آموزش زبان هکری قسمت پنجم

آموزش زبان هکری قسمت پنجم

در آخرین قسمت از مقالات آموزش زبان هکری می خواهیم شما را با اصطلاحات دنیای هکرهای کلاه سفید یا همان هکرهای قانونمند آشنا کنیم. هکرهایی که هم بسیار باسواد هستند و هم به صورت قانونی فعالیت و کسب درآمد دارند.

37- CTF: بسیاری از افراد علاقه مند به دنیای امنیت می پرسند که چطور می توان به صورت قانونی هکر شد؟ پاسخ این سوال همین عبارت کوتاه است که مخفف “capture the flag” است که در ایران با نام مسابقات «فتح پرچم» نیز شناخته می شود. این مسابقات در سراسر دنیا و اغلب به صورت کاملا مجازی (بدون نیاز به حضور در مکانی خاص) برگزار می شود. مشهورترین مدل این مسابقات به این صورت است که تیم های مختلف هکری قبل از آغاز مسابقات در سایت مسابقه ثبت نام می کنند و با چالش های گوناگونی در حوزه های مختلف هک و امنیت برخورد می کنند. هر تیم که سریع تر چالش ها را حل کند امتیاز بیشتری نسبت به سایرین خواهد داشت و برنده مسابقه خواهد شد.

دو برگزار کننده مشهور این رقابت ها در ایران، «دانشگاه صنعتی شریف» و «تیم ASIS» هستند. برای آگاهی از مسابقات در حال برگزاری و رتبه بندی تیم های شرکت کننده به سایت ctftime.org سری بزنید.

38- Vulnerability Assessment: «ارزیابی آسیب پذیری» به معنی شناسایی آسیب پذیری های موجود در سیستم هاست. هکر در این فرایند برنامه های مختلف نصب شده روی سیستم ها را بررسی و آسیب پذیری های آن را می یابد. پس از آن به آسیب پذیری ها امتیاز می دهد و راه حل هایی برای رفع آن ها به کارفرما ارائه می کند. ممکن است Vulnerability Assessment به اختصار VA نوشته شود.

39- Pentest: پِنتِست، مخفف عبارت «Penetration Test» به معنای «آزمون نفوذ» است. در این فرآیند هم مانند VA سیستم ها مورد ارزیابی هکر قرار می گیرند با این تفاوت که اگر قابل نفوذ باشند، هکر به آن ها نفوذ خواهد کرد و تلاش خواهد نمود تا دسترسی خود را گسترش دهد. هکر در پروژه های VA اجازه Exploit کردن را ندارد و صرفا آسیب پذیری را پیدا کرده و آن را گزارش می دهد اما در PT (مخفف pentest) هکر حتما باید آسیب پذیری ها را اکسپلویت کند. پنتست به فعالیت هکرهای واقعی شبیه تر است. به شخصی که عمل pentest را انجام می دهد pentester می گویند.

40- Red Team: تیم قرمز،‌ تیمی از هکرهاست که با یک سازمان قرارداد بسته و سعی می کنند تا حمله هکرهای واقعی را شبیه سازی کنند. این گروه از هیچ تلاشی برای نفوذ به سازمان هدف شان، دریغ نخواهند کرد (البته در چارچوب توافق با سازمان). حملات فیشینگ، مهندسی اجتماعی، نفوذ به وب سایت ها، دسترسی گرفتن از شبکه داخلی، استخراج اطلاعات و ... کارهایی است که این گروه با سازمان هدف انجام خواهد داد و در پایان عملیات شان، گزارش هایی را به سازمان برای رشد و بهبود آن ارائه خواهند کرد. این گروه از تخصص های مختلفی تشکیل شده است و هکرهای حرفه ای می توانند در این تیم ایفای نقش کنند.

 

41- Blue Team: برخلاف تیم قرمز، این گروه از متخصصان امنیت علاقه دارند تا در نقش مدافع برای بهبود امنیت سازمان تلاش کنند. این گروه نقش امن سازی و پایش امنیتی سازمان در مقابله با هکرها را به عهده دارد. وظیفه مقابله با تیم قرمز نیز بر عهده تیم آبی درون سازمان است.

