گفتنی‌هایی راجع به ارتباط تیم راورو با شکارچی‌ها و میدان‌ها

گفتنی‌هایی راجع به ارتباط تیم راورو با شکارچی‌ها و میدان‌ها

۳۳۹

 راورو، به‌عنوان یک پلتفرم باگ بانتی، پلی میان دو دسته از مخاطبانش است؛ پلی میان شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیت با کسب‌وکارها، شرکت‌ها و سازمان‌ها. به فراخور همین نقش پلتفرمی ست که بخشی از فعالیت‌های راورو، به برقراری ارتباط با این دو گروه و تلاش برای بهبود و تسهیل ارتباط میان آن‌ها می‌گذرد.   

آن‌چه در این بلاگ‌پست خواهید خواند: 

در این بلاگ‌پست گفته‌هایی از تیم راورو را خواهید خواند که از خاطرات، تجربیات و مواردی که در ارتباط با مخاطب با آن مواجه شده‌اند، گفته‌اند.

گفته‌هایی از: 

نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو 

شقایق جوادی؛ راهبر سابق ارتباط با میدان‌های راورو 

مرضیه لکزایی؛ راهبر سابق کسب‌وکار راورو 

محمدامین کریمان؛ راهبر اجرایی و هم‌بنیان‌گذار راورو 

و رامین فرج‌پور؛ داور و محقق امنیتی در راورو  

_ در فرآِیند ارتباط با مخاطبان راورو، با چه مواردی روبه‌رو شده‌ای؟ چه خاطراتی داری؟

نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو: 

من خیلی خاطره‌های متنوعی از فرآیند کاری‌ام دارم و هر روز در حال سورپرایز شدن هستم؛ از آن شکارچی که یک گزارش بدون PoC ارسال می‌کند و بعد انتظار تایید گزارشش را هم دارد! یا آن شکارچی‌ای که یک گزارش صحیح ارسال می‌کند، میدان رد می‌کند و تیم فنی ما ساعت‌ها برای اثبات گزارش چانه زنی می‌کند. یک‌بار یک شکارچی خیلی زیاد از رد شدن دو گزارشش ناراحت بود و خیلی به من اعتراض کرد. در آخر هم گفت اصلا نمی‌خواهم اعتراضم را پیگیری کنید. اما از آن‌جایی که ما تلاش می‌کنیم، کار درست را انجام بدهیم، من هر دو گزارش را پیگیری کردم و مشخص شد که اشتباهی رخ داده و هردو گزارش صحیح بوده‌اند و بهشان بانتی تعلق می‌گرفته. شکارچی بهم پیام داد و گفت:" باورم نمی‌شد، وقتی که گفتید پیگیری می‌کنم، واقعا پیگیری کنید!" یک بار هم طی گفت‌وگو با یک شکارچی در ساعت ۸ شب، متوجه شدم که از راورو دلخوری دارد. به‌طوراتفاقی من آن روز به همراه خانواده‌ام در شهر محل سکونت آن شکارچی بودم. بهش گفتم: "می‌خواهم ببینمت تا رودرو صحبت و این مسئله را حل کنیم." بنده‌ی خدا باورش نمی‌شد! ولی خب نیم ساعت بعدش در یک کافه نشسته بودیم. 

پیشنهاد خواندنی: گپ‌وگفتی با نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو 

شقایق جوادی؛ راهبر سابق ارتباط با میدان‌های راورو: 

برخی سوال‌هایی که کسب‌وکارها قبل از ورود به برنامه‌ی باگ بانتی در جلسه‌ها می‌پرسیدند، از این قرار بود: 

ما چطور مطمئن شویم که وقتی وارد باگ بانتی شویم، هکرهای کلاه سفید سوءاستفاده نمی‌کنند؟ 

چه تضمینی وجود دارد که وقتی که ما به باگ بانتی می‌پیوندیم، هک نشویم؟ 

چطور مطمئن شویم که همه‌ی آسیب پذیری هایمان به ما گزارش می‌شوند؟  

و...  

