Ethical Hacking การโจมตีอย่างมีจริยธรรม หรือเรียกอีกอย่างว่า (White-hat hacking) คือการใช้เทคนิคการโจมตีด้วยเหตุผลที่ดีและถูกกฎหมาย โดยปกติแล้วจะต้องได้รับอนุญาตจากเป้าหมายการโจมตี ตัวอย่างเช่น แฮกเกอร์ที่มีจริยธรรมสามารถพยายามเข้าถึงระบบขององค์กรที่ได้รับการอนุญาต เพื่อแสดงและรายงานช่องโหว่ บริษัทสามารถใช้ข้อมูลนี้เพื่อปรับปรุงความมั่งคงปลอดภัยได้

1. Black Hats จะใช้เรียก Hacker ที่ใช้ประโยชน์จากการทำงานที่ผิดพลาดของระบบ
   หรือการโจมตีระบบเพื่อประโยชน์ส่วนตัวหรือพวกพ้อง การโจมตีของ Black Hats
   ทุกครั้งจะไม่ได้รับอนุญาต ซึ่งเกือบทุกครั้งจะสร้างความเสียหายให้กับผู้ใช้งานระบบ
   หรือผู้พัฒนาระบบเสมอ รวมถึงมีทักษะขั้นสูงในการปกปิดร่องรอยและการโจมตีของตัวเอง
2. White Hats คือ Hacker ที่มีทักษะเดียวกับ Black Hats แต่จะใช้ในการป้องกันระบบ และเป็นประโยชน์ต่อสังคมโดยรวม การโจมตีหรือหาจุดอ่อนของ White Hats นั้นจะได้รับอนุญาตจากเจ้าของระบบก่อนเสมอ
3. Gray Hats คือผู้ที่มีทักษะประกอบกับความอยากรู้อยากเห็น มีการทดลองในแบบ
   ที่ตัวเองต้องการซึ่งบางครั้งทดลองกับระบบที่ไม่ได้รับอนุญาต แต่ไม่ได้มีความตั้งใจในการที่จะหาประโยชน์หรือสร้างความเสียหายแต่อย่างใด ถึงแม้จะเกิดความเสียหายขึ้นบ้างก็ตาม
4. Suicide Hacker ผู้ที่โจมตีระบบโดยไม่สนใจผลที่จะตามมา หากถูกจับได้และไม่มีการพยายามหรือพยายามน้อยมากในการปกปิดร่องรอยของตัวเอง จุดมุ่งหวังคือการได้แก้แค้นหรือสร้างความเสียหายให้กับคู่กรณี หรือกระทำเพื่อผลประโยชน์อย่างอื่น ๆ อาจจะเป็นตัวเงินซึ่งไม่ได้ตั้งใจจะเก็บไว้ใช้เอง เป็นต้น
5. Script Kiddie คือ ผู้ที่ไม่ได้มีทักษะหรือความเข้าใจขั้นสูงเกี่ยวกับระบบที่จะโจมตี ทำได้เพียงนำเครื่องมือ (Tools) ที่ Hacker สร้างไว้มาใช้งาน ซึ่งบางครั้งก็อาจใช้ไม่เป็นแล้วล้มเลิกไป หรือใช้แล้วไม่สำเร็จก็ไม่สามารถค้นหาสาเหตุและแก้ไข้ด้วยตัวเองได้ ข้อแตกต่างระหว่าง Hacker กับ Script Kiddie คือ Hacker จะสามารถโจมตีระบบสำเร็จได้ในที่สุด ไม่ว่าจะยากหรือใช้ระยะเวลานานเพียงใด และสามารถสร้างเครื่องมือมาลดระยะเวลาการทำงานหรือแก้ปัญหาเองได้ ในขณะที่ Script Kiddie นั้นหากใช้เครื่องมือที่มีกับเป้าหมายไม่สำเร็จก็จะเลิกราไป แล้วหาเป้าหมายใหม่ที่โจมตีง่ายกว่าเดิม
6. Cyber Terrorist คือผู้ที่ใช้ทักษะในการโจมตีระบบเพื่อสร้างความหวาดกลัว หรือคาดหวังการเปลี่ยนแปลงอย่างใดอย่างหนึ่งจากความตื่นกลัวนั้น ซึ่งเป้าหมายของผู้โจมตีกลุ่มนี้คือ ระบบที่หากโจมตีได้สำเร็จแล้วสามารถสร้างความตื่นกลัวให้กับผู้คนได้
   ทั้งทางตรงและทางอ้อม เช่น ระบบควบคุมเตาปฏิกรณ์นิวเคลียร์
7. State Sponsored คือ Hacker ที่ดำเนินการตามวัตถุประสงค์ของรัฐหรือประเทศของตัวเอง ทักษะที่มีจะเหมือนกับ Black และ White Hat แต่สิ่งที่แตกต่างคือได้รับทรัพยากรในการดำเนินการอย่างไม่จำกัดโดยการสนับสนุนของรัฐ ทำให้สามารถบรรลุวัตถุประสงค์ที่มีความซับซ้อนหรือยุ่งยากได้รวดเร็ว
8. Hacktivist คือ ผู้ที่ใช้ทักษะของ Hacker เพื่อการสร้างการเปลี่ยนแปลง หรือแสดงออกทางการเมือง โดยวัตถุประสงค์หลักคือความต้องการด้านเสรีภาพในการพูด และแสดงออก

