چالش‌های اولیه ‌در مسیر یک پلتفرم باگ بانتی

چالش‌های اولیه ‌در مسیر یک پلتفرم باگ بانتی

۴۵۳

خوش‌بختانه در سال‌های اخیر، شاهد توجه بیش‌تری به حوزه‌ی امنیت سایبری در برخی کسب‌وکارها بوده‌ایم. کم‌تر کسی ست که به خاطر نداشته باشد که قبل‌ترها، نگاه به امنیت سایبری در میان کسب‌وکارها، چه‌قدر متفاوت بود. نگاه کسب‌وکارها و جامعه به هک و هکر نیز، همین‌طور. "پلتفرم باگ‌بانتی" نیز در سال‌های قبل در ایران، کم‌تر شناخته‌شده بود. گاهی، بیش‌تر از آن‌که مورد استقبال کسب‌وکارها واقع شود، موجب ترسشان می‌شد. راه‌اندازی و پیش‌برد یک پلتفرم باگ‌بانتی، به‌عنوان استارتاپی در حوزه‌ی امنیت سایبری، چالش‌ها و خاطرات تلخ و شیرین منحصربه‌خودش را برای تیم راورو داشته است.  

آن‌چه در این بلاگ‌پست خواهید خواند:

در این بلاگ‌پست گفته‌هایی از تیم راورو را خواهید خواند که راجع به خاطرات و چالش‌هایی که در ابتدای مسیر( در ارتباط با مخاطبان؛ شکارچی‌ها، میدان‌ها، هکرها ) با آن مواجه شده‌اند، گفته‌اند.  

 گفته‌هایی از:  

 محمدامین کریمان؛ راهبر اجرایی و هم‌بنیان‌گذار راورو 

مرضیه لکزایی؛ راهبر سابق کسب‌وکار راورو  

کاظم فلاحی؛ هم‌بنیان‌گذار و راهبر سابق فنی راورو 

و علیرضا دهقانی؛ راهبر استراتژی راورو   

محمدامین کریمان؛ راهبر اجرایی و هم‌بنیان‌گذار راورو:

روز اولی که فرآیند باگ بانتی را شروع کردیم، با توجه به حساسیت‌هایی که در زمینه‌ی امنیت سایبری وجود داشت، برایمان مهم بود که بتوانیم روند را به صورت قانونی پیش ببریم. در همین راستا تقریبا حدود دو سال پیگیری و نامه‌نگاری‌های مداومی داشتیم. در تعدادی از جلسه‌ها این فضا حاکم بود که انگار اکثر مختصصان امنیتی‌ای که ما ازشان حرف می‌زدیم، هکرهای کلاه سیاهی هستند که قصد دارند به صورت ناشناس وارد کار شوند و مقصودشان کمک نیست. یکی از نگرانی‌های عمده‌ این بود که اگر کسی با نام و حساب کاربری فردی دیگر وارد شود و فعالیت کند چه می‌توانیم کنیم؟ ( به بیانی دیگر؛ اگر با هویت اجاره‌ای افراد نیازمند وارد شود فعالیت کند چه می توانیم انجام دهیم؟) ما تلاش زیادی داشتیم که این دید را اصلاح کنیم و توضیح‌های مرتبطی راجع به منافع و مزایای این مدل و حاصل استفاده از آن در دنیا بدهیم. این‌که در دنیا چه اتفاق‌هایی در جریان است؟ چه تجربه‌هایی وجود داشته؟ حتی مراکز دولتی و نظامی مهم دنیا به نفعشان بوده که در این برنامه‌ها مشارکت داشته باشند؟ و غیره و غیره. در آن زمان بیشتر وقت ها توضیحات ما برایشان قانع‌کننده نبود آن‌ها بیشتر روی موضع و نگاهشان پافشاری می‌کردند. 