ما پاسخ‌های مفصل و متنوعی ارائه می‌دادیم، که می‌توانم یک یا دو مثال را برایتان بازگو کنم:  

در پاسخ به دو سوال اول، یکی از پاسخ‌های ما این است که در بخشی از این جلسات به توضیح انواع هکر و تشریح و توصیف شخصیت و روحیات هکرهای کلاه‌سفید می‌پردازیم. برای میدان‌ها توضیح می‌دهیم که این افراد اگر بخواهند نفوذ، تخریب و سوءاستفاده را انتخاب کنند، اصلا نیازی به پلتفرم نیست. این کاری ست که هر هکری می‌تواند در حالت عادی به‌راحتی انجام دهد. در این میان از مثال‌هایی کمک می‌گیریم؛ باگ‌هایی که ارزش بالایی داشته‌اند و قابل سوءاستفاده‌ی بسیاری بوده‌اند، را با مبلغ پایین‌تری به کسب‌وکارها گزارش می‌دهند. 

و در پاسخ به سوال سوم هم یکی از نکاتی که به آن توجه می‌دادیم این است که بخشی از میزان فعالیت شکارچی‌ها، بستگی به رفتار خود میدان دارد. اگر که میدان واقعا، امنیت سایبری و باگ بانتی برایش اهمیت داشته باشد، مطمئنا در رفتارش و عملکردش مشاهده می‌شود و شکارچیان آسیب پذیری نیز بیش‌تر به فعالیت برروی آن می‌پردازند. میدان‌هایی که در زمان کوتاه‌تری گزارش‌های خود را بررسی می‌کنند، بانتی‌های شکارچیان آسیب‌پذیری را پرداخت می‌کنند و آسیب‌پذیری‌ها را نیز رفع می‌کنند، از محبوبیت بیش‌تری در میان شکارچیان آسیب پذیری برخوردارند. با رفتار میدان، گویی نیروی محرکه‌ای به شکارچیان آسیب پذیری داده می‌شود تا فعالیت بیش‌تری برروی اهداف آن میدان داشته باشند؛ چراکه آن‌ها هم متوجه میزان اهمیتی که آن میدان به امنیتش می‌دهد و ارزشی که برای گزارش‌های آسیب پذیری دریافتی قائل است، می‌شوند. به همین دلیل آن‌ها نیز بیش‌تر مایل به کشف و گزارش آسیب پذیری‌های آن میدان می‌شوند. 

بارها شاهد بودیم که وقتی یک میدان خوشنام هدفی اضافه می کند و یا تغییر در قوانینش می دهد در زمان کوتاهی تعداد زیادی از شکارچی ها فعال می‌شوند و روی هدف کار می‌کنند و خوشبختانه این موضوع باعث دلگرمی و اطمینان میدان‌ها می‌شد و وقتی در عمل می‌دیدند بسیاری از نگرانی‌ها برطرف می‌شد. مسلم است فردی که دنبال کار قانونی و اصولی باشد بهتر از برنامه باگ‌بانتی پیدا نمی‌کند که بتواند نتیجه زحمت و تخصصش را مستقیم از سوی میدان‌ها ببیند. 

پیشنهاد خواندنی: گپ‌وگفتی با شقایق جوادی؛ راهبر ارتباط با میدان‌های راورو 

مرضیه لکزایی؛ راهبر سابق کسب‌وکار راورو:

