الأمن السيبراني

القرصنة الأخلاقية

مايو 31, 2021
بقلم رائد الأعمال العربي
3 قراءات

القرصنة الأخلاقية هي علم اختبار أجهزة الكمبيوتر والشبكات الخاصة بك بحثًا عن نقاط الضعف الأمنية وسد الثغرات التي تجدها قبل أن يحصل الأشخاص ذوو النوايا الخبيثة على فرصة لاستغلالها.

تعريف الهاكر

الهاكر هو شخص يحب العبث بالأنظمة الإلكترونية، البرامج أو أجهزة الكمبيوتر، يستمتع المتسللون بالتعلم واستكشاف تقنيات جديدة حول كيفية التلاعب بالنظام عبر استغلال الثغرات الموجودة به .
ففي الآونة الأخيرة اصبح لمصطلح” الهاكر “معنى اخر يتمثل في شخص يقوم باختراق شبكة أو نظام كمبيوتر بشكل غير لائق لتحقيق مكاسب شخصية، يعتبر القانون هذا السلوك جريمة انترنت، فالمخترق او الهاكر يقوم بسرقة معلومات مهمة او تعديل بيانات مخزنة .

غالبا ما يستهدف المتسللين النظام الذي يعتقدون أنه ضعيف للغاية،كما يفضل البعض الآخر الأنظمة المحمية جيدًا لأنها تزيد من ترتيبهم ومكانتهم في مجتمع المتسللين.

القرصنة الأخلاقية

يمتلك المتسللون الأخلاقيون عقليات ومهارات وأدوات الهاكر ،ويمكن الوثوق بهم، يمكن ان يقتحم المتسللون الأخلاقيون الأنظمة كاختبار أمني للبنية التحتية للدفاع الإلكتروني الموضوعة تعتبر اختبارات الاختراق التي يتم إجراؤها على النظام قانونية ولا يتم إجراؤها إلا بإذن من المعنيين بالأمر.
تهدف القرصنة الأخلاقية المعروفة أيضًا باسم قرصنة القبعة البيضاء ، إلى استكشاف الثغرات التي يمكن أن يستهدفها قراصنة ذوو قبعة سوداء اي القراصنة ذو النية السيئة، والقصد من ذلك هو توفير الحماية النهائية لنظام ما عن طريق استغلال نقاط الضعف من وجهة نظر المتسلل،يعتبر هذا نهجا استباقي لإدارة المخاطر يوفر تحسينات أمنية مستمرة للنظام ، فمن المهم أن تتطابق أفكار المخترق الأخلاقي مع أفكار المخترق ذو النية السيئة.

لماذا تحتاج إلى اختراق أنظمتك؟

مع التطور السريع الذي عرفته التكنولوجيا ، اصبح من الممكن أن يتعرض نظامك الإختراق في اي وقت، لذلك هناك حاجة لامتلاك مهارات القرصنة لمعرفة مدى تعرض أنظمتك للخطر، ستساعدك هذه المهارات أيضًا على توفير الأمان لنظامك .

إن الشبكات الخاصة الظاهرية (VPN)،و التشفير يمكن أن توفر شعورا زائفا بالأمان، هذه الأنظمة تحمي فقط من الثغرات الأمنية عالية المستوى مثل حركة المرور والفيروسات ولكنها لا تؤثر على نشاط المتسللين، فلتوفير أمان إضافي لأنظمتك ، تحتاج إلى الاختراق الذاتي لتحديد نقاط الضعف والقضاء عليها قبل أن يستغلها المخترقون و تعريض نظامك للخطر،هذه هي الطريقة الوحيدة المعتمدة لتقوية البنية الأمنية الخاصة بك.

