هکرداریم تا هکر!

اگر جایی کسی را دیدید که عینک دارد، چشم هایش قرمز است، موقع نشستن کمی قوز می کند، منزوی است، چندان معاشرتی نیست و هیچ خوشش نمی آید به اصطلاح رویش «زوم» کنید، اما نگاهی کنجکاو دارد، بی برو و برگرد با یک «هکر» روبه رو شده اید. بهروز کمالیان ۲۵ساله، دانشجوی نرم افزار کامپیوتر یک هکر است که کم و بیش با همین مشخصات روبه روی من نشسته است. می گوید: هکرها تیپ خاصی ندارند، یعنی همه جوره لباس می پوشند و اکثراً دوست ندارند جایی آفتابی شوند. راحت نمی شود آنها را دید. هکرها دوست دارند آنچه می خواهند اتفاق بیفتد. مثلاً من هیچ دوست نداشتم درس بدهم، اما خب، دیدم نمی شود و بهتر است این اطلاعات را به دیگران هم بدهیم.
▪ هک کردن کلاس آموزشی دارد
ـ «امنیت و هک کردن» دانش جدیدی است که در همه کشورها مدرک بین المللی دارد، بحث اصلی برای هکرها تست نفوذ است؛ به این ترتیب مشکلات امنیتی سایت ها را پیدا می کنند و اطلاع می دهند. هکر در این وضعیت فقط مشکلات امنیتی را پیدا و مطرح می کند. به این نوع هک، هک سفید می گویند. درآمد هکرها بیشتر از این طریق است.
▪ یعنی این یک شغل است
ـ همیشه گفته شده که بهترین مشاوران امنیتی، بهترین هکرها هستند. اگر ندانیم چه روش هایی برای هک و سوء استفاده از شبکه و سایت ها وجود دارد، نمی توانیم جلوی آنها را بگیریم. بیل گیتس هکرهای چینی را که بزرگ ترین باگ ها در ویندوز و مایکروسافت را پیدا کرده بودند، استخدام کرد. الآن جنگ الکترونیک بحث مهمی است. کشورهایی مانند روسیه شاید بیش از هر سلاح و شیوه دیگری از هکرها استفاده می کنند، اما ایران در جنگ الکترونیک حضور و فعالیت زیادی ندارد؛ هر چند من فکر می کنم ایرانی ها جزو پنج کشور اول در هک هستند. هر چقدر امنیت سایت ها، وبلاگ ها و ایمیل ها اهمیت پیدا کند، اهمیت کار هکرها هم بیشتر نمود پیدا می کند. البته هکرها هم دو دسته اند. کسانی که حفره امنیتی کشف می کنند و باگ های امنیتی نرم افزارها را پیدا می کنند، با دانش ترین هکرها هستند. این گروه حفره های امنیتی را به سایت ها گزارش می دهند که این گزارش به اسم آنان ثبت می شود. به این گروه از هکرها «کلاه سفید» می گویند. فعالیت این گروه در جهت ارتقای امنیت است. اما نوع دوم هکرها دنبال منافع شخصی شان هستند. منافع مالی، هک کردن ایمیل ها و سایت ها و دسترسی به اطلاعات شخصی و سوء استفاده از آنها، هدف این هکرهاست که «کلاه سیاه»اند.
در مجموع می شود گفت هکرها علیه هکرها. یعنی اگر کسی به فکر هک کردن یک سایت با هدف سوء استفاده نیفتد، لزومی ندارد کسی هم به فکر هک سایت با هدف ارتقای امنیت آن باشد.
هک یک قدرت است که به چاقو می ماند. این چاقو می تواند در دست یک جراح باشد تا بیماری و مشکلی را رفع کند یا دست یک قاتل باشد. هک هم همین طور است؛ هم می توان از آن برای ارتقای امنیت ملی استفاده کرد و هم با آن پول جابه جا کرد و دست به سرقت زد.
ولی اکثر مردم دید چندان مثبتی درباره هکرها ندارند. به نوعی برای آنان واژه «هکر» با «شیطنت» نزدیک است.
بله؛ چنین دیدی وجود دارد ولی خود ما سعی کرده ایم این دید را در کشور برطرف کنیم. از حدود شش سال پیش گروهی تشکیل دادیم که هدف آن بالا بردن سطح امنیتی وب سایت های دانشگاه ها و سازمان ها در کشور بود. در آن زمان، اکثراً حتی با این رشته آشنایی نداشتند یا گاه حتی کلمه هک را نشنیده بودند. با انجام طرح هایی اهمیت این رشته بیشتر روشن شده است و طی یکی- دو سال اخیر مهم تر شده ایم.
▪ پس جزو کلاه سفیدها هستید
ـ این گروه اولین گروه امنیتی در کشور است؛ البته تعداد گروه های امنیتی در ایران به تعداد انگشتان یک دست هم نیست. گروه ما تاکنون ۵۰ باگ امنیتی از قبیل ویندوز پیدا کرده و گزارش داده است.