ทักษะของ Ethical Hackers

ทักษะของ Hacker เป็นทักษะที่ไม่หยุดนิ่ง เพราะต้องมีการเรียนรู้ทำความเข้าใจเป้าหมายของการทดสอบเจาะระบบอยู่เสมอ แต่สิ่งที่จะเป็นพื้นฐานสำคัญที่จะทำให้ Hacker เป็น Hacker จริง ๆ ไม่ใช่เป็นเพียง Script Kiddie ก็คือ

• Hacker Mindset การมีความคิดสร้างสรรค์มองสิ่งต่าง ๆ แตกต่างจากคนอื่น ๆ
  และต้องแตกต่างในทางที่สามารถแก้ไขปัญหา หรือ ใช้งานสิ่งต่าง ๆ รอบตัวในแบบที่ไม่มีใครสามารถคาดคิดได้
• การเข้าใจสถาปัตยกรรมและการทำงานของระบบคอมพิวเตอร์ หน่วยประมวลผล หน่วยความจำ การส่งต่อข้อมูลระหว่างแต่ละหน่วย และการเชื่อมต่อทางกายภาพ
• หลักการและเทคนิคในการเขียนโปรแกรมทั้งในภาษาระดับต่ำ (Low-Level Language) และภาษาระดับสูง (High-Level Language)
• การเชื่อมต่อและการรับส่งข้อมูลทางเครือข่ายในระดับกายภาพ (Physical), สื่อส่งข้อมูล (Data Link), ที่อยู่ทางเครือข่าย (Network), ระดับการรับส่งข้อมูลของแต่ละบริการ (Transport), ระดับการแสดงผลข้อมูล (Presentation) และระดับการประยุกต์ใช้ข้อมูลได้อย่างมีประสิทธิภาพ

แนวทางการเจาะระบบ

จากหน่วยการเรียนรู้ที่แล้ว ที่ได้มีการกล่าวถึงขั้นตอนของการทดสอบเจาะระบบ ซึ่งประกอบด้วย

• การสำรวจข้อมูลของเป้าหมาย (Reconnaissance)
• การค้นหาข้อมูลเชิงลึก (Scanning)
• การเข้าถึงระบบ (Gaining Access)
• การคงไว้ซึ่งการเข้าถึง (Maintain Access)
• การลบร่องรอยที่ปรากฏอยู่ในที่ต่าง ๆ เพื่อไม่ให้สามารถถูกติดตามได้ (Covering Track)

สุดท้ายนี้การ Ethical Hacking เป็นการใช้ทักษะในเชิงการป้องกัน และตั้งรับ มีข้อจำกัดที่การ Hack แบบอื่นๆ ไม่มีโดยเฉพาะในเรื่องของระยะเวลา ดังนั้น ผู้ที่สนใจอยากเป็น Ethical Hacker จึงต้องมีความสามารถในการวางแผน เพื่อทำงานภายใต้ข้อจำกัด และการจัดลำดับความสำคัญของความเสี่ยงได้เป็นอย่างดีด้วยครับ