لماذا تقوم الشركات بتوظيف الهاكرز؟

ليس كل المتسللين (القراصنة، الهاكرز) أشرار. للدفاع عن شبكة بشكل صحيح، تحتاج إلى معرفة نوع الهجوم الذي ستواجهه. فهل المخترق هو من يصنع أفضل أنواع الدفاعات أيضاً؟

ما هو الهاكر بالضبط؟

Hacker هي كلمة تم تغيير الغرض منها وتم محو معناها الأصلي بالكامل تقريباً. كانت تعني مبرمجاً موهوباً. كان الهاكر النمطي مهووساً بالبرمجة، غالباً مع استبعاد أي نوع من الحياة الاجتماعية العادية.

وبدلاً من ذلك، فإنه سيتبع معرفة منخفضة المستوى للأعمال الداخلية لأجهزة الكمبيوتر والشبكات، وقبل كل شيء، البرنامج الذي يتحكم في كل شيء.

بصرف النظر عن عدم وجود تفاعل اجتماعي، فإن القرصنة لا تعتبر أمراً سيئاً في حد ذاتها.

مع انتشار تكنولوجيا المعلومات، أصبحت الجريمة الإلكترونية أمراً محتملاً ثم واقعاً. الأشخاص الوحيدون الذين لديهم المهارات اللازمة لارتكاب الجرائم هم قراصنة الإنترنت، وبالتالي أصبح مصطلح الهاكر ملوثاً.

اطلب من شخص ما شرح معنى المتسلل (الهاكر) وسيصفه شخصاً لديه معرفة واسعة بأجهزة الكمبيوتر وأنظمة التشغيل والبرمجة والنية الإجرامية للوصول إلى أنظمة الكمبيوتر التي لا ينبغي أن يكون لديهم إمكانية الوصول إليها.

ولكن حتى ضمن هذا التعريف الجديد للقراصنة، هناك أنواع مختلفة من المتسللين:

  • هاكر (مخترق) القبعة السوداء هو الرجل السيئ الحقيقي. هو الذي يخرق الشبكات ويرتكب جرائم الإنترنت. يحاول كسب المال من خلال نشاطهم غير القانوني.
  • هاكر (مخترق) القبعة البيضاء لديه الإذن بمحاولة اختراق الشبكة. لقد تم تعيينه لاختبار أمان الشركة. لكن في الحياة نادراً ما تكون الأشياء بالأبيض والأسود.
  • هاكر (مخترق) القبعة الرمادية يتصرف مثل قراصنة القبعة البيضاء، لكنه لا يطلب الإذن مسبقاً. إنه يختبر أمان الشركة ويقدم تقريراً إلى النشاط التجاري على أمل الدفع لاحقاً.

إنه يخالف القانون (اختراق شبكة بدون إذن أمر غير قانوني)، حتى لو كانت الشركة ممتنة وتقوم بالدفع. من الناحية القانونية، يعمل متسللو القبعات الرمادية على الجليد الرقيق.

  • هاكر (مخترق) القبعة الزرقاء هو شخص ليس ماهر، لكنه تمكن من تنزيل برنامج هجوم منخفض المهارات. يستخدمها ضد شركة واحدة -لأي سبب كان- يرغب في إزعاجها.

قد يلجأ موظف سابق منزعج إلى مثل هذه التكتيكات، على سبيل المثال.

  • هاكر (مخترق) القبعة الحمراء هو الحارس الوحيد لعالم القرصنة. إنهم قراصنة يستهدفون قراصنة القبعة السوداء. مثل القبعة الرمادية، تستخدم القبعة الحمراء أساليب مشكوك فيها قانونياً.

مثل Marvel’s Punisher، فإنهم يعملون خارج القانون وبدون عقوبات رسمية.

  • متسلل القبعة الخضراء هو شخص يطمح إلى أن يصبح هاكر. هم الذين يسعون لأن يكونوا متسللي قبعة سوداء.

القبعة السوداء والقبعة البيضاء عبارة عن مصطلحات لا علاقة لها للعنصرية نأمل استبدالها بنفس الطريقة التي تم بها استبدال القائمة السوداء في نواة لينكس مثلاً!

ممثل التهديد Threat actor والمتسلل الأخلاقي Ethical hacker بدائل جيدة تماماً.

القراصنة المجرمون والقراصنة المحترفون:

قد يكون المتسللون المحترفون متسللين أخلاقيين يعملون لحسابهم الخاص، ومتاحين لاختبار دفاعات أي شركة تريد اختبار أمانها وقياسه.

