رابین‌هودهای دنیای صفرویک

رابین‌هودهای دنیای صفرویک

۱,۶۱۶

آن‌چه می‌خوانید گزارشی از رویداد خصوصی شکارگاه، به نقل از همشهری و به قلم مرضیه موسوی ست.

تاریخ کشور به‌خاطر نداشت روزی را که جمعی از هکرها، قانونی و رسمی دورهمی تخصصی‌ای را بی هیچ آشنایی قبلی با یکدیگر برگزار کنند. تا اینکه آخر هفته‌ای زمستانی نخستین رویداد رقم خورد. جوانان کم‌سن و سالی از گوشه و کنار کشور خودشان را به کافه سینرژی در ساختمان شناسا، مکان برگزاری رویداد خصوصی شکارگاه استارتاپ راورو رساندند. استارتاپی که توسط چند جوان عشق کدنویسی و برنامه‌نویسی راه‌اندازی شده است. دو سال است که پلتفرم راورو از هکرها و کسب‌وکارهای مختلف دعوت می‌کند تا به‌صورت قانونی و با اجازه قبلی، پیدا کردن آسیب پذیری های وب‌سایت‌ها و برنامه‌های موبایلی خود را به هکرهای کلاه سفید یا همان «شکارچیان آسیب پذیری» بسپارند؛ جریانی که در دنیا با عنوان «باگ بانتی» می‌شناسیم.

آن‌چه در این بلاگ‌پست خواهید خواند:

• در شکارگاه چه می‌گذشت؟

• محمدحسین و چوب جادو

• پایی که به کلانتری باز نشده

• کشف آسیب حیاتی

• تجربه نوپای باگ‌بانتی

در شکارگاه چه می‌گذشت؟

دو ساعت بیشتر از شروع این رویداد نگذشته بود که با کارگروهی هکرهای کلاه سفید، بیش از ۵۰ آسیب پذیری تنها از یک کسب‌وکار آنلاین کشف و گزارش شد. این رویداد، علاوه بر روبه‌رو شدن هکرها و مدیران کسب‌وکارهای آنلاین، دستاورد دیگری هم داشت؛ هکرها با خبرنگار همشهری از مشکلات و دغدغه‌هایشان گفتند و قصه ماجراجویی‌هایی که به سراغش رفته‌اند را تعریف کردند.