لا يمكنك حماية نظامك من كل تهديد ما لم تقم بفصل النظام بأكمله وإبقائه بعيدًا عن متناول أي شخص. لكن سيكون من الأفضل ان تعرف كيف يمكن للمخترقين التنقل عبر أنظمة الأمان وكيفية مواجهة أنشطتهم، فعلى المخترق الأخلاقي تنمية معارفه بما يتناسب بشكل مباشر مع المعدل الذي يوسع به أصحاب القبعات السوداء معرفتهم.

يجب أن يكون لدى المخترق أخلاقي اهداف يعمل عليها تتمثل في :

  • استخدم أساليب القرصنة غير المدمرة.
  • تحديد وإثبات وجود ثغرات لمالك النظام.
  • القضاء على الثغرات وتعزيز أمن النظام.
  • فهم التهديدات التي يتعرض لها النظام .

من المهم فهم التهديدات والهجمات المحددة ضد نظامك لأن هذا  يرشدك إلى كيفية اختبار أمان شبكتك، على سبيل المثال قد لا تكون كلمة مرور إدارة SQL Server الضعيفة ، والخادم المستضاف على شبكة لاسلكية ، والتكوين الافتراضي لنظام التشغيل windows ، آمنة بشكل تام ،وبالتالي فإن محاولة استغلال جميع نقاط الضعف الثلاثة في وقت واحد قد تؤدي إلى مشاكل خطيرة، فيما يلي قائمة مختصرة ببعض الهجمات المعروفة التي قد يتعرض لها نظامك:

1-هجمات البنية التحتية للشبكة

يمكن للقراصنة مهاجمة البنية التحتية للشبكة بسرعة حيث يمكنهم الوصول إليها عن بُعد عبر الإنترنت، إليك بعض هجمات البنية التحتية للشبكة.
-استغلال تكوين 802.11b اللاسلكي غير الآمن للتوصيل بالشبكة.
-هجمات رفض الخدمة عن طريق إرسال طلبات متعددة إلى شبكة
-استغلال نقاط الضعف في NetBIOS و TCP / IP أو أي آلية نقل شبكة أخرى بها نقاط ضعف.

2- الهجمات غير الفنية

-العامل البشري هو أهم نقطة ضعف داخل أي شبكة أو بنية تحتية للكمبيوتر، يستغل المتسللين ثقة الناس ويغرونهم للحصول على معلومات لأغراض ضارة،  يشار إلى هذا النوع من الهجوم أو التهديد على أنه استغلال للهندسة الاجتماعية.

3- الهجوم على التطبيقات

-تعتبر التطبيقات هدفا للمخترقين بسبب كثرة الثغرات الأمنية فيها ،ففي السنوات الماضية  كانت تطبيقات الويب وبرامج خادم البريد الإلكتروني احد أسطح الهجوم الرئيسية.
كثيرًا ما يهجم المتسللين على تطبيقات مثل Simple Mail Transfer Protocol (SMTP) و Hypertext Transfer Protocol ، التي تسمح بالوصول الكامل من الإنترنت بسبب جدران الحماية سيئة التكوين .
-قد تحتوي رسائل البريد الإلكتروني غير المرغوب فيه أو
 البريد العشوائي على برامج ضارة تدمر مساحة التخزين في نظامك.
-يمكن للبرامج الضارة أن تقفل الشبكات و تعطل النظام، وتشمل  Trojan Horses, spyware, viruses, and worms.،
تساعد القرصنة الأخلاقية في الكشف عن نقاط الضعف في نظامك وكشف الهجمات المحتملة ضد نظامك.

4- هجمات نظام التشغيل

يمكن العثور على أنظمة التشغيل في كل جهاز كمبيوتر ، مما يجعله منصة مناسبة لشن الهجمات، يفضل المتسللون اختراق أنظمة التشغيل نظرًا لوجود العديد من نقاط الضعف المعروفة التي يمكن مهاجمتها بسهولة، فأحيانًا تتعرض أنظمة التشغيل مثل BSD UNIX أو Novell NetWare للخطر نظرًا لوجود ثغرات أمنية خارج النطاق،اما بالنسبة ل لينكس وويندوز فبهما ثغرات أمنية معروفة تتعرض للهجوم على نطاق واسع.

