هكرهاي كرايه اي!

[Farhad3614]

به عنوان مسؤول يك شبكه كامپيوتري، چگونه مي‌خواهيد امنيت شبكه خود را بالا ببريد؟ گزينه‌هاي متعددي پيش روي شماست. بهترين آن‌ها اين است كه دانش خود و پرسنل شبكه را در زمينه مسايل امنيتي بالا ببريد و از تجهيزات نرم‌افزاري قوي استفاده كنيد. اما راه‌هاي ديگري هم هست. اين روزها خيلي از شبكه‌ها به فكر استخدام هكرها افتاده‌اند! اين افراد استخدام مي‌شوند تا نقاط ضعف و رخنه‌هاي شبكه و سايت شما را كشف كنند و رهنمودهاي لازم را براي برطرف كردن آن‌ها در اختيارتان قرار دهند. اين مقاله خلاصه‌اي از چندين مقاله و خبر در اين زمينه است كه توسط نويسنده گردآوري و تنظيم شده و ابعاد مسأله «هكر بودن» را به عنوان يك شغل بررسي مي‌كند.

[External Link Removed for Guests]

كرايه كردن و استخدام هكرها به‌تدريج به يك كار متداول تبديل مي‌شود. در كشورهاي در حال توسعه‌اي مثل عربستان و چين كه دولت محدوديت‌هاي شديدي را بر استفاده مردم از سايت‌هاي اينترنتي وارد مي‌كند، جوانان بسياري هستند كه كارشان هك كردن موانع و عبور كردن از ف_ * ل*_ ت ر و ديواره‌هاي آتش است. اين جوانان توسط صاحبان كافي‌نت‌ها و ديگر مراكز سرويس‌دهي اينترنت به‌صورت ساعتي كرايه مي‌شوند تا امكان دسترسي براي كاربراني را كه حاضرند براي مشاهده‌ي سايت‌هاي دلخواه خود پول بيش‌تري بپردازند، فراهم كنند. حتي بعضي از اشخاص متمول (مثلاً در عربستان) اين هكرها را در منزل كرايه مي‌كنند تا براي چند ساعت امكان دسترسي آن‌ها به سايت‌هاي دلخواه آن‌ها را فراهم كنند. در كشورهاي صنعتي، هكرها به‌گونه‌ي ديگري كرايه مي‌شوند. در اين كشورها شركت‌ها و سازمان‌هاي مختلفي كه در محل خود، سايت يا شبكه كامپيوتري ويژه‌اي دارند، از بيم رخنه‌هاي امنيتي موجود در شبكه خود و براي اجتناب از حوادث احتمالي در آينده، هكرهاي كاركشته را به‌طور موقت (يا دائم) استخدام مي‌كنند تا با ميل و تقاضاي كارفرما، شبكه‌ي آن‌ها هك شود و از اين طريق نقاط ضعف و نفوذ‌پذيري سيستم‌هاي‌شان پيدا شود. گاهي اوقات همين كارفرما به هكري كه كرايه كرده است پول بيش‌تري مي‌دهد تا خودش نقطه‌ ضعفي را كه يافته است، مسدود كند يا از هكرها مي‌خواهد به كارشناسان سازمان مشاوره و راهنمايي‌هاي لازم براي برطرف كردن نقاط آسيب‌پذير را بدهند. به اين ترتيب به نظر مي‌رسد «هكري» به يك شغل پول‌ساز تبديل شده كه در شرايط خلاء قانوني يا در كنار قانون به حيات خود ادامه دهد.

طنز قضيه در آن است كه گاهي اوقات همين دولت‌ها نيز هكرها را براي يافتن نقاط نفوذپذيري ف_ * ل*_ ت ر و ديواره‌هاي آتش خود استخدام و مبالغي كلان به آن‌ها براي مسدود كردن اين گذرگاه‌ها مي‌پردازند. حتي در كشوري مثل آمريكا كه موانع فرهنگي اندكي براي دسترسي مردم به سايت‌هاي اينترنتي وجود دارد، سازمان‌هايي مثل اف‌بي‌آي (پليس آمريكا) هكرهاي سابقه‌دار و حرفه‌اي را به‌طور مخفيانه براي كشف روش‌هاي عملياتي ساير هكرها، خلاف‌كاران و دزدان شبكه‌اي و نيز نفوذ به تشكيلات سازمان‌هاي تبهكاري، تروريستي و غيره اجير مي‌كنند.

