בשנים האחרונות גוברים הביקושים לבוגרי הכשרות Ethical Hacking. ריכזנו עבורכם את כל מה שחשוב לדעת על אחד התחומים הלוהטים בתחום אבטחת המידע המתפתח.
עפ"י חברת אבטחת המידע האמריקאית Purplesec, במהלך מגפת הקורונה פשעי הסייבר ברחבי העולם גדלו ב-600%. בנוסף, הנזקים המוערכים של תקיפות אלה משתווים ל- 1% מהתוצר הגולמי העולמי, והם צפויים להגיע להיקפים יוצאי דופן בגובה 10.5 טריליון דולר עד שנת 2025. פשעי הסייבר לא עוצרים "רק" בגניבת מידע: כבר לפני עשור נמצאה דרך לפרוץ קוצבי לב ומשאבות אינסולין, בצורה שעלולה לגרום להזרקת מנות קטלניות של אינסולין. בעקבות האיומים השונים, מחקר של חברת אבטחת המידע (ISC)² מצא בשנת 2021 שכדי להתמודד עם האיומים הגדלים, על תחום אבטחת המידע הגלובאלי לגדול ב-65% כדי להגן על נכסים קריטיים. מכאן עולה בשנים האחרונות מרכזיותו של תחום אבטחת המידע, בשל יכולתו להגן על המידע, על חברות, על משתמשים פרטיים ואפילו ביכולתו לתרום להצלת חיים.
מהו האקר אתי, ומה ההבדל בינו לבין מומחה אבטחת מידע?
בעוד שמומחה אבטחת מידע משתמש בכלים העומדים לרשותו כדי למנוע פעולות זדוניות כמו פריצה למערכות, תפקידו של האקר אתי הוא לפרוץ ברשות כדי לאתר חולשות במערכות אלו. בשונה מהאקרים שפורצים לצורך תכלית זדונית, ההאקרים האתים פועלים בשירות גופים וארגונים, לצורך איתור פרצות ונקודות תורפה במערכות השונות. בעת איתור נקודות התורפה הם אמורים לדווח לגוף עבורו הם עובדים וגם לספקי החומרה והתוכנה הרלוונטיים.
עולם ה-Ethical Hacking ממשיך לצמוח, ויש לכך סיבה טובה: עם התפתחות הטכנולוגיה נוצרים כל הזמן יישומים וכלים חדשים, וכתוצאה מכך נפתחות גם פרצות חדשות שצריך לסגור. תפקידו של ההאקר האתי הוא לאתר את הפרצות האלה, להתריע ולסייע לסגירתן. היכולת לאמץ את דרכי החשיבה ושיטות הפעולה של ההאקרים, מסייע להאקרים האתיים לנסות להיות כמה צעדים לפניהם – ולמנוע נזקים אפשריים לפני שהם מתרחשים.
איך לומדים את התחום, והאם האקר אתי צריך לדעת תכנות?
למרות שלרבים מההאקרים האתיים יש תואר במדעי המחשב או בטכנולוגיות מידע, לחלק ממומחי אבטחת המידע המבצעים מבחני חדירות יש השכלה בסיסית דוגמת תעודת בגרות. בנוסף, רבים נכנסים לתחום בעזרת לימוד עצמי, קורסים מקוונים או בוטקאמפס. כדי להפוך להאקר אתי מוסמך צריך לעבור הסמכת CEH (ראשי תיבות של Certified Ethical Hacker), בעזרת קורס אבטחת מידע שיכין אתכם למבחן ההסמכה.
ומה לגבי ידע בתכנות? אף אחד לא מצפה מהאקרים אתיים להיות מתכנתי-על. ואחרי שאמרנו את זה, ידע בעולמות התכנות הוא קריטי לעבודתם, ממספר סיבות: לפני הכול, היכולת לקרוא ולהבין שורות קוד מציידת אותם באמצעי רב עוצמה – היכולת לאתר ולנצל שגיאות ופרצות ביישומים רלוונטיים, שאחרים לא ידעו לזהות. ידיעת תכנות מאפשרת להם גם ליישם בעצמם פתרונות לבעיות שונות, לבצע אוטומציה של משימות כדי לחסוך זמן יקר ואפילו לקסטם כלים קיימים כדי שיתאימו לצרכים שלהם.
הנה כמה משפות התכנות המרכזיות שמשמשות האקרים אתיים:
HTML – שפה המשמשת בין היתר להזנת נתונים ע"י המשתמשים. הכרתה מאפשרת לבנות טפסים, למצוא נקודות תורפה ולאתר בעיות אבטחה בקוד.
