قوانین و فرهنگ باگ بانتی در ایران

قوانین و فرهنگ باگ بانتی در ایران

۱,۵۱۷

مقوله‌ی "باگ بانتی" مفهوم ‌نوظهوری در ایران محسوب می‌شود. به همین دلیل است که هنوز در قوانین رسمی کشور ردپای چندانی از این پدیده‌ی نوظهور و نوپا، نمی‌بینیم. عموم مردم نیز با این مفهوم ناآشنا هستند و خلا قانونی و فرهنگی در رابطه با این حوزه، به‌شدت و به‌وضوح احساس می‌شود. عدم وجود قانون متناسب، از چالش‌های جدی راهبران شرکت‌های باگ بانتی و شکارچیانی ست که می‌خواهند با خیالی راحت و آسوده در این حوزه، فعالیت و درآمدزایی کنند. با این حال حدود ۳ سال است که استارتاپ‌های باگ بانتی با دریافت مجوزهای قانونی فعالیت خود را در ایران آغاز کرده‌اند.

آن‌چه در این بلاگ‌پست خواهید خواند:

• وقتی گزارش دادن یک باگ، عواقب دارد!

• حمایت‌های قانونی؛ مطالبه‌ی پلتفرم‌های باگ‌بانتی

• ارزش‌گذاری باگ‌های حیاتی

• شکار آسیب پذیری؛ شغل اول یا دوم؟

• بهره‌گیری از دانش و تجربه‌ی نمونه‌های خارجی

وقتی گزارش دادن یک باگ، عواقب دارد!

مهدی مرادلو (moradlooo) در گفت‌وگو با خبرنگار همشهری گفته بود:

" با وجود گسترده بودن مشکلات در امنیت سایبری، بسیاری از اداره‌ها و نهادها و به‌خصوص مراکز دولتی، مقاومت زیادی برای اصلاح این موارد دارند و معمولاً آن را نمی‌پذیرند. با این‌که رزومه‌ی من به‌عنوان هکر کلاه سفید مشخص است، هنوز هم می‌ترسم از اینکه اشتباه خیلی بزرگی را در برخی سیستم‌ها گزارش کنم چون فکر می‌کنم به انداز کافی حمایت قانونی از فعالیت من وجود ندارد."

باگ بانتی

چنین نگاه‌هایی که هکر را مساوی با مجرم می‌دانند یکی از دلایلی‌اند که باعث شده‌اند اغلب شکارچیان آسیب‌پذیری چراغ خاموش و در بی‌خبری، به تست نفوذ و باگ بانتی بپردازند و درباره مهارت و تخصص خود با کم‌تر کسی صحبت کنند. ترس از گرفتاری‌های قانونی، یکی از مهم‌ترین دغدغه‌های شکارچیان آسیب‌پذیری در ایران و مشکلی ست که پلتفرم‌های باگ بانتی در صدد رفع آن هستند. با این حال بسیاری از شکارچیان آسیب ‌پذیری در ایران از چندوچون سازوکار قانونی این فعالیت‌ها اطلاعات زیادی ندارند.

حمایت‌های قانونی؛ مطالبه‌ی پلتفرم‌های باگ‌بانتی

کاظم فلاحی،هم‌بنیان‌گذار و راهبر فنی پلتفرم راورو می‌گوید :"یکی از کارهای مهمی که در راورو انجام داده‌ایم، تعریف قوانین و مقررات برای باگ بانتی در ایران بود. ما برای دریافت مجوزهای قانونی، نیاز به مشخص کردن حوزه‌های قانونی فعالیت خود داشتیم. قوانین و مقرراتی که نوشتن آن، دفاع از آن و دریافت مجوز و تاییدیه برای آن زحمت بسیار سنگینی بر دوش تیم راورو گذاشته بود امروز به سادگی در اختیار شرکت‌های استارتاپی دیگر قرار دارد."