محمدحسین و چوب جادو

«هربار فیلم هری‌پاتر را می‌دیدم آرزو می‌کردم من هم چوب جادو داشته باشم. ۱۷ سالم بود که برای نخستین بار توانستم به سیستم اینترنت نفوذ کنم. آن روز حس کردم این نزدیک‌ترین اتفاق دنیای واقعی به داشتن چوب جادو است.»؛ محمدحسین آشفته یزدی این را می‌گوید. ۲۴ سال دارد و رشته تحصیلی‌اش مهندسی کامپیوتر است. نوجوانی برای او شروع ماجراجویی در میان کدها و برنامه‌های کامپیوتری بود. این روزها به‌عنوان هکر قانونی یا همان هکر کلاه سفید، ساعات فراغتش را به پیدا کردن حفره‌های امنیتی می‌گذراند و اصطلاحاً یکی از «شکارچیان» شرکت دانش‌بنیان راورو است. محمدحسین می‌گوید: «۷ سال پیش بود که برای نخستین بار توانستم به یک شبکه اینترنتی نفوذ کنم. مشهد زندگی می‌کردیم. یادم هست سرعت اینترنت بسیار کند بود و از طرفی پولی برای پرداختن هزینه اینترنت نداشتم. برای همین به سراغ اینترنت یکی از دانشگاه‌ها رفتم و توانستم از ترافیک آن استفاده کنم، بدون اینکه پولی بپردازم». او بعدها که مهارتش در امنیت سایبری بیشتر شد، نفوذ به شبکه‌های مخابراتی و چنین تجربه‌هایی برایش بسیار کار ساده‌ای بود. او می‌گوید:«هیچ‌یک از اعضای خانواده‌ام سر در نمی‌آوردند که من چه کاری انجام داده‌ام. با خوشحالی به سراغ‌شان رفتم و ماجرا را تعریف کردم. واکنش‌شان دور از تصور من بود؛ گفتند بچه‌جان برو سر درس و مشقت. باور نکردند. من هم دیگر اصراری به گفتن نداشتم. تنها یک موضوع مرا آزار می‌داد؛ عذاب وجدان داشتم از اینکه بدون اجازه از ترافیک اینترنت دانشگاه استفاده می‌کنم. فکر می‌کردم دزدی کرده‌ام. اما به‌خودم قول می‌دادم که وقتی بزرگ شدم این پول را به دانشگاه برگردانم». حالا که بزرگ شده و مهارتی برای خودش در زمینه پیدا کردن باگ شبکه‌ها به‌دست آورده، بارها و بارها گزارش این مشکلات را به‌صورت رایگان در اختیار مراکز دانشگاهی و آموزشی گذاشته است؛ هرچند که برخلاف انتظارش این مشکلات امنیتی چندان هم جدی گرفته نمی‌شود و اغلب آنها حل نشده باقی می‌مانند. محمدحسین آشفته یزدی حالا در ۲۴ سالگی به‌عنوان کارشناس امنیت سایبری برای شرکتی مشغول به‌کار است. شرح وظایفش این است که در گوشه و کنار سیستم‌های این شرکت سرک بکشد و راه‌های نفوذ در حفره‌ها را پیدا کند. او یک «شکارچی آسیب پذیری» یا هانتر هم هست؛ هکری که به‌صورت قانونی و با مجوز، به سیستم‌های شرکت‌ها و کسب‌وکارهای مختلف نفوذ می‌کند تا مشکلات امنیتی آنها را پیدا و گزارش کند؛ کاری که در کشورهای توسعه‌یافته اغلب کسب‌وکارها از آن استقبال می‌کنند اما در ایران هنوز یک رخداد تازه است و کمتر کسب‌وکاری با آن آشناست. محمدحسین همچنان که از پیدا کردن چوب جادویی‌اش خوشحال و خرسند است، افراد دیگری را می‌بیند که با چوب‌هایی قوی‌تر از چوب او جادو می‌کنند.