تتضمن بعض الهجمات على أنظمة إنشاء العمليات التالية :

  • كسر أمن نظام الملفات
  • مهاجمة أنظمة المصادقة الافتراضية
  • اختراق أنظمة التشفير وكلمة المرور
  • استغلال نقاط الضعف المحددة في تنفيذ البروتوكول .

5) وصايا القرصنة الأخلاقية

 إليك بعض الوصايا لتجنب تظهر نتائج وعواقب غير مرغوب فيها :

1- التمسك بالخصوصية

-دع السرية والاحترام يسودان أثناء التنفيذ ،كما يجب التعامل مع جميع المعلومات التي تم جمعها للاختبار بأقصى قدر من الخصوصية ، من ملفات النصوص الواضحة إلى ملفات سجل تطبيقات الويب.

-لا تستخدم بيانات الاعتماد التي تم الحصول عليها للوصول إلى الأنظمة الأساسية الإدارية للشركات. إذا كانت هناك حاجة للوصول إلى حسابات معينة ، فمن الأنسب مشاركة المعلومات أو الحصول على إذن من صاحب الحساب أو المدير،

-القرصنة الأخلاقية هي عملية “watch the watcher “. لذلك ، فهي تنطوي على أشخاص ذوي صلة لبناء الثقة وكسب الدعم أثناء تنفيذ مشروع القرصنة الخاص بك.

2- العمل بشكل أخلاقي.

تأكد من أن الاستراتيجيات والأدوات المستخدمة تتماشى مع سياسة أمان الشركة، سواء أكنت تجري اختبار اختراق لجهاز كمبيوتر شخصي أو على نظام مؤسسة .
فبصفتك قراصنا أخلاقي ، يجب أن يكون لديك مبادئ ثابتة تستند إلى القيم الأخلاقية المستقيمة، ، كما يجب عليك دعم السياسة والأهداف الأمنية للنظام المحدد.

-يجب ان يكون المخترق الاخلاقي جدير بالثقة فهذا ما يميزه عن Blackhats، عليه تحديد كيفية التعامل مع المعلومات الحساسة بعد منحه حق الوصول إلى نظام الكمبيوتر.
من المعروف أن المتسلل الشرير يسيئ استخدام البيانات الحيوية ويستغل الثغرات التي تم تحديدها داخل النظام بينما يعمل المخترق الأخلاقي من أجل مصلحة النظام.

3- الحفاظ على أنظمتك.

-أحد التحديات الرئيسية التي يواجهها معظم الأشخاص أثناء اختراق أنظمتهم هو خطر تعطيل النظام دون قصد، عادة ما يرتكب بعض المتسللين هذا الخطأ بسبب سوء التخطيط لكيفية تنفيذ عمليتهم، فقبل التطفل على أي نظام خطط جيدا و تعرف على نوعية النظام، يجب أن يشمل التخطيط 90٪ من العملية ، بينما التنفيذ 10٪ فقط، خذ وقتًا كافيًا لقراءة الوثائق،افهم كيفية استخدام الادوات وتقنيات الأمان التي تنوي استعمالها.
-عليك التحلي بالصبر ، ومعرفة قدرة نظامك المستهدف ،
قد يؤدي إجراء العديد من الإختبارات في وقت واحد إلى حالة DOS  على نظامك عند الاختبار و إقفاله ،لا تفترض أن مضيفًا أو شبكة معينة يمكنها التعامل مع الضربات التي يمكن لأدوات الثغرات الأمنية والماسحات الضوئية للشبكة التخلص منها، 
-يمكن لمعظم أدوات تقييم الأمان أن تنظم عدد الاختبارات التي يتم إجراؤها على النظام بشكل مناسب و في نفس الوقت، تعتبر هذه اللائحة حيوية خاصة إذا كنت تخطط لإجراء اختبارات خلال ساعات العمل أو على أنظمة الإنتاج التي تعمل دائمًا.