به نظرمان رسید که با مثال‌هایی می‌توانیم کاری کنیم تا کمی ماهیت ماجرا مشخص‌تر شود. این‌طور می‌گفتیم: "شما فرض کنید بستری وجود داشته باشد که بزرگترین رقیب یا دشمن تان، گزارشی از آسیب پذیری شما داشته باشد و از طریق پلتفرم باگ بانتی به شما اطلاع‌رسانی کند، آیا شما آن را قبول می کنید، یا نه؟ حداقل ماجرا این است که با فرض این‌که حتی قبلا از وجود آن آسیب پذیری سوءاستفاده شده باشد، می‌توانید آن را دریافت کنید و از سوءاستفاده بعدی جلوگیری کنید. ماجرا این است که اگر کسی حاضر باشد گزارش آسیب پذیری‌تان را برای شما ارسال کند، یعنی قصد سوءاستفاده از آن را نداشته که برایتان ارسالش کرده است." با این مثال؛ انگار برای اولین بار توانستیم کمی به درک مشترکی از ماهیت صورت‌مسئله دست یابیم. توضیح این‌گونه‌ی ماجرا، فضای گفت‌وگوهایمان را عوض می‌کرد. نقطه‌ی عطفی برای این‌ بود که بتوانیم مفهوم باگ بانتی و شکارچی آسیب پذیری را با تمام نگرانی‌ها و نگاه‌های منفی‌ای که می‌توانست نسبت بهشان وجود داشته باشد، بازنگری کنیم و به تفاهمی نزدیک‌تر شویم.  

کاظم فلاحی؛ هم‌بنیان‌گذار و راهبر سابق فنی راورو:

هر زمان به عقب برمی گردم یاد چالش های اصلی روزهای اول شروع کارمان می افتم. در سال های اول یکی از چالش های اصلی ما رسیدن به تفاهم بین هکر و کسب‌وکار بود. این‌که کمک کنیم بانتی براساس یک استاندارد که دو طرف رضایت داشته باشند پرداخت شود. دنبال راهی بودیم که بتوانیم تعاملی در این بین ایجاد کنیم و این دو را به هم‌دیگر وصل کنیم. یکی از اولین کارهایی که انجام دادیم، تعریف فرمول ارزش‌گذاری آسیب پذیری ها بود. خب ما تجربه‌هایی در حوزه‌ی باگ بانتی داشتیم و می‌دانستیم که اختلاف‌نظر بین هکرها و میدان‌ها، سر ارزش باگ و مبلغ بانتی قصه‌ی دراز دارد و چالش مهمی ست. همیشه سر قیمت آسیب پذیری بین شکارچی و میدان اختلاف‌نظر وجود داشت. واقعا زمان هایی وجود داشت که هیچ‌کدام از طرفین از دیگری راضی نبود. اینجا بود که حسابی درگیر می شدیم. خب یکی از دلایلش این است که هردو طرف از زاویه‌ و نگاه خود و براساس دغدغه‌های خود به موضوع نگاه می‌کردند. به خاطر همین اولین دغدغه‌مان قیمت‌گذاری بود. نیاز به معیاری وجود داشت که بتواند براساس استانداردهای تخصصی و فکت‌ها حرف بزند، نه برداشت هر شخص و ... . تا بتوانیم به کمکش به زبان مشترکی بین میدان و هکر برسیم. تمرکز روی قیمت گذاری و رسیدن به تفاهم و رضایت نسبی در یک مرحله به دست نیامد اما هر قدمی که بر می داشتیم تاثیر مثبت آن را به چشم می دیدیم. 

