گپوگفتی با شکارچی؛ محمدرضا تیموری ( rezamoreti1 )
در این بلاگپست هم، به سراغ یک شکارچی دیگر رفتهایم تا با او گپوگفت کوتاهی داشته باشیم؛ محمدرضا تیموری ( rezamoreti1@ )
محمدرضا حدود ۵ سال است که در حوزهی امنیت سایبری فعالیت میکند. برای اولین بار در ۶ سالگیش و در مغازهی فروش و تعمیرات کامپیوتر و قطعات کامپیوتری عمویش، با کامپیوتر و ویندوز۹۸ مواجه شده. قبلا دولوپر بوده و درزمینهی اپلیکیشن اندرویدی کار میکرده. به نظر خودش این پیشزمینه کمکش کرده تا ساختار اپلیکیشنها را بهتر بفهمد. عاشق دورزدن مکانیزمهای امنیتی جدید است. یکی از لحظههای لذتبخش زندگیاش را لحظهای میداند که باگی را کشف و گزارش کرده که دیتای حدود ۲۰،۳۰میلیون کاربر به خاطرش در خطر بوده است.
_ ممکن است خودت رو برایمان معرفی کنی؟ اگر بخواهی در چند جمله خودت را معرفی کنی، چه میگویی؟
من محمدرضا تیموری هستم؛ دانشآموختهی رشتهی امنیت اطلاعات از دانشگاه تربیت مدرس، Senior در حوزهی پن تست، فعال حوزهی امنیت اندروید و iOS، مدرس حوزهی وب و موبایل و CTF Player.
_ چه شد که شکارچی آسیبپذیری شدی؟ چرا امنیت اندروید را انتخاب کردی؟
من شکار آسیب پذیری را با برنامههای خارجی مانند هکروان شروع کردم. اولین هدفی که بررویش کار کردم، از نوع وب بود. نمیخواستم سمت موبایل بیایم. ولی باتوجه به نیازی که در جامعه و شرکتهای در حوزهی اندروید مشاهده میکردم، همچنین مشاهدهی کمتر بودن تعداد متخصصان و فعالان در این شاخه، به این نتیجه رسیدم که این حوزه، برایم انتخاب بهتری است. چون بافعالیت در این حوزه، بیشتر میتوانم به ارتقای کلی امنیت سایبری کمک کنم و در آن میتوانم بیشتر موفق باشم. به همین خاطر حوزهی اندروید را انتخاب کردم .
_ چه چالشهایی را در شغل خود (هکر و شکارچیبودن) پررنگ احساس میکنی؟
اول اینکه باتوجه به آنچه که تجربه و مشاهده کردهام، فکر میکنم واقعا فرهنگ باگ بانتی بین شرکت های ایرانی جا نیفتاده است. بارها شاهد این بودهام که شکارچیهای مختلف آسیب پذیریهایی از یک سری بانکها پیدا کردهاند، ولی بانکها اصلا از آسیب پذیریای که برایشان گزارش شده، استقبال نکردهاند و حتی ناراحت شدهاند! چالش دیگری که در پلتفرمهای باگ بانتی ایرانی وجود دارد، این است جایی وجود ندارد که فرد بتواند در آن رایتاپهای ایرانی بخواند و آسیب پذیری هایی که فیکس شدهاند را ببیند. این انتشار و بهاشتراکگذاری دانش خیلی میتواند به جامعهی شکارچیان آسیب پذیری ایرانی کمک کند. برخی شکارچیها هستند که با محتوای انگلیسی مشکل دارند. برای این افراد رایتاپ فارسی خواندن خیلی خوب و کمککننده است. این هم یک چالش است که خیلی از شرکتها چنین کاری نمیکنند و رایتاپ آسیب پذیری رفعشدهیشان را پخش نمیکنند. چرا؟ به خاطر اعتباری که دارند و میترسند از بین برود. چالش دیگری که در حوزه شکار آسیب پذیری میبینم، وضعیت اینترنت است. ما تحریم هستیم و خودمان هم یک سری جاها را فیلتر کردهایم. در این وضعیت و محدودیت، دسترسیداشتن به خیلی از سایتها، منابع، ابزارها و …. بسیار سخت شده.
بهنظرم در زمینهی هک، فرهنگسازی مناسبی هم وجود ندارد و نیاز به فرهنگسازی بیشتری ست. من چند وقت پیش به یه نفر گفتم که من هکرم. طرف واقعا ترسید! گفت: شما خیلی آدمهای بدی هستید و کارهای خیلی بدی میکنید! بعدش من کلی برایش توضیح دادم که هکر لزوما آدم بدی نیست... .
