This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
باگ هایی که گزارش نمی‌شوند!

باگ هایی که گزارش نمی‌شوند!

406

آیا هکرها و شکارچیان آسیب پذیری، تمامی باگ هایی که پیدا می‌کنند را به کسب‌وکار مربوطه گزارش می‌کنند؟ این سوالی ست که ذهن بسیاری از کسب‌وکارها و سایر افراد را به خود مشغول کرده است. شما چه فکر می‌کنید؟  

در این بلاگ‌پست می‌خواهیم با نگاهی آماری و براساس پاسخ‌های شکارچیان آسیب پذیری، به این موضوع بپردازیم. 

داخل پرانتز: داده‌ها و آمار ذکرشده در این بلاگ‌پست براساس نتایج حاصل از یک پرسش‌نامه‌ی آماری ست که شکارچیان آسیب پذیری و هکرها به آن پاسخ داده‌اند. گفته‌هایی که از شکارچیان آسیب‌پذیری و اعضای راورو نقل شده‌، برگرفته از بلاگ‌پست‌هایی ست که به گپ‌وگفت با آن‌ها اختصاص داشته‌اند. 

آن‌چه در این بلاگ‌پست خواهید خواند:

آیا تابه‌حال باگی پیدا کرده‌اید، که گزارش نکنید؟ 

چرا؟ 

  • عدم توافق با کسب‌وکار بر سر قیمت 

  • نیافتن راه ارتباطی با تیم فنی سازمان 

  • عضو نبودن کسب و کار در پلتفرم باگ بانتی 

  • ترس از تبعات قانونی 

  • سایر دلایل 

آیا تابه‌حال باگی پیدا کرده‌اید، که گزارش نکنید؟

ما در پرسش‌نامه از شکارچیان و هکرها پرسیدیم: "آیا تا به حال باگی پیدا کرده‌اید، که گزارش نکنید؟" 

۷۸% از شکارچیان آسیب پذیری در پاسخ به این سوال از پرسش‌نامه، گفته‌اند "بله".

Image

پیشنهاد خواندنی: معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!

چرا؟

سوالی که در ادامه‌ی این پاسخ به ذهن می‌آید، "چرایی" آن است؟ چه عواملی می‌توانند در عدم گزارش یک آسیب پذیری توسط شکارچی، موثر باشند؟ اکثر شکارچیان، به چه دلایلی از گزارش یک آسیب پذیری منصرف می‌شوند؟ عدم توافق با کسب‌وکار بر سر قیمت، نیافتن راه ارتباطی با تیم فنی سازمان، عضو نبودن کسب و کار در پلتفرم باگ بانتی، ترس از تبعات قانونی و سایر دلایل، از گزینه‌های این نظرسنجی بودند. شما حدس می‌زنید که کدام گزینه‌ها بیش‌ترین درصد را در بین پاسخ‌ها به خود اختصاص داده‌اند؟  

عدم توافق با کسب‌وکار بر سر قیمت

۷% از افراد، عدم توافق با کسب‌وکار بر سر قیمت را دلیل عدم گزارش باگ اعلام کرده‌اند. 

مهدی مرادلو:

در برخی از اوقات، برخوردی که کسب‌وکارها نسبت به دریافت گزارش دارند، متناسب با ارزش کاری که داری می‌کنی، نیست. بانتی هم نمی‌دهند! به‌هرحال تو وقت گذاشتی و آسیب پذیری را پیدا کرده‌ای! یک خاطره در این باره دارم؛ فکر کنم سال پیش بود که روی سامانه‌ی استانی امتحان دانشگاه آزاد یک آسیب پذیری وجود داشت که وقتی‌که سوال‌ها چند ساعت قبل از امتحان بارگزاری می‌شدند، می‌شد در سایت به آن‌ها دسترسی داشت و آن‌ها را دید. من وجود این آسیب پذیری را گزارش دادم، Patch هم کردند، اما حتی یه تقدیر خشک و خالی هم نشد. 

پیشنهاد خواندنی: گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

کاظم فلاحی؛ هم‌بنیان‌گذار و راهبر فنی سابق راورو:

ما در نقطه‌ی شروع راه‌اندازی راورو، از همان موقع که راورو یک ایده‌ی خام بود، فقط در ذهن ما وجود داشت و تازه می‌خواستیم شروعش کنیم، اولین و بزرگ‌ترین دغدغه‌مان قیمت‌گذاری بود. خب ما خودمان تجربه‌هایی در حوزه‌ی باگ بانتی داشتیم و می‌دانستیم که اختلاف‌نظر بین هکرها و میدان‌ها سر ارزش باگ و مبلغ بانتی قصه‌ی درازی دارد و چالش مهمی ست. همیشه سر قیمت آسیب پذیری بین شکارچی و میدان اختلاف‌نظر وجود داشته است. در خیلی از مواقع، این طرف از آن طرف راضی نیست و آن طرف هم از این طرف راضی نیست، هیچ‌کس از هیچ‌کس راضی نیست. خب یکی از دلایلش این است که هردو از زاویه‌ی خود، با نگاه خودشان و براساس دغدغه‌های خود به موضوع نگاه می‌کنند. نیاز به یک معیاری وجود داشت که بتواند براساس استانداردهای تخصصی و فکت‌ها حرف بزند، نه برداشت هر شخص و ... . تا بتوانیم به کمکش به زبان مشترکی بین میدان و هکر برسیم. به خاطر همین اولین دغدغه‌ی‌ ما قیمت‌گذاری بود. شروع به بررسی مدل‌های ممکن، بررسی نیازهای دوطرف و ... کردیم تا بتوانیم فرمولی را پیاده سازی کنیم. 

