غالباً ما تصلني أسئلة خاص عن كيفية دراسة تخصص الإختراق الأخلاقي, و أين يمكن دراسة هذا التخصص, و ما هي الخطوات العملية لدراسته.
من الممكن أن تكون قد بحثت عن تخصص جامعي إسمه “الإختراق الأخلاقي”, و من المؤكد أنك لم تجد تخصص جامعي مثل هذا, و كل الجامعات تدرّس أشياء مقاربة مثل الأمن (Security) بشكل عام أو الأمن المعلوماتي (Information Security) أو بعض الدورات المتفرقة من هنا و هناك تدرس هذا التخصص, و لكن عند دخولك إلى هذه الدورات ستجد أن هنالك أشياء غامضة, و قد تحاول دخول هذا المجال و تطبيق الشرح المتبع في الدروس و تجد أنها لا تأتي بثمارها في العادة و تكون النتائج غالباً خاطئة و تصل الى طريق مسدود.
السؤال الاهم الآن هو كيف يمكن دراسة هذا التخصص؟
مفهوم الإختراق الأخلاقي
قد يتساءل الكثيرين عن معنى الإختراق الأخلاقي (Ethical Hacking) و عن كلمتي إختراق و أخلاقي, لأن الكلمتين فعلياً متناقضتين, و يحق للجميع التساؤل عن هذه التسمية, فمن المتعارف عليه و مما نسمعه حول العالم من عمليات إختراق أنها في العادة تكون إنتهت بعملية سرقة أموال أو تسريب بيانات أو حتى إتلافها و تغيرها بشكل كامل, فهذا العمل غير أخلاقي البته و لا يختلف على ذلك شخصين, و لكن كيف يمكننا إيقاف المخترقين من عمل إختراقاتهم اللا أخلاقية؟
هنا يأتي دور تخصص الإختراق الأخلاقي و الذي هدفة الرئيسي جعل المتعلم يفكر بطريقة مشابهة لتفكير المخترق أو الهاكر, و كيفية تنفيذه لهجماته, يقوم المخترق الأخلاقي بالتعرف على نقاط ضعف الأنظمة المستخدمة و كيفية صد الهجمات بإتباع سلسلة من الإجراءات التي من هدفها منع عملية الإختراق.
بما أننا عرفنا ما هو الفرق بين أنواع المخترقين, دعونا الآن نتعرف على كيفية دراسة هذا التخصص, و يمكننا القول أن هذا التخصص هو واحد من أكثر التخصصات طلباً في وقتنا الحالي و أيضاً من أصعب التخصصات و ذلك بسبب كثرة المتطلبات و تشابك الكثير من التخصصات حوله, فإذا حاولت الدخول له بشكل سريع فقد تجد الكثير من العثرات التي قد تجعلك تتراجع عن دخول هذا المجال و الخوض به.
ما يجب درساته قبل الدخول في تخصص الإختراق الأخلاقي
من أهم الأشياء التي يجب بناء أساس قوي بها هو أنظمة التشغيل و كيفية عملها و تشغيلها و حل مشاكلها و معرفه مداخلها و مخارجها, وهنا نأتي لذكر أهم نظام تشغيل يجب عليك التعامل معه و هو نظام لينكس, و لا يهم أي توزيعة, أي لن أجادل و أقول أن توزيعة x أحسن من توزيعة y فكلها توزيعات لينكس و كلها تعمل بنفس الأوامر تقريباً و كل شي يعتمد على التفضيلات الشخصية, على العموم يمكنك إستخدام التوزيعة التي تفضلها و إذا كنت مبتدئ في اللينكس يمكنك إستخدام نسخة Ubuntu التي تعتبر من أسهل النسخ للتعلم, أو يمكنك تعلم نسخة كالي لينكس المخصصة للإختراقات و التي تحوي الكثير من الأدوات الجاهزة.
هذه دورة تعليمية قمت بإعدادها و تقسيمها لثلاثة أجزاء على النحو التالي:
الجزء الأول مخصص لتعليم الأساسيات و أوامر النظام الأساسية.
الجزء الثاني مخصص لتعليم إدارة نظام تشغيل كالي لينكس و كيفية عمل الأشياء المتقدمة, طبعاً يمكن تطبيق الأشياء التي سوف تتعلمها في أي توزيعة لينكس سوف تستخدمها, و أيضاً لا تنسى أن تقوم بتعلم أنظمة التشغيل الأخرى كنظام Windows و Mac OS و التدرب عليهم و معرفة كيفية التعامل مع النسخ المختلفة معهم مثل المخصصة للأجهزة العادية أو المخصصة للسيرفرات, و عند شعورك أنك قد أصبحت على قدر كافي من العلم يمكنك الإنتقال الى المحطة الآتية و هي مفترق للطرق و هي كالتالي:
- تخصص البرمجة.
- تخصص الشبكات.
تخصص البرمجة
هذا التخصص كبير جداً و أحمد الله أن بدايتي كانت من تخصص هندسة البرمجيات و من بعد ذلك إنتقلت إلى تخصص أمن المعلومات, فالبرمجة ساعدتني كثيراً في عملية اختبار الإختراقات بمعرفة كيف يفكر المبرمجين و تحليل برامجهم و معرفة نقاط الضعف بها و من بعد ذلك مهجامتها و بعد ذلك العمل على تأمينها من الإستغلال.