Image

پایی که به کلانتری باز نشده

«تا حالا پای من به کلانتری باز نشده.»؛ مهدی مرادلو هر بار به ایرادی در پیاده‌سازی و برنامه‌نویسی شبکه یک سازمان و شرکت و اداره پی می‌برد این صدا را در مغز خودش می‌شنود؛ همان ترس همیشگی به سراغش می‌آید که ممکن است با گزارش این مشکل به نهاد و شرکت و کسب‌وکار مربوطه، از او شکایت شود. با این حال حوزه امنیت برای او که رشته تحصیلی‌اش آی‌تی بوده، هنوز هم جذاب است. ۲۷ سال دارد و یکی از شکارچیان شرکت دانش‌بنیان راورو است که طی یک سال گذشته توانسته باگ‌های زیادی را به مجموعه اکتشافات اینترنتی خود اضافه کند. او خودش را از زنجان به تهران رسانده تا در یکی از نخستین دورهمی‌های رسمی هکرهای کلاه سفید شرکت کند. مرادلو می‌گوید: «از نوجوانی به سراغ پیدا کردن ایراد سیستم‌ها رفتم و خیلی زود به این موضوع علاقه‌مند شدم. آن زمان از تبعات قانونی کاری که انجام می‌دادم خبر نداشتم و بدون ترس به هر گوشه و کناری سرک می‌کشیدم. اما الان نبود سازوکار قانونی در کشور برای فعالیت هکرهای کلاه سفید را یک مشکل بزرگ می‌دانم؛ موضوعی که باعث می‌شود خیلی از هکرهای کلاه سفید بسیاری از ایرادهای اساسی را گزارش نکنند چون ممکن است به جای پرداخت هزینه کشف باگ، از آنها شکایت شود». کم‌حرف است. مثل اغلب هکرها و برنامه‌نویس‌هایی که معمولاً بیشتر ساعات روز خود را به سر و کله زدن با لپ‌تاپ و کدنویسی می‌گذرانند. تخصص مهدی مرادلو پیدا کردن آسیب پذیری درگاه‌های پرداخت است. مهدی می‌گوید:«به جرأت می‌توانم بگویم که از هر ۱۰ درگاه پرداخت در ایران، ۸ درگاه پرداخت آسیب‌پذیر است. بانک‌ها معمولاً برای درگاه‌های پرداخت منبعی را در اختیار مشتری‌های خود قرار می‌دهند که کدنویسی آنها ایراد دارد. حالا به این فکر کنید که درگاه پرداخت آسیب‌پذیر، سورس کد اشتباهی هم از طرف بانک داشته باشد!‌ با وجود گسترده بودن این مشکلات در امنیت سایبری، بسیاری از اداره‌ها و نهادها و به‌خصوص مراکز دولتی، مقاومت زیادی برای اصلاح این موارد دارند و معمولاً آن را نمی‌پذیرند. با اینکه رزومه من به‌عنوان هکر کلاه سفید مشخص است، هنوز هم می‌ترسم از اینکه اشتباه خیلی بزرگی را در برخی سیستم‌ها گزارش کنم چون فکر می‌کنم به انداز کافی حمایت قانونی از فعالیت من وجود ندارد». رزومه‌اش مثل هر هکر کلاه سفید دیگری، شامل گزارش باگ‌هایی است که به نام خودش ثبت شده. با این حال این رزومه را در برابر فعالیت‌های دیگری که انجام داده مثل کوه یخی می‌داند که تنها ۲۰ درصد آن پیداست. مرادلو می‌گوید:«آسیب پذیریی برخی از این سیستم‌ها آنقدر گسترده و زیاد است که گاهی گزارش آن را در رزومه خودم نمی‌نویسم. چون ممکن است افرادی به قصد سوءاستفاده از این آسیب‌پذیری‌ها مطلع شوند و خرابکاری کنند. به‌خصوص اینکه بسیاری از این موارد می‌تواند به شبکه‌های زیرساختی صدمه بزند. نکته دردآور اینجاست که در بسیاری از موارد وقتی این ایرادها را پیدا و آن را اطلاع می‌دهیم، معمولاً برطرف نمی‌کنند و نسبت به آن بی‌تفاوت هستند».

پیشنهاد خواندنی: در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

کشف آسیب حیاتی

محمدامین کریمان یکی از کلاه سفیدهایی است که مدال طلای پانزدهمین دوره المپیاد ملی مهارت را از آن خود کرده است؛ المپیادی مهارت‌محور که محمدامین در رشته مدیریت سیستم‌های تحت شبکه در آن خودی نشان داده است. او یکی از بنیانگذاران شرکت دانش‌بنیان راورو در حوزه امنیت سایبری است. کریمان خاطره‌ای شنیدنی از ایده راه‌اندازی این استارت‌آپ هم دارد؛«چند سال پیش یکی از معاونان سازمان فناوری اطلاعات ایران در جلسه‌ای، از امنیت زیرساخت‌های سازمانی در ایران تعریف می‌کرد. ما به همراه تعدادی از جوانانی که در این حوزه مدال‌هایی در المپیاد جهانی داشتند اعلام کردیم که این موضوع را می‌توانیم بررسی کنیم. آن شخص مسئول آنقدر به این موضوع اطمینان داشتند که گفتند اگر بتوانید آسیب پذیری‌ای را در یکی از نهادهای بانکی کشور پیدا کنید من شخصاً پیگیر موضوعات شما خواهم بود. مدت کوتاهی از خروج‌مان از جلسه نگذشته بود که باگ حیاتی و مهمی را گزارش کردیم و دوباره به جلسه برگشتیم».