6) عملية القرصنة الأخلاقية

يعد التخطيط أمرًا أساسيًا لجميع مستويات الاختبارات، من الضروري إدراجه كجزء من عملية القرصنة ،يجب أن يأتي قبل أي تطبيق فهو ضروري لأي اختبار ( سواءا كان اختبارا بسيط لتكسير كلمة المرور او اختبار متطور على تطبيق ويب).
يجب أن تكون عملية القرصنة الأخلاقية مخططة جيدًا قبل التنفيذ تمامًا مثل أي مشروع أمان أو تكنولوجيا معلومات، يفترض أن يكون هناك أساس متين للعملية حيث يتم تحديد القضايا الاستراتيجية والتكتيكية والاتفاق عليها،  فيما يلي نظرة موجزة على الخطوات الخمس الرئيسية التي تشكل القرصنة الأخلاقية.

  1. صياغة خطتك

إن الموافقة على القرصنة الأخلاقية أمر أساسي ،
دع صانعي القرار يعرفون ما تفعله وابلغهم عن خططك سيساعدك ذالك في الحصول على رعاية للمشروع، فانت تحتاح إلى شخص يدعمك إذا حدث خطأ ما، لتجنب الاثار القانونية الخطيرة الناتجة.
أنت بحاجة إلى خطة شاملة ، وليس إجراءات اختبار ضخمة، يجب أن تكون خطتك مفصلة ودقيقة، قد تشمل الخطة النموذجية ؛
-الأنظمة التي سيتم اختبارها
-المخاطر المتوقعة
-تحديد موعد للاختبارات
-منهجية لاستخدامها في كل مهمة
-مستوى معرفتك بالأنظمة قبل إجراء الاختبارات.
-خطة الاستجابة لنقاط الضعف التي تم تحديدها
يتم نشر النتائج المحددة مثل التقارير التي تستلزم اتخاذ تدابير مضادة لنقاط الضعف المحددة.
يفضل أن تبدأ دائمًا فحصك مع الأنظمة اكثر ضعفًا،على سبيل المثال يمكنك البدء بهجمات الهندسة الاجتماعية أو اختبار كلمات مرور الكمبيوتر قبل التعمق في الأنظمة المعقدة.

-يجب عليك كذالك ان تتوفر على  خطة طوارئ في حالة ظهور مشاكل كمثال إزالتك لتطبيق ويب عن طريق الخطأ او تعطيله…، يمكن أن يتسبب هذا في توقف الخدمة ، وفي المقابل  انخفاض أداء النظام، قد يتسبب خطأ بسيط في فقدان البيانات أو فقدان سلامة البيانات أو الدعاية السيئة أو حتى انهيار النظام بأكمله.

  1. اختيار الأدوات

-من المستحيل إنجاز أي مهمة بدون الأدوات المناسبة لكن امتلاك جميع الأدوات الصحيحة لا يضمن لك إيجاد كل نقاط الضعف، لأن العديد من أدوات التقييم الأمني ​​يمكن أن تحدد نقاط الضعف بشكل غير صحيح، قد تؤدي بعض الأدوات إلى نتائج خاطئة ، في حين أن الآخر قد يفوت بعض نقاط ضعف المهمة،  على سبيل المثال ، غالبًا ما يتم التغاضي عن نقاط الضعف عند إجراء تقييم للأمن المادي أو تقييم الهندسة الاجتماعية.
-تأكد دائمًا من أنك تستخدم الأداة المناسبة للمهمة الصحيحة.
لإجراء اختبار بسيط مثل اختبار كلمة المرور ،يمكنك استخدام John the Ripper أو pwdump أو LC4
-لمزيد من التحليل المتقدم مثل اختبارات تطبيقات الويب ، ستكون أداة تقييم تطبيقات الويب الأكثر تعقيدًا مثل WebInspect أكثر ملاءمة.
-غالبًا ما يسيء المتسللون فهم قدرة ووظائف بعض أدوات القرصنة ، مما يؤدي إلى نتائج سلبية ،لذلك  تأكد من التعرف على هذه الأدوات المعقدة قبل البدء في استخدامها يمكنك تحقيق ذلك من خلال:

-قراءة التعليمات حول أداتك عبر الإنترنت .
-تصفح دليل المستخدم لأداتك التجارية المحددة
-تدريب رسمي في الفصول الدراسية من بائع أدوات الأمان .

