לדלג לתוכן

איך מתרגלים פריצה באופן חוקי - סקירת כל האפשרויות

השאלה הכי נפוצה שאני מקבל, אחרי "איך מתחילים", היא "רגע, זה בכלל חוקי מה שאני עושה?" זו שאלה מצוינת, ומגיע לה תשובה מסודרת ולא רק "כן זה בסדר, תמשיכו". אז בואו נפרק את זה: מהו בכלל הנוף המלא של תרגול פריצה חוקי, ואיפה עובר הגבול שהופך פעולה טכנית זהה לגמרי מפעילות לימודית לפלילית.

התשובה הקצרה היא שהחוק לא מתייחס לטכניקה שאתם מבצעים - הוא מתייחס להרשאה. אותה פקודה בדיוק, מול שני יעדים שונים, יכולה להיות תרגול לגיטימי או עבירה פלילית. בואו נעבור על שלוש הקטגוריות המרכזיות שבהן ההרשאה מובנית מראש.

פלטפורמות תרגול ואפליקציות פגיעות מכוונות

הקטגוריה הכי בטוחה ופשוטה היא סביבות שנבנו מהיסוד בשביל שיתקפו אותן. פלטפורמות CTF, מכונות תרגול בסגנון HackTheBox או TryHackMe, ואפליקציות פגיעות שמריצים מקומית כמו DVWA - כולן מבוססות על הסכמה מובנית. ברגע שנרשמתם לפלטפורמה או הורדתם את האפליקציה למחשב שלכם, ההרשאה כבר קיימת מעצם התכנון. אין כאן שום אזור אפור: זה בדיוק המקום שבו כדאי להתחיל, כי אין צורך לחשוב פעמיים על הגבולות.

בדיקות חדירה מורשות דרך תוכניות bug bounty

הקטגוריה השנייה מעניינת יותר כי היא מקרבת אתכם לעולם האמיתי. פלטפורמות כמו HackerOne ו-Bugcrowd (ויש עוד, כמו Intigriti ו-YesWeHack) מחברות בין חוקרי אבטחה לבין חברות אמיתיות שהחליטו במפורש לפתוח חלק מהמערכות שלהן לבדיקה חיצונית. זו לא הרשאה כללית "לפרוץ לחברה" - זו הרשאה מדויקת שמוגדרת דרך מסמך שנקרא scope.

ה-scope הוא בדיוק מה שמפריד בין תרגול חוקי לעבירה. בתוכנית מוגדר אילו דומיינים, אפליקציות או מערכות מותר לבדוק, ולעיתים גם אילו טכניקות אסורות (למשל, מתקפות מניעת שירות). ברגע שאתם בודקים משהו שנמצא מחוץ ל-scope הזה - שרת אחר של אותה חברה, ספק צד שלישי שהם משתמשים בו, כל דבר שלא מופיע במפורש - אתם יצאתם מתחום ההרשאה, וזו בדיוק הנקודה שבה פעילות מותרת הופכת לפעילות אסורה, גם אם מדובר באותה חברה בדיוק.

חשוב גם להבחין בין שני סוגי תוכניות. תוכניות bug bounty בתשלום מציעות פרס כספי על ממצא תקף, לפי חומרתו. תוכניות VDP (Vulnerability Disclosure Program) מאפשרות אותה בדיקה מורשית בדיוק, אבל בלי תגמול כספי - החברה פשוט מסכימה לקבל דיווחים ומתחייבת לא לתבוע חוקרים שפועלים לפי הכללים שלה. שתי הסוגים חוקיים באותה מידה - ההבדל הוא רק בתמריץ הכלכלי, לא בהיתר עצמו.

מעבדות ותשתית שבבעלותכם

הקטגוריה השלישית היא הפשוטה ביותר להבנה: כל דבר שבבעלותכם. מעבדה ביתית עם מכונות וירטואליות מבודדות, או מכונת ענן ששכרתם על חשבונכם - שתיהן מהוות שטח הרשאה מלא, כי הבעלים היחיד שצריך לתת הסכמה זה אתם. הגבול היחיד כאן הוא לוודא שהתשתית מבודדת כראוי ולא חושפת אחרים בטעות, לא שאלה של הרשאה אלא שאלה של תשתית נכונה.

הכלל המאחד

מה שמאחד את שלוש הקטגוריות הוא בדיוק אותו עיקרון: הרשאה מפורשת היא מה שהופך פעולה לחוקית, נקודה. אין "כוונות טובות" שמצילות אתכם משפטית, ואין "רק בדקתי, לא עשיתי נזק" שעוזר במקרה של תקיפה ללא הרשאה. אותה סריקת פורטים, אותה נסיון הזרקת SQL, אותו מחקר חולשות - חוקיים לגמרי כשיש הרשאה, ועבירה פלילית כשאין. הטכניקה זהה. ההקשר המשפטי הוא מה שמשתנה.

איך לשלב בין השלושה תוך כדי התקדמות

ההמלצה המעשית היא לא לבחור קטגוריה אחת ולהיצמד אליה, אלא להתקדם דרך שלושתן. מתחילים בפלטפורמות תרגול כי הן הכי נגישות וללא סיכון משפטי כלשהו. במקביל בונים מעבדה ביתית או שוכרים מכונת ענן כדי לתרגל בחופשיות בלי מגבלות של פלטפורמה מסוימת. וכשמרגישים בשלים מספיק, עוברים לתוכניות VDP קודם - כי הן בדרך כלל פחות תחרותיות - ורק אחר כך לתוכניות bug bounty בתשלום, כשכבר יש בסיס טכני מוצק שמאפשר למצוא ממצאים אמיתיים.

אם אתם רוצים בסיס טכני מוצק בפריצת אתרים לפני שאתם ניגשים לתוכניות מורשות אמיתיות, תבנו את הבסיס עם קורס פריצת האתרים שלנו - שם לומדים את החולשות עצמן בסביבה מבוקרת, לפני שיוצאים לעולם עם scope ואחריות אמיתית.

אם אתם לא בטוחים אם משהו ספציפי שאתם רוצים לבדוק נכנס תחת הרשאה או לא, עדיף לשאול לפני מאשר להסתכן - ויש קהילה שמחה לעזור לחשוב יחד.

הצטרפו לקהילה בדיסקורד