من خاطرات زیادی از میدان‌ها دارم. میدانی بود که دغدغه‌شان بیش‌تر موضوع دیگری مربوط به بحث امنیت بود و تمایل به گرفتن یک سری مجوزهای امنیتی داشتند. من سعی کردم قانعشان کنم که درست است که ما مجوز نمی‌دهیم، ولی همین که شما در یک پلتفرم باگ‌بانتی حضور داشته باشید، می‌تواند از جهات مختلف کمکتان کند. برایم خیلی جالب بود که خیلی راحت به باگ‌بانتی آمدند، و فرآیند پیوستنشان به باگ بانتی، چالش‌ها و دردسرهای خیلی کم‌تری داشت و سریع‌تر هم انجام شد. به‌طور کلی روال این‌گونه بود که از لحظه‌ای که ما ارتباطمان با یک کسب‌وکار آغاز می‌شد، تا زمانی که جلسات مختلف و متعدد را پشت سر می‌گذاشتیم، به قرارداد می‌رسیدیم و کسب‌وکار به‌طوررسمی و به‌عنوان میدان وارد پلتفرم باگ بانتی می‌شد، معمولا خیلی زمان می‌برد. هم فرآیند بازاریابی سنگینی داشت، هم خیلی زمان‌بر بود، لایه‌های مختلف مدیریتی کسب‌وکار باید تایید می‌کردند تا شرایط مهیا می‌شد. در بعضی موارد نیز تصور این بود که پیش‌زمینه‌هایی نیاز است تا کسب‌وکار آماده‌ی حضور در برنامه‌ی باگ‌بانتی شود، از جمله؛ انجام تست نفوذ یا غیره. به همین خاطر اگر ما در برنامه‌ی حال‌حاضرمان در حال پیگیری ۵۰ یا ۱۰۰ کسب‌وکار بودیم، این آگاهی را داشتیم که این فرآیند تا ۶ماه دیگر قرار است به نتیجه برسد. این توضیح من راجع به روال کلی بود. اما درخصوص میدانی که گفتم، ماجرا فرق می‌کرد؛ با وجود این‌که با نیازمندی دیگری به جلو آمد، اما متقاعد شد که حضور در پلتفرم باگ بانتی حدود ۲۰درصد از نیاز و دغدغه‌ی اصلی‌اش را حل می‌کند. 

پیشنهاد خواندنی: گپ‌وگفتی با مرضیه لکزایی؛ راهبر سابق کسب‌وکار راورو 

محمدامین کریمان؛ راهبر اجرایی و هم‌بنیان‌گذار راورو:

ماه های اول شروع کارمان بود و برای ساعات غیراداری، تلفن شرکت را به تلفن همراهم منتقل کرده بودم. حدود ساعت 10 شب بود که تلفنم زنگ خورد. خانمی میانسال از آن سوی خط با لهجه‌ی مردمان کرد شروع به صحبت کرد. نگرانی زیادی داشت و تلاش می‌کرد توضیح دهد " پسر من کاری نکرده که پلیس بیاید و او را بگیرد!" کمی تلاش کردم که آرامشان کنم و بعد از مدتی متوجه شدم پسرشان در پلتفرم ما بر روی یکی از میدان‌ها فعالیت کرده است. متاسفانه بین واحد فنی میدان و واحدهای دیگرشان هماهنگی ایجاد نشده بود و سایر بخش‌ها خبری از حضور سازمانشان در پلتفرم باگ بانتی نداشتند. وقتی شکارچی موردنظر ما، از شماره‌ی شخصی‌اش برای تست استفاده کرده بود، از طرف واحد بازاریابی کسب‌وکار با او تماس گرفته و تهدیدش کرده بودند که ما رفتار شما را دیده‌ایم و به پلیس گزارش می‌دهیم. این در صورتی بود که تیم فنی مجموعه کاملا در جریان بود که قرار است ارزیابی‌ها انجام شوند و هیچ تهدید مهمی وجود نداشت. شکارچی داشت یک سری تست‌ها را انجام می‌داد. اما اپراتور رفتار شکارچی را مشکوک و خطرناک برداشت کرده بود. وقتی این مادر تماس و تهدید را مشاهده کرده بود، نگران شده بود. با شرکت تماس گرفت. من خودم را کامل معرفی کردم و تلاش کردم که به ایشان اطمینان‌خاطر دهم که " طبق قانون، پسر شما مجرم و خلافکار نیست." ، " برعکس، در حال کار کردن در مسیری ست که به ارتقای امنیت کمک می‌کند." سوءتفاهم شده است" و ... . خوش‌بختانه در نتیجه‌ی گفت‌وگویمان آرامش ایجاد شد. بلافاصله با رابطمان را سازمان تماس گرفتیم و ایشان را در جریان قرار دادیم. آن‌ها متوجه ناهماهنگی شدند. با شکارچی تماس گرفتند و اعلام کردند که سوءبرداشت بوده است. فردای آن روز، آن مادر دوباره تماس گرفتند. ماجرا برایشان حل شده بود. بیشتر صحبت کردیم. دعای خیلی قشنگ کردند، که برای من خیلی دلنشین بود و واقعا می توانم بگویم خستگی مسیر برایم برطرف شد. آن‌جا متوجه شدیم این خانواده در یکی از نواحی غرب کشور زندگی می‌کنند و فعالیت این شکارچی جوان کمک‌خرج خانواده‌شان است. متوجه شدیم با توجه به محصل‌بودن شکارچی، داشتن این شغل چه امکان خوبی را برایشان فراهم کرده است. 

