This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
باگ بانتی دلاری یا باگ بانتی تومانی؟

باگ بانتی دلاری یا باگ بانتی تومانی؟

2188

خوش‌بختانه این روزها هم در کشور و هم در دنیا، فعالیت‌ هکرهای کلاه‌سفید با رسمیت بیش‌تری پذیرفته شده است. هکرهای کلاه‌سفید و شکارچی‌های آسیب پذیری می‌توانند با خیالی آسوده از تخصص و دانش خود استفاده کنند و در رشته‌ی موردعلاقه‌ی خود کسب درآمد کنند. این روزها، انتخاب میان فعالیت برروی برنامه‌های باگ بانتی داخلی و خارجی، از چالش‌هایی ست که شکارچیان با آن روبه‌رو هستند. در این بلاگ‌پست می‌خواهیم به برخی ویژگی‌های هر یک از این دو بپردازیم.

آن‌چه در این بلاگ‌پست خواهید خواند:

• ارزش پول

• تعداد میدان‌ها و اهداف

• تعداد هکرهای کلاه‌سفید مشارکت‌کننده

• سطح دشواری

• احساس مسئولیت اجتماعی

• انتقال پول به حساب

ارزش پول

باگ بانتی دلاری یا باگ بانتی تومانی؟ مسئله این نیست. گاهی موضوع مقایسه، "باگ بانتی تومانی" و "باگ بانتی دلاری" نیست، مقایسه‌ی دلار و تومان است. حقیقتا زمانی که دلار دارد از ارزشی معادل سی هزار تومان بالاتر می‌رود، طبیعتا باگ بانتی دلاری یا هر کار دلاری دیگری پردرآمدتر به نظر می‌آید. در واقع بخش مهمی از تفاوت بانتی دلاری و بانتی تومانی، به تفاوت در ارزش پول مرتبط است؛ در واقع بحث بر سر درآمد دلاری در مقایسه با تومانی ست. نمی‌توان از میدان‌های باگ بانتی ایرانی، انتظار بانتی دلاری داشت. چراکه کسب‌وکارهای داخلی‌ نیز چرخش‌های مالی و درآمد تومانی دارند و در شرایط اقتصادی فعلی کشور مشغول فعالیت هستند. منطقی به نظر نمی‌آید که بتوانند هزینه‌های دلاری‌ را در میان بودجه‌ی مربوط به ارتقای امنیت خود جای دهند.

امنیت باگ بانتی

تعداد میدان‌ها و اهداف

پلتفرم‌های باگ بانتی خارجی در گستره‌ی وسیع‌تری فعالیت می‌کنند و دارای میدان‌ها و اهداف بیش‌تری هستند. این اهداف از تنوع بیش‌تری برخوردارند. به‌عبارتی می‌توان گفت که زمین بازی بزرگ‌تر و نامحدودتری دارند. به‌عنوان مثال در حال حاضر در راورو به‌عنوان یک پلتفرم باگ بانتی ایرانی، ۴۱ میدان و ۸۰ هدف وجود دارد ولی در هکروان به عنوان یک پلتفرم جهانی بیش‌ااز ۱۰۰۰ برنامه‌ی باگ‌بانتی فعال وجود دارد.

تعداد هکرهای کلاه‌سفید مشارکت‌کننده

در پلتفرم‌های باگ بانتی جهانی، جمع بزرگ‌تری از هکرهای کلاه‌سفید و متخصصین امنیت نسبت به پلتفرم‌های باگ‌بانتی داخلی حضور دارند. به‌عنوان مثال در راورو به‌عنوان یک پلتفرم باگ بانتی داخلی، نزدیک به ۱۶۰۰ شکارچی و هکر کلاه سفید ثبت‌نام‌شده حضور دارند. از میان این عدد، نزدیک به ۱۶۰ شکارچی فعالیت بیش‌تری دارند. برهمین اساس رقابت میان شکارچی‌ها و هکر کلاه‌سفید در ارسال گزارش برای میدان‌ها موجود را می‌توان منحصر به همین جمع ۱۶۰ نفره دانست. اما در هکروان، این رقابت میان نزدیک به ۱ میلیون هکر کلاه سفید وجود دارد.