بالتأكيد لسنا جميعاً نحب البرمجة لكن يمكنك أخذ القليل بها حتى تعرف كيف تعمل الأمور و كيف تتجاوز بعض العقبات إذا قررت دخول تخصص مثل الإختراق الأخلاقي لمواقع الويب و التطبيقات, لذلك يمكنك تعلم هذه الأشياء كي تكون فكرة عن البرمجة و عن عملها. إبدأ بالخوارزميات و هذا شيء أنصح بتعلمه للجميع سواء كان شخص يريد تعلم الإختراق الأخلاقي و الطب, فالخوارزميات سوف تعلمك كيفية التفكير بشكل منطقي متناسق و هي مهارة بنظري يجب تعلمها في المدارس و ليس في الجامعات لأهميتها الكبرى. يمكنك تعلم الخوارزميات باللغة العربية من موقع هرمش, و بعد ذلك يمكنك الإنتقال الى لغة برمجية سهلة التعلم كلغة Python, و هذه اللغة سوف تساعدك في كتابة أوامر تسعى لعمل أتمته لها (Automation) في عملية الإختراق, و لها إستخدامات كثيرة أخرى, و يمكنك فقط تعلم الأساسيات و بعد ذلك الدخول لها كلما إستدعت لها الحاجة, و هذه دورة موجودة أيضاً في موقع هرمش لتعلم لغة بايثون من الصفر. و هنا يمكننا القول انه يمكنك الإنتقال الى المرحلة القادمة و هي تخصص الشبكات.
ملاحظة تقدر تتعلم اللغات المذكوره هنا ضمن الموقع
تخصص الشبكات
و هذا التخصص شيء لابد منه في عالم إختبار الإختراقات, فكل شيء أصبح الآن مرتبط بالإنترنت لذلك من المتوجب عليك معرفة جزء يسير من تخصص الشبكات كالبروتوكولات والـ OSI Model و ما هو الـ IP Address و ما هي الـ Ports و الـ Three way handshake و كيفية عملها, و هذه طبعاً أشياء بسيطة يمكنك الإلمام بها في وقت قصير و لكن كلما تعمقت كلما كان ذلك أفضل لك, وهذه دورة جميلة لتعلم الشبكات يمكنك الإستفادة منها لتكوين فكرة عن كيفية عمل الشبكات.
تخصصات الإختراق الأخلاقي
الآن و بعدما تكلمنا عن الأساسيات, سوف نتكلم عن التخصصات الموجودة في اختصاص الإختراق الأخلاقي:
- إختراق الأنظمة.
- إختراق الشبكات السلكية واللاسلكية.
- إختراق مواقع الويب.
- اختراق تطبيقات الاجهزة الذكية.
١- إختراق الأنظمة (System Hacking)
هذا النوع من الإختراقات يتطلب منك معرفة قوية بأنظمة التشغيل و البرامج التي تنصب على أنظمة التشغيل, و يتطلب منك العمل على الدوام بمتابعة أخبار الثغرات المتنشرة وكيفية إستهدافها وأيضاً تأمينها, وهذا التخصص يتطلب منك أيضاً معرفة قوية في الشبكات من أجل عملية الإختراق و أيضاً عمل الإنتقال (Poviting) بين أجهزة الشبكة الواحدة.
٢- إختراق الشبكات السلكية و اللاسلكية
هذا المجال يعتمد إعتماد كلي على تخصص الشبكات و يجب على من يريد دخول هذا المجال أن يكون ذو معرفة قوية بالشبكات و أجهزة الـ Firewalls و الـ IDS أو الـ IPS و كيفية التملص منها و الهروب و إختراق الشبكة.
٣- إختراق مواقع الويب
هذا المجال يعتمد أكثر على البرمجة و أيضاً يعتمد على الشبكات, و لكن تخصص البرمجة يطغى أكثر, فمن أجل معرفة ثغرات مواقع الويب يجب عليك أن تعرف كيف تم بناء الموقع و ما هي البنية التحتية الخاصة به و كيفية إستهداف الثغرات التي فيه, و يمكنك الإطلاع على أخطر مخاطر الويب في هذه القائمة OWASP Top 10
٤- إختراق تطبيقات الأجهزة الذكية
هذا التخصص هو مثل تخصص إختراقات مواقع الويب و يتطلب نفس المهارات نسبياً و لكن الفرق بينهما هو أن ارتباطات الخدمات لن يكون واضحاً كمواقع الويب, و يجب عليك الدخول دهاليز خلفية كثيرة تسمى APIs أو Web hooks و من بعد ذلك الإنطلاق لإستهداف الخدمات الخلفية الخاصة بالتطبيقات.
ختام
هنالك مجالات أخرى في تخصص الإختراق الأخلاقي, و ماذكرت هي الأشياء الرئيسية و بما انك تريد تعلم تخصص الإختراق الأخلاقي فأنصحك أن تمر على كل المجالات و بعد ذلك تختار المجال الذي سوف تجده قريب لك و للأشياء التي تتقنها اكثر.
و في النهاية لا تنسى بأن تخصص الإختراق الأخلاقي هو مجال ممتع جداً لذلك عليك أن تستمتع بكل لحظة تقضيها في هذا التخصص, صحيح أنه يحتاج الكثير من التعلم في تخصصات أخرى و لكن المتعة تكمن في عملية التعلم المستمر لتخصص الإختراق الأخلاقي, فكلما تشعر أنك إقتربت من هدفك لإتقان هذا المجال سوف تجد أن البحر أعمق مما ظننت وتريد أن تبحر أعمق و أعمق في إكتشاف المجهول.
Happy Hacking