امنیت کامپیوتر قسمت بیستم

بنابراین اصطلاح برای کسی که خود را هکر می نامد اما فاقد تخصص است چیست؟ رایج ترین اصطلاح برای این نوع افراد اسکریپت kiddy است (ریموند، 1993). بله، این یک منبع قدیمی است، اما این اصطلاح هنوز هم به همان معنی است. این نام از این واقعیت ناشی می شود که اینترنت پر از ابزارها و اسکریپت هایی است که می توان آنها را برای انجام برخی از کارهای هک بارگیری کرد. بسیاری از این ابزارها دارای یک رابط کاربری گرافیکی با کاربری آسان هستند که به شخصی با مهارت بسیار کم یا اصلاً امکان کار با ابزار را می دهد. یک مثال کلاسیک ابزار Low Earth Orbit Ion Cannon برای اجرای یک حمله DoS است. کسی که چنین ابزاری را بدون اینکه واقعاً سیستم هدف را درک کند، دانلود می‌کند، یک بچه اسکریپت محسوب می‌شود. تعداد قابل توجهی از افرادی که احتمالاً با آنها روبرو می شوید و خود را هکر می نامند، در واقع، بچه های فیلمنامه هستند.

هک اخلاقی: تست کننده های نفوذ

چه زمانی و چرا شخصی به شخص دیگری اجازه می دهد تا سیستم او را هک کند؟ رایج ترین پاسخ به منظور ارزیابی آسیب پذیری های سیستم است. قبلاً به این کفش ورزشی می گفتند، اما اکنون اصطلاح تستر نفوذ به مراتب بیشتر مورد استفاده قرار می گیرد. هر اصطلاحی که باشد، شخص از نظر قانونی وارد سیستمی می شود تا نقص های امنیتی را ارزیابی کند، مانند تصویری که در فیلم کفش های کتانی در سال 1992 با بازی رابرت ردفورد، دن آیکروید، و سیدنی پواتیه به تصویر کشیده شد. شرکت‌های بیشتری از خدمات چنین افراد یا شرکت‌هایی برای ارزیابی آسیب‌پذیری‌هایشان درخواست می‌کنند.
هر کسی که برای ارزیابی آسیب‌پذیری‌های یک سیستم استخدام می‌شود باید هم از نظر فنی ماهر و هم اخلاق مدار باشد. یک بررسی سوابق جنایی انجام دهید و از افرادی که سوء سابقه اجتناب کنید. بسیاری از متخصصان امنیتی قانونی در دسترس هستند که مهارت‌های هکر را می‌دانند و درک می‌کنند، اما هرگز مرتکب جنایات امنیتی نشده‌اند. اگر این استدلال را که استخدام هکرهای محکوم به معنای استخدام افراد با استعداد است را به نتیجه منطقی خود برسانید، می توانید حدس بزنید که بدیهی است که افراد مورد بحث در هک کردن آنقدر که فکر می کنند خوب نیستند زیرا دستگیر شده اند.
مهمتر از همه، دادن دسترسی به یک فرد با سابقه مجرمانه به سیستم های شما با استخدام فردی با چندین محکومیت DWI به عنوان راننده شما برابری می کند. در هر دو مورد، شما مشکلاتی را مطرح می‌کنید و شاید مسئولیت‌های مدنی قابل توجهی را بر عهده می‌گیرید.
همچنین، بررسی صلاحیت های آنها به وضوح لازم است. همانطور که افرادی وجود دارند که ادعا می کنند هکرهای بسیار ماهری هستند اما اینطور نیستند، افرادی نیز هستند که ادعا می کنند آزمایش کننده های نفوذ ماهری هستند و در عین حال فاقد مهارت های واقعی هستند. شما نمی خواهید ناخواسته یک بچه اسکریپت را استخدام کنید که فکر می کند یک آزمایشگر نفوذ است. چنین شخصی ممکن است سیستم شما را کاملاً سالم تلفظ کند، در حالی که در واقع، فقط فقدان مهارت‌هایی بود که مانع از نقض موفقیت آمیز امنیت شما توسط اسکریپت kiddy شد.
بعداً در این کتاب، در فصل 11، “اسکن شبکه و اسکن آسیب پذیری”، به اصول اولیه ارزیابی یک سیستم هدف می پردازیم.