نسترن سلیمان، مسئول دپارتمان شکارچیان آسیب‌پذیری در شرکت راورو می‌گوید :" باگ‌هانتینگ یا کشف آسیب‌پذیری در سامانه‌ی کسب و کارهای اینترنتی، شغلی است که در کشورهای پیش‌رفته به رسمیت شناخته می‌شود و درآمد خوبی هم دارد. اما در ایران هنوز این‌گونه نیست؛ عموم جامعه نگاه مثبتی به این مهارت ندارد و هنوز آن را به عنوان شغلی قانون‌مند، آبرومند و با درآمد خوب نمی‌شناسد. اغلب مردم به اشتباه فکر می‌کنند فعالیت‌های این شکارچیان آسیب‌پذیری غیرقانونی ست و با هک قانون‌مند و در چارچوب قوانین، آشنایی ندارند."

باگ هکر امنیت

ارزش‌گذاری باگ‌های حیاتی

نبود قوانین و مقررات قبلی، اختلاف‌نظرها بین شکارچی و میدان‌ها برای ارزش‌گذاری آسیب‌پذیری کشف‌شده را بیشتر کرده است؛ موضوعی که در نهایت به داوری کشف آسیب‌پذیری‌ها توسط راهبران فنی راورو به کمک تعیین بازه‌های عددی با جزئیات بیشتر منجر شده است.

کاظم فلاحی می‌گوید :" فرهنگ امنیت سایبری در ایران فرهنگ جدیدی است. برای همین بسیاری از کسب و کارها به اهمیت کشف آسیب پذیری واقف نیستند. همین که حاضر نیستند پاداش متناسبی به کشف باگ اختصاص دهند، باعث شده تا بسیاری از هکرهای قانونی ترجیح بدهند که در پلتفرم‌های خارجی فعالیت کنند."

پیشنهاد خواندنی: باگ بانتی دلاری یا باگ بانتی تومانی؟

سیدرضا فاطمی (checkmate) در گفت‌وگوی خود با راورو چنین گفته بود:
" درباره‌ی RCE خاطره‌ی جالبی دارم. یکی از دوستان، اپلیکیشنی آورد و گفت برای یک شرکت استارتاپی ست که گفته‌اند اگر کسی بتواند یک باگ امنیتی واقعی بگیرد، ما حاضریم حتی بانتی هم بدهیم. من هم تصور خودم را از میزان بانتی داشتم. برای همین اپلیکیشن را روی یک شبیه‌ساز اجرا کردم، ترافیکش را Intercept کردم و اتفاقا خیلی سریع یک باگ RCE جالب از تابع eval پیدا شد. بعد از این که این باگ را پیدا کردم به دوستم گفتم:" مطمئنی بانتی می‌دهند؟" گفت که آره ، این هم آیدیشان است، پیام بده. من هم ارتباط گرفتم و پرسیدم:" درست است که شما گفتید امن هستید و اگر کسی بتواند باگی پیدا کند، بهش بانتی می‌دهید؟" گفتند:" بله همین‌طور است." بعد پرسیدم:" جسارتا مبلغ بانتی‌ چه‌قدر هست؟" جواب دادند:" بلیط سفر به قم."! پرسیدم:" معادلش را نقدا هم پرداخت می‌کنید؟" گفتند:" بله، ۱۴ هزار تومن."

پیشنهاد خواندنی: چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟

برای برآورده شدن رضایت شکارچیان از رقم بانتی، آسیب‌پذیری‌ها توسط منابع مختلف امنیتی دسته‌بندی شده اند. بازه‌ای از کف و سقف بانتی پرداختی برای هر آسیب‌پذیری در این دسته بندی مشخص شده که در سایت راورو در دسترس است. کاظم فلاحی می‌گوید :"معمولا شکارچیان و میدان‌ها در تعیین رقم بانتی با هم اختلاف نظر دارند. باگ‌ها بر اساس تجربه‌های پیشین ما، به صورت حدودی ارزش‌گذاری شده‌اند و هر باگی که کشف می‌شود در چند مرحله مورد ارزیابی قرار می‌گیرد."

