القرصنة الأخلاقية Ethical hacking، ما هي؟ وما هي أبرز المواقع لتعلّمها؟

لطالما كان مصطلح “القرصنة” مرتبط بالأفعال غير المشروعة التي يترتّب عليها أذى للآخرين. لكن هل سمعتَ عن قبل عن القرصنة الأخلاقية؟

كما يُوحي الاسم، فإن القرصنة الأخلاقية أو Ethical hacking عبارة عن سلوك مشروع وقانوني تمامًا ويُمكن تعلّمه عبر كورسات عبر الإنترنت أو في مراكز مختلفة.

 

ما هي القرصنة الأخلاقية؟

القرصنة الأخلاقية هي محاولة مصرح بها للوصول غير المصرح به إلى نظام كمبيوتر أو تطبيق أو بيانات.

ويتضمن تنفيذ الاختراق الأخلاقي تكرار استراتيجيات وأفعال المهاجمين الضارين. وتساعد هذه الممارسة في تحديد الثغرات الأمنية التي يمكن حلها بعد ذلك قبل أن تتاح الفرصة للمهاجم الضار باستغلالها.

ويُعرف المتسللون الأخلاقيون، المعروفون أيضًا باسم “القبعات البيضاء”، بأنهم خبراء أمنيون يقومون بإجراء هذه التقييمات.

ويساعد العمل الاستباقي الذي يقومون به على تحسين الوضع الأمني ​​للمؤسسة. بموافقة مسبقة من المنظمة أو مالك أصول تكنولوجيا المعلومات، فإن مهمة الاختراق الأخلاقي هو عكس القرصنة الخبيثة.

 

ما هي المفاهيم الأساسية للقرصنة الأخلاقية؟

يتبع خبراء القرصنة أربعة بروتوكولات أساسية:

1. ابق قانونيًا: الحصول على الموافقة المناسبة قبل الوصول وإجراء التقييم الأمني.
2. حدّد النطاق: بتحديد نطاق التقييم بحيث يظل عمل المخترق الأخلاقي قانونيًا وضمن الحدود المعتمدة للمؤسسة.
3. الإبلاغ عن نقاط الضعف: عبر إخطار المؤسسة بجميع نقاط الضعف التي تم اكتشافها أثناء التقييم. وتقديم المشورة العلاجية لحل هذه الثغرات الأمنية.
4. احترام حساسية البيانات: اعتمادًا على حساسية البيانات، قد يتعين على المتسللين الأخلاقيين الموافقة على اتفاقية عدم إفشاء، بالإضافة إلى الشروط والأحكام الأخرى التي تتطلبها المؤسسة التي تم تقييمها.

 

كيف يختلف المتسللون الأخلاقيون عن القراصنة الخبثاء؟

يستخدم المتسللون الأخلاقيون معرفتهم لتأمين وتحسين تكنولوجيا المنظمات. فهم يُوفرون خدمة أساسية لهذه المنظمات من خلال البحث عن نقاط الضعف التي يمكن أن تؤدي إلى خرق أمني.

ويقوم المتسلل الأخلاقي بالإبلاغ عن نقاط الضعف التي تم تحديدها للمنظمة. بالإضافة إلى ذلك، يقدم نصائح للعلاج.

في كثير من الحالات، بموافقة المنظمة، يقوم المخترق الأخلاقي بإعادة اختبار للتأكد من حل الثغرات الأمنية بالكامل.

أمّا القراصنة الخبثاء، فهدفهم الأساسي الحصول على وصول غير مصرح به إلى أحد الموارد (كلما كانت الحساسية أكثر كلما كان ذلك أفضل) لتحقيق مكاسب مالية أو اعتراف شخصي.

ويقوم بعض المتسللين الضارين بتشويه مواقع الويب أو تعطل الخوادم الخلفية للمتعة أو الإضرار بالسمعة أو التسبب في خسارة مالية. فهم لا يهتمون بتحسين الوضع الأمني ​​للمنظمات.

 

ما هي المهارات والشهادات التي يجب أن يحصل عليها المخترق الأخلاقي؟

يجب أن يتمتع المتسلل الأخلاقي بمجموعة واسعة من مهارات الكمبيوتر. غالبًا ما يتخصصون، ليصبحوا خبراء في الموضوع (SME) في مجال معين داخل مجال القرصنة الأخلاقية.

ويجب أن يكون لدى جميع المتسللين الأخلاقيين:

• خبرة في لغات البرمجة النصية
• إجادة أنظمة التشغيل
• معرفة وافية بالشبكات
• أساس متين في مبادئ أمن المعلومات

تتضمن بعض الشهادات الأكثر شهرة واكتسابًا ما يلي:

مجلس EC: شهادة القرصنة الأخلاقية المعتمدة

• شهادة المحترف المعتمد في الأمن الهجومي (OSCP)
• +CompTIA Security
• CCNA Security من Cisco
• SANS GIAC

 

ما هي المشاكل التي تُحددها القرصنة الأخلاقية؟

أثناء تقييم أمان أصول تكنولوجيا المعلومات الخاصة بالمؤسسة، تهدف القرصنة الأخلاقية إلى محاكاة المهاجم.