 

42- Purple Team: بسیاری معتقدند که نباید واژه تیم را برای این نقش به کار برد چرا که این نقش، تیم نیست بلکه یک عملکرد و یک ذهنیت است. به فرد یا گروهی که وظیفه نظارت و هماهنگی عملکرد تیم های آبی و قرمز را به عهده دارد تا این دو تیم بتوانند در بهترین حالت ممکن به کار خودشان ادامه دهند و به بهبود سازمان کمک کنند «تیم بنفش» می گوییم. این تیم کمک می کند تا تیم آبی به خوبی از تیم قرمز موارد را یاد بگیرد و دو تیم آبی و قرمز بتوانند به بهترین نحو تعامل داشته باشند چراکه در خیلی از وضعیت ها این تعامل مخدوش و دچار چالش می شود و این جاست که بنفش ها وارد کار می شوند.

43- Security Researcher: یکی دیگر از مشاغل پر طرفدار در حوزه امنیت اما سخت و پیچیده «محقق امنیت» است. افرادی که می توانند در این حیطه به فعالیت بپردازند باید بسیار اهل مطالعات عمیق در حوزه امنیت باشند. این گروه از هکرها مشغول تحقیقات عمیق و جلوبردن لبه های دانش در دنیای امنیت هستند. برای نمونه از بهترین تیم های تحقیقاتی جهان می توان به تیم Project Zero  گوگل اشاره کرد که هدف شان یافتن 0day از برنامه های مختلف است.

44- Bug Bounty: باگ بانتی به معنی «پاداش به ازای باگ» است. بسیاری از شرکت ها بعد از طی کردن مراحل امن سازی و پنتست و تیم قرمز، ترجیح می دهند برای ارتقای مداوم امنیت خودشان از پتانسیل سایر هکرهای دنیا استفاده کنند و به ازای باگ هایی که آن ها از سیستم هایشان پیدا می کنند جایزه بدهند. این جایزه معمولا به صورت مالی و متناسب با ارزش باگ یافت شده توسط هکر است. بازار باگ بانتی در دنیا بسیار داغ شده است و هکرهای مختلفی در دنیا ترجیح می دهند به این شکل کسب درآمد کنند. برخی از هکرها در سال گذشته بیش از 1 میلیون دلار به این شیوه کسب درآمد داشته اند! 

از مشهورترین پلتفرم های جهانی باگ بانتی می توان به Hackerone، Bugcrowd، Zerodium اشاره کرد. در ایران نیز چندین پلتفرم باگ بانتی مانند راورو، کلاه سفید و باگ دشت مشغول به فعالیت هستند و بعضی مشتریان آن ها هم مبالغ خوبی را به هکرها پرداخت می کنند. همین طور برخی از کسب و کارها نیز به صورت اختصاصی برنامه باگ بانتی خودشان را دارند مانند کافه بازار و ابرآروان که می توانید با مراجعه به سایت آن ها از شرایط و پرداخت هایشان با خبر شوید.

در این مقاله با اکوسیستم هکرهای کلاه سفید از شروع و یادگیری تا کسب درآمد آشنا شدیم. حالا برخلاف اکثریت جامعه، می دانید که هکرها چه خدمات مهمی را در جهان ارائه می دهند و چه طور بر خلاف باور اکثریت، هکرها باعث بالا رفتن امنیت در دنیا می شوند.

حالا شما می توانید با اعتماد به نفس بالاتری در انجمن ها و کانال ها با هکرها به گفت و گو مشغول شوید و اکثریت صحبت های آن ها را خواهید فهمید. البته طبیعی هست که مسیر طولانی برای یادگیری تمام اصطلاحات این زبان را در پیش دارید که این توانایی را پس از سال ها کار در شرکت ها و انجام مطالعات فراوان به دست خواهید آورد. اما یک روش میانبر هم وجود دارد که هر اصطلاحی را که نمی دانستید یا در گوگل جستجو کنید و یا در قسمت نظرات برای ما بنویسید تا برای تان توضیح دهیم.

از بهترین نوشته‌های کاربران سکان آکادمی در سکان پلاس


online-support-icon