قد توظف المنظمات بشكل مباشر قراصنة أخلاقيين خاصين بها. إنهم يعملون جنباً إلى جنب مع نظرائهم في دعم تكنولوجيا المعلومات لفحص واختبار وتحسين الأمن السيبراني للمؤسسة باستمرار.

الفريق الأحمر مكلف بمحاولة الوصول غير المصرح به إلى مؤسسته الخاصة، والفريق الأزرق مكرس لمحاولة إبعادهم.

أحياناً يكون الموظفون في هذه الفرق لوناً واحداً. إما أن تكون لاعباً في فريق أحمر أو أزرق. تحب المنظمات الأخرى تغيير الأمور مع انتقال الموظفين بشكل فعال بين الفرق واتخاذ موقف معارض للتمرين التالي.

تدير شخصيات الصناعة الملونة مثل Kevin Mitnick -الذي كان أحد أكثر المتسللين المطلوبين في العالم- شركات الاستشارات الأمنية الخاصة بهم.

تم البحث عن قراصنة مشهورين آخرين في وظائف رئيسية، مثل Peiter Zatko، الذي كان عضواً ذات مرة في مجموعة القرصنة الجماعية Cult of the Dead Cow.

في تشرين الثاني 2020، انضم إلى تويتر Twitter كرئيس للأمن بعد فترات عمل في Stripe و Google ووكالة البنتاغون للأبحاث والمشاريع الدفاعية المتقدمة.

Charlie Miller، المعروف بكشف نقاط الضعف في منتجات آبل Apple واختراق أنظمة التوجيه والتسارع في سيارة Jeep Cherokee، عمل في مناصب أمنية عليا في NSA و Uber و Cruise Automation.

يعمل بعض المتسللين المحترفين -ويتم تدريبهم من قبل- لدى وكالات المخابرات الحكومية أو نظرائهم العسكريين. هذا يعقد الأمور أكثر.

من الضروري وجود فرق من النشطاء المعتمدين من قبل الحكومة والمكلفين بأداء أنشطة إلكترونية دفاعية وهجومية لجمع المعلومات الاستخباراتية لضمان الأمن القومي ومحاربة الإرهاب. إنها حالة العالم الحديث.

يتم تسريح هؤلاء الأفراد ذوي المهارات العالية مع ثروة من المعرفة الحساسة في نهاية المطاف. إلى أين يذهبون عندما يغادرون؟ لديهم مجموعة مهارات قابلة للتوظيف ويحتاجون لكسب العيش. من الذي يوظفهم، وهل يجب أن نهتم بهم؟

خريجي عالم الظل:

تمتلك جميع الدول القادرة تقنياً وحدات استخبارات إلكترونية. تقوم هذه الوحدات بجمع وفك تشفير وتحليل الاستخبارات العسكرية وغير العسكرية الاستراتيجية والتشغيلية والتكتيكية.

إنها توفر برامج الهجوم والمراقبة لأولئك الذين يقومون بمهام التجسس نيابة عن الدولة. إنهم اللاعبون في لعبة غامضة حيث يحاول العدو أن يفعل نفس الشيء لك بالضبط.

يحاولون اختراق أنظمتك تماماً مثلما تريد الوصول إلى أنظمتهم. يطور نظراؤك أدوات برمجية دفاعية وهجومية ويحاولون اكتشاف الهجمات والاستفادة منها، مثلك تماماً.

Shift5 هي شركة ناشئة للأمن السيبراني أسسها موظفان سابقان في وكالة الأمن القومي. لم يعملوا في وكالة الأمن القومي فحسب، بل عملوا أيضاً في وحدة عمليات الوصول المخصصة.

إنها واحدة من أكثر الانقسامات سرية لوكالة الأمن القومي. تعد Shift5 بتقديم التكنولوجيا للمساعدة في حماية البنية التحتية الحيوية للولايات المتحدة.

تظهر المضاعفات عندما يتم توظيف عملاء المخابرات الأمريكية السابقين في الخارج. يمكن أن تشكل مجموعة مهاراتهم ووظائفهم خدمة دفاعية تتطلب ترخيصاً خاصاً من مديرية ضوابط التجارة الدفاعية بوزارة الخارجية.

تصدّر مواطنان أمريكيان ومواطن أمريكي سابق عناوين الأخبار مؤخراً حيث تم الكشف عن أنهما تم توظيفهما في مجموعة DarkMatter، التي تأسست في الإمارات العربية المتحدة.