سطح دشواری

دیجیتال‌شدن کسب‌وکارها در دنیا طول عمر بیش‌تری نسبت به عمر آن در ایران دارد، صنعت امنیت سایبری نیز همین‌طور. مقوله‌ی امنیت سایبری، نزدیک به سه سال است که در ایران موردتوجه بیش‌تری واقع شده است. در حالی‌که در کشورهای جهان عمر طولانی‌تری دارد. این طول عمر سبب شده که کسب‌وکارهای خارجی، با مقوله‌ی امنیت سایبری آشناتر باشند و در این مسیر اقدام‌های بیش‌تری بکنند. براساس تجربیات شنیده‌شده از متخصصین امنیتی می‌توان گفت که امنیت سایبری سامانه‌های ایرانی نسبت به سامانه‌های جهانی از سطح پایین‌تری برخوردارند. به عبارت دیگر، به نظر می‌رسد که کشف و شکار آسیب پذیری از سامانه‌های ایرانی آسان‌تر از سامانه‌های خارجی‌ست و نیاز به صرف زمان کم‌تری دارد. شکار در پلتفرم‌های خارجی، تخصص بیش‌تری را نیز می‌طلبد. بی‌تردید دستیابی به این تخصص، غیرممکن نیست اما اختصاص دادن زمان و تلاش را می‌طلبد.

هک هکر کلاه سفید

کاظم فلاحی درباره‌ی تفاوت باگ‌بانتی دلاری و تومانی می‌گوید: " یک بار یکی از دوستانم به نکته‌ای اشاره کرد که به نظرم درست بود، این‌که: امنیت و باگ بانتی، فرهنگی ست که به‌تازگی پا گرفته است. اگر در آمریکا گوگل چند ده هزار دلار به‌عنوان بانتی پرداخت می‌کند، باید به این نکته هم توجه کنیم که گوگل ۲۴ سال است که در حوزه‌ی IT خیلی جدی کار می‌کرده و غول IT محسوب می‌شود. درکل ۱۰ سالی ست که از دیجیتالی شدن ما می‌گذرد، حدود دو و سه سالی هست که فضای امنیت بیش‌تر به رسمیت شناخته می‌شود. به طور تقریبی می‌توان گفت این فضای امنیت را ما از سال‌های ۸۵ و ۸۶ هم‌زمان با شکل‌گیری فروم‌هایی مثل آشیانه، شبگرد و ... در ایران داشتیم. ولی بحث امنیتی که در هک‌ها تاثیرگذار باشد، شاید دو سه سال است. تا ده سال پیش هم شاید هک می‌شدیم و این دیتاها برای کسی اصلا مهم نبود. بخشی از دیتاهای مهم روی کاغذ بود و مقدار کمی از این دیتاها به صورت تستی رو اینترنت قرار داشتند. ولی این روزها شرایط خیلی فرق کرده است. فضایی که داریم، دارد بیش‌تر به سمت دیجیتالی‌شدن می‌رود. اطلاعات‌ها دارند بیش‌تر و بیش‌تر دیجیتالی می‌شوند. چه به کسب‌وکارها نگاه کنیم، چه به اداره، دولت یا کشور و ... . به‌طور کلی جامعه درحال دیجیتالی شدن است؛ اطلاعات دارند از نوع کاغذی به صفر و یک و باینری تبدیل می‌شوند. استارتاپ‌ها نقش مهمی در این روند داشته اند. حالا بیش‌تر هم شده و الان به نقطه‌ای رسیده که اکثر اطلاعات دیجیتالی اند. حالا و این‌جاست که لزوم مراقبت و امنیت به وجود می‌آید و اهمیت آن احساس می‌شود. همان داستانی که خیلی از کشورها، سی سال قبل بهش رسیده‌اند. ما تازه به این نقطه رسیده‌ایم و فضای امنیت سایبری درحال شکل‌گرفتن است. اگر گوگل نزدیک به ۳۳ هزار دلار بانتی پرداخت کرده، می‌شود گفت باتوجه به عمرش و بزرگی کسب‌وکارش این بانتی، مبلغ کمی هم محسوب می‌شود. حرفم این نیست که بانتی‌های ایران زیاد نشوند. حرفم این است که باید به طول عمر یک حوزه هم نگاه کنیم، به فرهنگ جامعه هم نگاه کنیم، به گذر زمان هم نگاه کنیم و ... . شاید بهتر است انتظاری که از باگ بانتی و امنیت سایبری داریم را هم به نسبت همین عمق کمی که دارد، پایین بیاوریم. ما در ایران به‌تازگی داریم از دوران نگاه منفی نسبت به هک، می‌گذریم. تا دیروز هنگامی که می‌رفتیم و گزارش باگ می‌دادیم، در عرض ده دقیقه اکانت را بلاک می‌کردند، یا جلسه‌ای می‌گذاشتند و نفر سوم حاضر در آن جلسه، پلیس بود و ... . ولی خب ما از آن فضا به این فضای تعاملی رسیدیم که بسیاری از کسب‌وکارها، باگ بانتی، هک و هکر را به رسمیت می‌شناسند. برخی کسب‌وکارها نیز از گزارش هکرها استقبال می‌کنند و بانتی پرداخت می‌کنند. به‌نظرم موقعیتی که در آن ایستاده‌ایم، امیدبخش است. همه می‌دانیم که حالت ایده‌آل نیست و تا نزدیک‌‌شدن به ایده‌آل شدن مسیر طولانی‌ای در پیش دارد... ولی خب در حال بهبود است. "

