تجربه و شغلی متفاوت؛ مروی بر وظایف هکری که در استخدام بزرگترین شرکت های دنیای تکنولوژی است
چارلز هندرسون از IBM پول می گیرد تا مثل یک هکر خطرناک فکر کند. به عنوان یک هکر اخلاق گرا که برای شرکت کامپیوتری IBM و چندین شرکت دیگر کار می کند، شغل هندرسون پیدا ...
چارلز هندرسون از IBM پول می گیرد تا مثل یک هکر خطرناک فکر کند. به عنوان یک هکر اخلاق گرا که برای شرکت کامپیوتری IBM و چندین شرکت دیگر کار می کند، شغل هندرسون پیدا کردن حفره های امنیتی در شبکه ها، اپلیکیشن ها و مکان های فیزیکی است که امکان مورد حمله قرار گرفتن آن توسط دیگران وجود دارد.
آی بی ام می گوید با توجه به افزایش میزان حملات سایبری و لزوم به پیشرفت سازه های دفاعی در برابر این حملات، شرکت ها کم کم به استخدام تعداد بیشتری از هکرها برای انجام تست نفوذ روی سیستم های آنلاین، شبکه ها و مکان های فیزیکی می پردازند.
در واقع، هندرسون فقط یکی از 1000 متخصص امنیتی است که آی بی ام در سال 2015 استخدام کرده. وبسایت بیزینس اینسایدر اخیرا با هندرسون 40 ساله گفتگویی داشته و او هم از کار کردن برای آی بی ام به عنوان یک هکر می گوید:
بگذارید با این شروع کنم: من کودک کنجکاوی بودم
من در آستین، یکی از شهرهای ایالت تگزاس بزرگ شدم و هنوز زندگی می کنم که به خاطر فراهم آمدن مقدمات امنیت کامپیوتر تبدیل به بهشت جوانان علاقه مند به تکنولوژی شده. من به دانشگاه تگزاس رفته ام و در آنجا علوم کامپیوتر خوانده ام.
وقتی 11 ساله بودم، پدرم با اولین کامپیوترمان به خانه آمد. طی یک هفته، به یک عضو فعال Bulletin Board Systems تبدیل شدم. استفاده از بولتین بوردها من را با دیگر هکرها در سراسر جهان آشنا کرد. به یک باره دنیا برای من دست یافتنی تر شد.
سریعا متوجه شدم که تکه تکه کردن چیزها برای من جالب تر از متصل کردن شان به یکدیگر است.
وقتی 12 ساله شدم، به شبکه علاقه پیدا کردم که در آن زمان سیستم تلفن بود. من واقعا یک باجه تلفن در اتاقم داشتم که البته آن را قانونی خریداری کرده بودم و آن را تکه تکه کردم. امروز، وبسایت ها و ویدیوهایی هستند که به شما یاد می دهند چطور چیزها را بگیرید و از هم بازشان کنید و دوباره ببندید. اما وقتی که من بزرگ می شدم، هیچ کدام از این ها وجود نداشتند و این باعث شگفت زدگی من بود.
شگفت زدگی من پر بود از نادانسته ها، بنابراین بازشان می کردم تا بدانم که واقعا چطور کار می کنند. در واقع، اگر یک کتاب چگونه کار می کنند وجود داشت، شاید من هیچ وقت این کارها را نمی کردم.
همیشه به اخلاقیات پایبند بوده ام
بچه ها همیشه کارهای احمقانه می کنند.
برای مثال زمانی که بچه بودم و در مدرسه ابتدایی حصیل می کردم متوجه شدم که می توانم با تلفن بی سیم پدر و مادرم به مکالمات همسایه مان گوش دهم. آیا پدر و مادر من دوست داشتند چیزهای گران قیمت الکترونیکی که می خریدند را تکه پاره کنم؟ احتمالا نه، ولی باید همه این ها را یاد می گرفتم تا هکر بشوم.
طی 20 سال اخیر، با آزاد گذاشتن حس کنجکاوی ام در زمینه تست نفوذ و پژوهش های امنیتی کار کرده ام
وقتی که می خواستم هفت ماه پیش شغلم را عوض کنم، IBM به من پیشنهاد جایگاهی چالش برانگیز و بسیار جالب داد که نتوانستم در برابرش مقاومت کنم. من به غنای اطلاعاتی آنجا و منابعی که در اختیارم بود جذب شدم.
