00962796879526 info@alwefaak.com

دورات الهكر الأخلاقي  

  • 28-01-2021
  • 0

دورات الهكر الأخلاقي  

عناوين المقال

دورات الهكر الأخلاقي

الاختراق هو محاولة الوصول إلى بيانات من غير المسموح الوصول إليها، يقوم به أشخاص محترفون بأمور الكمبيوتر والشبكة من خلال استغلال الثغرات ونقاط ضعف البرمجيات التي تتم مهاجمتها، لأغراض مختلفة ومتنوعة قد تكون إجراميةً، وقد تكون سياسيةً أو اقتصاديةً…كلَّ شيء على شبكة الإنترنت معرّض لخطر الاختراق، وهنا تظهر أهمية تطوير البرمجيات وتفعيل أدوات الحماية، فالبرمجيات المثاليّة الخالية من الثغرات والأخطاء لا وجود لها، وعندما تعرف أين الثغرة ستتمكن من إيجاد الحل، فالسباق يتجلّى بين المسؤولين عن أمان البرمجية وبين المخترقين فيمن يكتشف الثغرات أولاً.

لكن المخترقين ليسوا جميعاً خطرين أو مجرمين، فأهم وظائف أمان البرمجيات في كبرى الشركات تُمنح لمخترقين احترافيين وفق المبدأ ذاته السّائد في المدارس، الطالب الأكثر مشاغبةً يوضع عرّيفاً لصفّه!

ما هو الهكر الأخلاقي

هو شخص يمتلك القدرة على الاختراق والحماية من الاختراق، ويمتلك إحدى الشهادات المخصصة ليمارس طبيعة عمله كهكر أخلاقي، ويسخّر تلك المهارات "الاختراق والقرصنة" لخدمة المجتمع، إمّا بتقديم خدمات أمنية احترافية أو باكتشاف الثغرات في تطبيقات وأنظمة دولية وتحذير الشركات المتضررة من خطورة تلك الثغرات، ولكن لا يتم ذلك إلاّ بعد توقيع اتفاقيه وتخطيط مسبق مع الجهة المراد اختبارها.

للهكر الأخلاقي شروط وأحكام يجب عليه اتباعها والموافقة عليها بالتوقيع على اتفاقية تسمى Code Of Ethic  وهي اتفاقية أخلاقية تنص على أن الهكر الأخلاقي يجب أن يحافظ على السرية التامة في أي اختبار اختراق وألا يقوم بتسريب أي معلومات عن الجهة المختبرة أو الثغرات المكتشفة، وأن يقوم بتقديم تقرير كامل يوضح فيه جميع الثغرات الأمنية والحلول، وأي إخلال بأحد نصوص الوثيقة الأخلاقية قد يعرض الهكر الأخلاقي للمطالبة القانونية والمحاكمة أمام الجهات المختصة.

مستقبل الهكر الأخلاقي

يمكن للجهات استخدام الهكر الأخلاقي في كثير من الجوانب المتعلّقة بأمور الاختراق وعمليات الهاكرز، مثل اختبار تطبيقات الويب والمواقع على الإنترنت وكشف الثغرات الأمنية واختبار الشبكات السلكية واللاسلكية وكشف نقاط الضعف فيها وعمل تدقيق أمني للتطبيقات الداخلية والخارجية، ويمكن استخدام الهكر الأخلاقي لأي تقييم أمني هدفه كشف العيوب الأمنية قبل استغلالها من قبل المخترقين أو الأشخاص الذين يبحثون عن كشف معلومات سرية.

مراحل عمل الهكر الأخلاقي

  • أولاً يجتمع الهكر والجهة المعنية بالاختبار لتحديد خطة العمل وتحديد نوع الاختبار المطلوب وعدد المخدمات أو التطبيقات المراد اختبارها، بعد ذلك يتم توقيع اتفاقية بين كل من الهكر والجهة المعنية بالاختبار ويتم تحديد موعد الاختبار والأجهزة المستخدمة ورقم المعرف (IP) للهكر.

