همراه ما باشید

برای امنیت سرویس‌های ایرانی باید هکرهای کلاه‌سفید را جدی گرفت

برای امنیت سرویس‌های ایرانی باید هکرهای کلاه‌سفید را جدی گرفت

اگر جزو علاقه‌مندان به اخبار دنیای فناوری باشید، احتمالا اصطلاح باگ‌بانتی (Bug Bounty) را شنیده‌اید. باگ‌بانتی به برنامه‌ای اطلاق می‌شود که شرکت‌های بزرگ با استفاده از آن سعی در برطرف‌کردن مشکلات امنیتی خود دارند. به‌بیان ساده‌تر، شرکت‌هایی نظیر گوگل، فیسبوک، آمازون، مایکروسافت و بسیاری دیگری از شرکت‌های فعال در حوزه‌‌ی فناوری ازقبیل شرکت‌های امنیتی نظیر توسعه‌دهندگان آنتی‌ویروس به این نتیجه رسیده‌اند که یکی از بهترین روش‌ها برای آگاهی از وجود مشکلات امنیتی در زیرساخت‌ها و سرویس‌های ارائه‌شده، استفاده از برنامه‌های باگ‌بانتی است. یک شرکت فناوری در هر برنامه‌ی باگ‌بانتی، پاداش‌هایی برای هکرهای کلاه‌سفید در نظر می‌گیرد که پس از یافتن هر نوع مشکل امنیتی، سازمان مدنظر را از آن آگاه و در ازای فعالیت مثبت خود برای نجات سازمان، مبلغی در قالب چهارچوب تعیین‌شده دریافت می‌کنند

استفاده از برنامه‌های باگ‌بانتی بین شرکت‌ها و سازمان‌های مختلف به‌اندازه‌ای همه‌گیر شده که حتی سامانه‌هایی برای مدیریت فرایند‌ی گزارش‌دهی باگ و دریافت پاداش و سایر اقدامات در فرایند‌ی رفع باگ، نظیر اشاره به‌نام هکر کلاه‌سفید ایجاد شده‌اند. ازجمله‌ محبوب‌ترین و پرکاربردترین این سامانه‌ها باید به Bugcrowd و HackerOne اشاره کرد که این روزها هکرهای کلاه‌سفید با استفاده از آن‌ها می‌توانند باگ‌هایی که یافته‌اند، بدون نگرانی از نادیده‌گرفته‌شدن مطالباتشان گزارش کنند.چرا برنامه‌های باگ‌بانتی اهمیت فراوانی دارند؟شاید از خود بپرسید چرا استفاده از برنامه‌های باگ‌بانتی درکنار داشتن تیم امنیتی قوی، امری عاقلانه‌تر است؟ استفاده از برنامه‌های باگ‌بانتی مزایای متعددی دارند. برنامه‌ی باگ‌بانتی به‌ناگاه تعداد افرادی را افزایش می‌دهد که به‌صورت غیرمستقیم برای امنیت شرکت کار می‌کنند؛ چراکه هکر‌های کلاه‌سفید (هکرهای کلاه‌سفید به متخصصان امنیت و هکرهایی اطلاق می‌شود که با هدف بهبود امنیت زیرساخت‌های سازمان و رفع روزنه‌ یا باگ یا هر مشکل دیگر امنیتی، تخصص خود را به‌کار می‌گیرند) به‌منظور دریافت پاداش، وجود باگ را در سریع‌ترین زمان ممکن گزارش می‌کنند. شاید تصور کنید هکر می‌تواند در صورت یافتن باگ، مطالبات بیشتری داشته باشد و از طرق دیگری باگ کشف‌شده را گزارش کند یا در نقش هکر کلاه‌سیاه باگ را بفروشد؛ اما وجود برنامه‌ی باگ‌بانتی ناخواسته مانع چنین اتفاقی می‌شود؛ چراکه شاید هم‌زمان با هکر کلاه‌سیاه با نیت شوم، هکر کلاه‌سفید باگ مدنظر را بیابد و آن را دراختیار شرکت و سازمان آسیب‌پذیر قرار دهد. پس، به‌جرئت می‌توان گفت وجود برنامه‌های باگ‌بانتی، می‌تواند مانع اتفاقات ناگواری شود که در پی ضعف امنیتی می‌تواند شرکت را درگیر کند. درواقع، برنامه‌های باگ‌بانتی را باید مکمل وجود تیم‌های امنیتی در شرکت‌ها خواند. به‌‌حتم وابستگی بیش‌ازحد به برنامه‌های باگ‌بانتی یا نادیده‌گرفتن این موضوع و اکتفا به وجود تیم امنیتی می‌تواند به ضرر سازمان مدرن باشد

