این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیتی ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی منحصربه‌فرد و متفاوت به این سوال‌ها داده‌اند. حالا قرار است که سوال‌های مشترک را از دل گپ‌وگفت‌های گذشته بیرون بکشیم وپاسخ‌های متفاوت افراد به آن‌ها را در کنار هم قرار دهیم. این‌طور فکر می‌کنیم که این جمع‌بندی می‎‌تواند ارزش‌مند، شایسته‌ی توجه، کمک‌کننده، دارای پیامی جدید و نمودی از تجربه‌های متنوع یا دردهای مشترک و رایج باشد.

آن‌چه در این بلاگ‌پست خواهید خواند:

در این بلاگ‌پست گفته‌هایی از سیدرضا فاطمی، مهدی مرادلو، آرمان محمدتاش، ارغوان کامیار و امیر پیامنی را خواهید خواند که راجع به خاطره‌هایشان در مواقعی که برای کسب‌وکارهایی گزارش آسیب پذیری ارسال کرده‌اند، گفته‌اند.

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست.

سیدرضا فاطمی:

از آسیب پذیری RCE خاطره‌ی جالبی دارم. یکی از دوستان یک اپلیکیشنی آورد و گفت برای یک شرکت استارتاپی ست که گفته‌اند اگر کسی بتواند یک باگ امنیتی واقعی کشف کند، ما حاضریم بانتی هم بدهیم. من هم تصور خودم را از میزان بانتی داشتم. برای همین اپلیکیشن را روی یک شبیه‌ساز اجرا کردم، ترافیکش را Intercept کردم و اتفاقا خیلی سریع یک باگ RCE جالب از تابع Eval پیدا شد. بعد از این که این باگ را پیدا کردم به دوستم گفتم:" مطمئنی بانتی می‌دهند؟" گفت:" آره ، این هم راه ارتباطی‌شان است، بهشان پیام بده." من هم ارتباط گرفتم و پرسیدم:" درسته که شما گفته‌اید امن هستید و اگر کسی باگی پیدا کند، بانتی می‌دهید؟" گفتند:" بله، همین‌طور است." بعد پرسیدم:" جسارتا مبلغ بانتی شما چه‌قدر هست؟" جواب دادند:" بلیط سفر به قم."! پرسیدم:" معادلش را نقدا هم پرداخت می‌کنید؟" گفتند:" بله، ۱۴ هزار تومان." من هم بهشان گفتم چون استارتاپ هستید این باگ خدمت شما و این هم راه رفعش است. Patchش کنید اما حداقل دیگر این جمله را به کس دیگری نگویید، چون ۱۴ هزار تومان یک جورایی به توهین نزدیک‌تر است تا بانتی. " :)) این عجیب‌ترین بانتی‌ای بود که به من پیشنهاد شده بود! وقتی شنیدم خشکم زد!

یک خاطره‌ی دیگر هم دارم. چند سال پیش یک برنامه‌ی تلویزیونی‌ای بود که از شبکه‌ی ۲ پخش می‌شد. آن‌جا یک باگ File Upload زدم، Shell ریختم و گزارش دادم به صاحب سایت. در قدم اول تشکر کرد و مشکل را برطرف کردند. من هم مشتاق شدم و یک باگ XSS دیگر از نوع Stored پیدا کردم و گزارش دادم. اما دفعه‌ی دوم رفتارشان ۱۸۰ درجه عوض شد! گفتند: "شما به چه حقی روی سایت ما کار کرده‌اید؟ دفعه‌ی بعدی اگر تکرار شود، ما ازتان شکایت می‌کنیم. و ... " جاهای دیگری هم بوده که باگ کشف کرده‌ام، اما به دلیل فضای بسته‌ی فکری‌ای که وجود دارد، به هیچ عنوان جرئت نکرده‌ام پیش‌قدم شوم و این پیشنهاد را بهشان بدهم که این باگ را کشف کرده‌ام و شما می‌توانید استفاده کنید و این باگ را رفع کنید. چون اصلا قابل پیش‌بینی نیستند.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

