رویداد باگ‌پارتی به‌عنوان یکی از بخش‌های المپیک فناوری، در تاریخ 1 ، 2 و 3 آبان‌ماه 1403 در پارک فناوری پردیس برگزار شد. در این بلاگ‌پست می‌خواهیم به روایت این رویداد بپردازیم.

داخل پرانتز: منظور از شکارچیان آسیب پذیری، هکرهای کلاه سفیدی هستند که به هک قانونمند و اخلاقی می‌پردازند.   

آن‌چه در این بلاگ‌پست خواهید خواند: 

باگ پارتی؛ نمود عینی باگ بانتی 

وقتی از تنوع شکارچیان آسیب پذیری در باگ بانتی و باگ پارتی حرف می‌زنیم، از چه حرف می‌زنیم؟ 

جامعه‌ی شکارچیان آسیب پذیری 

هرروز اهداف جدیدی از راه می‌رسند! 

گزارش جدیدی ثبت شد! 

باگ پارتی؛ نمود عینی باگ بانتی 

با ورود به مکان برگزاری، با فضای نسبتا تاریکی روبه‌رو می‌شوید. نورهایی با رنگ‌های مختلف، در فضا در رفت‌وآمدند. موسیقی‌ای سرشار از هیجان و انرژی به گوش می‌رسد. گویی پا در میان فضاهای کامپیوتری گذاشته‌اید. در گوشه‌ای از سالن نیز، کافه‌ای به چشم می‌خورد که برای شرکت‌کنندگان تدارک دیده شده است و در آن با لبخند از آن‌ها استقبال می‌شود. صفحه ی نمایش بزرگی برروی سن قرار دارد که روایتگر لحظه‌به‌لحظه‌ی گزارش‌های آسیب پذیری است؛ گزارش‌هایی که همین جا و توسط شکارچیان آسیب پذیری برروی اهداف موجود ثبت می‌شوند. جمعی از افراد را می‌بینید که به سیستم‌های خود چشم دوخته‌اند. مشغول بررسی صفحات مختلف و بالاوپایین کردن صفحه‌هایی مملو از کد هستند. آن‌ها، همان شکارچیان آسیب پذیری هستند که برای 3 روز شکار در باگ پارتی، از نقاط مختلف ایران گرد هم آمده‌اند. کسب‌وکارها هم میدان را خالی نگذاشته‌اند! چندین کسب‌وکار ایرانی، به میدان آمده‌اند تا با کمک این شکارچیان، از آسیب پذیری های سامانه‌های خود آگاه شوند. داوران پلتفرم هم حضور دارند و پیوسته در حال بررسی گزارش‌های آسیب پذیری ارسالی هستند.گزارش‌ها پس از بررسی توسط داوران به دست کسب‌وکارها می رسند. انرژی و هیجان در فضا موج می‌زند. این جا باگ پارتی است؛ جایی که باگ بانتی جریان دارد؛ جایی که نمودی عینی از اتفاقی که در فرآیند باگ بانتی می‌افتد، به‌وضوح قابل‌مشاهده است. در باگ پارتی، گویی در وسط باگ بانتی، ایستاده‌اید.

وقتی از تنوع شکارچیان آسیب پذیری در باگ بانتی و باگ پارتی حرف می‌زنیم، از چه حرف می‌زنیم؟ 

در مجموع 3 روز رویداد، 70 شکارچی آسیب پذیری در این مکان گرد هم آمده‌اند تا در مانیتور لپ‌تاپ‌های خود، به دنبال آسیب پذیری های کسب وکارها بگردند. 43%شان اهل تهرانند و 53% شان نماینده‌ی نقاط مختلف ایران هستند؛ آذربایجان شرقی، خراسان رضوی، خراسان جنوبی، یزد، همدان، اراک، اصفهان، شیراز، گلستان، مازندران، گیلان، کردستان، زنجان، چهارمحال و بختیاری، کرمانشاه، قم و البرز. 7% از شرکت‌کنندگان این رویداد را زنان تشکیل می‌دهند. اگر به قصد میانگین، سن شکارچیان آسیب پذیری حاضر را باهم جمع و بر تعدادشان تقسیم کنید، به عدد 24 می‌رسید. جوان‌ترین شکارچی حاضر، 17 سال سن دارد و فردی 34 ساله، جاافتاده ترین شکارچی جمع محسوب می‌شود. برخی‌شان، در دنیای امنیت سایبری فقط به باگ بانتی می‌پردازند. برخی شان تجربه‌ی تست نفوذ، امنیت شبکه، SOC، تیم قرمز، تیم آبی و ... را نیز دارند.

