چگونه هکر اخلاقی شویم، راهنمای گام به گام

آخرین به روز رسانی: 1404-07-28
خواندن این مطلب 11 دقیقه زمان میبرد

در این مقاله خواهید فهمید که هکر اخلاقی بودن واقعاً به چه معناست. من نکاتی را به اشتراک می گذارم درباره اینکه چطور آموزش مناسب ببینید، از کجا شروع کنید، و چگونه بفهمید آیا هک اخلاقی برای شما به عنوان یک مسیر شغلی مناسب است یا نه.

چگونه هکر اخلاقی شویم، راهنمای گام به گام

هک اخلاقی چیست؟

تعریف کتابی «هک» به معنای یافتن نقاط ضعف قابل سوءاستفاده در سیستم های کامپیوتری، دستگاه های دیجیتال یا شبکه ها برای دسترسی غیرمجاز به داده های آن ها است.

هدف هکرهای اخلاقی این است که این نقاط ضعف را شناسایی کنند تا قبل از اینکه دیگران از آن ها سوءاستفاده کنند، اصلاح یا محافظت شوند.

وقتی هکرهای اخلاقی توسط یک سازمان استخدام می شوند تا سیستم ها و شبکه های کامپیوتری را آزمایش کنند، اغلب به آن ها «تست کننده نفوذ» (Penetration Tester) گفته می شود. سازمان ها از این اصطلاح برای توصیف شغل هکرهای حرفه ای در دنیای شرکتی استفاده می کنند.

اصطلاح دیگر «هکر کلاه سفید» (White Hat Hacker) است که برای تمایز هکرهای اخلاقی از هکرهای کلاه سیاه به کار می رود، کسانی که در سمت دیگر قانون فعالیت می کنند.

هکر کلاه خاکستری (Grey Hat Hacker) اصطلاحی است برای کسی که ممکن است با نیت درست عمل کند اما از روش های غیراخلاقی استفاده می کند.

نیت آن ها ممکن است پاک باشد (مثلاً جستجوی باگ در وب سایت یک شرکت)، اما اگر خارج از برنامه رسمی باگ بانتی یا قرارداد تست نفوذ عمل کنند، باز هم قانون را شکسته اند.

هکرهای حرفه ای بر طبق یک کد اخلاقی عمل می کنند که آن ها را از هکرهای غیرحرفه ای یا مخرب متمایز می سازد. سازمان حرفه ای امنیت سایبری (ISC)²، به عنوان مثال، یک کد اخلاقی دارد که شامل چهار رکن است:

  • محافظت از جامعه، خیر عمومی، اعتماد و اطمینان لازم عمومی، و زیرساخت ها.
  • رفتار شرافتمندانه، صادقانه، عادلانه، مسئولانه و قانونی.
  • ارائه ی خدماتی دقیق و شایسته به کارفرمایان/موکلان.
  • پیشبرد و حفاظت از حرفه (امنیت سایبری).

هر بار که واردِ کار هک اخلاقی می شوید، تجربه ای منحصربه فرد خواهد بود که نیازمند تفکری خلاقانه، نوآورانه و پافشاری در مواجهه با چالش های در حال تکامل و پیش بینی نشده است.

فناوری های جدیدی برای یادگیری وجود خواهند داشت که به صورت منحصر به فرد پیکربندی شده اند و شما باید چشم انداز فنیِ مربوطه را شناسایی و ترسیم کنید.

هکر اخلاقی چه کار می کند؟

هدف یک هکر اخلاقی (یا تست کننده نفوذ) این است که نقص ها و آسیب پذیری های پنهان در شبکه ها یا سیستم های دیجیتال و حتی فیزیکی را پیدا کرده و راهکارهای رفع آن ها را پیشنهاد دهد، پیش از اینکه این ضعف ها عمداً یا تصادفاً مورد سوءاستفاده قرار بگیرند. شرکت ها هکرهای اخلاقی را برای آزمایش سیستم ها، شبکه ها یا زیرساخت های مشخصی که در محدوده تست هستند، استخدام می کنند.

هکرهای اخلاقی سپس از ابزارهای هک اخلاقی برای شناسایی آسیب پذیری ها استفاده می کنند، فرآیندها و فعالیت ها را مستندسازی می کنند و گزارش های تست نفوذ را برای همکاران ارشد و مشتریان می نویسند.

