کافه روز صفر ۲؛ شکارگاه
"کافه روز صفر" مجموعه رویدادی خصوصی و مختص شکارچیان آسیب پذیری و هکرهای کلاه سفید است. پس از برگزاری نخستین رویداد "کافه روز صفر" در آذرماه ۱۴۰۰، دومین رویداد آن " کافه روز صفر۲؛ شکارگاه" در بهمنماه ۱۴۰۰ با حضور جمعی از شکارچیان آسیب پذیری، نمایندگان میدانها و تیم راورو در کافه سینرژی در ساختمان شناسا برگزار شد.
آنچه در این بلاگپست خواهید خواند:
• بزم شکار؛ دورهمی شکارچیهای آسیب پذیری
• روز اول در شکارگاه چه گذشت؟
• روز دوم در شکارگاه چه گذشت؟
• آشنایی و تعامل میدان و شکارچی آسیب پذیری
• رسمیتبخشی به شکار آسیب پذیری و هک قانونی بهعنوان یک شغل
• تلاش برای کاستن از دردسرهای کلاه سفیدها
بزم شکار؛ دورهمی شکارچیهای آسیب پذیری
«روز صفر» است. از ۱۵۹ شکارچی آسیب پذیری فعال در پلتفرم باگ بانتی راورو، تعداد محدودی انتخاب و دعوت شده بودند. ۱۰ نفر به بزم شکار راورو آمده بودند تا در چالشی دو روزه در هک دستهجمعی مشارکت کنند و مهارت خود را محک بزنند. ترتیبدادن همین جمع کوچک هم برای برگزارکنندگان این رویداد کار سادهای نبود؛ این را میشد از حساسیت هکرهای کلاه سفید عضو پلتفرم راورو نسبت به حفظ حریم شخصی و اطلاعات هم فهمید. با این حال چند نفری آمده بودند تا در اولین رویداد رسمی امنیت سایبری شرکت کنند و به بهانهی آن، دیداری با دیگر شکارچیان و نمایندگان چند کسبوکار نیز داشته باشند.
روز اول در شکارگاه چه گذشت؟
هر یک از شکارچیان آسیب پذیری و هکرهای کلاه سفید در گوشهای از کافه، پشت لپتاپی نشستهبودند و کمتر صدایی از آنها شنیده میشد. در روز اول رویداد شکارگاه، شکارچیان به بررسی ۵ هدف مشخصشده از میان اهداف راورو پرداختند.
روز دوم در شکارگاه چه گذشت؟
روز دوم، هدف جدیدی رونمایی و به جمع اهداف اضافه شد. تنها سه ساعت از اضافه شدن این هدف نگذشته بود که حدود ۴۵ باگ امنیتی حیاتی با فعالیت گروهی شکارچیان از سامانهی هدف گزارش شد. تیم داوری راورو نیز در شکارگاه حضور داشتند و به بررسی گزارشهای آسیب پذیری ثبتشده پرداختند. تیم داوری در حین بررسی گزارشهای آسیب پذیری، به بیان دلایل ردشدن یا پذیرفتهشدن هر گزارش و نکات قابلتوجه در نگارش هر گزارش آسیب پذیری نیز میپرداختند. نمایندگانی از برخی میدانها، از جمله شرکتهایی مثل؛ فلایتیو، رایتل و نماوا نیز در این رویداد حاضر شده بودند. کاظم فلاحی، همبنیانگذار و راهبر فنی راورو، میگوید :" نمایندهی دو کسبوکار از این رویداد استقبال بسیار خوبی کردند و درخواست برگزاری رویدادی مشابه را متمرکز بر باگهای امنیتی کسبوکارشان به صورت حضوری در مکان کسبوکارشان داشتند. "
آشنایی و تعامل میدان و شکارچی آسیب پذیری
کاظم فلاحی یکی از مهمترین اهداف از برگزاری رویداد روز صفر را آشنایی رودرروی میدانها و شکارچیان آسیب پذیری میداند. چرا که این آشنایی میتواند در کمتر شدن چالشهای فعالیت در این حوزه موثر باشد. فلاحی میگوید :"یکی از مهمترین چالشهایی که ما در راورو با آن مواجه هستیم اختلافنظر بین شکارچی آسیب پذیری و میدان برای ارزشگذاری باگهای امنیتی است. گاهی باگ امنیتی شکارشده توسط شکارچی، به نظر خود او مهم میآید اما میدان آن را باگ امنیتی حیاتی به حساب نمیآورد. از طرفی این رویارویی هکرهای قانونی و کلاه سفید با مدیران امنیت شبکهی شرکتها، باعث تعامل بیشتر بین این دو طرف نیز میشود؛ گفتوگوهایی در این میان شکل میگیرد که برای جلب اعتماد و افزایش همکاری دو طرف موثر است."
پیشنهاد خواندنی: گفتنیهایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان
رسمیتبخشی به شکار آسیب پذیری و هک قانونی بهعنوان یک شغل
مهدی مرادلو، یکی از شکارچیانی که از زنجان خودش را به رویداد روز صفر رسانده میگوید : " این رویداد به هویتبخشی رسمی به کار باگ هانتر ها و فعالیت قانونی هکرهای کلاه سفید کمک زیادی میکند. بسیاری از افرادی که در این حوزه فعالیت میکنند، هویت شناختهشدهای ندارند و حتی از شناساییشدن هویت خودشان ترس دارند. درحالیکه اغلب این افراد به کار و فعالیت قانونی تمایل دارند. این در حالی است که هیچ انجمن و گروه رسمیای برای فعالیت شکارچیهای آسیب پذیری و هکرهای کلاه سفید وجود ندارد. خلاهای قانونی باعث شده اند که گزارش اصولی و درست از مشکلات امنیتی سیستمها، برای بسیاری از هکرها دردسرساز شود."
پیشنهاد خواندنی: برخی از مصائب و چالشهای هکر بودن
تلاش برای کاستن از دردسرهای کلاه سفیدها
خلاهای قانونی چالههای زیادی پیش پای هکرهای کلاه سفید قرار داده و باعث شده اند که بسیاری از این افراد ریسک شناختهشدن را به جان نخرند. عطایش را به لقایش ببخشند و فعالیت بینامونشان را ترجیح دهند. این همان چالشی ست که مانع از حضور بسیاری از شکارچیان آسیب پذیری در پلتفرمهای باگ بانتی شده است. به گفتهی راهبر فنی راورو، شرکت راورو به عنوان شرکتی دانشبنیان، قوانین مربوط به فعالیتهای خود را ثبت و مجوزهای مربوطه را نیز دریافت کرده است. رایزنی با مسئولان و معاونان ارتباطات کشور از دیگر قدمهایی است که راورو در این سالها برداشته است.
پیشنهاد خواندنی: قوانین و فرهنگ باگ بانتی در ایران
سخن آخر:
این رویدادها ادامه دارند... ؛)
بلاگپستهای مرتبط:
تفاهمنامهی راورو و جهاد دانشگاهی علوم پزشکی شهید بهشتی در حوزهی امنیت سایبری سلامت