SQL – משמשת ליצירת אינטראקציה עם מסדי נתונים, והכרתה מאפשרת לעקוף מנגנוני התחברות חלשים, למחוק מידע ממסדי הנתונים ועוד.
PHP – אחת משפות התכנות הנפוצות ביותר, יכולה לשמש לכתיבת יישומי PHP שמשנים את ההגדרות בצד השרת והופכים אותו לפגיע בפני מתקפות.
Bash – שפה המשמשת להרצת תוכנות וכתיבת סקריפטים, שיכולים להפוך כמעט כל משימה לאוטומטית במערכות UNIX.
מה עוד כולל ארגז הכלים של ההאקר האתי?
הנה כמה מהכלים המרכזיים שמשמשים כיום האקרים אתיים:
Nmap – כלי הנמצא בשימוש נרחב ע"י האקרים אתיים, ומאפשר להם לאסוף בצורה קלה מידע על מערכות היעד באמצעות יכולות סריקה וחיפוש עוצמתיות. מידע זה יכול לספק תובנות חשובות לצורך קבלת החלטה האם לתקוף את המערכת המדוברת או לא. Nmap הוא פתרון חוצה פלטפורמות, שעובד במערכות ההפעלה השונות: Windows, Linux ו- Mac.
Netsparker – כלי לבדיקת רמת האבטחה של יישומי Web שונים. פתרון זה מאתר ומדווח על פגיעויות שונות של יישומי Web מכל הסוגים, ללא קשר לפלטפורמה או הטכנולוגיה שלהם. הסריקה היסודית מאפשרת להימנע מתוצאות שגויות, ולחסוך בדיקה כפולה של הפגיעויות שזוהו.
Metasploit – כלי לביצוע מבדקי חדירה ופריצה למחשבים, המכיל בין היתר מאגר נתונים ופגיעויות נגד מערכת ההפעלה. מדובר בפרויקט קוד פתוח, שבו קהילת המשתמשים יכולה להוסיף תרומות, שלאחר אישורן מובילות להוספת מודולים וכלים חדשים. Metasploit משמשת האקרים מתחילים לצורך תרגול המיומנויות שלהם.
ככל שאיומי הסייבר גדלים, כך תפקידם של ההאקרים האתיים הופך למשמעותי יותר ביצירת מרחב ווירטואלי בטוח. רק הזמן יגיד איזה איומים ופתרונות יתווספו לארגז הכלים שלהם, אבל דבר אחד בטוח: הביקוש להאקרים אתיים ימשיך לעלות בעתיד הנראה לעין.
https://www.sqlabs.co.il/wp-content/uploads/2020/12/dev__0008_shutterstock_613464041.jpg
330
572
yoava
https://www.sqlabs.co.il/wp-content/uploads/2023/07/sqlabs_new_w.png
yoava2023-12-15 13:29:352024-03-25 10:51:5615.04.2024 הכשרת IT Specialist
https://www.sqlabs.co.il/wp-content/uploads/2019/02/dev__0006_shutterstock_1032639931.jpg
330
572
SQLabs
https://www.sqlabs.co.il/wp-content/uploads/2023/07/sqlabs_new_w.png
SQLabs2023-07-02 15:07:052024-03-12 08:45:4002.06.2024 full stack
https://www.sqlabs.co.il/wp-content/uploads/2020/12/engineering__0000_shutterstock_1515878150.jpg
330
572
yoava
https://www.sqlabs.co.il/wp-content/uploads/2023/07/sqlabs_new_w.png
yoava2023-05-24 10:37:072024-01-21 14:43:36AI Developer
https://www.sqlabs.co.il/wp-content/uploads/2020/12/engineering__0004_shutterstock_1590824863.jpg
330
572
yoava
https://www.sqlabs.co.il/wp-content/uploads/2023/07/sqlabs_new_w.png
yoava2023-05-24 09:47:362024-01-21 14:09:23AI Data Manager
https://www.sqlabs.co.il/wp-content/uploads/2020/12/cyber__0002_shutterstock_1590824917.jpg
330
572
yoava
https://www.sqlabs.co.il/wp-content/uploads/2023/07/sqlabs_new_w.png
yoava2023-04-13 13:52:442024-01-21 14:10:15ניהול פרוייקטים טכנולוגיים
https://www.sqlabs.co.il/wp-content/uploads/2020/12/infra__0003_shutterstock_1515878147.jpg
330
572
Limor
https://www.sqlabs.co.il/wp-content/uploads/2023/07/sqlabs_new_w.png
Limor2023-03-08 09:14:072024-01-21 14:49:34מהנדסי וריפיקציה 19.06.24