ملف العدد
القرصنة الأخلاقية: التعريف، الفوائد، الأهمية، الأنواع
العدد 155 | تشرين اﻷول (أكتوبر)-2020

بقلم خولة مراد

ظهر مصطلح "القرصنة" و "الهاكر" أول مرة في الستينيات في معهد ماساتشوستس للتكنولوجيا. وفي ذلك الحين نشأ فرع مستقل من العلم لاختصاص الحواسيب معتمدًا على المصطلحين السابقين.

يعني مصطلح "القرصنة" حالة النفاذ غير القانوني إلى موقع آمن، ولكن هل تعلم أن هذا المصطلح يمكن أن تكون له لمسة أخلاقية؟!

نناقش في هذه المقالة تعريفَ القرصنة الأخلاقية، وأهميتها، وفوائدها، وأنواعها.

ما هي القرصنة الأخلاقية؟

يقتضي التعريف الحرفي لمصطلح "القرصنة" العثور على نقاط الضعف في جدار حماية نظام ما، واستغلال هذه النقاط للنفاذ إلى هذا النظام بطريقة غير قانونية، والقيام بأنشطة ضارة. ويستطيع القراصنة الذين تمكنوا من اختراق جدار الحماية أن يحذفوا أو يسرقوا المعلومات الحساسة التي يمكن أن تؤذي الشركة أو الأفراد.

أما القرصنة الأخلاقية فتختلف قانونيًّا عن القرصنة التقليديَّة؛ إذ تقوم الشركات بتوظيف خبراءَ حاسوبيين لاختبار مقدار حمايات النظام وأمنه ولتحديد نقاط ضعفه وتقديم تحليل بغرض تحسين جدار الحماية. وكذلك فإن القرصنةَ الأخلاقية وسيلةٌ هامة للهيئات الحكومية لمعرفة وتحديد التهديدات المحتمَلة للأمن القومي.

وأما الأشخاص الذين يملكون الإذن باختراق أنظمة الحاسوب فيشار إليهم بالقراصنة الأخلاقيين، وهم معتمَدون؛ أي مصرَّحٌ لهم بالاختراق وفقًا لتعليمات العملاء، وذلك بقصد كشف نقاط الضعف لمعالجتها.

بعد تحديد الثغرات الأمنية، يقدِّم هؤلاء القراصنة الأخلاقيون "بطاقة نقاط الإرشاد"، توضِّح مستوى الخطر، وعدد الثغرات ونقاط الضعف في أمن النظام، وتقترح التحسينات المناسبة.

على عكس ذلك، هناك الكثير من الجدل حول موضوع القرصنة الأخلاقية، إذ يعتقد الكثيرون أنه لا توجد أية أخلاق في القرصنة. ومع ذلك، ومع تزايد الجرائم الإلكترونية تبرز حاجة المنظمات والحكومات بوضوح إلى القرصنة الأخلاقية لأنها تضمن أمنها الإلكتروني، وهذا ما يقودنا إلى أهمية القرصنة الأخلاقية واستعمالها في عالم الشبكات والإنترنت.

أنواع القرصنة الأخلاقية وأنواع القراصنة

يمكن تصنيف القرصنة الأخلاقية والقراصنة إلى فئات مختلفة بناءً على هدف القراصنة. ونبدأ بعرض أنواع القراصنة وأنواع القرصنة الأخلاقية قبل عرض أهميتها وفوائدها.

أنواع القراصنة

  • قراصنة القبعة البيضاء

قراصنة القبعة البيضاء - أو "القراصنة البيض" اختصارًا - هم ما يطلق عليهم القراصنة الأخلاقيين، وهم قراصنة لديهم موافقة المنظمة لاختراق نظامها واكتشاف أي ثغرات في نظامها الأمني قبل أن يحاول أي طرف آخر استغلال تلك الثغرات والنفاذ إلى موارد النظام بدون تصريح.

  • قراصنة القبعة السوداء

القراصنة السود هم الذين يقومون بعمليات الاختراق والقرصنة لإلحاق الضرر بشركة ما وسرقة المعلومات الحساسة. وهذه الأعمال غير قانونية طبعًا، لأنها تنتهك خصوصية الشركة ويمكن أن تدمِّر نظامها.

