آبان تتر یک صرافی ارز دیجیتال است. در سال 1397 توسط جمعی از فارغ‌التحصیلان دانشگاه صنعتی شریف، راه‌اندازی شده تا راهی هموار را برای ارتباط کاربران ایرانی با جهان ارزهای دیجیتال ایجاد کند. تیم آبان تتر مسیر خود را تاکنون ادامه داده‌است و اکنون، با امکان معامله‌ی بیش از هزار رمزارز، روزانه میزبان هزاران کاربر و بستر انجام هزاران معامله است.

آبان تتر یکی از میدان‌های رویداد باگ پارتی راورو در تاریخ 8، 9 و 10 اسفند 1403 بود. آبان تتر در این رویداد، اهدافی از سامانه‌‌های خود را میدان کشف آسیب پذیری در برنامه‌ی باگ بانتی قرار داد. جمع 70 نفره‌ی شکارچیان آسیب پذیری حاضر در باگ پارتی، به بررسی امنیتی و کشف آسیب پذیری‌های این اهداف پرداختند. در مجموع 3 روز رویداد باگ پارتی، 37 گزارش آسیب پذیری برروی این اهداف ثبت گردید، 13 گزارش مورد تایید تیم داوری راورو و تیم فنی آبان تتر قرار گرفت و بیش از ۲۰۰ میلیون تومان بانتی توسط آبان تتر پرداخت شد.

در این بلاگ‌پست با میثم زندی به‌عنوان نماینده فنی مجموعه آبان‌تتر به گپ‌وگفت نشسته‌ایم.

_ چه شد که تصمیم گرفتید در رویدادی مانند باگ پارتی، به‌عنوان یکی از اهداف حضور پیدا کنید؟

آبان تتر یکی از قدیمی‌ترین پلتفرم‌های اکسچنج محسوب می‌شود. در مسیری که تابه‌حال پیموده‌ایم آزمون و خطاهای زیادی هم داشته‌ایم. اکنون صیانت از دارایی و دیتای کاربرها یکی از مهم‌ترین اولویت‌های ماست. اعتماد کاربران یکی از دارایی‌های ما محسوب می‌شود. به‌‌هرحال دارایی رمزارز مردم، در پلتفرم ما است. دلیل عمده‌ی حضور آبان تترر به‌عنوان یکی از اهداف در رویداد باگ پارتی اهمیت همین نکته است: می‌خواهیم تشخیص بدهیم که آیا این دارایی‌ها در پلتفرم ما، امن هستند؟ ما به‌خوبی می‌توانیم امانت‌دار مردم باشیم؟ و مواردی از این قبیل. خب ما رویداد باگ پارتی را به چشم جایی برای محک‌زدن این امنیت می‌بینیم. تصمیم گرفتیم در این رویداد، هدفی تعریف کنیم و ریسکش را بپذیریم. امیدواریم که نتیجه‌ی‌ خوبی هم بگیریم.

_ خوشحالیم که این را می‌شنویم. مسئولیت‌پذیری نسبت به دارایی و دیتای کاربر، چیزی ست که برخی کسب‌وکارها توجه لازم را به آن نمی‌کنند.

_ قسمت شیرین یا خوشایند در تجربه‌ی راهکار باگ بانتی (در باگ پارتی) برای شما چه بوده است؟

همان‌طور که می‌دانید کلمه‌ی "باگ (Bug) " در واقع به‌معنای حشره است. بیاید در تمثیلی این حشره را سوسک در نظر بگیریم. شما تا زمانی که سوسک را می‌بینید، از آن نمی‌ترسید. ترسش از آن‌جایی شروع می‌شود که سوسک می‌رود و گم می‌شود. قضیه‌ی باگ نرم‌افزاری هم برای ما همین‌طور است. ما وقتی که بدانیم یک روزنه‌ یا باگ خطرناک امنیتی داریم و دوستانی آگاهانه آن را ما گزارش بدهند و ما می‌توانیم برایش برنامه‌ریزی کنیم، اوضاعمان خیلی بهتر است. اوضاع بدتر آن است که کسی بیاید و بدون آگاهی ما، از آن سوء‌استفاده کند، آسیبی بزند، اعتبار شرکت زیر سوال برود و ... .

در باگ بانتی هکرهایی هستند که به‌طور قانونی فعالیت می‌کنند؛ زمانی‌که یک باگ و آسیب پذیری را کشف می‌کنند، آن را گزارش می‌دهند و طبیعتا بابتش مبلغی به‌عنوان بانتی دریافت می‌کنند که نوش جونشان! این شکارچیان آسیب پذیری با این آسیب پذیری‌هایی که کشف می‌کنند، به‌دنبال آبروریزی یا رقم‌زدن داستان بدی نیستند.