رامین فرج‌پور؛ داور و محقق امنیتی در راورو 

من این سال‌ها، در سمت شکارچیان آسیب‌پذیری، افرادی را می‌بینم که واقعا بسیار بااستعداد هستند. ایران درحوزه‌ی امنیت سایبری واقعا به کمک و تخصص این متخصص‌ها نیاز دارد! اگر این متخصص‌ها شناسایی نشوند، زمینه‌های فعالیت مناسب برایشان وجود نداشته باشد و از دانشی که در این حوزه دارند، به‌درستی استفاده نشود، طبیعی ست که مهاجرت بهترین گزینه‌ی پیش روی آن‌ها می‌شود. این درحالی‌ست که کم‌ترین توجه به این متخصص‌ها می‌شود؛ متخصص‌هایی که فعال هستند و در شبکه‌های اجتماعی یا ... می‌بینیم که داده‌ و محتواهای مربوط به امنیت سایبری منتشر می‌کنند و اهمیتی که به این موضوع می‌دهند، قابل‌مشاهده است.   

در سمت میدان‌ها این‌طور به نظرم می‌رسد که بسیاری از کسب‌وکارها واقعا به این باور رسیده‌اند که امنیت سایبری را در کنار سایر دغدغه‌های کسب‌وکار خود ببینند و برایش اهمیت قائل شوند. مقوله‌ی امنیت سایبری را به رسمیت می‌شمارند و مبلغی را به آسیب پذیری‌های کشف و گزارش‌شده از سایتشان اختصاص می‌دهند. هم‌چنین اعتمادی به شکارچی ‌ها و هکرهای کلاه‌سفید شکل گرفته. خیلی از کسب‌و‌کارها تا الان توانسته‌اند که تا حد خوبی، از بدترین تهدیدها به دور باشند. چرا؟ چون در زمان مناسب و به‌وقتش این مشکلات را شناسایی کرده‌اند. 

پیشنهاد خواندنی: گپ‌وگفتی با رامین فرج‌پور؛ داور و محقق امنیتی در راورو 

سخن آخر:

آن‌چه خواندید، بخش کوچکی از ماجراهایی بود که به‌طور روزانه و در پشت‌صحنه‌ی راورو در جریان‌اند و معمولا از چشم دیگر مخاطبان، نادیده می‌مانند. ماجراهای چالش‌برانگیز، شیرین و … که در مسیر تلاش برای تحقق آرزو و رویایمان بر ما گذشته است. 

بلاگ‌پست‌های مرتبط:

یک پلتفرم باگ بانتی چه می‌کند؟ 

کافه روز صفر ۱ 

گفتنی‌هایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان 

۱۰+۱ دلیل برای انتخاب پلتفرم باگ بانتی راورو 

۱۴+۱ دلیل برای انتخاب باگ بانتی