هکرهای مختلف، چه ارزشی را به یک برنامه امنیتی جمع سپاری شده می‌افزایند؟

هکرهای مختلف، چه ارزشی را به یک برنامه امنیتی جمع سپاری شده می‌افزایند؟

۱۲۵

تابه‌حال بارها از حضور جمعی از متخصصین و هکرها ، به‌عنوان یک مزیت راهکا‌رهای مبتنی بر جمع سپاری یاد کرده‌ایم. مزیتی که با ذات غیرصددرصدی و غیرمطلق امنیت سایبری، هم‌خوانی دارد. چنین مزیتی این اطمینان خاطر را به کسب‌وکارها می‌دهد که هرچه سامانه‌ی کسب‌وکارشان از دید افراد بیش‌تری موردبررسی بیش‌تری قرار گیرد، احتمال این‌که آسیب‌پذیری‌های بیش‌تری کشف شوند و آسیب‌پذیری‌های کم‌تری برای سوء‌استفاده‌ی هکرهای کلاه‌سیاه باقی بماند، افزایش می‌یابد.  

در این بلاگ پست می‌خواهیم با جزئیات بیش‌تری از اهمیت و ارزش حضور هکرهای مختلف در یک برنامه‌ امنیتی جمع سپاری شده بگوییم. 

داخل پرانتز: آن‌چه در این بلاگ‌پست می‌خوانید، برگرفته از مطلب How Different Hacker Roles Contribute to Crowdsourced Security از بلاگ bugcrowd همراه با تغییراتی است. به‌اضافه‌ی افزودنی‌ها و گفته‌هایی از افراد دارای تجربه‌ی مرتبط با این موضوع که در جهت بومی‌سازی  

و نگاه تجربی به این موارد است. 

آن‌چه در این بلاگ‌پست خواهید خواند:

چگونه نقش‌های مختلف هکرها، به امنیت جمع سپاری شده، کمک می‌کند؟  

  • تعداد یا تنوع هکرهای مشارکت کننده؟

  • ارزش های افزوده گروه متخصصین

5 دسته هکر و متخصص تست نفوذ 

  • تازه‌کار (The Beginner) 

  • هکر عملیاتی (Recon Hackers) 

  • نفوذگر عمیق (Deep Divers) 

  • چندجانبه‌نگر‌ یا کل‌نگر (Generalists)  

  • و متخصص (Specialists) 

در راورو 

چگونه نقش‌های مختلف هکرها، به امنیت جمع سپاری شده کمک می‌کند؟ 

ما نمی‌توانیم فقط مدام بگوییم: کسانی که از راهکارهای امنیتی مبتنی بر جمع سپاری استفاده می‌کنند، به همان اندازه‌ی پژوهشگران امنیتی‌ و هکرهای مایل به همکاری سود می‌برند؛ چه در یک تست نفوذ جمعی باشد، چه در باگ بانتی، چه در هر چیز دیگری. یک عامل اساسی در این موفقیت، توانایی تطبیق و فعال‌سازی هکرها و متخصصین تست نفود متناسب در هر موقعیت است. نقش‌ هر یک از هکرهای مشارکت‌کننده، معمولا اثر قابل‌توجهی در نتایج می‌گذارد. 

تعداد یا تنوع هکرهای مشارکت کننده؟ 

در هنگام ارزیابی ارزش راهکارهای امنیتی مبتنی بر جمع سپاری، بسیاری از افراد بر روی "تعداد" متخصصانی که بر روی یک هدف متمرکز می‌شوند، توجه و تاکید می‌کنند. این رویکرد، رویکرد اشتباهی نیست و منطقی هم هست. اما چیزی که لازم است به آن نیز توجه کنیم، "تنوع" است؛ الزامی ست که به تنوع دیدگاه‌هایی که در جمع فراهم است، هم به‌اندازه‌ی تعداد افراد، اهمیت داده شود. به‌عنوان مثال؛ نتیجه‌ی یک تست نفوذ سنتی، معمولا انعکاس‌دهنده‌ی نوع زاویه دید یک نوع از افراد متخصص است. و حاصل روند طی‌شده هم هم‌راستا با همان نوع محدود متخصصان است. که البته ممکن است افرادی با این متدولوژی همراه باشند و آن را کافی و مناسب بدانند.  

