باگ بانتی، راهکاری از دسته‌ی راهکارهای هجومی (Offensive) برای ارتقای امنیت سایبری ست که نسل جدید روش آشنای تست نفوذ (Penetration Test) به شمار می‌رود. کلمات، اصطلاحات و مفاهیم گوناگونی در فرآیند باگ بانتی حضور دارند که هریک معنای تخصصی خود را دارند. در این بلاگ‌پست قرار است که برای آشنایی بیش‌تر با باگ بانتی و تک‌تک مفاهیم تشکیل‌دهنده‌اش، به معنای برخی از این مفاهیم بپردازیم.

در این بلاگ‌پست درباره‌ی معانی کلمات، اصطلاحات و مفاهیم زیر خواهید خواند:

باگ، باگ نرم‌افزاری، باگ امنیتی، آسیب‌ پذیری، حفره‌ی امنیتی، آسیب پذیر، سطح خطر آسیب پذیری؛ حیاتی، بالا، متوسط، پایین و آموزنده، هک، هکر، هکر قانون‌مند/ هکر کلاه سفید، هکر کلاه سیاه، شکارچی آسیب پذیری، شکارچی آسیب پذیری باگ بانتی، شکارچی، انواع شکارچی آسیب پذیری، محقق امنیتی، بانتی، باگ بانتی، پلتفرم باگ بانتی، VDP؛ سیاست افشای آسیب پذیری، میدان، هدف و انواع هدف؛ هدف عمومی، خصوصی و دعوت‌نامه‌ای

باگ (Bug): اصطلاحی‌ست که مربوط به نرم‌افزارها و سامانه‌هاست اما در زندگی روزمره و در موقعیت‌های مختلف نیز گاهی به کار می‌رود و به معنای ایجاد اشکالی در یک فرآیند، سامانه یا … است که مانع ثمربخشی مطلوب است.

باگ نرم‎ افزاری (Software flaw) : خطا‌ها، مشکلات موجود در سمت زیرساخت برنامه و پیاده‌سازی برنامه که منجر به ایجاد اختلال در عملکرد سامانه شوند، مانند؛ کندی سامانه، اشتباه در محاسبات، عدم دسترسی به API و خطاهای سینتکسی.

باگ امنیتی (Security bug) : هر باگ نرم‌افزاری‌ای که امکان نفوذ افراد خارجی به سامانه و بهره‌جویی و سوءاستفاده‌ را برایشان فراهم سازد، باگ امنیتی می‌نامیم.

داخل پرانتز: گاهی افراد کلمه‌ی "باگ" را نیز به طور خلاصه و کلی، درمعنای "باگ نرم افزاری" یا "باگ امنیتی" نیز به کار می‌برند. در چنین مواردی، کشف معنای موردنظر گوینده، تا حدودی در گرو قاعده‌ی "شنونده باید عاقل باشد" است. توجه به بافت (Context) جمله و سایر کلمه‌های حاضر در جمله به تشخیص و فهم منظور گوینده، کمک می‌کند.

آسیب پذیری (Vulnerability) : برخی باگ‌ها و نقایص فنی سامانه‌های آنلاین که نقاط آسیب‌پذیر آن به شمار می‌روند، را آسیب پذیری می‌گویند. معنای آسیب پذیری را می‌توان معادل همان اصطلاح باگ امنیتی دانست.

حفره‌ی امنیتی (Security hole) : همان‌طور که از نامش پیداست، به معنای وجود حفره‌ایست که امنیتی محسوب می‌شود و به عبارتی می‌تواند موجب نفوذ دیگران به سامانه شود. طبق این تعریف، این اصطلاح معمولا معادل "آسیب پذیری" و "باگ امنیتی" به کار برده می‌شود.

داخل پرانتز: معمولا عبارت‌های "حفره‌ی امنیتی" ، "باگ امنیتی" و "آسیب پذیری" به یک معنا و منظور به کار می‌روند و می‌توان آن‌ها را مترادف یک‌دیگر دانست. در این بلاگ‌پست و سایر بلاگ‌پست‌های راورو نیز، هر جایی که یکی از این عبارات به کار رفته، می‌توان آن را معادل با دیگر عبارات نیز دانست.