  • قراصنة القبعة الرمادية

يقع القراصنة الرماديون على الخط الفاصل بين القراصنة البيض والقراصنة السود إلى حدٍّ ما؛ إذ يستطيعون النفاذ إلى موارد نظام شركة ما بدون تصريح، وذلك بقصد المتعة والتسلية مع النية المسبقة بإبراز نقاط الضعف واستغلالها للحصول على مكافأة مالية.

  • قراصنة الانتحار

كما يوحي الاسم، لا يهتم القراصنة الانتحاريون بعواقب عملهم في مجال القرصنة، فهم يهدفون صراحةً إلى إلحاق أذًى مباشر لا رجعة فيه بالشركة التي يستهدفونها، ويشار إليهم أيضًا باسم hacktivists.

أنواع القرصنة الأخلاقية

  • قرصنة الشبكة

يشير اختراق الشبكة إلى استعمال أدوات مثل: Telnet، وPing، وNetstat، وTracert، وNS lookup وغيرها لاختراق نظام شبكة ما بنيَّةٍ إجرامية.

  • قرصنة مواقع الوب

عندما يخترق القراصنةُ موقعَ وِبْ معيَّنًا، فإنهم يَحصُلون على صلاحيات غير قانونية تمنحهم تحكُّمًا كاملًا بمخدِّمات الوب وكل البرمجيات المتعلقة بها، ومن ذلك قواعد البيانات.

  • قرصنة الحاسوب

اختراق الحاسوب هو عملية الحصول على صلاحيات غير مصرح بها إلى نظام تشغيل هذا الحاسوب، وذلك بعد سرقة حسابات المستعمِلين وكلمات المرور.

  •  قرصنة كلمات المرور

يَستعمل هؤلاء القراصنةُ وسائلَ غيرَ قانونية للحصول على كلمات المرور المخزَّنة أو المنقولة بواسطة النظام.

  •  قرصنة البريد الإلكتروني

وهي عملية الحصول على تحكُّمٍ كاملٍ وسيطرة غير مصرَّحٍ بها لحساب بريد إلكتروني، واستعماله لإرسال رسائل بريد إلكتروني واغلة Spams (غير مرغوب فيها)، وتهديدات من جهات خارجية، وأفعال أخرى غير قانونية وضارة.

أهمية القرصنة الأخلاقية

القرصنة التي ترعاها الدولة هي طريقة الحكومات لتأمين المعلومات الاستخباراتية عن الدول المعادية، وللتأثير في السياسة، وغير ذلك.

في عصر النزاعات الدولية، وخطر الإرهاب الإلكتروني والجماعات الإرهابية التي تموِّل مجرمي الإنترنت، يتعرض الأمن القومي للخطر باستمرار. إضافة إلى ذلك، ومع الارتفاع الأسي المتسارع للجرائم الإلكترونية، فإن الهيئات الحكومية والشركات تحتاج إلى طريقة ما لمواجهة التهديدات المتزايدة.

إن نقاط الضعف في أنظمة حماية وأمن الشركات تجعل أنظمة هذه الشركات عرضة للبرامج الضارة، حيث تتضاعف - مع التقدم التقاني - الفيروسات عمومًا، وفيروسات الفدية خصوصًا، والديدان والبرامج الضارة، مما يجعل القرصنة الأخلاقية أمرًا ضروريًّا.

تسمح القرصنة الأخلاقية للمنظمات بمكافحة النفاذ غير المصرح به. ولما كان المخترق لا يَعرف عن الشركة إلا ما تُطلعه عليه، فإنه يقدِّم تحليلًا محايدًا لهندسة الشركة الأمنية. ولذلك فإن المهمة المباشرة للقراصنة الأخلاقيين هي تسليط الضوء على الثغرات في أمن النظام، وعلى نقاط الدخول الاختبارية، والأهداف ذات الأولوية، والمعلومات الهامة عن النظام.

إضافة إلى ذلك، يضع المخترقون الأخلاقيون استراتيجيات لحماية المعلومات الحساسة للشركات وللمؤسسات الحكومية.