قامت شركة DarkMatter بإدارة برنامج مراقبة Project Raven سيئ السمعة لصالح الحكومة الإماراتية.

مهارات جذابة في سوق مقيد:

تقوم الشركات بتوظيف قراصنة سابقين مهرة لخبراتهم ومهاراتهم الجذابة. ولكن إذا كنت منخرطاً في أنشطة الأمن السيبراني لدولة أو وكالة عسكرية، فأنت بحاجة إلى فهم الحدود والضوابط الموضوعة للتأكد من تقديم خدماتك إلى مؤسسات مقبولة ولأغراض مقبولة.

مقالات قد تعجبك:

كيفية تقييد صديق ما على فيس بوك من مشاهدة المنشورات الخاصة
كيفية حذف صور الملف الشخصي القديمة على تيليجرام
كيفية إيقاف تشغيل جهاز آيفون وآيباد
كيفية العودة إلى iOS 11 من النسخة التجريبية من iOS 12
كيفية إصلاح التطبيقات والميزات غير المرغوبة في هواتف سامسونج

تسريب قاعدة بيانات تحوي 235 مليون حساب على انستغرام ويوتيوب وتيك توك

أفادت تقارير إخبارية عن الكشف عن قاعدة بيانات تحتوي على بيانات مسروقة لما يقرب من 235 مليون مستخدم لوسائل التواصل الاجتماعي من إنستغرام Instagram وتيك توك TikTok ويوتيوب YouTube دون أي حماية بكلمة مرور.

واحتوت قاعدة البيانات تلك على معلومات المستخدمين مثل الأسماء ومعلومات الاتصال والصور وإحصائيات حول المتابعين.

وبحسب التقارير فقد تم جمع بيانات المستخدمين من خلال تقنية تعرف باسم “استخلاص المواقع”وهي تقنية لجمع البيانات من صفحات الإنترنت بطريقة آلية.

وتحتوي البيانات التي تم كشفها على أربع مجموعات بيانات رئيسية تحتوي على تفاصيل ملايين المستخدمين من الأنظمة الأساسية المذكورة أعلاه مثل اسم الملف الشخصي والاسم الكامل وصورة الملف الشخصي والعمر والجنس وإحصائيات المتابعين.

وعلى الرغم من أن هذا ليس مخالفا للقانون، إلا أن شركات وسائل التواصل الاجتماعي تحظر هذه الممارسة لحماية بيانات المستخدم. ومع ذلك، تقوم الكثير من شركات التحليلات بإنشاء قواعد بيانات كبيرة لمعلومات المستخدم، باستخدام برامج استخلاص الموقع على المواقع الشائعة، حيث يمكن أن تستفيد من هذه البيانات عبر بيعها لشركات أخرى من أجل الإعلانات والتسويق مثلاً.

عثر بوب دياتشينكو Bob Diachenko ، الباحث الرئيسي في شركة كومباريتيك Comparitech الأمنية، على ثلاث نسخ متطابقة من قواعد البيانات في 1 آب الماضي، وتنتمي هذه البيانات بحث فريق دياتشيكنو إلى شركة انتهت صلاحيتها الآن تسمى Deep Social.

وقام الفريق على الفور بالتواصل مع الشركة ولكن الطلب وصل إلى شركة Social Data التي تتخذ من هونغ كونغ مقراً لها، والتي أقرت بالخرق وأغلقت الوصول إلى قاعدة البيانات. ومع ذلك، نفت شركة Social Data وجود أي روابط مع Deep Social.

وقال المتحدث باسم الشركة في بيان إن جميع البيانات التي تم جمعها كانت عامة، ولم يتم جمعها بشكل مريب حيث قال”

“يرجى ملاحظة أن الدلالة السلبية على أن البيانات قد تم اختراقها تعني أن المعلومات تم الحصول عليها خلسة، وهذا ببساطة ليس صحيح، فجميع البيانات متاحة مجاناً لأي شخص لديه اتصال بالإنترنت.”

ومع ذلك، تحظر شركات مثل يوتيوب YouTube وإنستغرام Instagram وتيك توك TikTok ممارسات استخلاص المواقع، ولكنها حتى الآن لم تقدم أي تعليق حول هذا الموضوع.

وغالباً ما يستخدم هذا النوع من البيانات في حملات التصيد الاحتيالي والبريد العشوائي. لذا، فإن الأمر متروك للشركات للحفاظ على أمان قواعد بياناتها.