احساس مسئولیت اجتماعی

رضا فاطمی، هکر کلاه‌سفید و آموزگار در بخشی از مصاحبه‌اش با راورو گفته بود:

" توی باگ‌بانتی هم، همین که کمک می‌کنم که یک سری سایت امن‌تر شوند، سایتی که ممکن است فرداروز من یا اعضای خانوادم عضوش باشیم، برایم لذت‌بخش است. امن‌تر کردن آن محیط، برای خانواده‌ی من هم محیط امن‌تری را فراهم می‌کند، برای جامعه‌ای که عضوی از آن هستیم هم همین‌طور..." احتمالا شما هم گاهی با چنین احساسی مواجه شده باشید. احساس مسئولیت نسبت به جامعه، کسب‌وکارها و مردم کشورمان و ساختن آینده‌ای امن‌تر برای نزدیکانمان. نمی‌خواهیم مرزی میان ایران و جهان بکشیم و به ارزش‌گذاری بپردازیم. کمک به ارتقای امنیت جهان و ایران، هردو یک از رویای "امنیت" سرچشمه می‌گیرند. قصد بیان این نکته بود که گاهی پای این فاکتور نیز در تصمیم‌گیری‌هایمان در میان است.

انتقال پول به حساب

یک چالش برای مشارکت در برنامه‌های باگ‌بانتی‌ خارجی، ممنوعیت مشارکت هکرهای ایرانی در اهداف است. یکی از گزینه‌ها، امکان استفاده از هویت غیر ایرانی با کمک دوستان و آشنایان خارج از ایران یا صرافی‌ها است. اگر از این مشکل بگذریم، چالش بعدی، انتقال پول از خارج به داخل کشور است که با مشکلاتی روبه‌روست. البته که یک هکر همیشه راه‌حل و سازوکاری خواهد یافت. ؛)

سخن آخر

ما در این بلاگ پست تلاش کردیم که برخی نکات مربوط به مقایسه‌ی باگ بانتی دلاری و باگ بانتی تومانی را برشماریم. هدف آن نبود و نیست که به ارزش‌گذاری بپردازیم و در نهایت یک انتخاب را مطلوب و دیگری را نامطلوب شماریم. شاید ناچار و ناگریز به انتخاب تنها یکی از این دو نباشیم. اگر هم بخواهیم سراغ انتخاب برویم، مسلما نمی‌توان راه‌حل واحدی را به‌عنوان یک نسخه به همه توصیه کرد. چراکه ارزش‌ها و اولویت‌های هر فرد ممکن است متفاوت باشند و به تصمیم‌های متفاوتی نیز منتهی شوند.

به نظر شما چه معیار دیگری می‌تواند در انتخاب بین باگ بانتی تومانی و باگ بانتی دلاری نقش داشته باشد؟ برایمان بنویسید. ؛)

بلاگ‌پست‌های مرتبط:

چرا گزارش‌های آسیب پذیری رد می‌شوند؟ یا به بانتی کمی منجر می‌شوند؟

گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

چگونه می‌توانم شکارچی دارای تیک آبی شوم؟

آسیب پذیری Content Spoofing؛ تزریق محتوا در قالب HTML و Text