یکی دیگر از چالش‌هایی که مانع راه تعامل بین هکر کلاه‌سفید و کسب‌وکار بود، ترس کسب‌وکار نسبت به فعالیت بدون محدودیت هکر در بخش‌های مختلف سامانه‌اش بود. تعیین اهداف و قوانین مربوط به اهداف برای میدان، یکی از اقدام‌ها برای متقاعد و متمایل کردن کسب‌وکارها برای شرکت در برنامه‌های باگ بانتی بود. این‌که کسب‌وکارها با تعریف هدف برای هکر کلاه سفید و شکارچی آسیب پذیری محدوده‌ی مجاز شکار تعیین کنند و در قسمت قوانین هم، قوانین موردنظر خود را اعلام کنند، کمک‌کننده شد. تلاش کردیم تا به محدوده‌ی پرداخت کلی کسب‌وکار و بانتی درنظرگرفته‌شده برای هر نوع آسیب پذیری هم اشاره شود، تا شکارچی و هکر قبل از فعالیت بتوانند از آن خبردار شوند.  

شاید امروز که به گذشته نگاه می کنیم این دو نکته بدیهی به نظر می رسند اما رسیدن به این نکته ها و کاری برایشان کردن یکی از چالش های اصلی آن دوران ما بود. 

پیشنهاد خواندنی: گپ‌وگفتی با کاظم فلاحی؛ هم‌بنیان‌گذار راورو (گفتنی‌هایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان) 

مرضیه لکزایی؛ راهبر سابق کسب‌وکار راورو:

می‌توان گفت یک چالش پررنگ که ما در ابتدا داشتیم، جدید بودن بیزینسمان بود. در هر صورت ما نمونه‌ی زیادی نداشتیم. تقریبا بازار نام "باگ بانتی" به گوشش نخورده بود. اگر هم خورده بود، به شکل‌های دیگری با این تجربه مواجه شده بود. رقبای غیرمستقیم زیادی هم داشتیم. به این خاطر می‌توان گفت که چالش اصلی ما، این بود که نیاز اصلی را که چیزی به اسم "امنیت سایبری در قالب خرد جمعی (باگ بانتی)" بود، به مشتری بشناسانیم و بعد از آن به سراغ محصول و امکانات برویم که آن را به مشتری ارائه بدهیم. یکی از موضوعاتی هم که وجود داشت، اخبار رخدادهای سایبری بود. مخصوصا در یکی_دو سال اول فعالیت ما، زیاد شده بود. و این در یک سری موقعیت‌ها تاثیر منفی می گذاشت و نگاه کسب‌وکارها بیش‌تر با آن ترس و نگرانی همراه بود. در واقع ما یک دروان گذار داشتیم. به نظرم در آن سال‌ها در حوزه‌ی امنیت سایبری خیلی اتفاق‌ها هنوز پیش نیامده بود. این اخباری هم که از هر طرف شنیده می‌شد و حتی چالش هایی که برای خود ما هم پیش آمده بود. مخصوصا در یکی_دو ماه اول سال ۹۹ ، چالش‌های زیادی بود که ما با آن‌ها مواجه بودیم و با تجربه‌ی کم، با توجه به شرایط باید مدیریت می‌کردیم که ضربه نبینیم. چون می‌توانست ما را در بازار و در همان ابتدای فعالیت خیلی راحت از بین ببرد. 

در جلسات با کسب‌وکارها، دو مسئله خیلی جالب بود؛ یکی شیرین بود و دیگری چالش. بخش شیرین آن این بود که وقتی ما تمام‌وکمال محصول را ارائه می کردیم، تقریبا در تعداد زیادی از جلسات خیلی تشویق می شدیم، استقبال زیادی از کارها می‌دیدیم، مخصوصا شرکت‌هایی که خودشان هم امنیت برایشان اولویت بود. موضوع بعدی این بود که در بسیاری از جلسات هم، شرکت‌ها می‌گفتند: " این‌طوری که ما خودمان توجه هکرها را نسبت به سایتمان جلب می‌کنیم!" منظورشان این بود که مثلا من یک بیزینس را جلو می‌برم، خیلی از هکرها شناختی از من ندارند و من به حیات خود ادامه می‌دهم. درواقع دغدغه‌ی اصلی آن‌ها این بود که می‌گفتند اگر اسم شرکت من در سایت راورو بیاید، در آینده‌ی نه‌چندان دور توجه هکر ها به ما جلب می‌شود، به سراغ ما می‌آیند و زیر ساخت ما به مشکل می‌خورد. مثلا ممکن است سراغ سوءاستفاده‌ از کسب‌وکار ما بروند. ما بیشتر تلاشمان را می‌کردیم که هکرهای با رنگ کلاه‌های مختلف را برایشان توضیح دهیم و شرکت‌ها را قانع کنیم که این شرایط به وجود نخواهد آمد. اگر هم پیش بیاید، تاثیر مثبت خواهد داشت و بیشتر به عنوان محلی امن که دیگران روی امنیت آن کار کرده اند نامیده می شود که خدا رو شکر در آینده ای کوتاه این ادعا قابل مشاهده بود. 