Image

ارتباط مستقیم با مشکلات امنیتی در زیرساخت‌های سازمان‌ها و همچنین شرکت‌های خصوصی، آن روز به یک ایده تبدیل شد‎؛ ایده راه‌اندازی پلتفرمی برای جمع کردن شکارچیان آسیب پذیری دور هم و استفاده از مهارت و تخصص آنها برای بالا بردن امنیت زیرساخت‌ها. محمدامین می‌گوید:«هکرها همیشه یک قدم از راهکارهای امنیتی جلوتر هستند. ما نیروی انسانی مستعد و ماهری در این زمینه در کشور داریم. افرادی هستند که برای شرکت‌های بزرگ دنیا مثل گوگل و مایکروسافت و فیسبوک کار می‌کنند و با پیدا کردن حفره‌های امنیتی، و ارائه گزارش آسیب پذیری آن، درآمد کسب می‌کنند. از طرفی می‌دانیم که امنیت موضوعی جمعی است و برای رسیدن به وضعیت مطلوب در امنیت سایبری، تک تک اجزا و سیستم‌های تشکیل‌دهنده باید امن و به روز باشند. برای همین تصمیم گرفتیم پلتفرمی راه‌اندازی کنیم که از طریق آن متخصصان و افراد مستعد بتوانند به صورت قانونی و شفاف‏، حفره‌ها و آسیب‌پذیری‌های امنیتی سامانه‌ها را اعلام کنند و در ازای باگ کشف شده، مبلغی از این سازمان‌ها و شرکت‌ها دریافت کنند که به آن بانتی می‌گوییم. در این معادله برد-برد همه برنده خواهند بود».

تجربه نوپای باگ بانتی

باگ بانتی در ایران کمتر از ۴ سال است که شناخته شده. در این سال‌ها کسب‌وکارهای مختلفی ازجمله نماوا، فلایتیو، رایتل، ایرانسل، شاتل و... در پلتفرم‌های باگ بانتی عضو شده‌اند تا شکارچیان آسیب‌پذیری به‌صورت قانونی اجازه بررسی آسیب‌های امنیتی آنها را داشته باشند و آن را گزارش کنند.

پیشنهاد خواندنی: باگ‌ بانتی از کجا آمده‌است؟ آمدنش بهر چه بود؟

Image

واهاگ گراگوسیان، مدیر زیرساخت شرکت فلایتیو می‌گوید:«در کشورهای پیشرفته اغلب کسب‌وکارها و سازمان‌های دولتی و خصوصی از باگ بانتی استقبال می‌کنند چون می‌دانند در نهایت به امنیت بیشتر شبکه آنها منجر می‌شود. اما این موضوع تازه‌ای در ایران است. در یک سال گذشته بیش از ۱۰۰ گزارش باگ و آسیب‌پذیری از فلایتیو ثبت شده است که با رسیدگی به آنها، هم شرکت و هم مشتری‌ها نفع برده‌اند». و همین را مهم‌ترین ویژگی فعالیت‌های قانونی شکارچیان آسیب پذیری می‌داند و می‌گوید: «این فرهنگ باید اصلاح شود که هکرها به‌عنوان افرادی مخرب شناخته می‌شوند. درواقع وقتی آسیب‌پذیری گزارش می‌شود، یعنی هکر قصد سوءاستفاده ندارد وگرنه آن را ثبت نمی‌کرد».

منبع خبر: همشهری

برای دانلود این صفحه از روزنامه‌ی همشهری روز هفتم، این‌جا کلیک کنید.

Image

بلاگ‌پست‌های مرتبط:

گزارش تست نفوذ سامانه‌های زیرمجموعه‌ی معاونت علمی و فناوری ریاست جمهوری

راورو در شماره‌ی ۲۰۲ شنبه

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)