האם פריצת אתרים חוקית - התשובה הכנה שאף אחד לא נותן לכם¶
זו השאלה שכל הורה שואל כשהילד שלו אומר "אני לומד לפרוץ אתרים", וזו גם שאלה שכדאי שכל מי שנכנס לתחום ישאל את עצמו בכנות. אז בואו נענה עליה בלי להתחמק - כי התשובה חשובה הרבה יותר ממה שרוב המדריכים טורחים להסביר.
התשובה הקצרה¶
פריצת אתרים היא לא חוקית או לא חוקית - זה תלוי לגמרי בהרשאה. לתקוף אתר, שרת, או מערכת בלי רשות מפורשת מבעל המערכת היא עבירה פלילית, בין אם מצאתם משהו "רק בשביל הכיף" ובין אם התכוונתם לגרום נזק. לעומת זאת, לתקוף מערכת שקיבלתם הרשאה מפורשת לתקוף - בין אם זו סביבת תרגול, תוכנית bug bounty, או פרויקט בדיקת חדירות בעבודה - זה חוקי לחלוטין, ואפילו מקצוע מבוקש ומכובד.
ההבדל היחיד בין "האקר פורץ חוק" לבין "חוקר אבטחה מקצועי" הוא לא הכלים שהם משתמשים בהם, ולא אפילו הידע שלהם. ההבדל הוא הרשאה.
מה אומר החוק בישראל¶
בישראל, החוק הרלוונטי הוא חוק המחשבים, והוא מגדיר בבירור עבירות כמו חדירה לחומר מחשב שלא כדין. המילה המרכזית שם היא "שלא כדין" - כלומר בלי הרשאה. גישה למערכת מחשב, שרת, או רשת בלי רשות, גם אם לא גרמתם שום נזק, גם אם רק "הסתכלתם", עלולה להיחשב עבירה פלילית. זה נכון גם אם המערכת הייתה חלשה באופן מביך וגם אם "רק רציתם להראות להם שיש להם בעיה".
חשוב להבין - אין הגנה משפטית ל"כוונות טובות" כשאין הרשאה. אם מישהו רוצה להוכיח שיש חולשה באתר של חברה מסוימת, הדרך הנכונה היא לפנות לחברה, לא לתקוף בפועל בלי לשאול.
אז מה כן חוקי¶
כדי לתרגל ולפתח מיומנות באופן חוקי לחלוטין, יש כמה מסלולים ברורים:
- פלטפורמות תרגול ייעודיות. אתרים שנבנו במיוחד עם חולשות מכוונות, במטרה מפורשת שאנשים יתרגלו עליהם. השימוש בהם חוקי לחלוטין כי זו בדיוק המטרה שלהם.
- תוכניות bug bounty רשמיות. כשחברה מפרסמת תוכנית מסודרת עם scope ברור, אתם מקבלים הרשאה מפורשת לבדוק את המערכות שהוגדרו, בתנאים שהחברה קבעה.
- בדיקת חדירות בעבודה. כשחברה שוכרת אתכם, או את הארגון שאתם עובדים בו, לבדוק את המערכות שלה, בדרך כלל תחת הסכם כתוב שמגדיר בדיוק מה מותר ומתי.
- מערכות שאתם עצמכם בניתם. כל אתר או שרת שאתם הקמתם בעצמכם, אתם רשאים לבדוק כמה שתרצו - זה בדיוק למה שכדאי לבנות סביבת תרגול משלכם.
מה זה בעצם גילוי אחראי¶
אם במקרה נתקלתם בחולשה באתר בלי כוונה - למשל לחצתם על משהו והבחנתם שמשהו נראה שבור - הדרך הנכונה והמכובדת לפעול נקראת גילוי אחראי, Responsible Disclosure. זה אומר לפנות לחברה בערוץ המתאים, בדרך כלל מייל אבטחה ייעודי או תוכנית bug bounty אם קיימת, לתאר את מה שמצאתם בלי לנצל אותו מעבר לנדרש כדי להוכיח שהוא קיים, ולתת לחברה זמן סביר לתקן לפני שמפרסמים משהו בפומבי. זו הדרך שבה חוקרי אבטחה מקצועיים פועלים, וזו גם הדרך שבונה מוניטין טוב בתחום.
למה שווה להישאר בצד הנכון של הקו¶
מעבר לעניין המשפטי הברור, יש סיבה מעשית פשוטה - קריירה בתחום הזה נבנית על אמון. חברות מגייסות בודקי חדירות וחוקרי אבטחה על סמך יכולת מוכחת ואמינות. הרגע שבו מישהו מגלה שעברתם על החוק, גם "רק פעם אחת", יכול לסגור דלתות של קריירה שלמה. לעומת זאת, פעילות דרך ערוצים חוקיים - תרגול, bug bounty, ומשרות אמיתיות - בונה בדיוק את המוניטין וההיסטוריה שמעסיקים בתחום מחפשים.
איך בונים קריירה בתחום בצורה נכונה מהיום הראשון¶
בקורס פריצת אתרים כל התרגול נעשה על סביבות ומערכות שנבנות במיוחד לצורך הלמידה, כדי שתוכלו לתרגל בביטחון מלא בלי לשאול את עצמכם אף פעם "האם זה בסדר שאני עושה את זה". זו בדיוק הגישה שכדאי להטמיע מההתחלה.
לסיכום¶
פריצת אתרים חוקית לחלוטין - כשיש הרשאה. בלי הרשאה, זו עבירה פלילית, לא משנה כמה טובות היו הכוונות. ההבדל הזה הוא לא פרט קטן שאפשר להתעלם ממנו, הוא הבסיס לכל קריירה אמיתית בתחום, ושווה להפנים אותו לפני שנוגעים בכלי הראשון.
הצטרפו לקהילה בדיסקורד ותתרגלו בביטחון מלא, בסביבה חוקית מההתחלה ועד הסוף.