانه اشاره دارد.
اصطلاحات « Cracker» و «مهاجم» به افرادی اطلاق میشود که مهارتهای هک خود را برای اهداف تهاجمی به کار میگیرند.
اصطلاح «هکر اخلاقی» به متخصصان امنیتی اطلاق میشود که مهارتهای هک خود را برای اهداف دفاعی به کار میگیرند.
بیشتر شرکتها متخصصان فناوری اطلاعات را استخدام میکنند تا سیستمهای خود را از نظر آسیبپذیریهای شناختهشده بررسی و ارزیابی کنند. اگرچه این کار یک اقدام سودمند است، اما کرکرها معمولاً به آسیبپذیریهای جدیدتر و کمتر شناختهشده علاقه دارند و به همین دلیل، این بررسیهای استاندارد و قالبمحور برای مقابله کافی نیستند. یک شرکت به فردی نیاز دارد که بتواند مانند یک کرکر فکر کند، با جدیدترین آسیبپذیریها و ابزارهای سوءاستفاده آشنا باشد و آسیبپذیریهای احتمالی را در جایی که دیگران نمیتوانند شناسایی کنند، تشخیص دهد. این نقش متعلق به هکر اخلاقی است.
هکرهای اخلاقی معمولاً از همان ابزارها و تکنیکهایی استفاده میکنند که هکرها به کار میبرند، با این تفاوت مهم که آنها به سیستم آسیب نمیرسانند. آنها امنیت سیستم را ارزیابی میکنند، مدیران سیستم را در مورد هرگونه آسیبپذیری کشفشده مطلع میسازند و رویههایی برای رفع این آسیبپذیریها توصیه میکنند.
تفاوت مهم بین هکرهای اخلاقی و کرکرها در رضایت و موافقت است. کرکرها تلاش میکنند بدون مجوز به سیستمها دسترسی پیدا کنند، در حالی که هکرهای اخلاقی همیشه کاملاً شفاف و آشکار در مورد آنچه انجام میدهند و چگونگی انجام آن عمل میکنند. بنابراین، هک اخلاقی در همه موارد قانونی است.
چرا هک اخلاقی ضروری است؟
با رشد سریع فناوری، مخاطرات مرتبط با آن نیز با سرعت در حال افزایش است. برای شکست دادن یک هکر، لازم است مانند او فکر کنید! هک اخلاقی ضروری است زیرا این امکان را فراهم میکند که با پیشبینی روشهایی که هکرهای مخرب برای نفوذ به یک سیستم به کار میبرند، در برابر آنها حملات متقابل انجام شود. هک اخلاقی کمک میکند انواع آسیبپذیریهای احتمالی از پیش شناسایی و بدون اینکه هیچ حمله خارجی رخ دهد، برطرف شوند. از آنجا که هک کردن مستلزم تفکر خلاق است، صرفاً آزمون آسیبپذیری و ممیزی امنیتی نمیتواند تضمین کند که شبکه ایمن است. برای دستیابی به امنیت، سازمانها باید با نفوذ کنترلشده به شبکههای خود، به منظور برآورد و آشکارسازی آسیبپذیریها، یک راهبرد «دفاع در عمق» پیادهسازی کنند.
دلایل استخدام هکرهای اخلاقی توسط سازمانها
- جلوگیری از دسترسی هکرها به سامانههای اطلاعاتی سازمان
- کشف آسیبپذیریهای موجود در سیستمها و بررسی ظرفیت آنها بهعنوان یک ریسک
- تحلیل و تقویت وضعیت امنیتی سازمان، از جمله خطمشیها، زیرساختهای حفاظتی شبکه و رویههای کاربران نهایی
- فراهم کردن اقدامات پیشگیرانه کافی برای اجتناب از نقضهای امنیتی
- کمک به حفاظت از دادههای مشتریان
- ارتقای آگاهی امنیتی در تمامی سطوح یک کسبوکار
ارزیابی یک هکر اخلاقی از امنیت سیستم اطلاعاتی مشتری، در پی پاسخ به سه پرسش اساسی زیر است:
- یک مهاجم چه چیزی را میتواند در سیستم هدف مشاهده کند؟
بررسیهای امنیتی معمول که توسط مدیران سیستم انجام میشود، اغلب برخی آسیبپذیریها را نادیده میگیرد. هکر اخلاقی باید به این موضوع بیندیشد که یک مهاجم در مراحل شناسایی و اسکن یک حمله، چه مواردی را ممکن است مشاهده و کشف کند.
