هکرهای ایرانی از چه راه‌هایی برای یادگیری هک استفاده می‌کنند؟

هکرهای ایرانی از چه راه‌هایی برای یادگیری هک استفاده می‌کنند؟

۸۱۷

شما اگر در ابتدای مسیر یادگیری هک باشید، چه راه و روشی را برای یادگیری خود انتخاب می‌کنید؟ از چه مسیرهایی در جهت یادگیری حرکت می‌کنید؟ مدل یادگیری شما، چگونه است؟ انتخابتان یک مسیر خودخوان است یا یک مسیر برنامه‌ریزی‌شده همراه یک تیم؟ اهل تماشای ویدئوی آنلاین هستید، یا اهل شرکت در دوره‌های آموزشی؟ در مسیر، از دیگران (دوست، همکار و … ) نیز می‌آموزید؟ 

در این بلاگ‌پست می‌خواهیم با نگاهی آماری و تجربی، به راهی که هکرها در جهان و ایران، برای یادگیری هک انتخاب می‌کنند، بپردازیم. 

آن‌چه در این بلاگ‌پست خواهید خواند:

آمار جهانی چه می‌گوید؟ 

در ایران چه خبر است؟ 

  • به‌صورت خودخوان 

  • به‌صورت آنلاین؛ یوتیوب و آپارات/پست بلاگ/رایت‌اپ 

  • شرکت در کلاس یا دوره‌ی آموزشی 

  • مطالعه‌ی کتاب و مقاله 

  • فعالیت در فروم/چت‌روم‌های مربوطه 

  • یادگیری از همکار/ هم‌کلاسی/ دوست 

  • سایر 

آمار جهانی چه می‌گوید؟

هکروان در گزارشی که در ۲۰۲۰ منتشر کرده، به آماری درخصوص راه‌هایی که هکرها به‌عنوان راه ابتدایی یادگیری به آن اشاره کرده‌اند، پرداخته.  نتیجه‌ی آماری این گزارش از این قرار است: 

Image

۴۳% خودخوان، ۲۵% از همکار، ۶% Hacker101 و ۱۶% منابع آنلاین دیگر، ۶% کلاس، ۱% تیم هک، ۰.۵% گروه دوستان 

در ایران چه خبر است؟

ما قصد داریم در اقدامی مشابه به بررسی این موارد در جامعه‌ی هکرهای ایرانی بپردازیم. در این بلاگ‌پست براساس نتایج حاصل از یک پرسش‌نامه‌ی آماری که جامعه‌ی شکارچیان یا هکرهای کلاه سفید به آن پاسخ داده‌اند، آمار مرتبط با ایران را با شما به اشتراک می‌گذاریم. 

یکی از سوال‌های ما از هکرها در این پرسش‌نامه، این بود: 

 هک کردن را چطور یاد گرفته‌ای؟ 

 در ادامه می‌توانید آمار مربوط به پاسخ‌ها را دنبال کنید. 

  • به‌صورت خودخوان 

  • به‌صورت آنلاین؛ یوتیوب و آپارات/پست بلاگ/رایت‌اپ 

  • شرکت در کلاس یا دوره‌ی آموزشی 

  • مطالعه‌ی کتاب و مقاله 

  • فعالیت در فروم/چت‌روم‌های مربوطه 

  • یادگیری از همکار/ هم‌کلاسی/ دوست 

  • سایر 

شما حدس می‌زنید که کدام گزینه‌ها بیش‌ترین درصد را در بین پاسخ‌ها به خود اختصاص داده‌اند؟ ؛)

Image

داخل پرانتز: برای پاسخ به این سوال در نظرسنجی، امکان انتخاب چند گزینه برای پاسخ به‌صورت هم‌زمان وجود داشت. 

به‌صورت خودخوان

۵۵ درصد از افراد، در پرسش‌نامه‌ی فوق، گزینه‌ی "خودخوان" را به‌عنوان یکی از گزینه‌های موردنظر خود اعلام کرده‌اند. 