فوائد القرصنة الأخلاقية

على الرغم من الأهمية المتزايدة للقرصنة الأخلاقية للمنظمات وللهيئات الحكومية، ما يزال بعض الأفراد يشعرون بالقلق عند التعاطي مع هؤلاء القراصنة. غير أن هذا القلق ليس له أساس من الصحة. ومع ذلك نستعرض فيما يلي بعض مزايا القرصنة الأخلاقية:

  •  الغرض الرئيسي من القرصنة الأخلاقية هو منع وقوع بيانات حساسة للشركة في أيدي العدو؛ فهي تحمي شركتك من ابتزاز أولئك الراغبين في استغلال نقاط الضعف في نظامك.
  • يمكِّنُ الاختبارُ الواقعي من تعزيز حمايات وأمان شبكتك الرقمية ومنع الاختراقات الأمنية.
  • تضمن مراجعةُ نظام شركتك الأمني وتحسينه المستمر سلامةَ منتجات وبيانات العملاء، وتعزِّز ثقة العملاء وكذلك ثقة المستثمرين.
  • يمكن للقرصنة الأخلاقية أن تمنع الإرهاب الإلكتروني والهجمات الإرهابية، وهذا ما يضمن السلامة والأمن على المستوى الوطني.
  • يمكن للقراصنة تحديد نقاط الدخول المحتملة للنظام من منظور المهاجمين لأن لديهم نفس العقلية، مما يتيح لك فرصة إصلاحها قبل حصول عمليات هجوم.
  • ستساعدك القرصنة الأخلاقية – أيها الموظف – على اكتساب مهارات جديدة ومفيدة نتيجة تنوّع أدوارها؛ إذ إنها تشتمل على: إدارة المخاطر، والدفاع عن الشبكة، واختبار ضمان الجودة، وتطوير البرمجيات.
  • توفِّر القرصنة الأخلاقية فرصَ عملٍ جديدةً لأولئك الذين يريدون دورًا جديدًا أو يأملون في التأثير في مؤسساتهم.
  • غالبًا ما تتغاضى شركتك عن ضمان الجودة واختبار الأمن المفترض أن تقوم بهما للبرمجيات الجديدة، وذلك بسبب قصر دورة حياة هذه البرمجيات وسرعة تطويرها. وبالمقابل، يُعدُّ القراصنة الأخلاقيون المدرَّبون من أصول الشركة، ومن ثَم يمكنهم إجراء اختبارات أمنية سريعة ليتأكدوا أن هذه البرمجيات تعمل بكفاءة، في حالتي العمل القياسية والحدية.
  • يقوم القراصنة الأخلاقيون وبعض مختبِري ضمان الجودة الآخرين بتطوير أدوات وأساليب للإسراع في تحديد جميع نقاط الضعف وإزالتها من النظام دوريًّا.

تساعد القرصنة الأخلاقية على تحديد نقاط الضعف في جدار الحماية الخاص بالشركة أو حماية البرمجيات، وتساعدك على النظر إلى أمن نظامك من منظور المهاجم، وهذا يمنحك الفرصة لإصلاح أي حالات شاذة قبل أن تُلحق الأذى بنجاح الشركة.

على الرغم من الجدل الدائر حول هذا الموضوع، فإن القرصنة الأخلاقية تساعد المنظمات والدول على حماية بياناتها من أيدي أعدائها، وتُعدُّ الفوائد العديدة دليلًا على أنه مع تزايد الرقمنة يجب اتخاذ تدابير أمنية متقدمة لتعزيز الأمن الإلكتروني.

مستقبل القرصنة الأخلاقية

يتسع فضاء الإنترنت يومًا بعد يوم وكذلك التجارة الإلكترونية، وتُظهر الأبحاث نموًّا كبيرًا في عدد مستعمِلي الإنترنت، وكذلك تعتمد الشركات في عملها اعتمادًا كبيرًا على الإنترنت. ومع ازدياد وصل التجهيزات بالإنترنت، يزداد أيضًا خطر الاختراق الأمني وتسرب البيانات. يقول استطلاع حديث أجرته KPMG في عدد من الصناعات: إن الجرائم الإلكترونية هي التهديد الرئيسي لأكثر من 94٪ من الشركات؛ فقد هوجم ما يقرب من 72٪ من الشركات في الماضي بنفس النوع من الهجمات الإلكترونية، ومن بين هذه الشركات التي تمت مهاجمتها، لم يكن لدى 78٪ منها أية تدابير أمنية لمنع هذه الهجمات.

في وقتنا الحاضر، يمتلك القراصنة أدوات وتقنيات جديدة تساعدهم على السيطرة على قواعد بيانات المؤسسات، ومن المحتمل أن يتسببوا في أضرارٍ كبيرةٍ في أعمالهم.