- یک نفوذگر با آن اطلاعات چه کاری میتواند انجام دهد؟
هکر اخلاقی باید نیت و هدف پشت حملات را تحلیل کند تا اقدامات مقابلهای مناسب را تعیین نماید. در مراحل دستیابی به دسترسی و حفظ دسترسی، هکر اخلاقی باید یک گام جلوتر از مهاجم حرکت کند تا حفاظت کافی را فراهم سازد.
- آیا تلاشهای مهاجمان در سیستمهای هدف شناسایی میشود؟
گاهی مهاجمان برای نفوذ به یک سیستم، روزها، هفتهها یا حتی ماهها تلاش میکنند. در موارد دیگر، آنها دسترسی را به دست میآورند اما پیش از انجام هرگونه اقدام مخرب، مدتی صبر میکنند و به ارزیابی نحوه بهرهبرداری از اطلاعات افشاشده میپردازند. در مراحل شناسایی و پاکسازی ردپا، هکر اخلاقی باید حمله را تشخیص داده و متوقف کند.
پس از انجام حملات، هکرها ممکن است با تغییر فایلهای لاگ، ایجاد درِ پشتی یا استقرار تروجانها، ردپای خود را پاک کنند. هکرهای اخلاقی باید بررسی کنند که آیا چنین فعالیتهایی ثبت شدهاند و چه اقدامات پیشگیرانهای اتخاذ شده است. این کار نهتنها ارزیابیای از میزان مهارت مهاجم در اختیار آنها قرار میدهد، بلکه دیدگاهی نسبت به تدابیر امنیتی موجود در سیستم مورد ارزیابی نیز فراهم میکند.
کل فرآیند هک اخلاقی و اصلاح آسیبپذیریهای کشفشده، به پرسشهایی از این دست وابسته است:
- سازمان در تلاش برای حفاظت از چه چیزی است؟
- در برابر چه کسی یا چه چیزی قصد محافظت دارد؟
- آیا تمامی مؤلفههای سیستم اطلاعاتی بهطور مناسب محافظت، بهروزرسانی و وصلهگذاری شدهاند؟
- مشتری تا چه میزان زمان، تلاش و هزینه مایل است برای دستیابی به حفاظت کافی سرمایهگذاری کند؟
- آیا تدابیر امنیت اطلاعات با استانداردهای صنعتی و الزامات قانونی مطابقت دارند؟
گاهی ممکن است مشتری بهمنظور صرفهجویی در منابع یا جلوگیری از کشف آسیبپذیریهای بیشتر، پس از شناسایی نخستین آسیبپذیری تصمیم به پایان دادن ارزیابی بگیرد؛ بنابراین ضروری است که هکر اخلاقی و مشتری پیشاپیش چارچوب مناسبی برای انجام ارزیابی تعیین کنند. مشتری باید از طریق توضیحات روشن و مختصر درباره آنچه در حال وقوع است و آنچه در معرض خطر قرار دارد، نسبت به اهمیت این تمرینهای امنیتی متقاعد شود. هکر اخلاقی نیز باید به مشتری یادآوری کند که حفاظت کامل از سیستمها هرگز بهطور مطلق امکانپذیر نیست، اما همواره میتوان سطح امنیت آنها را بهبود بخشید.
دامنه و محدودیتهای هک اخلاقی
کارشناسان امنیت، جرایم رایانهای را بهطور کلی به دو دسته تقسیم میکنند:
- جرایمی که با کمک رایانه تسهیل میشوند
- جرایمی که در آنها خودِ رایانه هدف اصلی است
هک اخلاقی یک ارزیابی امنیتی ساختارمند و سازمانیافته است که معمولاً بهعنوان بخشی از تست نفوذ یا ممیزی امنیتی انجام میشود و یکی از عناصر حیاتی در ارزیابی ریسک، ممیزی، مقابله با تقلب و پیادهسازی بهترین شیوههای سیستمهای اطلاعاتی محسوب میشود. هک اخلاقی برای شناسایی ریسکها و برجسته کردن اقدامات اصلاحی بهکار میرود. همچنین با برطرفسازی آسیبپذیریها، موجب کاهش هزینههای فناوری اطلاعات و ارتباطات میشود.