آسیب‌پذیر (Vulnerable) : در صورت وجود یک آسیب پذیری در سامانه می‌توان گفت که آن نقطه از سامانه نسبت به آن آسیب پذیری، آسیب پذیر است. که معادل با این معناست که امکان نفوذ از آن نقطه برای دیگران فراهم است.

سطح خطر آسیب پذیری:

میزان و سطح خطری که هر آسیب پذیری برای یک سامانه به ارمغان می‌آورد، وابسته به نوع آن آسیب پذیری است.

معیارهای متفاوت جهانی وجود دارند که آسیب پذیری‌ها را بر اساس ویژگی‌های مختلف دسته‌بندی و سطح‌بندی کرده‌اند. رده‌بندی Vulnerability Rating Taxonomy که به اختصار VRT نامیده می‌شود، یکی از آن‌هاست. در این دسته‌بندی آسیب‌‌پذیری‌ها براساس شدت خطرشان در پنج رده‌ی P4، P3، P2، P1 و P5 رتبه‌بندی می‌شوند. در دو سر این رده‌بندی، P1 خطرناک‌ترین و رایج‌ترین آسیب‌پذیری‌‌ها و P5 کم‌خطرترین و نامتداول‌ترین آسیب‌پذیری‌ها هستند.

P1: اهمیت حیاتی/ بحرانی (Critical) ؛ مسئله‌ی مرگ و زندگی ست.

P2: اهمیت بالا (High) ؛ پای آبرو درمیان است و واجب است که حل شود.

P3: اهمیت متوسط (Medium) ؛ لازم است که حل شود.

P4: اهمیت پایین (Low) ؛ خوب است که حل شود.

P5: اهمیت در حد اطلاع‌رسانی/ آموزنده (Informative) ؛ بهتر است از آن آگاه باشید و آن را رفع کنید.

داخل پرانتز: گفتنی ست که میزان خطری که یک نوع آسیب پذیری واحد، برای دو کسب‌وکار در بردارد، تاحدی وابسته به نوع کسب‌وکارها، حوزه‌‌های فعالیتشان، ویژگی‌ها، اولویت‌ها و … نیز دارد.

پیشنهاد خواندنی: چگونه بفهمیم هر آسیب‌پذیری چقدر خطرناک است؟ (معرفی ۳ سنگ محک‌ جهانی)

هک (Hack) : هک به فعالیتی گفته می‌شود که در آن افراد از مهارت‌های برنامه‌نویسی یا اطلاعات کامپیوتری‌شان برای شکستن سد امنیت سایبری استفاده می‌کنند.

هکر (Hacker) : فردی ماهر در فناوری اطلاعات است که از آسیب پذیری‌ها و باگ‌های امنیتی برای دستیابی به یک هدف یا غلبه بر یک مانع، در یک سیستم کامپیوتری به روشی غیرمعمول استفاده می کند.

هکر قانون‌مند، بااخلاق (Ethical Hacker) : همان‌طور که از اسم این گروه پیداست، یک هکر بااخلاق طبق قانون کار می‌کند و آسیب‌پذیری‌های شرکت‌ها را کشف و به آن‌ها گزارش می‌کند.

هکر کلاه سفید (White Hat Hacker) : هکرهای کلاه‌سفید را می‌توان در مقابل هکرهای کلاه‌سیاه دانست. هکرهای کلاه‌ سفید نلاش می‌کنند تا آسیب پذیری های امنیتی سامانه‌ها را پیش از آن که هکرهای کلاه سیاه به آن‌ها دست پیدا کنند، کشف کنند و به کسب‌وکار اطلاع دهند تا این‌گونه به ارتقای امنیت کسب و کار ها کمک کنند.

داخل پرانتز: هکر قانون‌مند و هکر کلاه‌سفید را می‌توان معادل یک‌دیگر دانست.

هکر کلاه‌سیاه (Black Hat Hacker) : هکرهای کلاه سیاه قانون‌مند نیستند. آن‌ها معمولا برای باج‌خواهی از مدیران سامانه‌های مختلف و یا تخریب اقدام به کشف آسیب پذیری های امنیتی سامانه‌ها و سوء استفاده از آن‌ها می‌کنند.

پیشنهاد خواندنی: معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!