  1. تنفيذ الخطة

-الوقت والصبر عنصران أساسيان لنجاح تنفيذ عملية القرصنة الأخلاقية، إن المتسللين ذو نية السيئة يودون دائمًا معرفة ما يحدث داخل فضاءهم الإلكتروني،لذالك كل حذرا عند إختراقك للنظام.

-عليك التزام الصمت وضمان الخصوصية قدر الإمكان، قد يتسبب تخزين نتائج الاختبار أو إرسالها للشخص الخاطئ في حدوث مشاكل كبيرة ، يجب أن تحافظ على أمان هذه البيانات الهامة عن طريق حماية كلمة المرور والتشفير.
-ابدأ من منظور واسع واحصر تركيزك على مؤسستك أو نظامك.
-يجب عليك تتبع الخطوات التالية لجمع المزيد من المعلومات وضمان نجاح عمليتك.
1 -ابدأ بالحصول على معلومات أساسية كافية حول مؤسستك وأسماء نظام الشبكة وعناوين IP.
2- حدد الأنظمة المحددة التي تستهدفها.
3-قم بتضييق نطاق تركيزك ، وركز على اختبار معين ثم قم بتنفيذ عمليات المسح والاختبارات التفصيلية الأخرى.
إذا كنت مقتنعًا بدرجة كافية بعد المسح المسبق ، فقم بتنفيذ الهجمات.

  1. تقييم النتائج

قيم نتائجك للحصول على مزيد من المعرفة المتعمقة حول ما اكتشفته، يعد تحليل النتائج وربط نقاط الضعف المحددة المكتشفة مهارة هذه الاخيرة تتحسن بالخبرة إذا تمت بشكل صحيح ففي الاخير سيكون لديك فهم كامل لنظامك ، أفضل من المتسللين العاديين.
-شارك نتائجك مع أصحاب المصلحة المعنيين لضمان إنفاق جهودهم وأموالهم بشكل جيد.

  1. إتمام العملية

بعد الحصول على نتائجك ، انتقل إلى تنفيذ آليات الإجراءات المضادة المناسبة الموصى بها من النتائج.

استنتاج

إن الثغرات الأمنية الجديدة تظهر باستمرار بسبب التطورات التكنولوجية المتنوعة والمعقدة،تؤدي هذه الاخيرة إلى الكشف عن الثغرات الأمنية واستغلال المتسللين يوميًا.
يجب التعامل مع اختبارات الأمان على أنها لقطة سريعة للوضع الأمني ​​لنظامك، يجب أن توضح بالتفصيل درجة الأمان الخاصة بك في الوقت المحدد، لأن المشهد الأمني ​​يمكن أن يتغير في أي وقت ، وخاصة بعد إضافة نظام كمبيوتر إلى شبكتك ، أو ترقية البرنامج ،اجعل الإختبار عملية استباقية، و جزءًا من سياسة الأمان الخاصة بك لمواجهة الهجمات الإلكترونية .

قد يهمك أيضا

حول الكاتب

رائد الأعمال العربي

فريق متخصص في البحث والدراسة في عدة مجالات ضمن نطاق ريادة الأعمال، ومن أهم المجالات التي نتخصص في الكتابة عنها هي: كيفية إنشاء المشاريع بالسعودية، الإدارة، القيادة، إدارة الموارد البشرية...

عرض كل المقالات