برنامه‌های باگ‌بانتی را نیز باید جزو مسائلی خواند که هنوز جای خالی آن در فرهنگ سازمانی بسیاری از شرکت‌ها و نهادهای داخلی احساس می‌شود. با وجود اینکه اینترنت درکنار راهکارهای نوین مبتنی‌بر اینترنت و دنیای آنلاین به پایه‌های فعالیت شرکت‌های مختلف داخلی تبدیل شده، هنوز خبری از جدی گرفته‌شدن برنامه‌های باگ‌بانتی و هکرهای کلاه‌سفید برای بهبود امنیت نیست. شاید نگاه منفی به واژه‌ی هکر یکی از دلایلی است که باعث شده بسیاری از افراد تصمیم‌گیرنده در رأس تیم‌های امنیتی شرکت‌ها، توجهی به برنامه‌های باگ‌بانتی نکنند. البته، نمی‌توان کسب‌وکارها و سازمان‌ها را مقصر اصلی وضع موجود خواند؛ چراکه رفتار هکر‌ها و نبود مرز مشخص برای تفکیک‌ هکرهای کلاه‌سفید و کلاه‌خاکستری و کلاه‌سیاه باعث شده در برخی موارد سازمان‌ها نیز اعتماد چندانی نکنند و در تعامل با هکرهای داخلی دست‌به‌عصا باشند

به‌طورحتم توجه به این موضوع می‌تواند علاوه‌بر تغییر نوع رفتار بسیاری از هکر‌های داخلی، به بهبود هرچه‌بیشتر امنیت سازمان‌ها و نهادهای داخلی کمک کند. یاشار شاهین‌زاده، هکری است که اخیرا با مشکلی از همین جنس رو‌به‌رو شده است. شاهین‌زاده در گفت‌وگو با زومیت علاوه‌بر اشاره به خلأ وجود برنامه‌های باگ‌بانتی، نبود اطمینان و جدی‌نگرفتن مطالبات هکر‌های کلاه‌سفید را عاملی دلسردکننده خوانده است. شاهین‌زاده برنامه‌های باگ‌بانتی را بسیار مهم می‌داند؛ به‌طوری‌که به‌گفته‌ی وی، این برنامه‌ها به‌اندازه‌ای مهم هستند که شرکت‌های واسط از وجود تحریم‌ها چشم‌پوشی و پاداش هکرهای ایرانی را برای دریافت اطلاعات بیشتر به‌صورت کامل پرداخت می‌کنند. شاهین‌زاده برای مثال به دریافت پاداش هزار دلاری از بیت‌دیفندر در پی کشف روزنه‌لی امنیتی اشاره کرد.شاهین‌زاده ازجمله‌ هکرهایی است که در پی گزارش باگی بسیار خطرناک به اپراتور‌های داخلی با مشکل رو‌به‌رو شده است؛ به‌طوری‌که تا امروز نیز موفق نشده مطالبات خود را دریافت کند. وی چند ماه پیش به‌صورت اتفاقی، زمانی‌که درحال‌شارژ حساب‌کاربری ازطریق اپلیکشن MyIrancell بوده، به فرایند‌ خرید مشکوک شده و پس از بررسی‌های فراوان، به وجود باگی خطرناک پی‌ می‌برد. وی پس از کشف این باگ خیلی مهم‌ و باتوجه‌به ماهیت فعالیت خود که هکری کلاه‌سفید است، در پی گزارش این موضوع به ایرانسل برآمده است. وی در خلال گزارش باگ مدنظر به ایرانسل که ازطریق مرکز ماهر در‌حال‌انجام بوده، باگ‌های خطرناک دیگری در سامانه‌ی مخابرات و همراه‌اول نیز پیدا کرده است؛ اما نبود سازوکاری مدون برای گزارش باگ و انفعال ایرانسل و مرکز ماهر در پاسخ‌گویی باعث شده شاهین‌زاده در انتظار سرنوشت باگ گزارش‌شده به ایرانسل باشد تا برای سرنوشت دو باگ دیگر تصمیم بگیرد

پس از آنکه شاهین‌زاده درباره‌ی ایرانسل به نتیجه‌ی مشخصی دست نیافته، به توییتر متوسل شده و اقدام به انتشار توییتی کرده که در آن محمدجواد آذری‌جهرمی، وزیر ارتباطات، نیز منشن شده است. شاهین‌زاده با اشاره به وجود باگ‌های بسیار خطرناک در مخابرات، ایرانسل و همراه‌اول، در مورد تهدید‌های موجود برای افشای اطلاعات گسترده ی کاربران هشدار داده است.

درباره نویسنده

سینا مظفری مشاهده تمام مطالب

ثبت دیدگاه