ومع التطور المتزايد في تقنيات القرصنة، فإن الشركات تحتاج إلى المزيد من الخطط المحدَّثة ومن الإجراءات الأمنية لمنع الهجمات المحتملة. ولهذا السبب، يزداد الطلب على القراصنة الأخلاقيين ذوي المهارات العالية. ووفقًا للبيانات الأخيرة المستندة إلى أبحاث السوق، فإن عدد الشواغر في الهند في مجال القرصنة الأخلاقية فقط بلغ قرابة 470 ألف شاغر. وهؤلاء هم الذين يمكنهم حماية البنية التحتية لتكنولوجيا المعلومات في جميع أنحاء العالم.

وهكذا نجد أنَّ القرصنةَ الأخلاقية مفيدةٌ ومهمة جدًّا في السوق، وأنَّ لها مستقبلًا مشرقًا.

بعض قصص القراصنة الحقيقية

كيفين ميتنيك Kevin Mitnick

أصبح كيفين ميتنيك واحدًا من أكثر القراصنة الأخلاقيين شهرةً، إن لم يكن أشهرهم على الإطلاق، وربما تأتي مهاراته وفطنته من حقيقة أن قبعته لم تكن دائمًا بيضاء، أي إنه لم يكن دائمًا أخلاقيًّا في قرصنته.

في عام 1995 اعتُقل بعد متابعته وتعقّب نشاطه إثر موجةٍ من نشاطه الإجرامي الإلكتروني دام عامين ونصف، وشملت مغامرات قبعته السوداء اختراق أمن شركة معدات رقمية.

وكان كيفين سُجِنَ عام 1988، ثم أُطلق سراحه سراحًا مشروطًا وتحت الإشراف. وقبل أن يكمل عقوبته، استأنف ميتنيك عمليات القرصنة مرة أخرى، فاخترق أجهزة حاسوب البريد الصوتي في شركة باسيفيك بيل، ويُعتقد أنه اخترق أيضًا عددًا من الشبكات الأخرى واستعمل أساليبَ متعددة؛ من جملتها اعتراض كلمات المرور.

وفي عام 1989، نال ميتنيك عقوبة السجن لمدة 46 شهرًا مع إضافة 22 شهرًا لانتهاكه فترة الإفراج المشروط تحت الإشراف، وكان هذا الحدثُ السببَ الذي أنهى الجانب المظلم في حياته.

وفي عام 2000، ارتدى ميتنيك القبعة البيضاء بدلًا من السوداء، وأصبح مستشارًا في مجال القرصنة بعد أن أثبت مهاراته للعالم أجمع. ولم تقتصر خدماته على 500 شركة من شركات فورتيون إضافة إلى مكتب التحقيقات الفدرالي، بل توافد العديد من الشركات على مر السنين للاستفادة من خبرته ومعرفته وأفكاره، مما جعله مؤلفًا معروفًا ومحاضرًا عامًّا. وهو يقدم خدمات اختبار الاختراق لأكبر الشركات في العالم ويعطي دورات في الهندسة الاجتماعية لعشرات الشركات والوكالات الحكومية.

جوانا روتكوسكا Joanna Rutkowska

جوانا روتكوسكا باحثة في الأمن الإلكتروني، بولندية الأصل، وهي مؤسِّسة نظام التشغيل المكتبي Qubes OS، وهو نظام أُنشئ للتركيز على أمن النظام.

من أهم خبرات روتكوسكا ما يختص ببرامج التسلل الضارة، التي تُعرف باسم الجذور الخفية rootkits، وهي مجموعة من البرمجيات الضارة القادرة على تمويه أو إخفاء نفسها. يُستعمل هذا النوع من الهجوم لاستغلال ثغرة أمنية تم كشفها بواسطة هجمات التصيد الاحتيالي على سبيل المثال.

أصبحت روتكوسكا معروفة جيدًا بقدراتها في مجال القرصنة الأخلاقية في العام 2006 وذلك عندما قدَّمت محاضرة في مؤتمر قراصنة القبعة السوداء، حيث سلطت الضوء على نقاط الضعف في نواة نظام التشغيل فيستا.