در اکتبر سال 2015 به کمپانی ملحق شدم و کار کردن برای IBM بسیار شگفت انگیز بوده. من گاهی از این طریق با برخی از بزرگ ترین برندهای دنیا کار می کنم.
یک تیم امنیتی کوچک، ابزارهایی که در IBM دارد را در اختیار ندارند. گاهی لازم بود ابزارهای adhoc مخصوص خودمان را بسازیم که زمان می برد. به لطف ابزارهایی نظیر BlueMix و واتسون و دیگر منابع ما در IBM، قدرت بیشتری در اختیار داریم. من تقریبا به هر چیزی که تصورش را می کردم دسترسی دارم که برای یک محقق هیجان انگیز است. واقعا آسمان تنها محدودیت اینجاست.
اولین کاری که هر روز صبح انجام می دهد، اطلاع یافتن از وقایعی است که هنگام خوابیدن رخ داده
نکته جالب این است که من یک تیم جهانی را مدیریت می کنم، بنابراین زمانی که خوابیده ام، دیگران بیدارند و مشغول برقراری ارتباط با مشتری ها بوده و پژوهش می کنند.
بنابراین اول صبح خود را با این سوال آغاز می کنم که آیا رخنه امنیتی خاصی پیدا کرده ایم؟ آیا لازم است به مشتریان اطلاع دهم و بگویم که کار روی درست کردن آن را آغاز می کنیم؟ از اینجا به نتیجه می رسیم که تست نفوذ انجام پذیرد یا خیر. ساعتی نیست که من یک راه جالب یا چیز متفاوتی را تجربه نکنم، بنابراین روز من هم پیش بینی نشده و هم جذاب است.
همچنین، من تحقیقات بسیاری هم خودم انجام می دهم. علاقه دارم تا به دستگاه های الکترونیکی مشتری محور نگاهی بیاندازم. از هواپیما و قطار و اتومبیل گرفته تا دستگاه های موبایل. بالاخره راهی پیدا می کنم که وارد آن دستگاه شوم و رخنه یا آسیب پذیری پیدا کنم. و با اوج گرفتن اینترنت اشیا، دوست دارم بدانم که چه اتفاقی در نتیجه اتصال دستگاه ها به یکدیگر رخ می دهد و آسیب پذیری های احتمالی چیست.
وقتی که تگزاس نیستم، به اقصی نقاط جهان سفر می کنم تا با مشتریان جلسه بگذارم، به آن ها کمک می کنم تا مسائل امنیتی را بهتر درک کنند و با برخی از بزرگ ترین کمپانی ها و برندهای دنیا در طی این جلسات کار می کنم. آن ها خواسته ها و نیازهای شان را به اشتراک می گذارند و می خواهند راه حلی برای حل مشکلات پیدا کنند و با هم این کار را انجام می دهیم.
این یکی از کارهایی است که ما انجام می دهیم
یک بار، استخدام شدم تا تست نفوذ فیزیکی انجام دهم که منجر به دزدیده شدن یک خودروی سازمانی، پر از اطلاعات محرمانه شد.
هدف این بود که ببینیم تیم من چقدر می تواند از طریق ابزارهایی نظیر مهندسی اجتماعی برای ضربه زدن و نفوذ به ساختمان استفاده کرده و اطلاعات محرمانه را مشاهده کنیم. نتیجه این شد که نه تنها دست مان به اطلاعات رسید، بلکه حتی موفق شدیم داده ها را به وسیله یکی از ماشین های شرکت بدزدیم؛ البته با اجازه شرکت.
وقتی که بحث هک کردن مکان ها می شود، ما معمولا «تیم های ببری» را به کار می گیریم تا وارد ساختمان شده و امنیت در اصلی شان را بسنجیم.
از میله برای باز کردن درها استفاده نمی کنیم، در عوض بسیار هماهنگ شده حملاتی انجام می دهیم که شامل هک کردن سیستم ناامن ورودی و استفاده از کارت ورودی جعلی کارکنان می شود. البته همه این ها با اجازه کمپانی و جهت یافتن مشکلات امنیتی انجام می شود.