وعند القيام بذلك، يبحث المُقرصِن المصرّح له عن ناقلات هجوم ضد الهدف. الهدف الأولي هو إجراء الاستطلاع والحصول على أكبر قدر ممكن من المعلومات.

وبمجرد أن يجمع المتسلل الأخلاقي معلومات كافية، فإنه يستخدمها للبحث عن نقاط الضعف ضد الأصل.

حيث يقوم بإجراء هذا التقييم بمجموعة من الاختبارات الآلية واليدوية. حتى الأنظمة المتطورة قد تحتوي على تقنيات إجراءات مضادة معقدة قد تكون عرضة للخطر.

ولا يتوقف المخترِق المصرّح له عند الكشف عن نقاط الضعف، بل يستخدم عمليات استغلال الثغرات الأمنية لإثبات كيف يمكن لمهاجم ضار استغلالها.

تتضمن بعض نقاط الضعف الأكثر شيوعًا التي تم اكتشافها عبر القرصنة الأخلاقية ما يلي:

• هجمات الحقن
• مصادقة معطلة
• تكوينات الأمان الخاطئة
• استخدام مكونات ذات ثغرات أمنية معروفة
• التعرض لبيانات حساسة

بعد فترة الاختبار، يقوم المتسلل بإعداد تقرير مفصل. تتضمن هذه الوثائق خطوات لتسوية الثغرات الأمنية المكتشفة وخطوات لتصحيحها أو التخفيف منها.

 

ما هي قيود القرصنة الأخلاقية؟

• نطاق محدود: لا يمكن للقراصنة الأخلاقيين التقدم خارج نطاق محدد لإنجاح الهجوم. ومع ذلك، يبقى احتمال مناقشة إمكانية الهجوم خارج النطاق مع المنظمة قائمًا وفق ما تقتضيه الحاجة.
• قيود المصادر: لا يملك المتسللون الضارون قيودًا زمنية يواجهها المتسللون الأخلاقيون غالبًا. وتعد قوة الحوسبة والميزانية قيودًا إضافية للقراصنة الأخلاقيين.
• طرق مقيدة: تطلب بعض المنظمات من الخبراء تجنب حالات الاختبار التي تؤدي إلى تعطل الخوادم (على سبيل المثال، هجمات رفض الخدمة (DoS)).

 

أفضل المواقع المجانية لتعلّم القرصنة الأخلاقية:

Cybrary

Cybrary هو موقع جديد إلى حد ما يقدم مجموعة واسعة من الدورات والفصول الدراسية التي تغطي كل شيء من الشبكات الأساسية إلى اختبار الاختراق المتقدم.

ويحتوي الموقع على العشرات من الدورات التفصيلية التي يتم تدريسها جميعًا بواسطة متخصصين رائدين في الصناعة.

حتى أن Cybrary يقدم فصول شهادات يمكنها إعدادك قبل التقدم للحصول على شهادات الأمان في مجال معين، مما يضمن استعدادك لمواد الدورة التدريبية.

يغطي Cybrary مجموعة واسعة من موضوعات القرصنة بما في ذلك:

• القرصنة الأخلاقية
• اختبار الاختراق
• التشفير
• التحاليل الجنائية
• هندسة اجتماعية
• الاستغلال اللاحق
• تحليل البرمجيات الخبيثة والهندسة العكسية

إلى جانب المجموعة الواسعة من الفصول، يقدم الموقع أيضًا مواد خاصة بالشهادات بما في ذلك، A + و Linux + و Network + و Security + ويمكنهم أيضًا إعدادك لـ MCSA و CCNA و CISA و CASP و CISSP والعديد من الشهادات الأخرى.

Cybrary هي أداة مجانية رائعة للتعلم ويمكن أن تساعد أي مبتدئ بدأ للتو أو يساعد المتسللين المتقدمين في نقل مهاراتهم إلى المستوى التالي.

 

SecurityTube

ابتداءً من عام 2008، تم إنشاء SecurityTube بواسطة الباحث الأمني فيفيك راماشاندران، وهو محترف موثوق به في صناعة الأمن.

كما يوحي الاسم، فإن SecurityTube هو فعليًا موقع يوتيوب للقرصنة الأخلاقية وأمن المعلومات.

ويحتوي برنامج SecurityTube على كل شيء بدءًا من اختبار الاختراق الأساسي في مجموعة متنوعة من المجالات إلى أدوات القرصنة الكاملة، وهو مليء بالعشرات من الدورات التدريبية الأمنية.