مزدورهاي عصر شبكه در سرتاسر جهان همه روزه مشغول كارند، گاهي اوقات با قصد جاسوسي علمي، اقتصادي يا سياسي، گاهي اوقات به قصد خرابكاري و ضربه‌زدن و گاهي به قصد يافتن نقاط ضعف سيستم‌ها و شبكه‌هاي كامپيوتري. در اين ميان آن‌چه بيش از هر علت ديگري موجب رواج پديده‌ي «هكرهاي كرايه‌اي» شده است و حيات و بقاي اين قشر از جامعه را تداوم بخشيده است، همانا مزاياي استفاده كردن از تجربيات هكرها براي مقابله با تهديدات ساير هكرهاي متخاصم است. منطق اين راهبرد يك مثل قديمي است كه مي‌گويد: «دشمن دشمن شما دوست شماست.» اگرچه بديهي است كه چند جفت چشم تيزبين و متخصص براي وارسي و اندازه‌گيري وضعيت امنيتي شبكه شما بسيار سودمند به نظر مي‌رسند، اما اين سوال مطرح است كه آيا مي‌توان به كساني كه در حمله و نفوذ به ساير شبكه‌ها شناخته شده هستند، در سازمان خود اعتماد كرد؟ چه دليلي وجود دارد كه هكري كه تا ديروز دشمن بالقوه شبكه شما به شمار مي‌رفت، امروز پس از دريافت مبلغي پول معتمد شما باشد؟ اين اعتماد تا كجا و كي دوام خواهد آورد؟

پرسش‌هاي ديگري نيز مطرح‌اند: از كجا معلوم كه هكر استخدام شده، صادقانه تمام رخنه‌هاي امنيتي را كه كشف كرده‌ است، به شما اطلاع دهد؟ شايد بخواهد برخي از آن‌ها را براي هنگام دريافت دستمزد و چانه‌زني محفوظ نگه دارد. شايد برخي از آن‌ها را هرگز به شما اطلاع ندهد تا راه را براي كسب درآمد دوباره در آينده براي خود يا دوستانش باز بگذارد. آيا ممكن است هكر استخدامي شبكه شما در اصل مزدور كسان ديگري باشد و با ماسك اعتماد برانگيزي نزد شما آمده باشد تا رخنه‌هاي امنيتي شبكه‌ي شما را برطرف كند؟ حتي ممكن است شبكه‌ي شما با وجود انواع حصارهاي امنيتي و ديواره‌هاي آتش، به سختي از بيرون شركت يا سازمان قابل نفوذ باشد، اما پس از كرايه كردن هكري به قصد يافتن رخنه‌ها آمده است، در داخل سازمان شما و بدون اين‌كه كسي متوجه شود نقاط آسيب‌پذير جديدي را كه تا قبل از آن وجود نداشته است، خود پديد آورد تا نهايتاً بتواند بر سر آن‌ها با كارفرما يا افراد ديگر معامله كند.

عجيب است كه با وجود اين همه پرسش نگران‌كننده، روزبه‌روز به تعداد سازمان‌ها و شركت‌هايي كه در اروپا، ژاپن و آمريكا هكرهاي حرفه‌اي را كرايه مي‌كنند، افزوده مي‌شود. شايد در جامعه‌ي زيرزميني هكرها مرام و مسلكي وجود دارد كه براساس يك توافق نانوشته و ثبت نشده، هكرهاي حرفه‌اي از سوء استفاده بيش از حد از پرسش‌هاي فوق اجتناب مي‌كنند تا بازار اين نوع نيمه مشروع از كاسبي‌شان هم‌چنان داغ بماند!
بعضي از روان‌شناسان عصر شبكه اين‌طور استدلال مي‌كنند كه نفوذگري شبكه‌اي لزوماً به يك شخصيت بد و ضد اجتماع نياز ندارد و پديده‌ي فيزيولوژيكي «باكتري‌هاي مفيد» را به‌عنوان نمونه‌ي مشابهي در حوزه‌ي متفاوت «بهداشت» يادآوري مي‌كنند.