محقق امنیتی (Security Researcher) : متخصصین امنیتی‌ای که تخصص و تجربه‌ی خود را در مسیر هک مثبت صرف می‌کنند. برخی کسب‌وکارهای حوزه‌ی امنیت مانند Intigriti به هکرهای اخلاقی محقق‌های امنیتی نیز می‌گویند. چراکه از نظرشان این عبارت بهتر می‌تواند شغل آن‌ها را توصیف کند. آن‌ها ساعت‌های طولانی تحقیق می‌کنند تا آسیب‌پذیری‌ها را پیدا کنند. در عبارت محقق‌های امنیتی مفهوم منفی وجود ندارد، در حالی که هکر بااخلاق ممکن است مفاهیم منفی را در ذهن شما زنده کند.

شکارچی آسیب پذیری (Bug Hunter) : متخصصین امنیت و هکرهای کلاه‌سفیدی که به بررسی و کشف آسیب‌پذیری‌های بخش‌های مختلف سامانه‌های کسب‌وکارها بدون هماهنگی با کسب‌وکار و بدون اجازه‌ی آن‌ها می‌پردازند. آسیب پذیری‌ها را شکار می‌کنند، به‌طور شخصی با کسب‌وکار ارتباط برقرار می‌کنند و کشفیات خود را در قالب گزارش آسیب‌پذیری، به کسب‌وکار گزارش می‌دهند. کسب‌وکار از نظر قانونی تعهدی در قبال پرداخت بانتی ندارد، اما از نظر اخلاقی شایسته‌تر به نظر می‌رسد که بانتی پرداخت شود.

شکارچی آسیب پذیری باگ بانتی (Bug Bounty Hunter) : متخصصین امنیت و هکرهای کلاه‌سفیدی که به بررسی و کشف آسیب‌پذیری‌های سامانه‌های کسب‌وکارهای می‌پردازند که در پلتفرم باگ بانتی یا سایت خود کسب‌وکار برنامه‌ی باگ بانتی تعریف کرده‌اند. طبق قوانین ثبت‌شده در برنامه‌ی باگ بانتی، آسیب پذیری‌های موجود در محدوده‌ی مشخص‌شده از جانب کسب‌وکار را شکار می‌کنند و کشفیات خود را در قالب گزارش آسیب‌پذیری، به کسب‌وکار گزارش می‌دهند. کسب‌وکار نیز مطابق با قوانینی که از پیش تعیین کرده است، ملزم به پرداخت بانتی ست.

داخل پرانتز: اگرچه که براساس آن‌چه که گفته شد، بین اصطلاحات "شکارچی آسیب پذیری؛ Bug Hunter" و " شکارچی آسیب پذیری باگ بانتی Bug Bounty Hunter " از نظر تخصصی تفاوت وجود دارد، اما در بسیاری از مواقع به هردوی این گروه‌ها نام " شکارچی آسیب پذیری؛ Bug Hunter" اطلاق می‌شود. دلیل آن نیز این است که عملی که در هردو فرآیند اتفاق می‌افتد شکار آسیب پذیری ست. یک فرد نیز ممکن است هم " شکارچی آسیب پذیری" و هم " شکارچی آسیب پذیری باگ بانتی" باشد. دلیل دیگر نیز، سهولت استفاده از اصطلاح کوتاه‌تر است. چون تابه‌حال، به طور آگاهانه یا ناآگاهانه نیز اصطلاح " شکارچی آسیب پذیری" توسط افراد برای هر دو حالت به کار برده شده است، این اصطلاح رایج‌تر نیز به شمار می‌رود.

شکارچی (Hunter) : در برخی موارد، اصطلاح "شکارچی" یا "هانتر (Hunter) " نیز به‌طور خلاصه و به جای " شکارچی آسیب پذیری؛ Bug Hunter " یا " شکارچی آسیب پذیری باگ بانتی؛ Bug Bounty Hunter" به کار برده می‌شوند.

انواع شکارچی آسیب پذیری: در پلتفرم‌های باگ بانتی، گاهی شکارچیان آسیب پذیری براساس معیارهای متفاوتی سطح‌بندی و دسته‌بندی می‌شوند. در پلتفرم باگ بانتی راورو نیز شکارچیان آسیب پذیری براساس "امتیاز کسب‌شده" سطح‌بندی و بر اساس "احراز هویت" دسته‌بندی می‌شوند.