محمد درخشان: 

حدود یک سالی با برنامه‌نویسی آشنایی پیدا کردم و بعد یک سال وارد باگ‌بانتی شدم. بیش‌تر زبان‌های برنامه‌نویسی پایتون و جاوااسکریپت رو بلدم. همه رو self-study و رایگان یاد گرفتم و کلاسی شرکت نکردم. زبان انگلیسی رو خوب بلد بودم چون برای کنکور می‌خوندم. هنوز مشکل‌هایی دارم، اما در کل خوبه. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot) 

سیدرضا فاطمی:  

من مسیر یادگیری هک را به‌صورت خودآموز پیش رفتم. در شهر ما دوره‌ای برای آموزش این مباحث وجود نداشت، مسافت تا مرکز استان هم طولانی بود و هزینه‌ها هم بالا. آشنایی درستی هم نداشتم که بدانم که در کدام دوره شرکت کنم. به همین خاطر، بر اساس نیاز خودم مسیر را چیدم و در هر موقعیتی که بودم، سعی می‌کردم نکاتی که لازم است را یاد بگیرم. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate) 

به‌صورت آنلاین؛ یوتیوب و آپارات/پست بلاگ/رایت‌اپ

۳۸ درصد از افراد، در پرسش‌نامه‌ی فوق، گزینه‌ی "آنلاین یاد گرفتم. (یوتیوب و آپارات/پست بلاگ/رایت‌اپ) " را به‌عنوان یکی از گزینه‌های موردنظر خود اعلام کرده‌اند. 

ابوالفضل فهیمی:  

من برای مسیرم رودمپ نداشتم. بیش‌تر کانال‌های یوتیوپ را دنبال می‌کردم و سعی می‌کردم چیزهای دیگر را از آن‌جا یاد بگیرم. ولی تو حوزه‌ی باگ بانتی، یاشار جان یه رودمپ در سایت مموری‌لیکز گذاشتند، که رودمپ خوبی ست و خودم من تاحدودی براساس آن پیش رفته‌ام ولی قبل از آن رودمپی نداشتم. من بیش‌تر سیلابس‌ها را دنبال می‌کردم و می‌دیدم در چه حفره‌هایی بیش‌تر تاثیرگذارند. کانال‌های یوتوب را دنبال می‌کردم. توییتر و کورس‌های Udemy هم خیلی خوبند و استفاده می‌کردم. چند نفر از دوستانم بهم کتاب‌هایی معرفی کردند و مطالعه کردم. کتاب Web Application Hackers Handbook واقعا کتاب خیلی خوبی بود. چون انگلیسی هست، ممکن است کم‌تر سمتش بروند. البته که به نظرم الان باید همه زبان انگلیسی را بلد باشند، مخصوصا در این حوزه؟ خود همین منابع ایرانی را از منابع انگلیسی ترجمه کرده‌اند. و تجربه‌ی من این را می‌گوید که کتاب‌های ایرانی هیچ کدومشان توضیح عمیقی نداده‌اند. من بیش‌تر منابع انگلیسی را دنبال می‌کردم و گام‌‌به‌گام پیش می‌رفتم. برای این‌که مطمئن بشوم که کامل همه‌ی مباحث را یاد گرفته‌ام، مثلا دوره‌ی OwapTop10 یاشار را شرکت کردم. ان‌جا هم یک‌سری چیزها را خیلی خوب یاد گرفتم. اما در کل دوره خاصی رو شرکت نکردم. ویدئوهایی که یاشار در یوتیوبش می‌گذارد، منبع خیلی خوبی برای کسانی ست که تازه می‌خواهند وارد این حوزه بشوند. یاشار در ویدئوهایش خیلی واضح و عملی توضیح می‌دهد. و خیلی لطف می‌کند که این ویدئوها را تهیه می‌کند و به صورت رایگان در اختیار مردم قرار می‌دهد. چنین محتوایی را واقعا به این شکل رایگان در اختیار مردم قرار نمی‌دهند!  

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton) 

شرکت در کلاس یا دوره‌ی آموزشی

۳۴ درصد از افراد، در پرسش‌نامه‌ی فوق، گزینه‌ی "کلاس/ دوره آموزشی شرکت کردم" را به‌عنوان یکی از گزینه‌های موردنظر خود اعلام کرده‌اند. 