گروه ديگري از كارشناسان مسائل اجتماعي حتي از اين هم فراتر مي‌روند و تحليل پيچيده‌تري ارائه مي‌كنند. آنان معتقدند رشد پديده‌ي «هكرهاي كرايه‌اي» يك نوع واكنش اجتماعي از سوي صاحبان سايت‌ها و شبكه‌ها به حضور اين قشر از جامعه‌ي فراصنعتي است و اضافه مي‌كند همان‌طور كه هكرهاي حرفه‌اي از مهندسين اجتماعي براي فريب دادن قربانيان خود استفاده مي‌كنند، شركت‌ها و سازمان‌هاي باهوش با نزديك كردن خود به جامعه‌ي هكرها و اجتناب از غريبه‌ نگه‌داشتن هكرها نسبت به سازمان‌ مطبوع خود، نوعي مصونيت اجتماعي در برابر تهديدات آنان پديد مي‌آورند. اين رهيافت در حقيقت سطح پيچيده‌تري از مهندسي اجتماعي است كه از طريق آن صاحبان و رؤساي سازمان‌ها و شركت‌ها مي‌كوشند نوعي هم‌زيستي مسالمت‌آميز ميان مجموعه‌ي خود و جامعه‌ي هكرها به‌وجود آورند تا حضور دائمي هكرها در سازمان و شركت‌گونه‌اي از پادتن و واكسن اجتماعي را در سرتاسر سازمان منتشر كند. شايد از اين طريق پرسنل شركت را نسبت به خطرات احتمالي هوشيار و گوش به زنگ و آماده براي رويارويي با حوادث نگه دارند.

فرضيه‌هايي مانند اين موجب پديد آمدن دانش جديدي به‌نام Cybersecurity شده است. اصل اول اين دانش مي‌گويد: «هكرها را غيرخودي نكن و ميان خودت و هكرها مرز نكش! در حقيقت با آن‌ها دوستي كن. براي آن‌ها خرج كن! آن‌ها را مجرم، تروريست و عقده‌اي نخوان!»

چندي پيش خبرگزاري آسوشيتدپرس ماجراي جالبي را گزارش كرد. ريچارد كلارك مشاور جرج بوش در زمينه‌ امنيت كامپيوتري تصميم مي‌گيرد در يكي از همايش‌هاي بزرگ هكرهاي آمريكا به‌نام «كلاه مشكي» شركت كند. روز دهم مرداد وي به سالن همايش «كلاه مشكي» در لاس وگاس مراجعه مي‌كند و مشاهده مي‌كند كه جمعيت زيادي از كارشناسان امنيت و هكرها مشغول رايزني با يكديگر در زمينه‌ي مشكلات امنيتي هستند. كلارك طي سخنراني‌اي كه در جمع هكرها ايراد مي‌كند بر اين واقعيت صحه مي‌گذارد كه بسياري از رخنه‌هاي امنيتي كه در نرم‌افزارهاي مهم و متداول وجود دارند توسط خود سازندگان‌شان شناخته نشده‌اند، در حالي‌كه بسياري از كاربران مستقل اين نقاط آسيب‌پذير را كشف كرده‌اند. كلارك در سخنراني خود كارشناسان و هكرهاي حاضر در سالن را تشويق مي‌كند كه نرم‌افزارها و سيستم‌هاي كامپيوتري را هرچه زودتر هك كنند و در زمينه‌ي ارائه دستاوردهاي خود به دولت و شركت‌هاي كامپيوتري همكاري كنند. وي تأكيد مي‌كند كه «بعضي از ما افراد حاضر در اين سالن به لزوم پيدا كردن هرچه سريع‌تر نقاط آسيب‌پذيري رسيده‌ايم.»

سخنان كلارك به آخرين يافته‌هاي يك مؤسسه پژوهشي دولتي درباره‌ي امنيت كامپيوتري اشاره داشت كه طي آن گزارش شده بود اين مؤسسه هزاران رخنه‌ي امنيتي گوناگون را در بافت نرم‌افزارهاي شركت‌هاي سان مايكروسيستمز، مايكروسافت، اوراكل و AOL و ديگر شركت‌هاي كامپيوتري پيدا كرده است كه به‌نحوه فاجعه باري امنيت كسب و كار الكترونيكي را تهديد مي‌كنند.

