رابینهودهای دنیای صفرویک
آنچه میخوانید گزارشی از رویداد خصوصی شکارگاه، به نقل از همشهری و به قلم مرضیه موسوی ست.
تاریخ کشور بهخاطر نداشت روزی را که جمعی از هکرها، قانونی و رسمی دورهمی تخصصیای را بی هیچ آشنایی قبلی با یکدیگر برگزار کنند. تا اینکه آخر هفتهای زمستانی نخستین رویداد رقم خورد. جوانان کمسن و سالی از گوشه و کنار کشور خودشان را به کافه سینرژی در ساختمان شناسا، مکان برگزاری رویداد خصوصی شکارگاه استارتاپ راورو رساندند. استارتاپی که توسط چند جوان عشق کدنویسی و برنامهنویسی راهاندازی شده است. دو سال است که پلتفرم راورو از هکرها و کسبوکارهای مختلف دعوت میکند تا بهصورت قانونی و با اجازه قبلی، پیدا کردن آسیب پذیری های وبسایتها و برنامههای موبایلی خود را به هکرهای کلاه سفید یا همان «شکارچیان آسیب پذیری» بسپارند؛ جریانی که در دنیا با عنوان «باگ بانتی» میشناسیم.
آنچه در این بلاگپست خواهید خواند:
• در شکارگاه چه میگذشت؟
• محمدحسین و چوب جادو
• پایی که به کلانتری باز نشده
• کشف آسیب حیاتی
• تجربه نوپای باگبانتی
در شکارگاه چه میگذشت؟
دو ساعت بیشتر از شروع این رویداد نگذشته بود که با کارگروهی هکرهای کلاه سفید، بیش از ۵۰ آسیب پذیری تنها از یک کسبوکار آنلاین کشف و گزارش شد. این رویداد، علاوه بر روبهرو شدن هکرها و مدیران کسبوکارهای آنلاین، دستاورد دیگری هم داشت؛ هکرها با خبرنگار همشهری از مشکلات و دغدغههایشان گفتند و قصه ماجراجوییهایی که به سراغش رفتهاند را تعریف کردند.
محمدحسین و چوب جادو
«هربار فیلم هریپاتر را میدیدم آرزو میکردم من هم چوب جادو داشته باشم. ۱۷ سالم بود که برای نخستین بار توانستم به سیستم اینترنت نفوذ کنم. آن روز حس کردم این نزدیکترین اتفاق دنیای واقعی به داشتن چوب جادو است.»؛ محمدحسین آشفته یزدی این را میگوید. ۲۴ سال دارد و رشته تحصیلیاش مهندسی کامپیوتر است. نوجوانی برای او شروع ماجراجویی در میان کدها و برنامههای کامپیوتری بود. این روزها بهعنوان هکر قانونی یا همان هکر کلاه سفید، ساعات فراغتش را به پیدا کردن حفرههای امنیتی میگذراند و اصطلاحاً یکی از «شکارچیان» شرکت دانشبنیان راورو است. محمدحسین میگوید: «۷ سال پیش بود که برای نخستین بار توانستم به یک شبکه اینترنتی نفوذ کنم. مشهد زندگی میکردیم. یادم هست سرعت اینترنت بسیار کند بود و از طرفی پولی برای پرداختن هزینه اینترنت نداشتم. برای همین به سراغ اینترنت یکی از دانشگاهها رفتم و توانستم از ترافیک آن استفاده کنم، بدون اینکه پولی بپردازم». او بعدها که مهارتش در امنیت سایبری بیشتر شد، نفوذ به شبکههای مخابراتی و چنین تجربههایی برایش بسیار کار سادهای بود. او میگوید:«هیچیک از اعضای خانوادهام سر در نمیآوردند که من چه کاری انجام دادهام. با خوشحالی به سراغشان رفتم و ماجرا را تعریف کردم. واکنششان دور از تصور من بود؛ گفتند بچهجان برو سر درس و مشقت. باور نکردند. من هم دیگر اصراری به گفتن نداشتم. تنها یک موضوع مرا آزار میداد؛ عذاب وجدان داشتم از اینکه بدون اجازه از ترافیک اینترنت دانشگاه استفاده میکنم. فکر میکردم دزدی کردهام. اما بهخودم قول میدادم که وقتی بزرگ شدم این پول را به دانشگاه برگردانم». حالا که بزرگ شده و مهارتی برای خودش در زمینه پیدا کردن باگ شبکهها بهدست آورده، بارها و بارها گزارش این مشکلات را بهصورت رایگان در اختیار مراکز دانشگاهی و آموزشی گذاشته است؛ هرچند که برخلاف انتظارش این مشکلات امنیتی چندان هم جدی گرفته نمیشود و اغلب آنها حل نشده باقی میمانند. محمدحسین آشفته یزدی حالا در ۲۴ سالگی بهعنوان کارشناس امنیت سایبری برای شرکتی مشغول بهکار است. شرح وظایفش این است که در گوشه و کنار سیستمهای این شرکت سرک بکشد و راههای نفوذ در حفرهها را پیدا کند. او یک «شکارچی آسیب پذیری» یا هانتر هم هست؛ هکری که بهصورت قانونی و با مجوز، به سیستمهای شرکتها و کسبوکارهای مختلف نفوذ میکند تا مشکلات امنیتی آنها را پیدا و گزارش کند؛ کاری که در کشورهای توسعهیافته اغلب کسبوکارها از آن استقبال میکنند اما در ایران هنوز یک رخداد تازه است و کمتر کسبوکاری با آن آشناست. محمدحسین همچنان که از پیدا کردن چوب جادوییاش خوشحال و خرسند است، افراد دیگری را میبیند که با چوبهایی قویتر از چوب او جادو میکنند.