ما به مسائل اخلاقی خیلی اهمیت دادیم. درآمد ما بیشتر از طریق آموزش دوره های هک یا سفارش های کاری است که برای افزایش سطح امنیت سایت ها می گیریم. بیشتر کسانی که در این کلاس ها شرکت کرده اند، کسانی بوده اند که سایت، ای.میل یا وبلاگ شان هک شده بود. ما نکات اخلاقی را سر کلاس مطرح می کنیم، طرف اگر وجدان هکری داشته باشد، به این نکات توجه می کند.
تا به حال پیشنهادی برای هک یک ای میل، نداشته اید
به هیچ وجه قبول نمی کنیم مگر مطمئن شویم ای میل خود فرد است. برای مثال کلمه رمز و عبورش را فراموش کرده است.
▪ چه سایت هایی را هک کرده اید
ـ هک کردن وب سایت هایی که با منافع ملی متضادند از جمله کارهای گروه ما بوده است. سایت هایی که برای مردم خوشایند نبوده.
ممکن است ای میل یا وب سایت خود هکرها هم هک شود
بله، خود هکرها هم ممکن است ای میل یا وب سایتشان هک شود که تازه آن وقت می فهمند چه احساسی دارد.
▪ چه احساسی دارد
ـ خب، وقتی ای میل یا سایتی که چند سال آن را داشتید، هک می شود، احساس شکست می کنید. برخی از هکرها به این مسائل توجهی ندارند که البته این موضوع به رنگ کلاه هکرها بستگی دارد.
امنیت را تا چه حد می توان بالا برد می شود کاری کرد که امکان هک کردن وجود نداشته باشد
امنیت هیچ وقت ۱۰۰ درصد نیست. در این قضیه هیچ وقت نمی توان گفت می شود کاری انجام داد که نه ای میل و نه وب سایت هک نشود. ما سایت «ناسا» را سه سال پیش هک کردیم.
▪ اولین سایتی که هک کردید چه سایتی بود
سایت دانشگاه شریف. سمینار امنیت شبکه گذاشتند و ادعا کردند که سایت را کسی نمی تواند هک کند. من هم آن را هک کردم. برای همین پیشنهاد می کنم کسی در این زمینه ادعایی نکند.
▪ چه احساسی پیدا کردید
ـ احساس ترس. در اخبار گفتند سایت دانشگاه شریف هک شده، هکرها شناسایی شده اند و موضوع به لحاظ قانونی پیگیری می شود.
ما دفاعیه داده بودیم که برای نشان دادن ضعف امنیتی این کار را کردیم، ضمن این که اسم سایت خودمان و لینک آن را هم گذاشته بودیم. هدف ما تذکر دادن و بالا بردن امنیت وب سایت بود و نه تخریب و به همین علت موضوع را پیگیری نکردند.
ظاهراً علاقه به هک روز به روز بیشتر می شود. در این شرایط برای احساس امنیت خاطر چه باید کرد
اگر واقعاً کسی از هک شدن ای.میل، سایت یا وبلاگش می ترسد، بهتر است آموزش ببیند. دراین صورت با رعایت موارد امنیتی، می تواند تا حد زیادی از بروز این مشکل جلوگیری کند؛ هر چند این آموزش ها هر چند وقت یک بار باید تجدید شود، چون شیوه ها هم هر چند وقت یک بار تغییر می کند.
▪ از چند سالگی کار هک را شروع کردید
ـ از ۱۷ سالگی کار با کامپیوتر را شروع کردم و از همان وقت به خاطر کنجکاوی سراغ هک رفتم. آن زمان نه کتابی در ایران در این زمینه بود، نه سایتی و نه آموزشی. مجبور بودم سراغ سایت های خارجی بروم، آنها را ترجمه کنم و از آنها استفاده کنم. کم کم از طریق اینترنت با چند نفر که آنها هم دنبال دانش هک بودند آشنا شدم و ارتباط گرفتم. بعدها با چند نفر از آنها شرکتی ایجاد کردم.
▪ بیشتر چند ساله ها در کلاس های شما شرکت می کنند
ـ ۹۹ درصد جوانند. از ۱۶ ساله تا ۳۵ ساله.
▪ چقدر درآمد دارید
ـ نمی شود گفت. ممکن است کار امنیت پیدا کردن باگ ها و نقاط نفوذ و رفع مشکلات و ارتقای امنیت یک سایت پنج روز طول بکشد و ممکن است کار یک سایت یک ماه طول بکشد. تست نفوذ ، تعرفه مشخصی ندارد و براساس میزان وقت، مقدار کار و مقدار اعتباری که دارید محاسبه می شود.
▪ خب، چقدر
ـ ۲۰۰ هزار تا ۸ میلیون تومان.
▪ یعنی تا الان درآمد خوبی داشته اید، درست است
ـ می شود گفت به درآمدی که می خواستم رسیدم.
▪ خانه خریدید
ـ نه.
▪ ماشین
در آینده نزدیک می خرم.