کافه روز صفر ۲؛ شکارگاه

کافه روز صفر ۲؛ شکارگاه

۱,۱۱۶

"کافه روز صفر" مجموعه رویدادی خصوصی و مختص شکارچیان آسیب پذیری و هکرهای کلاه سفید است. پس از برگزاری نخستین رویداد "کافه روز صفر" در آذرماه ۱۴۰۰، دومین رویداد آن " کافه روز صفر۲؛ شکارگاه" در بهمن‌ماه ۱۴۰۰ با حضور جمعی از شکارچیان آسیب پذیری، نمایندگان میدان‌ها و تیم راورو در کافه سینرژی در ساختمان شناسا برگزار شد.

آن‌چه در این بلاگ‌پست خواهید خواند:

• بزم شکار؛ دورهمی شکارچی‌های آسیب پذیری

• روز اول در شکارگاه چه گذشت؟

• روز دوم در شکارگاه چه گذشت؟

• آشنایی و تعامل میدان و شکارچی آسیب پذیری

• رسمیت‌بخشی به شکار آسیب پذیری و هک قانونی به‌عنوان یک شغل

• تلاش برای کاستن از دردسرهای کلاه سفیدها

بزم شکار؛ دورهمی شکارچی‌های آسیب پذیری

«روز صفر» است. از ۱۵۹ شکارچی آسیب پذیری فعال در پلتفرم باگ بانتی راورو، تعداد محدودی انتخاب و دعوت شده بودند. ۱۰ نفر به بزم شکار راورو آمده بودند تا در چالشی دو روزه در هک دسته‌جمعی مشارکت کنند و مهارت خود را محک بزنند. ترتیب‌دادن همین جمع کوچک هم برای برگزارکنندگان این رویداد کار ساده‌ای نبود؛ این را می‌شد از حساسیت هکرهای کلاه سفید عضو پلتفرم راورو نسبت به حفظ حریم شخصی و اطلاعات هم فهمید. با این حال چند نفری آمده بودند تا در اولین رویداد رسمی امنیت سایبری شرکت کنند و به بهانه‌ی آن، دیداری با دیگر شکارچیان و نمایندگان چند کسب‌وکار نیز داشته باشند.

روز اول در شکارگاه چه گذشت؟

هر یک از شکارچیان آسیب پذیری و هکرهای کلاه سفید در گوشه‌ای از کافه، پشت لپ‌تاپی نشسته‌بودند و کم‌تر صدایی از آن‌ها شنیده می‌شد. در روز اول رویداد شکارگاه، شکارچیان به بررسی ۵ هدف مشخص‌شده از میان اهداف راورو پرداختند.

هک کافه روز صفر

روز دوم در شکارگاه چه گذشت؟

روز دوم، هدف جدیدی رونمایی و به جمع اهداف اضافه‌ شد. تنها سه ساعت از اضافه شدن این هدف نگذشته بود که حدود ۴۵ باگ امنیتی حیاتی با فعالیت گروهی شکارچیان از سامانه‌‌ی هدف گزارش شد. تیم داوری راورو نیز در شکارگاه حضور داشتند و به بررسی گزارش‌های آسیب پذیری ثبت‌شده پرداختند. تیم داوری در حین بررسی گزارش‌های آسیب پذیری، به بیان دلایل ردشدن یا پذیرفته‌شدن هر گزارش و نکات قابل‌توجه در نگارش هر گزارش آسیب پذیری نیز می‌پرداختند. نمایندگانی از برخی میدان‌ها، از جمله شرکت‌هایی مثل؛ فلایتیو، رایتل و نماوا نیز در این رویداد حاضر شده بودند. کاظم فلاحی، هم‌بنیان‌گذار و راهبر فنی راورو، می‌گوید :" نماینده‌ی دو کسب‌وکار از این رویداد استقبال بسیار خوبی کردند و درخواست برگزاری رویدادی مشابه را متمرکز بر باگ‌های امنیتی کسب‌وکارشان به صورت حضوری در مکان کسب‌وکارشان داشتند. "