نمونه هایی از فعالیت های روزمره یک هکر اخلاقی:

  • انجام ارزیابی آسیب پذیری شبکه یا برنامه های وب.
  • اسکن شبکه ها با ابزارهایی مثل
  • تحلیل ساختار شبکه و پروتکل ها با ابزارهایی مانند
  • پردازش و بررسی حجم زیادی از داده ها یا جستجو در فایل شیرها برای پیدا کردن پسوردها (مثلاً من روزها صرف پیدا کردن اطلاعات ورود در فایل شیرها کرده ام).
  • شناسایی و حمله به محیط های Active Directory و برنامه های وب.
  • ارتباط با مشتریان و کمک به مدیران ارشد و صاحبان حساب ها در ارائه گزارش امنیتی و پاسخ به سؤالات آن ها؛ این شامل تماس های فروش یا شروع پروژه ها هم می شود.
  • مستندسازی یافته ها در قالب گزارش رسمی که شامل جزئیات سطح بالا برای خوانندگان غیرتکنیکی و جزئیات فنی برای افرادی است که مسئول رفع مشکلات هستند.

لازم به ذکر است که تمام وقت یک تست کننده نفوذ صرف «هک کردن» نمی شود. حداقل ۲۵٪ از زمان صرف نوشتن مستندات، تعامل با مشتریان و گزارش دهی به ذی نفعان داخلی و خارجی می شود.

به همین دلیل، مهارت های فنی در امنیت حمله ای به تنهایی کافی نیست تا یک هکر اخلاقی شوید.

شما همچنین باید مهارت های ارتباطی و نرم حرفه ای داشته باشید یا آن ها را تقویت کنید؛ یعنی:

  • نوشتن ایمیل های حرفه ای
  • رعایت وقت و تعهدات
  • ارتباط مؤثر با ذی نفعان غیرتخصصی
  • تحویل پروژه ها در زمان مقرر

ویژگی های یک هکر اخلاقی مؤثر

همه برای نقش هکر اخلاقی مناسب نیستند. برخی از ویژگی های کلیدی و ضروری برای موفقیت در این مسیر عبارت اند از:

مهارت های فنی قوی

هیچ مسیر واحد و مشخصی برای یادگیری هک یا تبدیل شدن به هکر اخلاقی وجود ندارد. داشتن مدرک دانشگاهی در علوم کامپیوتر یا امنیت سایبری ضرورتی برای موفقیت ندارد.

هر شغل فنی، گواهی نامه یا برنامه خودآموز می تواند دانش و مهارت های مفیدی به شما بدهد. و هنگامی که وارد محیط کار شدید، می توانید برای پر کردن خلاهای دانش خاص مطالعه کنید.

آیا داشتن مدرک یا گواهی نامه به ورود شما کمک می کند؟ بله، اما پس از آن تجربه شما در نقش های امنیت سایبری و توانایی شبکه سازی است که مسیر حرفه ای شما را شکل می دهد.

یکی دیگر از راه های تقویت سریع در اوایل مسیر شغلی، داشتن یک گواهی نامه تخصصی است که در ادامه جزئیات بیشتری درباره آن ارائه خواهد شد.

نکات کلیدی برای تبدیل شدن به هکر اخلاقی مؤثر

پشتکار و روشمندی

توانایی ادامه دادن روی یک مشکل تا حل آن و نزدیک شدن به مسائل به صورت روشمند، در هک اخلاقی ضروری است.

این مهارت نه تنها برای حل مشکلات بلکه برای انجام وظایف روتین و تکراری نیز اهمیت دارد، که ممکن است خسته کننده باشند.

تفکر خلاق و خارج از چارچوب

برای اینکه بتوانید خارج از چارچوب فکر کنید، ابتدا باید بدانید و تعریف کنید «چارچوب چیست».

این موضوع به پایه فنی قوی و درک رفتار افرادی که در سیستم دخیل هستند بازمی گردد.

  • اگر بتوانید فرضیات یک توسعه دهنده هنگام پیاده سازی یک پروتکل یا قطعه کد را درک کنید، می توانید خارج از چارچوب فکر کرده و مسیرهای جدید حمله را کشف کنید.
  • اگر بدانید یک مهاجم بالقوه چگونه فکر می کند، می توانید ببینید چگونه ممکن است زنجیره ای از آسیب پذیری ها را ترکیب کرده، به سیستم نفوذ کند، در شبکه حرکت جانبی انجام دهد و شناسایی نشود.