پیشنهاد خواندنی: گفتنی‌هایی راجع به فرمول ارزش‌گذاری آسیب پذیری ها در راورو؛ گپ‌وگفتی با کاظم فلاحی

نیافتن راه ارتباطی با تیم فنی سازمان

**۱۳% **از افراد، نیافتن راه ارتباطی با تیم فنی سازمان را دلیل عدم گزارش باگ اعلام کرده‌اند. 

ترس از تبعات قانونی

۱۴% از افراد، ترس از تبعات قانونی را دلیل عدم گزارش باگ اعلام کرده‌اند. 

سیدرضا فاطمی:

چند سال پیش یک برنامه‌ی تلویزیونی‌ای بود که از شبکه‌ی ۲ پخش می‌شد. آن‌جا یک باگ File Upload زدم، Shell ریختم و گزارش دادم به صاحب سایت. در قدم اول تشکر کرد و مشکل را برطرف کردند. من هم مشتاق شدم و یک باگ XSS دیگر از نوع Stored پیدا کردم و گزارش دادم. اما دفعه‌ی دوم رفتارشان ۱۸۰ درجه عوض شد! گفتند: "شما به چه حقی روی سایت ما کار کرده‌اید؟ دفعه‌ی بعدی اگر تکرار شود، ما ازتان شکایت می‌کنیم. و ... " جاهای دیگری هم بوده که باگ کشف کرده‌ام، اما به دلیل فضای بسته‌ی فکری‌ای که وجود دارد، به هیچ عنوان جرئت نکرده‌ام پیش‌قدم شوم و این پیشنهاد را بهشان بدهم که این باگ را کشف کرده‌ام و شما می‌توانید استفاده کنید و این باگ را رفع کنید. چون اصلا قابل پیش‌بینی نیستند. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

عضو نبودن کسب و کار در پلتفرم باگ بانتی

۲۷% از افراد، عضو نبودن کسب و کار در پلتفرم باگ بانتی را دلیل عدم گزارش باگ اعلام کرده‌اند. 

محمدامین کریمان؛ هم‌بنیان‌گذار و راهبر اجرایی راورو:

در جلسات با کسب‌وکارها راجع به باگ بانتی، به نظرمان رسید که با مثال‌هایی می‌توانیم کاری کنیم تا کمی ماهیت ماجرای یک پلتفرم باگ بانتی مشخص‌تر شود. این‌طور می‌گفتیم: "شما فرض کنید بستری وجود داشته باشد که بزرگترین رقیب یا دشمن تان، گزارشی از آسیب پذیری شما داشته باشد و از طریق پلتفرم باگ بانتی به شما اطلاع‌رسانی کند، آیا شما آن را قبول می کنید، یا نه؟ حداقل ماجرا این است که با فرض این‌که حتی قبلا از وجود آن آسیب پذیری سوءاستفاده شده باشد، می‌توانید آن را دریافت کنید و از سوءاستفاده بعدی جلوگیری کنید. ماجرا این است که اگر کسی حاضر باشد گزارش آسیب پذیری‌تان را برای شما ارسال کند، یعنی قصد سوءاستفاده از آن را نداشته که برایتان ارسالش کرده است." با این مثال، انگار برای اولین بار توانستیم کمی به درک مشترکی از ماهیت صورت‌مسئله دست یابیم. توضیح این‌گونه‌ی ماجرا، فضای گفت‌وگوهایمان را عوض می‌کرد. نقطه‌ی عطفی برای این‌ بود که بتوانیم مفهوم باگ بانتی و شکارچی آسیب پذیری را با تمام نگرانی‌ها و نگاه‌های منفی‌ای که می‌توانست نسبت بهشان وجود داشته باشد، بازنگری کنیم و به تفاهمی نزدیک‌تر شویم. 

پیشنهاد خواندنی: در مسیر شکل‌گیری باگ بانتی به راورو چه گذشته است؟

سایر دلایل

۱۸% از افراد، گزینه‌ی "سایر" را از میان دلایل عدم گزارش، به‌عنوان پاسخ انتخاب کرده‌اند. 