پایی که به کلانتری باز نشده
«تا حالا پای من به کلانتری باز نشده.»؛ مهدی مرادلو هر بار به ایرادی در پیادهسازی و برنامهنویسی شبکه یک سازمان و شرکت و اداره پی میبرد این صدا را در مغز خودش میشنود؛ همان ترس همیشگی به سراغش میآید که ممکن است با گزارش این مشکل به نهاد و شرکت و کسبوکار مربوطه، از او شکایت شود. با این حال حوزه امنیت برای او که رشته تحصیلیاش آیتی بوده، هنوز هم جذاب است. ۲۷ سال دارد و یکی از شکارچیان شرکت دانشبنیان راورو است که طی یک سال گذشته توانسته باگهای زیادی را به مجموعه اکتشافات اینترنتی خود اضافه کند. او خودش را از زنجان به تهران رسانده تا در یکی از نخستین دورهمیهای رسمی هکرهای کلاه سفید شرکت کند. مرادلو میگوید: «از نوجوانی به سراغ پیدا کردن ایراد سیستمها رفتم و خیلی زود به این موضوع علاقهمند شدم. آن زمان از تبعات قانونی کاری که انجام میدادم خبر نداشتم و بدون ترس به هر گوشه و کناری سرک میکشیدم. اما الان نبود سازوکار قانونی در کشور برای فعالیت هکرهای کلاه سفید را یک مشکل بزرگ میدانم؛ موضوعی که باعث میشود خیلی از هکرهای کلاه سفید بسیاری از ایرادهای اساسی را گزارش نکنند چون ممکن است به جای پرداخت هزینه کشف باگ، از آنها شکایت شود». کمحرف است. مثل اغلب هکرها و برنامهنویسهایی که معمولاً بیشتر ساعات روز خود را به سر و کله زدن با لپتاپ و کدنویسی میگذرانند. تخصص مهدی مرادلو پیدا کردن آسیب پذیری درگاههای پرداخت است. مهدی میگوید:«به جرأت میتوانم بگویم که از هر ۱۰ درگاه پرداخت در ایران، ۸ درگاه پرداخت آسیبپذیر است. بانکها معمولاً برای درگاههای پرداخت منبعی را در اختیار مشتریهای خود قرار میدهند که کدنویسی آنها ایراد دارد. حالا به این فکر کنید که درگاه پرداخت آسیبپذیر، سورس کد اشتباهی هم از طرف بانک داشته باشد! با وجود گسترده بودن این مشکلات در امنیت سایبری، بسیاری از ادارهها و نهادها و بهخصوص مراکز دولتی، مقاومت زیادی برای اصلاح این موارد دارند و معمولاً آن را نمیپذیرند. با اینکه رزومه من بهعنوان هکر کلاه سفید مشخص است، هنوز هم میترسم از اینکه اشتباه خیلی بزرگی را در برخی سیستمها گزارش کنم چون فکر میکنم به انداز کافی حمایت قانونی از فعالیت من وجود ندارد». رزومهاش مثل هر هکر کلاه سفید دیگری، شامل گزارش باگهایی است که به نام خودش ثبت شده. با این حال این رزومه را در برابر فعالیتهای دیگری که انجام داده مثل کوه یخی میداند که تنها ۲۰ درصد آن پیداست. مرادلو میگوید:«آسیب پذیریی برخی از این سیستمها آنقدر گسترده و زیاد است که گاهی گزارش آن را در رزومه خودم نمینویسم. چون ممکن است افرادی به قصد سوءاستفاده از این آسیبپذیریها مطلع شوند و خرابکاری کنند. بهخصوص اینکه بسیاری از این موارد میتواند به شبکههای زیرساختی صدمه بزند. نکته دردآور اینجاست که در بسیاری از موارد وقتی این ایرادها را پیدا و آن را اطلاع میدهیم، معمولاً برطرف نمیکنند و نسبت به آن بیتفاوت هستند».