  • بعد توقيع الاتفاقية يقوم الهكر بجمع أكبر عدد من المعلومات المتوفرة عبر الأنترنت عن الجهة المعنية، وذلك من خلال استخدام تقنيات في الاختراق تسمى Google Hack ، وهذه التقنية تستخدم محرك البحث غوغل في معرفة المعلومات المتوفرة عبر الأنترنت، ففي بعض الأحيان يخطئ مديرو النظام عندما يظنوا أن ملفاتهم الموجودة على المخدم، وإن وضعت في مكان غير ظاهر للمستخدم، هي مخفية عن متناوله، فباستخدام هذا الأسلوب وأساليب أخرى يستطيع الهكر معرفة جميع الملفات الموجودة على المخدم.

  • بعد مرحلة جمع المعلومات يقوم الهكر بالتعرّف على الهدف المراد اختباره بشكل أكبر عن طريق مسح المنافذ الموجودة ومعرفة أنواع التطبيقات والخدمات المتوفرة في الهدف مع أتباع خطوات معينة لعرض جميع الخدمات المرتبطة بشكل مباشر وغير مباشر مع الهدف.

  • يتقدّم ويتوسّع عمل الهكر عبر تحليل التطبيقات ومعرفة عدد المتغيرات في التطبيق وقيم المتغيرات ومعرفة إصدارات التطبيقات والخدمات. 

  • بعد ذلك يقوم الهكر بتحليل نتائج المراحل السابقة ويحاول اكتشاف نقاط الضعف واستغلالها لتكون ثغرات يطبقها فور اكتشافها لكي يثبت حقيقة وجودها في التطبيق أو النظام المختبر، في هذه المرحلة يقضى الهكر معظم فترة المشروع المتفق عليها باكتشاف نقاط الضعف وتحليل تلك النقاط وبرمجة برمجيات معينة أن لزم الأمر لاستثمار نقاط الضعف.

  • بعد الانتهاء من اكتشاف نقاط الضعف واختبارها يقوم الهكر بكتابة تقرير مفصّل عن جميع المخاطر ونقاط الضعف والثغرات المكتشفة مع تقديم نصائح وإرشادات لإغلاق تلك الثغرات والنقاط بشكل مفصّل وتقني، بالإضافة إلى تحديد خطورة النقاط والثغرات المكتشفة.

أساليب الاختراق الشائعة

أكثر أساليب الاختراق شيوعاً في وقتنا الحالي هي الاختراقات التي تستهدف تطبيقات الويب والبرامج المساعدة في تشغيل المواقع وإدارتها، وتعود أسباب كثرة اختراقها لكثرة استخدامها من قبل مديري المواقع والصلاحيات التي توفرها بعد الاختراق، مما شجّع مكتشفي الثغرات والمخترقين بالتدقيق والبحث عن نقاط الضعف في تلك التطبيقات التي فيما بعد تستثمر لتكون ثغرات جاهزة في أيدي المخترقين، ويمكن استخدام محرك البحث غوغل للبحث عن المعلومات المتعلقة في الموقع ومحاولة كشف أي تسرّب للمعلومات أو الملفات المراد إخفاؤها من قبل مدير التطبيق أو النظام، ويمكن تسرّب المعلومات عن طريق إحداث أخطاء في التطبيق مما تساعد المخترق بجمع أكبر عدد من المعلومات عن التطبيق ومعرفة طبيعة التطبيق. 

الموضوع لا يتوقف عند اختراق الموقع بل يمتد ليشمل باقي المواقع الموجودة على المخدم، لأن المخترقين يحاولون رفع صلاحيتهم على النظام من مستخدمين إلى مديري نظم، والتي تعتمد في الغالب على أخطاء النظام نفسه أو خطأ في أحد تطبيقات المنزلة في النظام مما يسمح للمخترقين باستغلالها. 