_ در فرهنگ لغت شخصی تو، هک چگونه تعریف میشود؟
از نظر من، هک یک هنر است؛ هنر دیدن و پیداکردن چیزهایی که از چشم بقیه دور میماند و دیگران نمیتوانند آنها را ببینند. نقاشی هم همین است، نقاش نقاشیای میکشد که بقیه از آن دید به آن کس یا منظره نگاه نکردهاند. فرآیند باگ پیداکردن هم همین است. اینکه از یک منظری به اپلیکیشن نگاه کنی که باعث شود آسیبپذیری پیدا شود.
متخصص امنیت از نظر من کسی ست که هرروز چیزهای جدیدی یاد بگیرد،هرروز سرگرم این هنر باشد و هنرمندیش را اثبات کند.
_ بهعنوان یک هکر، یه روزت را چطور میگذرانی؟
صبحهایم معمولا به اولویتبندی کارهای آن روز، خواندن بولتنهای جدید، انتخاب ۲مقاله یا رایتاپ برای خواندن در طول روز و خواندن کتاب در حوزهی اندروید میگذرد. داشتن ذهن آماده،به استراحت نیاز دارد. ظهرها استراحت میکنم و ویدئوکنفرانسها، اخبار و توییتر هانترهای بزرگ را چک میکنم. شب، بهترین تایم برای شروع است. قدم اول را با تحلیل داینامیک شروع میکنم. قدم دوم، تحلیل استاتیک است؛ تغییر اپلیکیشن برای بهدستآوردن اشکالاتی که برنامهنویس هم آنها را نمیداند. قدم سوم خلاصهست، ولی طولانی؛ تست، تست و تست. مهمترین قدم، قدم چهارم است؛ نوشتن خلاصهای از تحلیلی که روی اپلیکیشن زده شده و برنامهریزی برای بقیهی قدمها در فردا. درست است که خیلی از باگها زمانی پیدا میشوند که از خواب خود میزنیم و به اپلیکیشن گیر میدهیم، ولی من معتقدم که با نخوابیدن سرعت پایینتر میآید و خیلی از باگها هم از چشممان دور میمانند؛چون چشممان ظاهرا باز است ولی نگاه نمیکنیم و نمیبینیمشان. پس قدم پنجم، استراحت است.
_ جذابترین آسیبپذیریای که در اپلیکیشنهای اندرویدی پیدا کردهای، چه بوده؟
جذاب ترین آسیب پذیریای که شکار کردهام، از نوع آسیب پذیری Race Condition بود. این آسیب پذیری برروی یکی از این اپلیکیشنهای خیلی مهم بود. ماجرایش اینگونه بود که شما با یک بار پرداخت کردن ده هزارتومان، میتوانستید حسابتان را درحد ده میلیون تومان شارژ کنید و از خدمات اپلیکیشن استفاده کنید. با کسبوکار مربوطه، مکاتبه و آسیب پذیری را گزارش کردم. آنها هم بانتی به آن اختصاص دادند، البته که هنوز پرداخت نکردهاند.
_ بیشتر به چه نوع آسیب پذیریهایی علاقه داری؟ بیشتر به دنبال چه نوع شکاری هستی؟
من بیشتر به آسیبپذیریهای Logical (منطقی) علاقه دارم. خیلی دوست دارم که بهدنبال کشف این دسته از آسیب پذیری ها باشم. وگرنه، بایپسکردن یکسری از پروتکشنهای مختلف مثل SSL Pinning و Root Detection را خیلی کار بزرگی نمیدانم. بهنظرم چیزی که خیلی مهم است، این است که در منطق و Logic سامانه به دنبال آسیب پذیری و باگ باشی. قطعا این نوع آسیب پذیریها از درجهی امنیت خیلی بالاتری هم نسبت به آسیب پذیری های دیگر برخوردار هستند.
_ آرزویت برای حوزهی امنیت چیست؟
آرزویم برای حوزهی امنیت سایبری این است که شرکتها و کسبوکارها به سطحی از بلوغ امنیتی برسند، که وقتی یک آسیب پذیری برایشان گزارش میشود، گارد نگیرند، با روی خوش و دست باز برخورد کنند، بانتی با مبلغ شایستهای به آن اختصاص بدهند و درکنارش حتی گاهی یک سری لوحتقدیرها اهدا کنند. تا میل و اشتیاق شکارچیها بیشتر شود.
_ امیدواریم در آینده شاهد این باشیم که کسبوکارها آنطور که شایسته است، به فعالیت هکرهای کلاهسفید و شکارچیان آسیب پذیری توجه کنند. ممنون که وقتت را در اختیار ما قرار دادی و در این مصاحبه همراه ما بودی محمدرضای عزیز.
محمدرضا تیموری، در قسمتهایی از مجموعهی پخشزندهی راورو به شکار پرداخته است:
قسمت ۱۴ از فصل ۰۲ ؛ باگ ۷۰۰۰ دلاری محمدرضا
بلاگپستهای مرتبط:
گپوگفتی با شکارچی؛ محمدحسین آشفتهیزدی (sec_zone64)