تست نفوذ واقعی نیازمند شهود انسانی است. اگر به شهود انسانی نیاز نبود، نرم افزارهای پولی تا الان امنیت را حل کرده بودند. این نشان می دهد که نمی توان تنها به ابزارها یا تفکر برنامه محور تکیه کرد؛ خلاقیت، انعطاف پذیری و تفکر خارج از چارچوب حیاتی هستند.

علاقه به حل مسئله

در این مرحله باید از خود بپرسید: آیا واقعاً از حل مسئله لذت می برید؟

اگر همه ویژگی های قبلی را دارید، دانش فنی، پشتکار، و خلاقیت خارج از چارچوب، آیا از به کارگیری آن ها برای حل مسائل پیچیده و گاه کوچک از یک پازل هزار قطعه ای لذت می برید؟

پنج گام برای تبدیل شدن به هکر اخلاقی

گام ۱: مهارت های پایه ای هک اخلاقی را توسعه دهید

برای مبتدیان، شروع با مهارت های اساسی امنیت سایبری که برای هک نیاز است، توصیه می شود:

  • شبکه ها (Networking)
  • لینوکس (Linux)
  • ویندوز (Windows)
  • اسکریپت نویسی (Scripting)

بدون توجه به اینکه در آینده حملات شما پیشرفته یا ساده خواهند بود، همیشه به دانش و مهارت های این حوزه های پایه نیاز خواهید داشت.

تسلط بر اصول پایه همچنین توانایی شما را برای یادگیری مفاهیم، تکنیک ها و ابزارهای هک پیشرفته تر افزایش می دهد.

۱. شبکه ها (Networking)

اکثر چیزها در هک یا امنیت سایبری حول شبکه می چرخند. به همین دلیل، آشنایی محکم با اصول شبکه و امنیت شبکه برای هکرهای مبتدی که در حال یادگیری اند، پایه ای و ضروری است.

درک ساختار شبکه ها و نحوه ی ارتباط دستگاه ها باعث می شود بتوانید نقاط ضعف شبکه را شناسایی، محافظت، بهره برداری (در صورت نیاز برای تست) و البته رفع (Remediate) کنید.

با این دانش می دانید چه سرویس هایی روی یک سرور اجرا شده اند، از چه پورت ها و پروتکل هایی استفاده می کنند و رفتار جریان ترافیک چگونه است.

۲. لینوکس (Linux)

مهارت های هک اخلاقی: لینوکس

سیستم عامل (OS) نرم افزاری است که تمام منابع سخت افزاری یک کامپیوتر را مدیریت می کند. به عبارت دیگر، سیستم عامل ارتباط بین نرم افزار و سخت افزار را برقرار می کند.

یادگیری سیستم های عامل لینوکس یک قدم ضروری و اجتناب ناپذیر در امنیت سایبری است، زیرا لینوکس حدود دو سوم سرورهای جهان را پوشش می دهد، از جمله macOS که آن نیز بر پایه لینوکس ساخته شده است. سیستم های عامل مبتنی بر لینوکس روی سرورها، مین فریم ها، دسکتاپ ها، سیستم های جاسازی شده مانند روترها، تلویزیون ها، کنسول های بازی و غیره اجرا می شوند.

۳. ویندوز (Windows)

مهارت های هک اخلاقی: ویندوز

باید ساختار فایل ها و خط فرمان ویندوز را بشناسید، چرا که ویندوز هنوز در محیط های شرکتی با هر اندازه ای بسیار رایج است.

در جریان تست نفوذ، اغلب لازم است به یک میزبان ویندوزی دسترسی پیدا کنید. علاوه بر این، بسیاری از سرورها روی ویندوز اجرا می شوند و اکثر شرکت ها به دلیل سادگی استفاده برای کارمندان و مدیریت متمرکز از طریق Active Directory، ویندوز را روی سیستم های کاری خود نصب می کنند.

۴. اسکریپت نویسی بش (Bash scripting)

مهارت های هک اخلاقی: بش

Bash یک زبان خط فرمان است که برای ارسال دستور و درخواست به سیستم عامل هایی مانند لینوکس استفاده می شود.

به عنوان هکر، یادگیری نوشتن اسکریپت های بش به شما کمک می کند قدرت کامل سیستم عامل لینوکس را با اتوماسیون کارها و استفاده از ابزارها به کار بگیرید.