ارزش های افزوده گروه متخصصین 

در مقابل آن، یک تست نفوذ اصیل جمع سپاری شده یا پلتفرمی قرار می‌گیرد. این روش دارای ارزش‌های منحصربه‌فردی ست، ارزش‌هایی که فقط یک گروه می‌تواند فراهم کند؛ تنوع فکری، تنوع رویکردی و تنوع استایل‌ها. وجود این ویژگی‌ها باعث می‌شود که برای کشف تنوعی از آسیب پذیری ها، بررسی‌های فراگیرتر و دقیق‌تری انجام شوند. به‌علاوه این یک نشانه‌ی مهم است که مدل‌های پرداختی مختلف، مانند پرداخت در ازای تلاش ( مانند تست نفوذ ) و مدل پرداخت در ازای اثرگذاری ( مانند باگ بانتی)، بیشتر جنبه‌ی مکمل هم را دارند.  

5 دسته هکر و متخصص تست نفوذ 

bugcrowd، هکرها و متخصصان تست نفوذ را به پنج دسته تقسیم می‌کند:  

تازه‌کارها (Beginners) ، هکرهای عملیاتی (Recon Hackers) ، نفوذگران عمیق (Deep Divers)، چندجانبه‌نگر‌ها یا کل‌نگرها (Generalists) ومتخصص‌ها (Specialists). 

داخل پرانتز: هر هکر در تمام طول عمر فعالیت حرفه ای خود فقط در یک گروه قرار نمی گیرد. ممکن است هکرها و متخصصین تست نفود با تغییر زمان و مکان، نقششان نیز متفاوت شود.  

در ادامه بیایید هر نقش را با جزئیات بررسی کنیم. 

تازه‌کار (The Beginner) 

 در پلتفرم باگ‌کراود به کسانی گفته می‌شود که به طور کلی با مفهوم جمع سپاری (crowdsourced) در امنیت به تازگی آشنا شده باشند. تازه‌کار بودن به این معنا نیست که این افراد تازه به این پلتفرم وارد شده‌اند. هنگام ارزیابی یک هکر ممکن است عواملی در نظر گرفته شوند، عواملی مانند؛ مشارکت آن‌ها در سایر پلتفرم‌ها یا تحقیقات و ابزارهای منتشرشده‌ی آن‎‌ها. با این حال اگر چنین اطلاعاتی در دسترس نباشد، ممکن است فعلا در ابتدای کار یک هکر فرض کنیم که او یک تازه‌کار است. ( اگرچه ممکن است همیشه به این شکل نباشد.) . 

توجه به این نکته مهم است که تازه‌کار بودن لزوما به معنای عدم مهارت نیست. حتی اگر این دسته از هکرها فقط مسائل P3/P4 را ثبت کنند. به عنوان مثال؛ ممکن است این هکرها در یک دوره‌ی آموزشی مشغول به کار باشند که مجموعه‌ی مهارت‌های خود را گسترش دهند. یا ممکن است حضور عمومی محدودی داشته باشند. ولی در عین حال، به عنوان یک متخصص تست نفوذ، کار کنند و بخواهند مهارت‌های خود را بیشتر توسعه دهند. این هکر‌ها معمولا سطح‌هایی از آسیب‌پذیری‌ها را پوشش می‌دهند که دیگران ممکن است روی آن‌ها تمرکز نداشته باشند. از جمله؛ مسائل P4 مربوط به احراز هویت و مجوز، و همچنین مسائل زیرساختی ساده‌تر (مانند DMARC).  

حضور تازه‌کار‌ها، ارزشی از جنس پوشش و ثبات را به جمع اضافه می‌کند. به عنوان مثال؛ مشارکت آن‌ها در یک برنامه تضمین می‌کند که آسیب پذیری هایی که معمولا در یک تست نفوذ یافت می‌شوند، در برنامه‌ی باگ بانتی نیز شناسایی شوند. ممکن است که یک مشتری پس از یک تست نفوذ، با باگ بانتی مواجه شود و تنها در آن زمان متوجه وجود یک سری موارد با اولویت‌های کمتر شود! 

هکر عملیاتی (The Recon Hacker) 

 هکر های عملیاتی بر شناسایی مسائل در بزگترین محدوده‎‌ی ممکن تمرکز می‌کنند، بنابراین این افراد اغلب مسائل P2/P3 را کشف می‌کنند که معمولا در فرآیند تست نفوذ شناسایی نمی‌شوند. طی چند سال گذشته، هکرهای عملیاتی به دلیل افزایش آمار آسیب پذیری subdomain takeover (تصاحب زیردامنه‌ها) به‌ویژه دسته‌های EC2 و ROUTE53، در سطر جدول امتیازها قرار گرفته‌اند. این تصاحب‌ها در حال حاضر تا حد زیادی برطرف شده است. به همین دلیل جدول متیازات کسب‌شده توسط هکرها کمی متفاوت شده، در نتیجه گاهی غلط‌‌انداز هستند و به اشتباه برداشت می‌شوند؛ بر این اساس هکرهایی که بالاترین امتیاز را دارند، ممکن است همیشه در آن جایگاه نباشند. 