پیشنهاد خواندنی: سطح‌بندی و دسته‌بندی شکارچیان در راورو از چه قرار است؟

بانتی (Bounty) : مبلغی که کسب‌وکار (میدان) در ازای دریافت هر گزارش آسیب پذیری می‌پردازد.

داخل پرانتز: در فرآیند باگ بانتی، مبالغ پرداختی توسط میدان از پیش تعیین می‌شوند و به شکارچیان آسیب پذیری اعلام می‌شوند.

پیشنهاد خواندنی: مدل پرداختی کسب‌وکار در باگ‌بانتی چگونه است؟

باگ بانتی (Bug Bounty) : نام "باگ بانتی" تلفیقی از دو کلمه‌ی "باگ (Bug)" و "بانتی (Bounty)" ست و در زبان فارسی می‌توان آن را فرآیند "پرداخت پاداش در ازای گزارش آسیب پذیری (باگ) های امنیتی" دانست. در باگ بانتی، کسب‌وکارها تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفره‌های امنیتی سامانه‌ی خود، اعلام می‌کنند. سپس جمعی از هکرهای کلاه‌سفید و شکارچیان آسیب پذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانه‌ی کسب‌وکار می‌پردازند و آسیب پذیری‌های کشف‌کرده‌ی خود را به کسب‌وکار گزارش می‌دهند و بانتی دریافت می‌کنند. در باگ‌بانتی، پیش از اقدام شکارچی به شکار آسیب پذیری، قوانین و چارچوب توسط کسب‌‌وکار تعیین و اطلاع‌رسانی می‌شود.

داخل پرانتز: یک کسب‌وکار می‌تواند به‌طور مستقل به تعریف برنامه‌ی باگ بانتی برروی سایت کسب‌وکار خود بپرداز و یا برروی پلتفرم‌های باگ بانتی، برنامه‌ی خود را تعریف کند.

پیشنهاد خواندنی: باگ‌ بانتی از کجا آمده‌است؟ آمدنش بهر چه بود؟

پلتفرم باگ بانتی (Bug Bounty Platform) : یک پلتفرم باگ بانتی پُلی میان " نیاز کسب‌وکارهای آنلاین به آگاهی از آسیب پذیری‌های سامانه‌ی خود" و "تخصص و توانایی هکرهای کلاه‌سفید" است. کسب‌وکارها می‌توانند با تعریف اهداف خود، از تخصص، تجربه و دانش جمعی شکارچیان آسیب پذیری برای امن‌تر کردن سامانه‌ی کسب‌وکار خود کمک بگیرند. شکارچیان آسیب پذیری و هکرهای کلاه سفید نیز می‌توانند با عضویت در پلتفرم‌های باگ بانتی، به طور قانون‌مند و در چارچوب قوانین، به هدف‌های تعریف‌شده دسترسی داشته باشند. آن‌ها می‌توانند از این طریق به شکار آسیب پذیری، گزارش آن، دریافت بانتی و کسب درآمد قانونی از هک بپردازند.

باگ هانتینگ (Bug Hunting) : در روش باگ هانتینگ، چارچوبی توافق‌شده از پیش میان شکارچیان آسیب پذیری و کسب‌وکار وجود ندارد. شکارچیان آسیب پذیری، آزادانه و بدون چارچوبی به بررسی آسیب پذیری های سامانه‌های دلخواه خود می‌پردازند و گزارش آن را به‌طور شخصی برای کسب‌وکار مربوطه ارسال می‌کنند و می‌توانند طلب بانتی کنند، اما کسب‌وکار تعهد قانونی‌ای در ازای پرداخت بانتی ندارد.