هکرهای اخلاقی دامنه ارزیابی امنیتی را بر اساس نگرانیهای امنیتی مشتری تعیین میکنند. بسیاری از هکرهای اخلاقی عضو «تیم ببر» هستند. یک تیم ببر بهصورت گروهی کار میکند تا یک تست کامل و همهجانبه انجام دهد که تمام جنبههای شبکه، نفوذ فیزیکی و نفوذ به سیستم را در بر بگیرد.
یک هکر اخلاقی باید از مجازاتهای مرتبط با نفوذ غیرمجاز به سیستم آگاه باشد. هیچ فعالیت مرتبط با هک اخلاقی در تست نفوذ یا ممیزی امنیتی نباید پیش از دریافت یک سند قانونی امضاشده که مجوز صریح انجام فعالیتهای هک را از سوی سازمان هدف ارائه میکند، آغاز شود. هکرهای اخلاقی باید در استفاده از مهارتهای خود محتاط باشند و پیامدهای سوءاستفاده از این مهارتها را بشناسند.
هکر اخلاقی برای عمل به تعهدات اخلاقی و حرفهای خود موظف است قوانین خاصی را رعایت کند:
- کسب مجوز از مشتری و داشتن قرارداد امضاشده که به آزمونگر اجازه انجام تست را میدهد
- حفظ محرمانگی هنگام انجام تست و تبعیت از توافقنامه عدم افشا (NDA) با مشتری برای اطلاعات محرمانهای که طی تست آشکار میشود. اطلاعات جمعآوریشده ممکن است حساس باشد و هکر اخلاقی نباید هیچگونه اطلاعات مربوط به تست یا دادههای محرمانه شرکت را به شخص ثالث افشا کند
- انجام تستها تنها در محدودههای توافقشده و عدم تجاوز از آن. برای مثال، هکر اخلاقی باید حملات DoS را فقط در صورتی انجام دهد که قبلاً با مشتری بر سر آن توافق شده باشد. از کار افتادن سرورها یا برنامهها در طول تست ممکن است باعث از دست رفتن درآمد، آسیب به اعتبار و پیامدهای بدتر برای سازمان شود
گامهای زیر چارچوبی برای انجام یک ممیزی امنیتی فراهم میکنند و به سازمانیافته، کارآمد و اخلاقی بودن تست کمک میکنند:
- گفتگو با مشتری و بررسی نیازهایی که باید در طول تست مورد توجه قرار گیرند
- تهیه و امضای اسناد NDA با مشتری
- تشکیل تیم هک اخلاقی و آمادهسازی برنامه زمانی تست
- اجرای تست
- تحلیل نتایج و تهیه گزارش
- ارائه یافتهها به مشتری
با این حال، محدودیتهایی نیز وجود دارد. اگر کسبوکارها ابتدا ندانند دقیقاً به دنبال چه هستند و چرا یک ارائهدهنده خارجی را برای هک سیستمهای خود استخدام کردهاند، احتمالاً دستاورد چندانی از این فرایند نخواهند داشت. بنابراین، هکر اخلاقی تنها میتواند به سازمان کمک کند تا درک بهتری از وضعیت امنیتی خود به دست آورد. پیادهسازی تدابیر حفاظتی مناسب در شبکه بر عهده خودِ سازمان است.
مهارتهای یک هکر اخلاقی
بسیار ضروری است که یک هکر اخلاقی دانش و مهارتهای لازم برای تبدیل شدن به یک هکر خبره را کسب کرده و از این دانش به شیوهای قانونی استفاده نماید. مهارتهای فنی و غیرفنی لازم برای یک هکر اخلاقیِ کارآمد در ادامه مورد بحث قرار گرفته است:
مهارتهای فنی
- دانش عمیق در مورد محیطهای اصلی سیستمعامل مانند ویندوز، یونیکس، لینوکس و مکینتاش.
- دانش عمیق در مورد مفاهیم شبکه، فناوریها و سختافزار و نرمافزار مرتبط.
- تخصص در رایانه و تسلط بر حوزههای فنی.
- شناخت حوزههای امنیتی و مسائل مرتبط با آن.
- دانش فنی بالا در مورد نحوه پیادهسازی حملات پیچیده.
مهارتهای غیرفنی
- توانایی یادگیری سریع و انطباق با فناوریهای جدید.
- اخلاق کاریِ قوی و مهارتهای بالا در حل مسئله و برقراری ارتباط.
- تعهد به خطمشیهای امنیتی سازمان.
- آگاهی از استانداردها و قوانین محلی.