پیشنهاد خواندنی: در باگ بانتی، میتوانید برای هکنشدن از هکرها کمک بگیرید!
کشف آسیب حیاتی
محمدامین کریمان یکی از کلاه سفیدهایی است که مدال طلای پانزدهمین دوره المپیاد ملی مهارت را از آن خود کرده است؛ المپیادی مهارتمحور که محمدامین در رشته مدیریت سیستمهای تحت شبکه در آن خودی نشان داده است. او یکی از بنیانگذاران شرکت دانشبنیان راورو در حوزه امنیت سایبری است. کریمان خاطرهای شنیدنی از ایده راهاندازی این استارتآپ هم دارد؛«چند سال پیش یکی از معاونان سازمان فناوری اطلاعات ایران در جلسهای، از امنیت زیرساختهای سازمانی در ایران تعریف میکرد. ما به همراه تعدادی از جوانانی که در این حوزه مدالهایی در المپیاد جهانی داشتند اعلام کردیم که این موضوع را میتوانیم بررسی کنیم. آن شخص مسئول آنقدر به این موضوع اطمینان داشتند که گفتند اگر بتوانید آسیب پذیریای را در یکی از نهادهای بانکی کشور پیدا کنید من شخصاً پیگیر موضوعات شما خواهم بود. مدت کوتاهی از خروجمان از جلسه نگذشته بود که باگ حیاتی و مهمی را گزارش کردیم و دوباره به جلسه برگشتیم».
ارتباط مستقیم با مشکلات امنیتی در زیرساختهای سازمانها و همچنین شرکتهای خصوصی، آن روز به یک ایده تبدیل شد؛ ایده راهاندازی پلتفرمی برای جمع کردن شکارچیان آسیب پذیری دور هم و استفاده از مهارت و تخصص آنها برای بالا بردن امنیت زیرساختها. محمدامین میگوید:«هکرها همیشه یک قدم از راهکارهای امنیتی جلوتر هستند. ما نیروی انسانی مستعد و ماهری در این زمینه در کشور داریم. افرادی هستند که برای شرکتهای بزرگ دنیا مثل گوگل و مایکروسافت و فیسبوک کار میکنند و با پیدا کردن حفرههای امنیتی، و ارائه گزارش آسیب پذیری آن، درآمد کسب میکنند. از طرفی میدانیم که امنیت موضوعی جمعی است و برای رسیدن به وضعیت مطلوب در امنیت سایبری، تک تک اجزا و سیستمهای تشکیلدهنده باید امن و به روز باشند. برای همین تصمیم گرفتیم پلتفرمی راهاندازی کنیم که از طریق آن متخصصان و افراد مستعد بتوانند به صورت قانونی و شفاف، حفرهها و آسیبپذیریهای امنیتی سامانهها را اعلام کنند و در ازای باگ کشف شده، مبلغی از این سازمانها و شرکتها دریافت کنند که به آن بانتی میگوییم. در این معادله برد-برد همه برنده خواهند بود».
تجربه نوپای باگ بانتی
باگ بانتی در ایران کمتر از ۴ سال است که شناخته شده. در این سالها کسبوکارهای مختلفی ازجمله نماوا، فلایتیو، رایتل، ایرانسل، شاتل و... در پلتفرمهای باگ بانتی عضو شدهاند تا شکارچیان آسیبپذیری بهصورت قانونی اجازه بررسی آسیبهای امنیتی آنها را داشته باشند و آن را گزارش کنند.
پیشنهاد خواندنی: باگ بانتی از کجا آمدهاست؟ آمدنش بهر چه بود؟
واهاگ گراگوسیان، مدیر زیرساخت شرکت فلایتیو میگوید:«در کشورهای پیشرفته اغلب کسبوکارها و سازمانهای دولتی و خصوصی از باگ بانتی استقبال میکنند چون میدانند در نهایت به امنیت بیشتر شبکه آنها منجر میشود. اما این موضوع تازهای در ایران است. در یک سال گذشته بیش از ۱۰۰ گزارش باگ و آسیبپذیری از فلایتیو ثبت شده است که با رسیدگی به آنها، هم شرکت و هم مشتریها نفع بردهاند». و همین را مهمترین ویژگی فعالیتهای قانونی شکارچیان آسیب پذیری میداند و میگوید: «این فرهنگ باید اصلاح شود که هکرها بهعنوان افرادی مخرب شناخته میشوند. درواقع وقتی آسیبپذیری گزارش میشود، یعنی هکر قصد سوءاستفاده ندارد وگرنه آن را ثبت نمیکرد».
منبع خبر: همشهری
برای دانلود این صفحه از روزنامهی همشهری روز هفتم، اینجا کلیک کنید.
بلاگپستهای مرتبط:
گزارش تست نفوذ سامانههای زیرمجموعهی معاونت علمی و فناوری ریاست جمهوری
گپوگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)