آشنایی و تعامل میدان و شکارچی آسیب پذیری

کاظم فلاحی یکی از مهم‌ترین اهداف از برگزاری رویداد روز صفر را آشنایی رودرروی میدان‌ها و شکارچیان آسیب پذیری می‌داند. چرا که این آشنایی می‌تواند در کم‌تر شدن چالش‌های فعالیت در این حوزه موثر باشد. فلاحی می‌گوید :"یکی از مهم‌ترین چالش‌هایی که ما در راورو با آن مواجه هستیم اختلاف‌نظر بین شکارچی آسیب پذیری و میدان برای ارزش‌‌گذاری باگ‌های امنیتی است. گاهی باگ امنیتی شکارشده توسط شکارچی، به نظر خود او مهم می‌آید اما میدان آن را باگ امنیتی حیاتی‌ به حساب نمی‌آورد. از طرفی این رویارویی هکرهای قانونی و کلاه سفید با مدیران امنیت شبکه‌ی شرکت‌ها، باعث تعامل بیش‌تر بین این دو طرف نیز می‌شود؛ گفت‌وگوهایی در این میان شکل می‌گیرد که برای جلب اعتماد و افزایش هم‌کاری دو طرف موثر است."

باگ بانتی

پیشنهاد خواندنی: گفتنی‌هایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان

رسمیت‌بخشی به شکار آسیب پذیری و هک قانونی به‌عنوان یک شغل

مهدی مرادلو، یکی از شکارچیانی که از زنجان خودش را به رویداد روز صفر رسانده می‌گوید : " این رویداد به هویت‌بخشی رسمی به کار باگ هانتر ها و فعالیت قانونی هکرهای کلاه سفید کمک زیادی می‌کند. بسیاری از افرادی که در این حوزه فعالیت می‌کنند، هویت شناخته‌شده‌ای ندارند و حتی از شناسایی‌شدن هویت خودشان ترس دارند. درحالی‌که اغلب این افراد به کار و فعالیت قانونی تمایل دارند. این در حالی است که هیچ انجمن و گروه رسمی‌ای برای فعالیت شکارچی‌های آسیب پذیری و هکرهای کلاه سفید وجود ندارد. خلا‌های قانونی باعث شده اند که گزارش اصولی و درست از مشکلات امنیتی سیستم‌ها، برای بسیاری از هکرها دردسرساز شود."

پیشنهاد خواندنی: برخی از مصائب و چالش‌های هکر بودن

تلاش برای کاستن از دردسرهای کلاه سفیدها

خلاهای قانونی چاله‌های زیادی پیش پای هکرهای کلاه سفید قرار داده و باعث شده اند که بسیاری از این افراد ریسک شناخته‌شدن را به جان نخرند. عطایش را به لقایش ببخشند و فعالیت بی‌نام‌ونشان را ترجیح دهند. این همان چالشی ست که مانع از حضور بسیاری از شکارچیان آسیب پذیری در پلتفرم‌های باگ بانتی شده است. به گفته‌ی راهبر فنی راورو، شرکت راورو به عنوان شرکتی دانش‌بنیان، قوانین مربوط به فعالیت‌های خود را ثبت و مجوزهای مربوطه را نیز دریافت کرده است. رایزنی با مسئولان و معاونان ارتباطات کشور از دیگر قدم‌هایی است که راورو در این سال‌ها برداشته است.

پیشنهاد خواندنی: قوانین و فرهنگ باگ بانتی در ایران

سخن آخر:

این رویدادها ادامه دارند... ؛)

بلاگ‌پست‌های مرتبط:

کافه روز صفر ۱

تفاهم‌نامه‌ی راورو و جهاد دانشگاهی علوم پزشکی شهید بهشتی در حوزه‌ی امنیت سایبری سلامت

رابین‌هودهای دنیای صفرویک

در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!