وفي العام الماضي ، كشف نفس الباحث دياتشينكو Diachenko عن قاعدة بيانات تحتوي على معلومات مسروقة لـ 267 مليون مستخدم على فيس بوك Facebook.

مقالات قد تعجبك

بلاك بيري تعود للحياة من خلال هاتف جديد
تحديث جديد لواتساب سيجلب ميزة رائعة
إنستغرام أطلق ميزة جديدة لإبقاء المستخدمين وقتاً أطول عليه
كيفية حذف واستعراض سجل التصفح على PlayStation 4
ما هو معيار EasyMesh؟ وما فائدته في تحسين تقنية Mesh Wi-Fi؟
ما هي تقنية Mesh Wi-Fi؟ وكيف تعمل لزيادة مدى وسرعة الإنترنت؟

مايكروسوفت عرضت جائزة كبيرة لمن يتمكن من اختراق نظام Linux

عرضت مايكروسوفت Microsoft للقراصنة (الهاكرز) ما يصل إلى 100.000 دولار إذا تمكنوا من اختراق أمان نظام التشغيل لينكس Linux المخصص للشركة.

قام عملاق البرمجيات ببناء إصدار مضغوط ومخصص من لينكس Linux العام الماضي لنظام التشغيل Azure Sphere، والذي تم تصميمه للعمل على معالجات متخصصة لمنصة إنترنت الأشياء (IoT) الخاصة به.

نظام التشغيل مصمم خصيصاً لهذا النظام الأساسي، مما يضمن تشغيل الخدمات والتطبيقات الأساسية بشكل منفصل في وضع الحماية لأغراض أمنية.

تريد مايكروسوفت Microsoft الآن من الهاكرز اختبار أمان نظام Azure Sphere OS ، ودفع ما يصل إلى 100.000 دولار أمريكي في حالة اختراق النظام الفرعي لأمان Pluton أو وضع الحماية Secure World.

يعد برنامج مكافأة جزءً من تحدي بحثي مدته ثلاثة أشهر يمتد من 1 حزيران حتى 31 آب. توضح سيلفي ليو، مديرة برنامج الأمان في مركز الاستجابة الأمنية التابع لشركة مايكروسوفت Microsoft:

“سنمنح مكافأة تصل إلى 100.000 دولار لسيناريوهات محددة في تحدي أبحاث أمان Azure Sphere خلال فترة البرنامج”.

يركز التحدي على نظام Azure Sphere نفسه، وليس جزء السحابة الأساسي المؤهل بالفعل لجوائز برنامج Azure Bounty، حيث تبحث مايكروسوفت Microsoft على وجه التحديد عن مجموعة من الباحثين في مجال الأمن لمحاولة كسر أمان نظام التشغيل Linux.

هذا ليس مخصصاً للمعارك الجسدية! ولكن إذا كنت باحثاً فقط يمكنك التقدم للمسابقة لتكون جزءً من التحدي هنا.

تم الإعلان عن Azure Sphere في مؤتمرBuild  العام الماضي، ولا يزال جديداً نسبياً. تقوم شركات مثل ستاربكس بطرح Azure Sphere لتأمين معدات المتجر الخاصة بها.

ترى الرئيسة التنفيذية لشركة مايكروسوفت Microsoft ، ساتيا ناديلا، أن أجهزة إنترنت الأشياء هي مجال رئيسي للشركة، واصفة أعمالها السحابية بأنها أكبر أعمال ضمن شركة مايكروسوفت في وقت سابق من هذا العام.

تقوم Nadella بتتبّع المليارات من أجهزة إنترنت الأشياء التي يتوقع المحللون أنها ستستخدم خلال العقد المقبل. يعد Azure Sphere جزءً رئيسياً من المهمة للمساعدة في تأمين هذه الأجهزة وإدارتها، وجزء من جهود مايكروسوفت Microsoft المتزايدة للفوز بعالم آخر غير عالم ويندوز Windows الذي يتجه بشكل متزايد إلى الحوسبة السحابية.

مقالات قد تعجبك:

تويتر تختبر رسالة تحذير للمستخدمين بإعادة التفكير في الردود المسيئة!
موعد الإعلان عن هاتف Honor X10
هاتف M2 Pro المتوسط قادم قريباً من شركة Poco
أهم الإيماءات Gestures في نظام أندرويد، وكيف تُستخدم ؟
ماهي النفايات الإلكترونية؟ وكيف ولمَ علينا إعادة تدويرها؟
كيف سيزيد نظام أندرويد P من عمر البطارية ؟