آرمان محمدتاش: 

من منابعی مانند مدیوم، یوتیوب، هکروان و ... را چک می کردم. این‌ها منابعی بودند که به طور پیوسته از آن‌ها استفاده می‌کردم. دوره‌های خارجی را هم می‌گذراندم. دوره TheXssRat، NahamSec و … دوره‌ی TheXssRat و توییتر خیلی به من کمک کرد. برای حل Lab هم از Labهای Portswigger استفاده می‌کنم.   درکل من راهی که رفته‌ام را به هیچ کس پیشنهاد نمی‌کنم. رودمپ عجیب‌وغریبی بود. اول Burpsuite و بعد آسیب پذیری‌های Owasp Top10 را یاد گرفتم. کلا با هرچه بیش‌تر حال می‌کردم می‌رفتم سراغش. هدف من یادگیری آسیب پذیری جدید بود. در آن زمان مدل‌های مختلف و زیادی آسیب پذیری وجود داشت که بخواهم یاد بگیرم. من هر روز چک می‌کردم که چه نوع آسیب‌پذیری‌هایی هست که من هنوز بلد نیستم و شروع به خواندن آن‌ها می‌کردم.  

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security) 

مطالعه‌ی کتاب و مقاله

۱۷ درصد از افراد، در پرسش‌نامه‌ی فوق، گزینه‌ی "کتاب و مقاله مطالعه کردم. " را به‌عنوان یکی از گزینه‌های موردنظر خود اعلام کرده‌اند. 

سیدرضا فاطمی: 

من در حوزه‌ی وب زیاد اهل مطالعه‌ی کتاب نبودم. ولی توانستم کمبودها و جای خالی‌ها را با تجربه‌ای که از پروژه‌های مختلف به دست آوردم، CTFهایی که شرکت کردم و بلاگ‌پست‌هایی که مطالعه کردم، پر کنم. گام‌هایی که آقا یاشار هم در موردشان صحبت کردند، نقشه راهی که گذاشتند و کتاب‌هایی که معرفی می‌کنند، هم خوب هستند. اما این راه، راه من نبود. شاید اگه این راه را می‌رفتم، زودتر به این نقطه‌ی فعلی می‌رسیدم و این راهی که رفتم این‌قدر طول نمی‌کشید. ولی خب، من می‌خواستم بر اساس تجربه و علاقه‌، راه و تک‌تک قدم‌هایم را انتخاب کنم.   

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate) 

فعالیت در فروم/چت‌روم‌های مربوطه

۷ درصد از افراد، در پرسش‌نامه‌ی فوق، گزینه‌ی "تو فروم/چت‌روم‌های مربوطه فعالیت داشتم.  " را به‌عنوان یکی از گزینه‌های موردنظر خود اعلام کرده‌اند.  

رضا شریف‌زاده: 

در زمانی که من شروع کردم فروم‌های امنیتی خیلی باب بود. چیزی که الان دیگر به آن شکل وجود ندارد. فروم‌هایی مثل Emperor ، آشیانه و فروم‌های مختلف دیگر. من در یکی از آن‌ها، به‌عنوان یکی از اعضای آن تیم فعالیت مستمر داشتم. ولی آن‌موقع مثل الان همه چیز حرفه‌ای نبود. شاید اگر الان به چیزهایی که در زمان قدیم باب بود و حرفه‌ای محسوب می‌شد، نگاه کنیم، این طور به نظر می‌رسد که چقدر سطح امنیتی و IT ایران گسترش پیدا کرده. و دارد به سمتی هم می‌رود که بچه‌های کم‌سن‌و‌سال که تازه وارد این حوزه می‌شوند، بتوانند به خوبی کسب درآمد کنند به‌صورت حرفه‌ای کار را جلو ببرند. 

 من ۱۰ سال پیش، درحالی‌که ۱۴ ساله بودم، شروع کردم. از یادگیری شبکه، استارت کارم را زدم. سعی کردم شبکه را یاد بگیرم. کانفیگ route و switch را یاد گرفتم، دوره های cisco را گذراندم، تست نفوذ شبکه را گذرندام. آن زمان که من فعالیت داشتم، خیلی بحث تست نفوذ سایت‌ها باب شده بود. و فروم‌های امنیتی زیادی در این خصوص وجود داشت. من هم کم کم به سمت یادگیری هک و تست نفوذ وب‌اپیکیشن‌ها رفتم. در آن موقع، مثل الان کار حرفه‌ای نبود. یک سری Attack‌ها بود که خیلی رایج بود. سعی کردم آن‌ها را یاد بگیرم. چندین سال در همان سطح و با همان Attack‌هایی که می‌دانستم، ( اصطلاحا Attack‌های کلاسیک) کار می‌کردم و کار را جلو می‌بردم. تا این‌که ۱۸سالم شد. سعی کردم مسیر پیشرفته‌تری را طی کنم. زبان برنامه نویسی PHP را یاد گرفتم، بعدش پایتون و بعد از آن هم جاوا اسکریپت. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ رضا شریف‌زاده 

یادگیری از همکار/ هم‌کلاسی/ دوست

۳ درصد از افراد، در پرسش‌نامه‌ی فوق، گزینه‌ی "همکار/همکلاسی/ دوستم بهم یاد داد" را به‌عنوان یکی از گزینه‌های موردنظر خود اعلام کرده‌اند. 