علیرضا رضایی:

من هنگامی که از یک کسب‌وکار آسیب پذیری پیدا می­­‌کنم، معمولا افکار و گزینه‌های زیادی سراغم می‌­آیند؛ می­‌گویم به شرکتشان ایمیل بزنم؟ یا همین‌طور در فضایی پابلیک کنم که ملت استفاده کنند؟ یا بلاگ‌پستی آموزشی راجع بهش بنویسم و اسم اپلیکیشن را نبرم؟ 

اگر آن سازمان بچه‌ی خوبی باشد و قبل‌تر شاهد رفتارهای خوب و پذیرنده از آن بوده باشیم، خب به روش کلاه‌سفیدگونه عمل می‌کنم و باگ­ بانتی‌طور به سراغش می‌روم. ولی اکثر بچه­‌های حوزه‌ی امنیت این‌طور هستند که باتوجه به سابقه‌ی رفتاری آن کسب‌وکار عمل می‌کنند. مثلا شما فرض کنید؛ ۱۰ آسیب پذیری را از جایی پیدا کرده‌ایم و به طرف گفته‌ایم و طرف اصلا برایش اهمیتی نداشته است! یا باید دیگر سراغشان نرویم! یا می‌توانیم دیتایشان را بالاخره برداریم! یک کاریش می­‌کنیم دیگر! بستگی به طرف مقابل دارد. ولی خوب کارهای بد نمی­‌کنیم. کارهای بد را برای آدم‌های بد می­‌گذاریم. واقعیت این است که من به‌عنوان یک شکارچی آسیب پذیری، وقت و انرژی برای آن آسیب پذیری صرف می‌کنم. و ترجیح می­‌دهم که این قضیه برای من یک عاید یا نتیجه­‌ای برای من داشته باشد. پس چه بهتر که بانتی بشود. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی؛ علیرضا رضایی

شقایق جوادی؛ راهبر ارتباط با میدان‌های راورو:

یکی از سوال‌هایی که کسب‌وکارها در جلسات از ما می‌پرسند این است: "چطور مطمئن شویم که همه‌ی آسیب پذیری هایمان به ما گزارش می‌شوند؟" در پاسخ به این سوال، یکی از نکاتی که به آن توجه می‌دهیم این است که بخشی از میزان فعالیت شکارچی‌ها، بستگی به رفتار خود میدان دارد. اگر که میدان واقعا، امنیت سایبری و باگ بانتی برایش اهمیت داشته باشد، مطمئنا در رفتارش و عملکردش مشاهده می‌شود و شکارچیان آسیب پذیری نیز بیش‌تر به فعالیت برروی آن می‌پردازند. میدان‌هایی که در زمان کوتاه‌تری گزارش‌های خود را بررسی می‌کنند، بانتی‌های شکارچیان آسیب پذیری را پرداخت می‌کنند و آسیب پذیری‌ها را نیز رفع می‌کنند، از محبوبیت بیش‌تری در میان شکارچیان آسیب پذیری برخوردارند. با رفتار میدان، گویی نیروی محرکه‌ای به شکارچیان آسیب پذیری داده می‌شود تا فعالیت بیش‌تری برروی اهداف آن میدان داشته باشند؛ چراکه آن‌ها هم متوجه میزان اهمیتی که آن میدان به امنیتش می‌دهد و ارزشی که برای گزارش‌های آسیب پذیری دریافتی قائل است، می‌شوند. به همین دلیل آن‌ها نیز بیش‌تر مایل به کشف و گزارش آسیب پذیری‌های آن میدان می‌شوند.

پیشنهاد خواندنی: گپ‌وگفتی با شقایق جوادی؛ راهبر ارتباط با میدان‌های راورو

سخن آخر:

همان‌طور که از دلایل ذکرشده و درصد هر یک پیداست، می‌توان فهمید که گزارش‌دادن یا گزارش‌ندادن یک آسیب پذیری از سوی هکرها به کسب‌وکار، بستگی زیادی به رفتار کسب و کار دارد. می‌توان این گونه پیش‌بینی کرد که احتمال کمتری می‌رود که برخی کسب‌وکارها با گزارش‌ندادن آسیب پذیری‌هایشان مواجه شوند، کسب‌وکارهایی که با فرآیندهای مرسوم گزارش آسیب پذیری در دنیا آشنا باشد، از نیت خیر هکرها آگاه باشد و نام مجرم را بر آن‌ها نگذارد، ارزش‌گذاری شایسته‌ای برای آسیب پذیری‌ها قائل باشد و راه ارتباطی مناسبی برای دریافت گزارش‌های آسیب پذیری فراهم کرده باشد و ... .  

بلاگ‌پست‌های مرتبط:

قوانین و فرهنگ باگ بانتی در ایران

رفتار کسب‌وکارها نسبت به دریافت گزارش آسیب پذیری

قبل‌ترها، چه سرنوشتی نصیب گزارش‌های آسیب پذیری می‌شد؟