قسمت شیرینی باگ‌بانتی برای ما همین آگاه‌بودن و آگاهانه پیش‌بردن روند است.

_ آن‌چه گفتید نشان‌هایی از بلوغ امنیتی را دارد. انتخاب شما، در دنیای امنیت سایبری، آگاهی از آسیب پذیری‌هایتان و تلاش برای آن است، نه انکارشان، نادیده‌گرفتنشان، اهمیت ندادن بهشان و غیره، که در بسیاری از کسب‌وکارها شاهدشان هستیم.

_ چه معیارهایی در ارزشمندی گزارش‌های آسیب پذیری برای شما اثرگذار هستند؟

طبیعتا آسیب پذیری، انواع مختلفی دارد و هر کدام یک جور تأثیری دارند. برای کسب و کار ما، آسیب پذیری هایی در اولویت اول قرار دارند که دارایی مردم را تحت تأثیر قرار ‌‌دهند. چون حفظ و مراقبت از دارایی مردم، خط قرمز ماست. اولویت دوم ما، اطلاعات شخصی کاربران است. مثلا این‌که؛ هر فرد چه‌مقدار معامله کرده است و چه جور معامله‌ای کرده است. حتی دارایی خود شرکت، اولویت چهارم- پنجم ماست. ما نمی‌خواهیم که برای مخاطبین ما چالشی ایجاد شود و یا دچار بی‌اعتمادی شوند.

_ از صحبت‌هایتان این‌طور به نظر می‌رسد که امانتداری و مراقبت از اعتماد مخاطبین را اولویت اول کسب‌وکارتان می‌دانید.

_ وضعیت امنیت سایبری در ایران را چطور می‌بینید؟

فضای امنیت سایبری در ایران، فضای مبهمی است. خب ایران، نه با سرعت کشورهای در حال رشد، ولی با سرعت خودش در حال حرکت است. این روزها کسب و کارهای دیجیتال بخشی جدایی‌ناپذیر از زندگی مردم شده‌اند. قبلا این‌طور بود که فرد برای خرید نان به نانوایی می‌رفت. اما الان افراد نانشان را هم آنلاین سفارش می‌دهند. بخشی از امنیت سایبری، مربوط به امنیت اطلاعات کاربر، اطلاعات همین نوع خریدها، حتی زمان خریدهای یک کاربر یا هر عملیات دیگری. این اطلاعات جزو اطلاعات حیاتی کاربر محسوب می‌شوند. این دیتاها می‌توانند موردسوءاستفاده قرار بگیرند و بخشی از نقشه‌ی یک سرقت را تشکیل دهند. چنین فضایی به‌شدت این را می‌طلبد که اطلاعات کاربر در امنیت باشد.

ما در ایران به اجبار و به‌خاطر شرایط، بسیار از وی‌پی‌ان استفاده می‌کنیم. همین موضوع باعث شده که تشخیص نوع حمله سخت شود. من این‌طور می‌بینم که این فضای شبکه کشور هم تاثیر منفی بر امنیت ما می‌گذارد. می‌شود گفت که در چنین شرایطی، حفظ امنیت (تاحد ممکن) و کشف و رفع حفره‌ها و رخنه‌ها یک هنر است.

_ آرزویی برای حوزه‌ی امنیت سایبری دارید؟

در حوزه امنیت سایبری این شفافیت است که اولویت دارد؛ این‌که بدانیم این resource از کجا می‌آید، منجر به چه‌چیزی می‌شود، چه کسی رصد‌ش می‌کند، ورودیش کجاست، خروجیش کجاست، مصرف‌کننده‌اش چه‌کسی بوده، چه کسی درخواست داده و ... . وقتی شفافیت وجود داشته باشد، سوءاستفاده سخت می‌شود. متاسفانه در ایران چنین شفافیتی وجود ندارد و به همین دلیل پیداکردن رخنه‌ها سخت است.

و خب همین یک خانه‌ی مفید برای سو‌ءاستفاده‌گرها می‌شود. امیدوارم این مسئله برطرف شود.

امیدوارم که از لحاظ مدیریتی کشور به نقطه‌ای برود که همه چیز شفاف باشد و دستگاه‌های امنیتی از بعضی کارها صرف‌نظر کنند تا آدم ها کمتر به سراغ ابزارهای مخربی بروند که معلوم نیست اصلا منشأش چیست و کجاست.

_ ما هم امیدواریم. ممنون از وقتی که اختصاص دادید و در این گپ‌وگفت همراه ما بودید. خوشحالیم که در باگ پارتی حضور داشتید. برایتان (طبق گفته‌ی خودتان) آرزوی شرایطی با آگاهی بالا و (تاحدممکن) امن را داریم.

بلاگ‌پست‌های مرتبط:

ایرانسل و باگ بانتی

نماوا و باگ بانتی

فلایتیو و باگ بانتی