پیشنهاد خواندنی: گفتنی‌هایی راجع به فرمول ارزش‌گذاری آسیب‌پذیری‌ها در راورو

عوامل مختلفی ارزش هر باگ را تعیین می‌کند؛ از تعداد گزارش‌های دریافتی از یک کسب‌وکار اینترنتی گرفته تا میزان نفوذپذیری سیستم و ... . راهبر فنی شرکت راورو می‌گوید :"با آغاز فعالیت یک میدان در پلتفرم راورو، در روزهای نخست ممکن است تا بیش از ۵۰ گزارش آسیب‌پذیری از اهداف آن میدان ارائه شود. تعداد این گزارش‌ها به مرور کمتر می‌شوند چراکه با افزایش امنیت سایبری این سیستم، کشف آسیب‌پذیری سخت‌تر می‌شود. به همین نسبت ارزش گزارش‌های آسیب‌پذیری هم بالا می‌رود. مثلا کشف آسیب‌پذیری در مجموعه‌ای مثل فلایتیو، که بیش از یک سال است که از حضورش در پلتفرم راورو می‌گذرد، بسیار سخت‌تر شده است. به طوری که رقم بانتی‌ای که این شرکت حاضر است برای کشف آسیب‌پذیری حیاتی پرداخت کند، چند برابر ماه‌های نخست فعالیتش است."

شکار آسیب پذیری؛ شغل اول یا دوم؟

مسئول دپارتمان شکارچیان آسیب پذیری در استارتاپ راورو می‌گوید :" شکارچیان آسیب‌پذیری از استان‌های مختلفی در ایران فعالیت می‌کنند. از تهران گرفته تا اصفهان و یاسوج و شیراز و ... . اغلب این افراد شغل دیگری دارند و ساعات کمی از فراغت خود را به کشف آسیب‌پذیری اختصاص می‌دهند. مثلا یکی از شکارچیان آسیب‌پذیری راورو در یاسوج، یک معلم است. یا فردی داریم که در اداره گاز مشغول به کار است. درحالی که این افراد با استعداد و مهارتی که دارند می‌توانند تمرکز خود را بر روی کشف آسیب‌پذیری‌ها و ارتقای امنیت سیستم‌های مختلف بگذارند و در نهایت منفعتی جمعی برای هر سه سمت ماجرا که هکرهای قانونی، کسب‌وکارها و کاربران اینترنتی کسب‌وکارها هستند، ایجاد شود."

آسیب پذیری هک

به گفته‌ی نسترن سلیمان، ترس از برخوردهای قهری و عدم حضور حمایت قانونی، یکی از دلایل دور شدن این افراد از علاقه و استعداد آن‌ها است.

بهره‌گیری از دانش و تجربه‌ی نمونه‌های خارجی

نمونه‌های جهانی با دو دهه فاصله با ایران، بخشی از مسیر ناشناخته‌ی پلتفرم‌های باگ بانتی را برای شرکت‌های تازه‌کار کشور روشن کرده‌اند. ما در راورو، به عنوان شرکتی دانش‌بنیان در حوزه باگ باتنی و امنیت سایبری، همواره از تجربه‌های نمونه‌های جهانی در تعریف قوانین و مقررات فرآیند‌های موجود در پلتفرم و سایر چالش‌های موجود در مسیر پیش‌روی خود، استفاده می‌کنیم.

سخن آخر

با وجود نوظهوری و نوپایی باگ بانتی در ایران، تا کنون و پس از گذشت دو سال از آغاز فعالیت‌های رسمی پلتفرم راورو در حوزه باگ بانتی، بیش از ۱۶۰ شکارچی آسیب‌پذیری فعال و بیش از ۴۰ کسب و کار اینترنتی به عنوان میدان عضو راورو شده‌اند. این آمار و ارقام، بیان‌گر شکارچی‌ها و کسب‌وکارهای آغازگر و پیش‌رویی هستند که با پیوستن خود به پلتفرم‌های باگ بانتی، نقش پررنگی دررشد و تثبیت باگ‌بانتی در ایران نیز، ایفا کرده‌اند.

بلاگ‌پست‌های مرتبط:

در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)