بهترین بخش کارم، پیدا کردن یک رخنه و درست کردن آن پیش از دسترسی یافتن هکرها است
هر زمان که به یک مشتری کمک می کنیم تا حفره امنیتی اش را درست کند، یکی از راه های دسترسی هکرها بسته می شود. و وقتی که من می گویم مشتری، منظورم مشتری مشتری ماست، افرادی که با آن ها تجارت و کار می کنند.
بدترین بخش کارم، اطلاع دادن به مشتری در مورد آسیب پذیری شان است
برخی اوقات، برخورد ابتدایی آن ها وحشت و ترس است اما خبر خوب اینکه دیگر لازم نیست نگران باشند و همه مشکلات قابل برطرف کردن است اما همیشه دادن خبر بد، خوشایند نیست.
وقتی به دیگران می گویم شغلم چیست از من می پرسند آیا می توانی حساب بانکی ام را هک کنی؟
همیشه در جواب می گویم که بستگی به بانکی که در آن حساب باز کرده ای دارد و آن ها باز هم می پرسند تا به حال از این کارهای جاسوسی کرده ای؟
همه فکر می کنند ما مجرم هستیم
متاسفانه، واژه «هکر» مفهوم هک های مخرب کامپیوتری را یدک می کشد و بسیار مهم است که درک کنیم، هکر یک واژه برای خطاب کردن مجرمین نیست.
برای من، واژه هکر یعنی کنکجاوی بی انتها برای دانستن اینکه چیزها چطور کار می کنند.
برنامه های تلویزیونی و فیلم ها، هکرها را به عنوان افرادی نشان می دهند که به همه چیز آگاه اند و می دانند یک کار را چطور به انجام برسانند. در حقیقت اما، هک کردن به معنای از هم جدا کردن فیزیکی یا مجازی قطعات است تا بفهمیم درون آن ها چگونه کار می کند.
بین هکر خوب و بد تفاوت وجود دارد
هکرهای مجرم، یک آسیب پذیری را برای کسب منافع یا اهداف پنهان لو می دهند و علاقه ای به کمک کردن برای حل آن ندارند. آن ها سوژه های شان را بر اساس ضعیف ترین ها انتخاب می کنند در حالی که هکرهای خوب در جریان مسیر یادگیری و چالشی که در انتظارشان قرار می گیرد، هدفی را بر می گزینند.
به عنوان یک هکر اخلاق گرا، از این طریق که بیاموزیم چیزها چگونه کار می کنند جلو می رویم. وقتی که یک آسیب پذیری بیابیم، آن اطلاعات را در اختیار قرار می دهیم و مسئولانه در پی برطرف کردن آن هستیم.
ما یک قطب نمای اخلاقی داریم که به ما کمک می کند در مسیر درست قدم برداریم و از مردم در برابر حفره ها حفاظت کنیم.
می گویند ما هک می کنیم چون با همه چیز ناسازگاری داریم و پر از خشم و ترس هستیم
اغلب افراد تصور می کنند که اگر شما یک هکر هستید، بنابراین در دوران کودکی تان هیچ دوستی نداشته اید. اما صادقانه، هک کردن هیچ ارتباطی به این ها ندارد. در سراسر جهان، هکرهای بسیار سالمی داریم، ما فقط افرادی کنجکاو محسوب می شویم که دوست داریم عمیق تر بدانیم دنیا چگونه کار می کند. من پدر دو فرزند هستم و زندگی شادی با همسرم دارم.
بهترین توصیه من برای هکرهای نوپا این است که همه چیز را به سوال بکشید
همیشه کنجکاو باشید. هیچ وقت به ظاهر چیزی بسنده نکنید.
و دوم اینکه، همیشه حواس تان به اصول اخلاقی تان باشد و روی افشای مسئولانه تمرین کنید. با انجام یک کار احمقانه می توان آینده کاری فوق العاده ای را به یک باره خراب کرد. مطمئن شوید زمانی که آسیب پذیری ها را مطالعه می کنید، با اصول خودتان پیش می روید.
به یاد داشته باشید که کمپانی ها نمی توانند از کاربران خود در برابر رخنه های امنیتی پیدا شده توسط هکرها حفاظت کنند، مگر آنکه هکر به شکلی مسئولانه آن رخنه را نزد کمپانی افشا کند. اگر کمپانی نداند، نمی تواند مشکل را برطرف سازد.
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.