يقدم SecurityTube مجموعات متنوعة من الدورات التي يدرسها فيفيك نفسه جنبًا إلى جنب مع عدة مئات من الباحثين الأمنيين الآخرين.

ويوفر الموقع مئات الساعات من الأمان والضعف والمحتوى المرتبط بالقرصنة.

بعد تقديم دورات مجانية لأمن المعلومات لما يقرب من ثماني سنوات، بدأ فيفك في تقديم فصول أمان إضافية متعمقة في موقعه المتميز، pentesteracademy.

ومع ذلك، فإن جميع الدورات التدريبية على SecurityTube مجانية بنسبة 100٪ وستظل مجانية مدى الحياة.

 

Harvard/EDX

خلافًا للاعتقاد الشائع، لست بحاجة إلى أن يتم قبولك في كلية مرموقة لتتمكن من التسجيل في عدد من فصول هارفارد الدراسية.

وهنا يأتي دور EDX، حيث تقوم بتجميع كتالوج كبير من الدورات التدريبية المجانية على مستوى الكلية التي يمكنك الاشتراك فيها.

تمتثل EDX للدورات على مستوى الكلية من أفضل المؤسسات التي تجعلها متاحة للجمهور عبر الإنترنت، مما يسمح لك بالتسجيل بحرية في الفصل.

وإذا كنت تريد نموذجًا معتمدًا لإكمال الدورة التدريبية في كليتك، فيمكنك الحصول على معظم الشهادات في نطاق 100 دولار – 200 دولار + في EDX.

يمكن أن يُظهر هذا لأصحاب العمل أنك معتمد بشكل صحيح وحصلت على دورة على مستوى الكلية وأكملتها بنجاح مع مهامها عبر الإنترنت.

 

SANS Cyber Aces

معهد SANS هو شركة متخصصة في التدريب على أمن المعلومات والأمن السيبراني.

ويُعد معهد SANS من بين أفضل مدربي أمن المعلومات في العالم، حيث يقدم العشرات من الفصول الدراسية باهظة الثمن التي تجوب العالم كل عام.

من بين العشرات من فصولهم عالية القيمة تأتي SANS Cyber ​​Aces، وهي مبادرة مجانية لأمن المعلومات طورها معهد SANS.

بينما تدرك SANS أنه لا يمكن للجميع تحمل 5000 دولار لدورة تدريبية في الأمن السيبراني مدتها أربعة أيا ، فقد جاءوا بـ Cyber ​​Aces.

تقدم Cyber ​​Aces طريقة رائعة لكل من المعلمين والطلاب لتعلم القرصنة وأمن المعلومات من خبراء حقيقيين.

ومع استمرار SANS في النمو وتطوير Cyber ​​Aces، تتم إضافة المزيد من المعلومات طوال الوقت!

للحصول على تدريب حقيقي على الأمن السيبراني من قبل المتخصصين، تأكد من إطلاعك على معهد SANS و Cyber ​​Aces.

 

LEAP

LEAP موقع مجاني لتعلم القرصنة في القائمة هو موقع ويب رائع آخر يحتوي على العديد من دورات الأمن السيبراني المجانية التي تغطي مجموعة متنوعة من الموضوعات.

تتكون الموضوعات المختلفة من أساسيات الأمن السيبراني وأساسيات الطب الشرعي السيبراني والقانون السيبراني وحتى مكافحة الهجمات الإلكترونية.

يقدم LEAP العديد من الدورات التدريبية الرائعة للمبتدئين، ويُقدّم دورات في أساسيات الأمن السيبراني، وهي دورة جيدة التنظيم يمكن أن تضعك في طريقك لتعلم أساسيات القرصنة والأمن من الألف إلى الياء.

يقدم LEAP أيضًا شهادات، مما يعني أنه إذا أكملت دورة تدريبية وترغب في الحصول على شهادة، فيمكنك دفع رسوم رمزية مقدمًا وإجراء الاختبار.

 

الخلاصة..

مع توفر الملايين من الموارد المجانية عبر الإنترنت، جعل محترفو الأمن السيبراني الأمر أسهل من أي وقت مضى لتصبح متسللًا أخلاقيًا معتمدًا.

وسواء كنت تبحث عن القرصنة تجاريًا أو للمتعة، فإن البدء في أساسيات أمان الإنترنت أمر بالغ الأهمية.

القرصنة ليست فقط مهارة ممتعة يتم تطويرها، ولكن يمكن أن تكون مفيدة عند تقييم المواقف المعقدة أو الحرجة والعمل عليها.

 

المصادر

1، 2

اقرأ أيضًا:

ما هو الهجوم السيبراني “Cyber attack” ؟

ما هي ثغرة يوم الصفر Zero Day؟ وما الذي يجعلها أخطر الهجمات السيبرانية؟

كيف تجعل الإنترنت بيئة آمنة لاستخدام أطفالك؟ 10 خطوات لتحقيق ذلك!