ولو كان النظام محمياً بشكل جيد وجميع التطبيقات تخلو من الأخطاء والثغرات الأمنية يبدأ المخترقون باستخدام أساليب وطرائق أخرى مثل تحميل ما يدعى ال phpshell لتكون أبواب خلفية لهم للعودة إلى النظام متى أرادو وتكون أداة للتجوال داخل المخدم واستعراض ملفات المستخدمين الآخرين ومن ثم اختراقهم، والحل الوحيد هو تعطيل بعض الدوال الخطيرة في php وتغير صلاحيات ملفات معينة مع تركيب بعض البرمجيات التي تشل حركة المخترق داخل المخدم. لكن بقدر ما يحاول خبراء الأمن تطوير وتحسين القاعدة الأساسية للأمن يحاول المخترقون بدورهم إيجاد طرائق بديلة لتخطى الجدران المنيعة.

دورة الهكر الأخلاقي CEH

تعد دورة الهكر الأخلاقي من أهم الدورات التي يجب على كل مهتم بمجال أمن المعلومات دراستها، لما فيها من دروس وتقنيات نظرية وتطبيقية، فهذه الدورة موجهة للمستوى المبتدئ والمهتم في مجال أمن المعلومات واختبار الاختراق، وتهدف إلى بناء خبرة عملية وتجربة عملية ونظرية في استخدام تقنيات وأدوات الاستخبارات الإلكترونية المفتوحة الموارد والبحث والاستطلاع الإلكتروني وتحضير مختبر اختبار الاختراق والكثير من المواضيع المهمة.

تتحدث الدورة عن كيفية تحضير مختبر اختبار الاختراق، وتناقش الخطوات الأساسية في عملية اختبار الاختراق مثل عملية الاستطلاع وجمع المعلومات والفحص الأمني وتقنيات الهندسة الاجتماعية وغيرها من مواضيع مهمة.

محاور الدورة

  • تحضير مختبر اختبار الاختراق ومقدمة حول المادة

  • آلية جمع المعلومات حول الأفراد والمؤسسات

  • تعريف آليات اختبار الاختراق

  • آليات المسح حول الهدف الداخلي والخارجي

  • مقدمة في الاستخبارات الإلكترونية المفتوحة المصدر

  • تحليل النشاطات الإلكترونية لمستخدمي الإنترنت

  • هجمات الهندسة الاجتماعية باستخدام مواقع التواصل الاجتماعي

مخرجات الدورة

في نهاية الدورة سيتمكن المشاركون من:

  • تحضير مختبر اختبار الاختراق.

  • التعرّف على أهم التهديدات والمخاطر الإلكترونية.

  • تعلّم آلية البحث والاستطلاع الإلكتروني والبحث عن الأهداف 

  • معرفة فنون الهندسة الاجتماعية

  • معرفة آليات المسح حول الأهداف الداخلية والخارجية

  • معرفة آليات اختبار الاختراق 

  • معرفة الاستخبارات الإلكترونية المفتوحة المصدر 

  • معرفة كيفية تحليل النشاطات الإلكترونية لمستخدمي الانترنت 

  • معرفة آليات الحفاظ على الخصوصية الرقمية

خاتمة

الاختراق الأخلاقي أو القرصنة الأخلاقيّة عبارة عن عمليات اختراق يقوم بها مخترقون وخبراء كمبيوتر مهرة، وذلك لتحديد نقاط الضعف في النظام المراد حمايته وتصحيحها، وينقسم عالم القرصنة الإلكترونيّة إلى قسمين، الأول هو القراصنة الفاسدين الملقبين بالقبّعات السوداء، والثاني هو القراصنة الأخلاقيين والملقّبين بالقبعات البيضاء، ووجود القرصنة الأخلاقيّة في عالم الإنترنت أمر مهم جداً، حيث إنّ الإنترنت يعتبر مخزناً لكميات كبيرة من المعلومات الخاصة والسريّة، ونتيجة لوجود هذا الكم الهائل من المعلومات، يجب أن يكون هناك تحديث مستمر للنظام وتطوير دائم لأنظمة الحماية، وهنا يكمن دور القرصنة الأخلاقية في منع القراصنة الفاسدين من الوصول إلى المعلومات والبيانات الخاصة.

 

التعليقات

اضف تعليقك