VDP؛ سیاست افشای آسیب پذیری (Vulnerability Disclosure Policy) : در VDP، کسب‌وکار آغوش خود را برای دریافت گزارش‌های آسیب‌پذیری از سوی افراد باز می‌گذارد و صندوق انتقادات و پیشنهاداتی را مختص توصیه‌های امنیتی تدارک می‌بیند. این‌گونه متخصصین امنیت، هکرهای کلاه‌سفید و … می‌توانند بدون نگرانی از مشکلات حقوقی نظیر جرم‌انگاری و اتهام‌زنی، آسیب‌پذیری‌ها و حفره‌های امنیتی کشف‌کرده‌ی خود را در گزارشی و از طریق این بستر برای کسب‌وکار ارسال کنند. کسب‌وکار نیز تعهدی در قبال پرداخت پاداش در ازای گزارش‌های آسیب پذیری دریافت‌شده ندارد ولی در صورت تمایل، مبلغی را به عنوان پاداش به آن‌ها پرداخت می‌کند.

پیشنهاد خواندنی: VDP؛ صندوق پیشنهادها و انتقادات امنیتی

میدان (Company) : کسب‌وکارهایی که تمام یا بخشی از سامانه‌ی خود را برای ارتقای امنیت در برنامه‌ی باگ‌بانتی تعریف کرده‌اند تا شکارچیان آسیب پذیری، آسیب‌پذیری‌های آن‌ها را کشف و گزارش کنند.

هدف ( Target) : میدان هنگام پیوستن به برنامه‌ی باگ‌بانتی، محدوده‌ی مشخصی از سامانه‌ی خود را تعیین می‌کند و جزئیات موردنظر خود را برای آن به‌طور واضح تعریف می‌نماید، جزئیاتی مانند؛ قوانین، محدوده‌ی مجاز، آسیب پذیری‌های قابل‌قبول، محدوده‌ی پرداختی و … . در واقع در این فرآیند، هدف مشخصی را برای این‌که شکارچیان آسیب پذیری بر روی آن کار کنند، تعیین و تعریف می‌کند.

داخل پرانتز: اگر تمام سامانه‌ی مجازی کسب و کار شما را به ساختمان مجازی کسب و کارتان تشبیه کنیم، این ساختمان اتاق‌هایی دارد. اهدافی که شما تعیین می‌کنید، اتاق‌هایی از سامانه‌ی شما هستند که شما ضمن تعیین قوانین و جزئیات موردنظر برای فعالیت در آن‌ها، آن‌ها را برای ارزیابی امنیتی مجاز اعلام می‌کنید.

پیشنهاد خواندنی: در تعریف هدف چه قوانین و جزئیاتی را باید مشخص کنیم؟ چطور؟

انواع هدف: در پلتفرم‌های باگ‌بانتی، انواع هدف وجود دارند که هر یک ویژگی‌های متفاوتی دارند. کسب‌وکارها می‌توانند به انتخاب خود، به تعریف هدف از نوع موردنظر خود بپردازند. در پلتفرم باگ بانتی راورو، میدان‌ها می‌توانند به تعریف سه نوع هدف بپردازند؛ هدف عمومی، هدف خصوصی و هدف دعوت‌نامه‌ای

هدف عمومی: تمامی شکارچیان آسیب پذیری می‌توانند در هدف مشارکت کنند و محدودیتی در تعداد شکارچی شرکت‌کننده در شکار آسیب‌پذیری نیز وجود ندارد.

هدف خصوصی: فقط شکارچیان دارای حداقل امتیاز مشخص‌شده توسط میدان می‌توانند در هدف خصوصی مشارکت کنند.

هدف دعوت‌نامه‌ای: فقط شکارچیان انتخاب و دعوت‌شده توسط میدان می‌توانند در اهداف دعوتنامه‌ای مشارکت کنند.

پیشنهاد خواندنی: اهداف عمومی، خصوصی و دعوت‌نامه‌ای در راورو چه تفاوتی با هم دارند؟

سخن آخر:

با آگاهی از آسیب پذیری ها، آینده امن‌تر است...

شما می‌توانید از همین حالا، بخش‌های مختلف سامانه‌ی خود را به عنوان هدف در بین هدف‌های پلتفرم باگ بانتی راورو تعریف کنید. شکارچیان آسیب پذیری و هکرهای کلاه سفید به کمک شما خواهند آمد تا مسیر آینده‌ی کسب‌وکار خود را امن‌تر سازید... .

بلاگ‌پست‌های مرتبط:

در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

رابین‌هودهای دنیای صفرویک

تقابل هجوم و دفاع در امنیت سایبری