مهم است که این نکته موردتوجه واقع شود که  خیلی از هکرهای عملیاتی محور، بسیار ماهر هستند. به‌هرحال بسیاری از کسانی که رویکرد عملیاتی را مقدم می‌دانند، جایگاه پردرآمدی پیدا کرده‌اند. و بنابراین تمایل دارند جعبه ابزار خود را با هدف تمرکز برروی بهره‌برداری بیشتر از همان جایگاه، بهبود دهند. 

نفوذگر عمیق (The Deep Diver) 

نفوذگران عمیق، با ارزش‌ترین هکرهایی هستند که که باگ‌کراود می‌تواند آن‌ها را شناسایی و درگیر مشارکت کند و همراهیشان را حفظ نماید و ارتقا دهد. این گروه، هکرهایی هستند که تمایل دارند که بر روی یک برنامه‌ی خاص تمرکز کنند. تا آن‌جا که می‌توانند یاد بگیرند و ارزش‌های منحصربه‌فرد و متمایزی ارائه دهند. یک نفوذگر عمیق می‌تواند آسیب پذیری هایی که هیچ‌کس دیگری نمی‌تواند را، به دلیل دانش و آشنایی طولانی‌مدت از نحوه‌ی عملکرد آن‌ها و پشتکارش، کشف کند. روند شناسایی این هکرها به دلیل ماهیت منحصر‌به‌فردشان، بهتر است با تجزیه و تحلیل محتوای ارسالی‌شان صورت گیرد، نه نگاه به گستره‌ی آسیب پذیری ها در یک برنامه. 

چندجانبه‌نگر یا کل‌نگر(The Generalist)  

این هکرها رویکردی چند وجهی دارند. آن‌ها پایه‌ای محکم در شناسایی دارند و از آن برای پوشش کامل سطوح حمله، بدون تکیه بر نظارت و ابزار در مقیاس بزرگ، استفاده می‌کنند. آن‌ها همچنین از یک رویکرد نفوذگرهای عمیق نیز برای ارزیابی دارایی‌ها بهره می‌گیرند . در‌حالی‌که ممکن است به اندازه‌ی نفوذگرهای عمیق برای یک برنامه خاص وقت صرف نکنند و زمان قابل‌توجهی را برای برنامه‌های مختلف بگذارند. چندجانبه‌نگرها به خاطر مهارت دوگانه‌ی خود در بازبینی و نفوذگری عمیق، به سرعت در پلتفرم باگ‌کراود شهرت پیدا ‌می‌کنند و مورد توجه زیادی قرار می‌گیرند. 

متخصص (The Specialist) 

متخصص‌ها یک نژاد کمیاب هستند که برای ترغیب به مشارکت، نیاز به منابع خاصی دارند. آن‌ها دارای مجموعه مهارت‌های منحصربه‌فرد و کمیابی هستند. متخصصان معمولا سال‌ها تجربه در یک فناوری خاص (مانند web3, lot, AI, APIs ) و یا یک دسته‌ی خاص Bugcrowd VRT، را همراه خود دارند.  

همان‌طور که در مقدمه خواندید یکی از بزرگترین نقاط قوت یک پلتفرم باگ بانتی، توانایی آن در یافتن و فعال سازی متخصصان متناسب برای برآورده‌کردن مجموعه مهارت‌های خاص موردنیاز برای یک برنامه است. متخصصان باتوجه به دانش تخصصی خود، می‌توانند مسائلی که سایر هکرها ممکن است از آن غافل بمانند را کشف کنند.این گروه از هکرها، معمولا راه‌حل‌های ارزشمند و منحصربه‌فردی برای یک مسئله پیدا می‌کنند. 

در راورو  

ما در بلاگ‌پستی در راورو، پاسخ برخی شکارچیان آسیب پذیری به یک سوال را نوشته‌ایم: 

" چه نقطه‌ای از سامانه‌ها پاتوق شماست؟ به چه نقطه‌ای از سامانه‌ها بیش‌تر از سایر نقاط علاقه داری، بیش‌تر به آن سر می‌زنی و به دنبال آسیب پذیری‌هایش می‌گردی؟" 

پاسخ متنوع شکارچیان مختلف به این سوال‌، می‌تواند نمایانگر این نکته باشد که چگونه در یک راهکار امنیتی مبتنی بر جمع سپاری، کسب‌وکار با تنوعی از دانش، تجربه، تخصص در افراد مختلف روبه‌رو می‌شود، که به سراغ بررسی بخش‌هایی از سامانه می‌روند. 