مهدی مرادلو:

برخوردی که دارند، متناسب با ارزش کاری که داری می‌کنی، نیست. بانتی هم نمی‌دهند! به‌هرحال تو وقت گذاشته‌ای و آسیب پذیری را پیدا کرده‌ای! یک خاطره در این باره دارم؛ فکر کنم سال پیش بود که روی سامانه‌ی استانی امتحان دانشگاهی یک آسیب پذیری وجود داشت که وقتی‌که سوال‌ها چند ساعت قبل از امتحان بارگذاری می‌شدند، می‌شد در سایت به آن‌ها دسترسی داشت و آن‌ها را دید. من وجود این آسیب پذیری را گزارش دادم، Patch هم کردند، اما حتی یه تقدیر خشک و خالی هم نشد.

خیلی از کسب‌وکارها هنوز به آن بلوغ امنیتی نرسیده‌اند. بعضی کسب‌وکارها امنیت سایبری را فهمیده‌اند و وقتی گزارشی دریافت می‌کنند، آسیب‌ پذیری را رفع می‌کنند و بانتی هم می‌دهند. ولی برخی کسب‌وکارها، وقتی گزارش آسیب پذیری را تحویلشان می‌دهی، پرداخت بانتی به کنار، حتی دوست ندارند که آسیب پذیری را روی سامانه‌ی خود رفع کنند! می‌گویند:" سیستم دارد کار می‌کند دیگر، سیستمی که دارد کار می‌کند را دست نزنیم، بهتر است." خب اگر هم از سمت کاربرها و هم از سمت نهادها و مراجع قانونی، سخت‌گیری‌هایی وجود داشته باشه برای سایت‌هایی که هک می‌شوند، طبیعتا بعدش سایت‌ها موضوع امنیت سایبری را جدی‌تر می‌گیرند.

پیشنهاد خواندنی: گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

آرمان محمدتاش:

من زمانی که فعالیت در حوزه‌ی امنیت را شروع کردم، شروع به کار کردن برروی دو موسسه‌ی کنکوری که درس می‌خواندم، کردم. از هر دو موسسه هم تقریبا آسیب پذیری های مشابهی کشف کرده بودم؛ Account Takeover، RCE ، XSS و CSRF. از طریق این آسیب پذیری ها دیتای مهمی هم در خطر بودند. هم دیتای کسب‌وکار و هم دیتای کاربر. مثلا؛ داخل یکی از سایت‌ها، صفحه‌ی چت را که باز می کردی، کل شماره‌های کاربران، کل دیتاهایشان، همه با چت لود می‌شد. هم‌زمان به مدیرهای هر دو موسسه به‌طور مستقیم گزارش دادم. مدیر یکی از موسسه‌ها بود، کلا قضیه را رها کرد! پیام را نخواند، ندید، نشنید. گفتند که برایشان مهم نیست. این در حالی بود که اطلاعات خیلی مهمی لیک می شدند؛ سندهای مالیشان و ... . اما موسسه‌ی دیگر برخورد خیلی معقولی داشتند. مدیرشان گفتند که حضوری به موسسه بروم تا ببینند چه اطلاعاتی دارم. به موسسه رفتم و صحبت کردیم. قرار شد که کارهای امنیت سایتشان را به من بسپارند. تقریبا تا ماه گذشته هم امنیت سایتشان بر عهده‌ی من بود. رفتارشان خیلی متفاوت بود.

ما کسب‌وکارهای متنوعی را داریم. مثلا؛ یک سایت مربوط به یک مجموعه‌ی کوچک تفریحی را درنظر بگیرید. شخص برای سایتش پنج یا ده میلیون تومان هزینه کرده است، صدرصد این کسب‌وکار یک میلیون تومان هزینه برای بانتی نمی‌دهد. کارش هم زیاد با سایت نیست و مخاطب و کاربر زیادی در سایتش ندارد. نهایت چند نفر بخواهند پول رزرو بدهند، مابقی به‌طور حضوری یا ... بلیت تهیه می‌کنند. طبیعی ست که برای چنین کسب‌وکاری، امنیت سایبری اهمیت کم‌تری دارد درمقایسه با کسب‌وکاری که کاربران زیادی در سایتش دارد و اکثر فرآیندهای کارش اینترنتی ست. یعنی اگر برای سایتشان مشکلی پیش بیاید، کارشان تعطیل می‌شود! این برای من سوال است که چرا بعضی مجموعه‌های بزرگ خودشان را نسبت به امنیت عقب می‌کشند.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security)