پیشنهاد خواندنی: گپ‌وگفتی با مرضیه لکزایی؛ راهبر سابق کسب‌وکار راورو 

علیرضا دهقانی؛ راهبر استراتژی راورو:

وقتی ما درباره‌ی یک استارتاپ حرف می‌زنیم اغلب مواقع راجع به مجموعه‌ای از کارها صحبت می‌کنیم که قبلا تجربه‌ی اجرای آن را نداشته‌ایم. به عنوان مثال وقتی قرار است در پلتفرم یک "کیف پول" ایجاد کنیم که مانده‌حساب برخی گزارش‌ها در آن باشد، وقتی قرار است کارهایی کنیم داوری گزارش‌ها زمان کم‌تری ببرد، وقتی قرار است وارد بازار جدیدی شویم و یا خدمت جدیدی ارائه دهیم، با کارهایی مواجه هستیم که قبلا تجربه‌ی اجرایی آن را نداشته‌ایم. در این شرایط انجام آزمایشی و آماده‌بودن برای تغییر جزو غیر‌قابل‌چشم‌پوشی کارها است. نباید فراموش کنیم که ما در حال صحبت درباره‌ی یک قطار درحال‌حرکت هستیم، این قطار باید هم‌زمان روبه‌جلو حرکت کند و بهبود نیز در آن اتفاق بیفتد. نیاز است از این نکته مراقبت کنیم که تغییراتمان، آن‌قدر زیاد نباشد که برای افراد کلافگی به بار آورد و آن‌قدر کم هم نباشد که خالی از هرگونه تجربه‌ و آموخته‌ی جدیدی باشد. ما تا جایی که می‌توانیم، قبل از این‌که یک جریان را به‌صورت عمومی و گسترده اجرا کنیم، در فضاهای کوچک‌تر و خصوصی‌تر مورد آزمون قرار می دهیم و بررسی می‌کنیم. درواقع تلاش می‌کنیم پیش‌بینی کنیم که انجام چنین کارهایی در ابعاد واقعی چه ریسک‌ها و نقاط مجهولی دارد. البته موارد و چالش‌هایی نیز هستند که فقط در هنگام اجرای کارها در مقیاس بزرگ، ایجاد می‌شوند و به‌طورطبیعی اجتناب‌ناپذیرند. صحبت و تعامل در این مورد و رسیدن به دیدی مشترک با همکاران و مخاطبان گاهی اوقات چالش‌برانگیز است. 

پیشنهاد خواندنی: گپ‌وگفتی با علیرضا دهقانی؛ راهبر استراتژی راورو 

سخن آخر:

آن‌چه که در این بلاگ‌پست از آن نوشتیم، تنها گوشه‌ای از تجربیاتی بود که در مسیر شکل‌گیری پلتفرم باگ بانتی راورو و به امید "آینده‌ای امن‌تر" با آن‌ها مواجه شده بودیم. و برخی این چالش‌ها را بخشی از مسیر می‌دانیم، نه زائد بر آن. 

بلاگ‌پست‌های مرتبط:

در مسیر شکل‌گیری باگ بانتی به راورو چه گذشته است؟  

آرزوهای جمعی برای حوزه‌ی امنیت سایبری  

یک پلتفرم باگ بانتی چه می‌کند؟