كلارك از هكرها خواست پس از يافتن رخنه‌ها بلافاصله به شركت‌هاي سازنده مراجعه كنند و بر سر ارائه يافته‌هاي خود به آن‌ها به توافق برسند و معامله‌ كنند و در صورت عدم كسب نتايج دلخواه به دولت مراجعه كنند و طرح‌هاي خود را ارائه كنند.
سخنان كلارك بازتاب مختلفي را به‌دنبال داشت. بعضي شركت‌هاي كامپيوتري از همكاري بيش‌تر هكرها و سازندگان نرم‌افزار استقبال كردند و بعضي ديگر هشدار دادند كه چنين پيشنهاداتي ممكن است موجب رواج اخاذي هكرها از سازندگان نرم‌افزار شود. بعضي از تحليل‌گران اظهار داشتند كه ممكن است اين راهبرد موجب پديد آمدن بازار سياهي شود كه در آن هكرها، دلالان و كارشناسان امنيتي، پرسنل شركت‌ها و مأموران دولت به خريد و فروش موردي باگ‌ها و رخنه‌هاي امنيتي مي‌پردازند.

خالي از لطف نيست كه بدانيد كنفرانس «كلاه مشكي» از سوي مؤسسات و شركت‌هايي مثل Princewaterhouse Cooper و مايكروسافت و چندتاي ديگر حمايت و پشتيباني مي‌شود و هر سال طي يك همايش دو روزه راه‌هاي نفوذ به سيستم‌ها و اخلال در آن‌ها را بررسي مي‌كند.

همه‌ي اين بحث‌ها و مشاجرات منجر به ابهامات و پرسش‌هاي ديگري شده‌اند كه خود به خود بر پيچيدگي حقوقي موضوع افزوده‌اند. يك مسأله‌ي مهم اين است كه موضع دولت در اين زمينه بايد چگونه باشد؟ آيا دولت بايد هكرها را تشويق كند؟ آيا دولت بايد با پديده‌ي «هكرهاي كرايه‌اي» مقابله كند؟ كارشناسان اقتصادي مسأله‌ي سود و زيان را در اين تصميم‌گيري دخيل مي‌دانند. آن‌ها معتقدند در كشورهايي با اقتصاد توليدي مثل آمريكا سود دولت بيش‌تر در اين است كه هكرها را تشويق به همكاري با شركت‌ها كند، اما در كشورهايي كه عمدتاً مصرف‌كننده‌ي محصولات كامپيوتري هستند شايد وضعيت متفاوت باشد. اگرچه به‌طور طبيعي تعداد مصرف‌كنندگان هر محصولي از تعداد توليدكنندگان آن بيش‌تر است و مي‌توان پيش‌بيني كرد كه هكرها از بابت معامله‌ و چانه‌زني با بازار مصرف‌كنندگان به سود بيش‌تري دست خواهند يافت.

از سوي ديگر تكليف ابعاد حقوقي مسأله هنوز روشن نيست. در واقع دولت نمي‌تواند از يك‌سو هكر بودن را جرم بداند و از سوي ديگر از توانايي‌هاي اين افراد براي كشف نقاط ضعف سيستم بهر‌ه‌كشي كند.
اين تناقص حقوقي در انواع قديمي‌تر نفوذگري و تجاوز به منافغ ديگران وجود نداشته است. پليس هر كشوري ممكن است براي مقابله با جرائم مشهود از تجربيات دزدان و تبهكاران سابق استفاده كند، اما گستره‌ي اين فعاليت محدود است، چراكه تجاوز ديگران به منافع شخصي حادثه‌اي است كه بخش ناچيزي از زندگي هر انسان معمولي را تشكيل مي‌دهد درحالي كه به‌دليل گسترش بي‌سابقه‌ي كامپيوترها و شبكه‌هاي ارتباطي، بسياري از مردم، شبانه روز در معرض تهديد دائمي هكرها و نفوذگران شبكه‌اي هستند و اگر بنا باشد دولت و مردم از توانايي‌هاي هكرهاي حرفه‌اي براي كشف نقاط آسيب‌پذير سيستم‌هاي خود استفاده كنند، ابعاد اين صورت مسأله‌ي «تجاوز شبكه‌اي» از نظر حقوقي، ارزشي و اخلاقي مفهومي دوگانه نخواهد بود؟

منبع : ماهنامه شبکه

[jeyjey]

آقا خيلي جالب بود
راستي بابت اينکه نتونستم بيام تو سايت شرمندم چون اين روزا سرم خيلي شلوغه و زياد نمي تونم بيام تو نت ولي به موقعش چند تا مقاله توپ در باره امنيت ميزارم واستون
با تشکر
[External Link Removed for Guests]