پیشنهاد خواندنی: چه نقاطی از سامانه‌ی کسب‌وکارها، پاتوق شکار شکارچیان آسیب پذیری ست؟ 

مهدی مرادلو: 

بیش‌تر گزارش‌های من مربوط به آسیب پذیری های درگاه‌های پرداخت بوده. اغلب هم آسیب پذیری Race Condition بوده‌اند. چون سامانه‌های میدان‌ها و اهداف متفاوت بودند، حملات و شیوه‌هایشان هم متنوع بودند. برای یک حمله، هوش و ابتکار بیش‌تری لازم بوده برای بعضی هم این‌طور نبود. مثلا آسیب پذیری‌ای که برای شاتل ثبت شده، با آسیب پذیری‌ای که برای مدیانا ثبت کرده‌ام، فرق می‌کرد. من قبل از این‌که سامانه‌ی هدف را باز کنم، با خودم فکر می‌کنم که "این سامانه، باتوجه به نوع کسب‌وکار و نوع سامانه‌اش، چه آسیب پذیری‌هایی ممکن است داشته باشد؟" این سوال خیلی مهم است. وقتی جوابی برای این سوال داشته باشم، قطعا راحت‌تر می‌توانم آسیب پذیری را پیدا و گزارش کنم. مثلا روی سامانه‌ای مثل نماوا، با خودم فکر کنم که یکی از آسیب پذیری های منطقی‌ای که ممکن است وجود داشته باشد، این است که ویدئو منتشرشده باشد و تو مثلا با استاتوس بیایی و در UI جلویش را بگیری که نگذاری نمایش دهد. در Response سرور هم جواب را داشته باشی. این آسیب پذیری الان در نماوا وجود ندارد. ولی به‌طور کلی از نوع آسیب پذیری هایی ست که ممکن است در یک سامانه مثل نماوا وجود داشه باشد. از این ممکن‌ها خیلی هست، وقتی از نوع کسب‌وکار و سامانه شناخت داشته باشی و منطقش (Logic) دستت آمده باشد، این ممکن‌ها را که کنارهم بچینی ، دستت برای شکار آسیب پذیری، بازتر است. 

پیشنهاد خواندنی: گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo) 

رضا شریف‌زاده:  

اگر یک سامانه وب سرویس داشته باشد، نقطه‌ی جذاب من وب‌سرویس است که فوق‌العاده هم دوستش دارم. چرا؟ چون دیتا از آن‌جا ردوبدل می‌شود. مخصوصا در وب‌سرویس‌های داخلی و حتی خارجی هم خیلی اتفاق می‌افتد که در برگرداندن دیتا خیلی مشکل دارند. یعنی شاید در UI دیتای تروتمیزی را نشان دهد، ولی وقتی خود درخواست و response را نگاه می‌کنی، می‌بینی که خیلی دیتاهای اضافی‌ دارد ارسال می‌شود. خود شکارچی‌ها هم کم‌تر برروی وب‌سرویس‌ها کار می‌کنند. 

اگر هم سامانه وب‌سرویس نداشته باشد، بخش جذاب برای من بحث Authentication است. بحث‌هایی مثل لاگین، ثبت‌نام،Reset Password و امثال آن‌ها. تجربه‌ی من هم در این مدت ثابت کرده است که حتی در جاهای بزرگ هم، در این مواردی که نام بردم، سوتی می‌دهند و ممکن است از این نقاط خیلی آسیب‌پذیر باشند. 

پیشنهاد خواندنی:  

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ رضا شریف‌زاده 

سخن آخر:  

ارزشی که در یک کار جمع سپاری شده، ایجاد می شود، فقط از جنس تعدد افراد حاضر نیست. بلکه، تنوع نیز حرف مهمی را می زند. هکرهای مختلف، هرکدام با حضور خود در یک برنامه ی جمع سپاری شده، ارزشی را به آن می افزایند؛ ارزشی که حاصل نقطه نظر، تجربیات و تخصص آن هکرها ست.  

بلاگ‌پست‌های مرتبط: 

۱۴+۱ دلیل برای انتخاب باگ بانتی 

رابین‌هودهای دنیای صفرویک 

آسیب پذیری های محبوب شکارچیان آسیب پذیری