پیمان زینتی:  

در دوره‌ی راهنمایی با یکی که مثل خودم و هم‌سنم بود، آشنا شدم. وقتی با یکی بُر می‌خوری، فضا جور می‌شود. مسائل و دغدغه‌های مشترکی داشتیم، با هم پیش می‌رفتیم. برای همه از RAT و مسائل مشابه شروع می‌شود. برای ما هم از همین‌جا شروع شد. اوایلش، از منبع خاصی شروع نکردیم؛ به‌صورت پراکنده در وب می‌چرخیدیم و از منابع مختلف مطالعه می‌کردیم. اما خب الان شرایط متفاوت است و طبق Syllabus پیش می‌رویم. Syllabusهای اصولی را استفاده می‌کردیم. الان هم می‌شود از Syllabusهایی مثل مموری‌لیکز استفاده کرد. یاشار شاهین زاده واقعا باگ‌هانتر خوبی ست. 

اوایل ورودم به این حوزه، مسیر مشخصی نداشتم. در جست‌وجوی علاقه‌ام شاخه‌به‌شاخه می‌رفتم و شاخه‌های مختلفی را امتحان می‌کردم؛ مدتی به سمت Reverse اندروید رفتم، مدتی به سمت شبکه و نتورک‌پلاس و ... . تا این‌که بالاخره علاقه‌ام را پیدا کردم بر روی شاخه‌ی وب که گستردگیش برایم جذاب بود، متمرکز شدم. اوایل که کار را شروع می‌کنی، مسیرهای اشتباه زیادی است و به نظرم باید هم باشد. این‌که یکی دو سال را صرف این کنی که ببینی به چه چیزی علاقه‌مندی، ممکن است این‌طور به نظر بیاید که داری وقتت را هدر می‌دهی. ولی به نظرم این اشتباه نیست. من 15 تا 17 سالگی خودم را هدر دادم ولی الان می‌دانم که به چی علاقه‌مندم. این پیداکردن دو سالی طول کشید، ولی بالاخره پیدایش کردم. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv) 

سیدرضا فاطمی: 

همراه خوب برای کسایی که می‌خوان تازه شروع کنند، خیلی مسیر را شیرین تر می‌کند و باعث می‌شود که بهتر در اون مسیر بمانند. مسیر کاملا فرسایشی ست و در جاهایی ممکن است مجبورت کند تسلیم بشوی. پیدا کردن فرد یا افرادی که بتوانند مکمل شما باشند پراهمیت و البته مقداری مشکل است، اما پیمودن این مسیر را خیلی آسان‌تر می‌کند. من هم بالطبع بعد از فعالیت در انجمن آشیانه، دوستان ارزشمندی پیدا کردم که همه‌جوره حمایت کردند و سعی کردیم پابه‌پای هم پیشرفت کنیم. بنابراین جا دارد از آن‌ها تشکر کنم. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate) 

سایر

۴ درصد از افراد، در پرسش‌نامه‌ی فوق، گزینه‌ی "سایر" را به‌عنوان یکی از گزینه‌های موردنظر خود اعلام کرده‌اند.  

سخن آخر:

شاید تنها چیزی که در انتهای این بلاگ‌پست ارزش یادآوری و ذکر را دارد، این باشد که انسان‌ها، به فراخور علایق و سبک‌های یادگیری‌شان، هر کدام به طریقی راه مورد نظر خود را برای آموختن طی‌ می‌کنند. تجربه‌کردن انواع روش‌ها و انتخاب مسیر یادگیری مناسب، بخش مهمی از فرآیند یادگیری را شامل می‌شود.  

بلاگ‌پست‌های مرتبط: 

ابزارهای شکار توصیه‌شده‌ی شکارچیان آسیب پذیری 

تعریف هک از نگاه هکرها 

رابین‌هودهای دنیای صفرویک 

حس‌وحال لحظه‌ی کشف و شکار آسیب پذیری