۵. یک زبان برنامه نویسی (مثل Python)

مهارت های هک اخلاقی: Python

Python یک زبان برنامه نویسی قدرتمند و مناسب برای شروع در امنیت سایبری است، زیرا چندمنظوره، نسبتاً آسان برای یادگیری، و نقش کلیدی در نفوذ به سیستم ها و شبکه ها دارد.

شما از Python برای کارهای زیر استفاده خواهید کرد:

  • اتوماسیون وظایف
  • نوشتن اسکریپت های سفارشی
  • جمع آوری داده از وب
  • تحلیل بسته ها و داده ها
  • شناسایی و توسعه بدافزار

گام ۲: مسیر یادگیری خود را انتخاب کنید

بعد از اینکه پایه ای محکم از دانش نظری و مهارت های عملی در امنیت سایبری ساختید، می توانید یک گواهی نامه، مدرک دانشگاهی یا برنامه آموزش خود راهنمایی شده را دنبال کنید تا صلاحیت خود در امنیت سایبری را ثابت کنید.

از نظر فنی، داشتن گواهی نامه الزامی نیست تا هکر اخلاقی شوید.

اما وقتی شروع به تماس با استخدام کنندگان و درخواست شغل های سطح مبتدی می کنید، داشتن گواهی نامه شانس شما را افزایش می دهد؛ زیرا توانایی شما را اثبات کرده و رزومه شما را از سیستم های خودکار غربالگری که به دنبال الزامات خاص مانند یک گواهی نامه هستند، عبور می دهد.

وقتی می خواهید گواهی نامه امنیت سایبری انتخاب کنید، توسعه مهارت ها را در اولویت قرار دهید.

علاوه بر این، باید موارد زیر را نیز در نظر بگیرید:

  • آیا گواهی نامه شما را برای وظایف واقعی و تست نفوذ عملی آماده می کند یا خیر؟
  • قیمت گواهی نامه، مدت زمان دسترسی به محتوای آموزشی و هزینه تمدید آن.
  • میزان شناخته شده بودن برند ارائه دهنده گواهی نامه در میان استخدام کنندگان و متخصصان امنیت.

گام ۳: مهارت های عملی خود را اثبات کنید

زمانی که من وارد دنیای هک اخلاقی شدم، محیط های آزمایشگاهی آنلاین و مقرون به صرفه وجود نداشتند. منابع رایگان اصلی، نیاز داشتند که یک ماشین آسیب پذیر دانلود کنید و روی آن هک کنید، مثل پلتفرم Vulnhub.

این منابع برای شروع مفید بودند، اما شبکه های شرکتی واقعی را شبیه سازی نمی کردند. بنابراین کسب تجربه در یک محیط واقعی دشوار بود، مگر اینکه بتوانستید خودتان یک شبکه Active Directory کوچک بسازید و آزمایش کنید.

اگر هنوز دسترسی ندارید، از آزمایشگاه های هک برای شبیه سازی تمرین در محیط های واقعی شرکتی استفاده کنید. تجربه در آزمایشگاه، برای یادگیری و مصاحبه ها بسیار مؤثر است؛ زیرا اعتمادبه نفس شما در مهارت های عملی را افزایش می دهد.

اگر گواهی نامه ای دریافت کرده باشید، ممکن است به آزمایشگاه هایی برای تمرین مهارت های آزمون دسترسی پیدا کرده باشید. ادامه تمرین با ماشین های Hack The Box و سایر سایت ها، راهی عالی برای یادگیری مهارت های جدید یا ارتقای مهارت های موجود است.

همچنین مشاهده ویدیوهای آموزشی ماشین ها در یوتیوب توسط Ippsec یا خواندن Write-upهای 0xdf، راه دیگری برای یادگیری است. به طور مداوم بخوانید، تماشا کنید و چالش های هک را کامل کنید تا مهارت خود را بهبود دهید.

گام ۴: حضور آنلاین خود را مدیریت کنید

پروفایل عمومی شما چه چیزی درباره شما می گوید؟

زمانی که من هکرهای اخلاقی حرفه ای استخدام می کردم، گوگل کردن نام داوطلبان یک عمل رایج بود.