ارغوان کامیار:

من یک بار آسیب پذیری‌ای را پیدا کردم که Critical نبود. به کسب‌وکار گزارش دادم و در جواب به من گفتند: "شما یا نمی­‌دانید که چطور پول دربیاورید! یا می­‌خواهید از ما اخاذی کنید!"آسیب پذیری را هم رفع کردند. ولی نمی­‌دانم به‌خاطر این‌که مبلغی پرداخت نکنند، این‌طور گفتند یا واقعا دیدگاهشان این بود! همین تجربه و برخورد باعث شد که من خیلی سمت باگ­ هانتینگ نروم.

الان بازار خیلی­ خوب شده است خداروشکر. خیلی شرکت­­‌ها آسیب پذیری ­هایشان را قبول و حداقل تشکر می­‌کنند! ولی خوب باز هم می‌­بینیم که بعضی از متخصصین امنیتی از تجربیات منفی‌شان می‌­نویسند که ما این آسیب پذیری را گزارش داده‌ایم و به دلایل مختلف برخورد درستی با آن‌ها نشده است.

خیلی بهتر شده است. قبلا شما اگر آسیب پذیری‌ای پیدا می‌­کردید، می‌­آمدند و شما را می بردند! مجرم بودید و سر از زندان در می­‌آوردید! نسبت به آن موقع خیلی اوضاع بهتر شده است.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark)

امیر پیامنی:

کاری که ما انجام می‌دهیم پر از تجربه و خاطره‌های مختلف است. اما بگذارید از خاطره‌ای بگویم که مربوط به یک سامانه از نهادهای دولتی بود.

من یک آسیب پذیری CRITICAL که منجر به لیک شدن همه‌ی دیتاهایشان می‌شد را کشف کردم. سریع با آن‌ها تماس گرفتم. چون یک سامانه‌ی دولتی بود، قصدم این بود که کلا بدون هیچ درخواستی گزارش را برایشان ارسال کنم. اما برای گرفتن جایزه وسوسه شدم و پرسیدم:" جایزه هم پرداخت می‌کنید؟" گفتند:" اگر آن چیزی که می‌گویید را اثبات کنید، بله پرداخت می‌کنیم." باتوجه به حساس‌بودن آسیب پذیری و مهم بودن سامانه جایزه را تعیین نکردیم. خلاصه بگویم که جایزه بعد از چند روز به دستم رسید. یک کتاب رمان به‌عنوان جایزه در نظر گرفته بودند!

یک مورد دیگر هم بود که گزارش را برایشان ارسال کردم، اما صاحب کسب‌وکار تقریبا تا دادگاه برای شکایت از من رفت. با کلی خواهش و تمنا و توضیح این‌که من شغلم این است و قصدم کمک بوده، منصرف شدم. البته با اثبات و ارسال اسکرین‌شات از پلتفرم‌های راورو، هکروان و باگ‌کراد.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی راورو؛ امیر پیامنی (amirpayamani)

سخن آخر:

بدیهی ست که آن‌چه ما از قول برخی افراد روایت کردیم، تمام واقعیت نیست. تنها بخشی از تجربه‌هایی ست که بر برخی شکارچیان آسیب پذیری و اعضای خانواده‌ی امنیت سایبری در ایران گذشته است.

بلاگ‌پست‌های مرتبط:

قوانین و فرهنگ باگ بانتی در ایران

برخی از مصائب و چالش‌های هکر بودن

چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟

رابین‌هودهای دنیای صفرویک

کافه روز صفر ۲؛ شکارگاه