پیشنهاد خواندنی: هکرهای مختلف، چه ارزشی را به یک برنامه امنیتی جمع سپاری شده می‌افزایند؟

جامعه‌ی شکارچیان آسیب پذیری 

برخی شکارچیان آسیب پذیری، به صورت فردی حضور پیدا کرده‌ و برخی همراه تیمشان آمده‌اند. شکارچیانی هم به چشم می‌خورند که در روزهای ابتدایی، دورتر نشسته و هر یک به تنهایی مشغول شکار بودند. اما به تدریج، نزدیک‌تر به سایر شکارچی‌ها نشستند و عزم شکار گروهی کردند. وقتی برای مصاحبه با یک شکارچی آسیب پذیری، باهم از میز محل کارش دور می‌شویم، ادامه‌ی کار را به دوستانش می‌سپارد و می‌گوید: "پس اکسپلویتش را بررسی کنید تا من برگردم." 96 ساعت شکار و هک در جمع شکارچیان آسیب پذیری، می‌تواند بستر و بهانه‌ی خوبی هم برای دوستی، شبکه‌سازی و ارتباط بین هکرهای مختلف باشد. ارتباطی که این بار در دنیای غیرمجازی و به صورت حضوری رقم می‌خورد. یکی از هکرها راجع به جو دوستانه‌ای که در رویداد جریان دارد، چنین می‌گوید که حضورش در این رویداد، از اولین تجربه‌های او در باگ‌ بانتی محسوب می‌شود. در همین تجربه، آسیب‌پذیری ای را کشف و ‌ ثبت‌ کرده، که متاسفانه رد شده است. اما جمع حاضر در رویداد به او پیشنهادهایی برای نحوه ی اکسپلویتش داده‌اند که احتمال می‌رود منجر به موفقیت و دریافت بانتی شود.

هرروز اهداف جدیدی از راه می‌رسند!  

هر صبح با هدف جدیدی آغاز می‌شود. هر ظهر نیز، هدف جدیدی به لیست اهداف اضافه می‌شود. در باگ پارتی 6 کسب‌وکار، شکارچیان آسیب پذیری را به سامانه‌های خود فراخوانده‌اند. هر کسب‌وکار، یک یا چندین هدف مشخص کرده است. به محض این که هدف جدیدی تعریف می‌شود، رفت‌وآمد در سال به طور چشم‌گیری کاهش پیدا می‌کند. شکارچیان آسیب پذیری را می‌بینید که در جای خود نشسته‌اند و نگاه‌هایشان با دقت مضاعف بر روی مانیتورهایشان متمرکز شده است. هنوز 10 دقیقه از تعریف یکی اهداف نگذشته، که 10 گزارش آسیب پذیری بررویش ثبت می‌شود!

گزارش جدیدی ثبت شد! 

هر چند وقت یک بار، صدای کوتاهی در سالن می‌پیچد و خبر ثبت گزارش جدیدی را به حاضران می‌دهد! صدایی که برای شکارچیان حاضر، هم استرس و هم خوشحالی به همراه می‌آورد؛ استرس این که نکند آسیب پذیری‌ای که در حال بررسی‌اش هستند را دیگری ثبت کرده باشد و خوشحالی بابت این که هنوز آسیب پذیری هایی وجود دارند و دیگری توانسته است یکی‌شان را کشف کند، شاید آسیب پذیری بعدی شکار ما شود! روی مانتیور بزرگی که در وسط سالن قرار دارد، می‌شود جزئیات بیشتری را راجع به هر گزارشی که ثبت می‌شود، فهمید؛ این که چه شکارچی‌ای و برروی چه هدفی گزارش آسیب پذیری را ثبت کرده است. هر گزارش آسیب پذیری پس از ثبت، مستقیم راهی تیم داوری می‌شود. گهگاهی، ناگهان نورافکن به روی یکی از شکارچیان حاضر در سالن، متمرکز می‌شود و نور و موسیقی هم ضمیمه‌اش می‌گردد. این اتفاق خبر این را می‌دهد که این شکارچی، آسیب پذیری ای را گزارش کرده که درجه ی خطرش حیاتی تشخیص داده شده است. موسیقی شور و هیجان را در سالن می‌پراکند.

سخن آخر: 

هنگام عکس دسته‌جمعی که می‌شود، هکرها و شکارچیان آسیب پذیری روی سن می‌ایستند. قاب زیبایی نقش می‌بندد؛ قابی از متخصصین امنیت سایبری، شکارچیان آسیب پذیری و هکرهای کلاه سفید ایرانی که در یک جا جمع شده‌اند. قابی که تماشایش حسی از افتخار، غرور و امید را در دل آدمی ایجاد می‌کند.

بلاگ‌پست‌های مرتبط:

کافه روز صفر ۱

کافه روز صفر ۲؛ شکارگاه

رابین‌هودهای دنیای صفرویک