وفي العام التالي زادت شهرتها على أنها من قراصنة القبعات البيضاء، عندما كشفت عن نقاط ضعف في عملية استحواذ بعض ذواكر الكيان الصُّلب. وفي عام 2009، نفَّذت هجومًا آخر استهدف أنظمة Intel.

من المؤشرات القوية على مهارات روتكوسكا وتأثيرها عددُ الدعوات التي تلقتها لتحاضر في بعض مؤتمرات هامة، مثل مؤتمر RSA، وتقييم المخاطر، وقراصنة القبعة السوداء، وغيرها.

تشارلي ميللر Charlie Miller

تشارلي ميللر هو أيضًا باحث في مجال الأمن الإلكتروني. اشتُهر بكشف نقاط الضعف في منتجات Apple، تمثلت أشهر إنجازاته في مجال القرصنة الأخلاقية في مسابقة Pwn2Own في فانكوفر في عام 2008، حيث كان أول من حدد خللًا في MacBook Air. وبسبب هذا الإنجاز حصل تشارلي على جائزة مقدارها 10,000 دولار. وقد جعله هذا الإنجاز واحدًا من أكثر القراصنة الأخلاقيين روعة في العالم.

وفي عام 2011، استمر ميللر في إثبات تمكنه من اختصاصه، وذلك في تعقب العيوب الأمنية في أجهزة Apple الشهيرة، واكتشف نقطة ضعف في كل من iPhone وiPad. قام ميلر خلال حياته المهنية في عالم القرصنة الأخلاقية بعدد كبير من الهجمات لاكتشاف نقاط الضعف الخطرة.

يعمل الآن باحثًا في أمن الحاسوب في شركة Cruise Automation، وهي شركة أمريكية تعمل في مشروع السيارات بدون سائق، وهو مجال يعد حاليًّا من أهم اتجاهات التكنولوجيا في العالم.

 

جريج هوجلاند Greg Hoglund

متخصصٌ في علم التحاليل الجنائية لأجهزة الحاسوب، قدم الكثير في مهمته لمكافحة التهديدات الخبيثة. يعتبر هوجلاند علامة مميزة في قائمة القراصنة الأخلاقيين.

اشتهر هوجلاند في مجال التحاليل الجنائية للذواكر الفيزيائية وفي مساهماته باكتشاف البرمجيات الضارة، وتظهر مهارته في الاختراق الأخلاقي عند استعراض إبداعاته العبقرية.

حصل هوجلاند على براءة اختراع أساليب الحقن الخطأ fault injection methods التي تُستعمل لاختبار البرمجيات. وكغيره من القراصنة الأخلاقيين، عمل هوجلاند أيضًا مع حكومة الولايات المتحدة ومع وكالة الاستخبارات المركزية الأميركية.

تسوتومو شيمومورا Tsutomu Shimomura

 تسوتومو شيمومورا ليس فقط أحد أبرز القراصنة من ذوي القبعات البيضاء، بل هو خبيرٌ فذٌّ في مجال الأمن الإلكتروني والفيزيائي. إن مكانته في هذه القائمة تكتسب أهمية مزدوجة لأنه كان مشاركًا مشاركة فعالة في تعقب كيفن ميتنيك، الذي ذكرنا آنفًا أنه عضو بارز في هذه القائمة.

كتب الصحفي جون ماركوف كتابًا بعنوان Takedown تحدث فيه عن مطاردة كيفن ميتنيك، ثم تحوَّل الكتاب لاحقًا إلى فيلم سينمائي يحمل اسمًا مشابهًا هو Track Down، وقد ظهر شيمومورا شخصيًّا في لقطات قصيرة من هذا الفيلم.

وقد توقع بعضهم أن يكون شيمومورا عبقريًّا لأنه ابن الفائز بجائزة نوبل في الكيمياء لعام 2008 أوسامو شيمومورا تلميذ الفيزيائي العظيم ريتشارد فاينمان.

المراجع

https://www.colocationamerica.com/blog/what-is-ethical-hacking

https://ict.iitk.ac.in/why-ethical-hacking-is-useful/

https://www.cbronline.com/list/top-5-ethical-hackers-white-hat

قد ترغب كذلك بقراءة
اختراقات الهندسة الاجتماعية واختباراتها
حماية أنظمة المعلومات من الهجمات الشبكية
اختراق الشبكات اللاسلكية
التعريف بالاختراق الأخلاقي