این توصیه ای عمومی برای یافتن شغل است، اما استخدام کنندگان معمولاً حضور آنلاین شما را بررسی می کنند. پلتفرم هایی مانند LinkedIn، GitHub، YouTube، Stack Overflow و Hack The Box به شما امکان می دهند مهارت ها، دستاوردها و جایگاه خود در جامعه امنیت سایبری را نمایش دهید.

اقداماتی که می تواند شما را متمایز کند:

  • حضور در رویدادها و فعالیت های هک
  • شرکت در مسابقات Capture the Flag (CTF) و استفاده از آزمایشگاه های هک تا نشان دهید که به ارتقای مداوم مهارت ها و به روز بودن در حوزه امنیت سایبری متعهد هستید.

آیا باید در هر CTF یا ماشین HTB شرکت کنید؟

  • نه، اما باید به اندازه ای شرکت کنید که علاقه و سرمایه گذاری شما در یادگیری مداوم مشخص شود.

گام ۵: شروع به درخواست شغل کنید

می توانید مشاغل امنیت سایبری را در سایت های عمومی مانند LinkedIn یا Indeed پیدا کنید. اما اگر به دنبال یک مزیت اضافی هستید، تابلو شغلی Hack The Box به طور خاص برای نیازهای زیر طراحی شده است:

  • استخدام کنندگانی که به دنبال داوطلبان با مهارت های عملی هستند.
  • متخصصان امنیت سایبری که به دنبال فرصت شغلی می گردند.

زمانی که به رتبه Pro Hacker در HTB رسیدید، این پلتفرم می تواند پروفایل عمومی شما را با استخدام کنندگان به اشتراک بگذارد. این کار شما را به فرصت های شغلی و استخدام کنندگانی که ارزش تجربه عملی شما را می دانند متصل می کند.

این روش راهی عالی برای سرعت بخشیدن به جستجوی شغل و نشان دادن مهارت هایتان قبل از اینکه به استخدام کنندگان توضیح دهید، است.

ساخت پایه شغلی با مشاغل IT

اگرچه هک اخلاقی یک مسیر شغلی هیجان انگیز و رضایت بخش است، مشاغل دیگری در حوزه امنیت سایبری وجود دارند که دانش و مهارت های مشترکی با آن دارند.

برای مبتدیان، ممکن است ورود مستقیم به تست نفوذ دشوار باشد (اما غیرممکن نیست).

به همین دلیل توصیه می کنم حداکثر تجربه عمومی در IT (اغلب با شغل های سطح مبتدی امنیت سایبری) کسب کنید قبل از انتقال به نقش های بسیار فنی در امنیت اطلاعات مانند هک اخلاقی.

پرسش های متداول درباره هک اخلاقی

آیا می توان بدون مدرک دانشگاهی هکر اخلاقی شد؟

  • بله، ممکن است، اگرچه بسیاری از افراد فعال در امنیت سایبری دارای حداقل یک مدرک دانشگاهی هستند.
  • در مطالعه نیروی کار امنیت سایبری ۲۰۲۲ (ISC)²، ۸۷٪ پاسخ دهندگان حداقل مدرک کارشناسی داشتند که اغلب در رشته های مرتبط با علوم کامپیوتر بود.

هکرهای اخلاقی چقدر درآمد دارند؟

  • این بستگی به کشور شما دارد. در آمریکا، متوسط حقوق پایه ۱۱۹,۲۹۵ دلار است.
  • سایت هایی وجود دارند که نمای کلی از حقوق در کشور شما ارائه می دهند.

چقدر طول می کشد تا به یک شغل تمام وقت در این حوزه برسیم؟

  • اگر مدرک دانشگاهی را حساب نکنیم (که کارشناسی آن معمولاً ۳ تا ۴ سال طول می کشد)، باید ۶ تا ۱۲ ماه برای گرفتن یک گواهی نامه زمان در نظر بگیرید.
  • این فرض می کند که در طول این مدت تجربه عملی نیز کسب می کنید، یعنی تکمیل آزمایشگاه ها و ماشین ها در HTB، و غیره.

 

مطالب پرطرفدار سایت:

  1. چطور گوشی ها هک می شوند؛ ۷ روش رایج حمله ، توضیح داده شده
دسته بندی مطلب
آخرین به روز رسانی: 1404-07-28
خواندن این مطلب 11 دقیقه زمان میبرد
تمامی حقوق محفوظ است.
دکمه بازگشت به بالا