گپوگفتی با شکارچی آسیبپذیری؛ محمد دلاور
در این بلاگپست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفتهایم تا با او گپوگفت کوتاهی داشته باشیم؛ محمد دلاور
محمد حدود 2 سال است که وارد حوزهی امنیت سایبری شده است. نقطهی آغاز مسیرش، علاقه به مهندسی معکوس و کالبدشکافی سیستمها بوده است. هک را از نگاهش اینگونه تعریف میکند: "حلکردن یک چالش با رویکردهای خلاقانه و چندجانبه و دور زدن محدودیتها ". ذهن باز و صبر استراتژیک، را دو ستون اصلی موفقیت برای یک شکارچی آسیب پذیری میداند. معتقد است که در ذهن بسیاری از افراد "هکر" هنوز مترادف عامل تهدید (Threat Actor)، دزد سایبری و کسی است که به دنبال نقض حریم خصوصی دادهها (Data Breach) و سوءاستفاده است. آرزو دارد که سازمانها به پژوهشگران امنیتی و شکارچیان آسیب پذیری بهعنوان یک دارایی (Asset) نگاه کنند، نه بهعنوان یک تهدید. امیدوار است که با حمایت مالی و قانونی، یک اکوسیستم پایدار برای امنیت سایبری ساخته شود که هم برای کسبوکارها سودمند باشد، هم برای شکارچیان آسیب پذیری انگیزهبخش.
_ کمی از خودت برایمان میگویی؟
من محمد دلاور هستم. به عنوان شکارچی آسیب پذیری و پژوهشگر امنیتی (Security Researcher) فعالیت میکنم. دو سال پیش وارد دنیای امنیت سایبری شدم. مسیرم از علاقه به مهندسی معکوس و کالبدشکافی سیستمها شروع شد و حالا به نقطهای رسیدهام که به صورت تماموقت به کشف آسیب پذیری و هک اخلاقی (Ethical Hacking) میپردازم. این حوزه برای من فقط یک شغل نیست؛ یک سبک زندگی ست که هر روز با چالشهای جدیدش من را به فکر و تست ایدههای نو وادار میکند.
پیشنهاد خواندنی: هک اخلاقی یا هک قانون مند چیست؟
_ تعریف هک از نگاه محمد دلاور چیست؟
در نگاه جامعه "هک کردن" و "هکر" به عنوان یه مفهوم منفی جا افتاده است، ولی من این برداشت را یک سوءتفاهم تاریخی میدانم. هک از دید من یعنی: "حلکردن یک چالش با رویکردهای خلاقانه و چندجانبه و دور زدن محدودیتها "
هک به معنای آسیب نیست. در هک اخلاقی ( Ethical Hacking ) من تست نفوذ پذیری را روی یک سامانه انجام میدهم، نقصهایش را با یک PoC (Proof of Concept) دقیق مستند میکنم و به ارائهدهندهی سامانه (Vendor) گزارش میدهم. این پروسه فقط با پیداکردن آسیب پذیری و باگ ختم نمیشود؛ من بهعنوان یک هکر اخلاقی، راهحلهای Mitigation پیشنهاد میدهم و حتی گاهی با تیمهای DevOps کسبوکار همکاری میکنم تا بتوانند Patch مناسب را پیادهسازی کنند و سطح امنیتشان را به سطح استانداردهای مدرن ارتقا دهند. این کار نهتنها به نفع اکوسیستم سایبری است، بلکه برای خودم یک حس مسئولیتپذیری حرفهای هم به همراه دارد.
_ ما هم فکر میکنیم در سطح جامعه نیاز به بازتعریف کلمهی هک وجود دارد.
_ در تجربهی خود، شاهد چه نگاهها و رفتارهایی نسبت به هک در میان افراد بودهای؟
متأسفانه در ذهن بسیاری از افراد، "هکر" هنوز مترادف با عامل تهدید (Threat Actor)، دزد سایبری و کسی است که به دنبال نقض حریم خصوصی دادهها (Data Breach) و سوءاستفاده است. وقتی در جمعی میگویم که هکر هستم، چیزی که معمولاً با آن روبه رو میشوم، ترس، فاصله گرفتن یا حتی سوءظن است. انگار که قرار است حساب بانکیشان را خالی کنم! برای همین ترجیح میدهم به جای "من یک هکرم" بگویم: "من یک پژوهشگر امنیتی (Security Researcher) هستم که بر روی ارزیابی آسیبپذیری (Vulnerability Assessment) و شکار آسیب پذیری کار میکنم."
پیشنهاد خواندنی: برخی از مصائب و چالشهای هکر بودن
_ مهمترین ویژگی یا مهارت را برای یک شکارچی آسیب پذیری، چه میدانی؟
به نظرم، داشتن ذهن باز و صبر استراتژیک، دو ستون اصلی موفقیت برای یک شکارچی آسیب پذیری است. یک شکارچی آسیب پذیری باید بتواند از زوایای مختلف به یک سیستم نگاه کند و با آرامش مسیرهای Exploit را تست کند. مثلاً؛ وقتی بر روی یک هدف ( Target) کار میکنم، هنگامی که یک بردار حمله (Attack Vector) جواب نمیدهد، اگر ذهنم قفل شود، کل پروسه متوقف میشود.
_ آسیبپذیری مورد علاقهات چیست؟ و چرا؟
آسیب پذیری XSS (Cross-Site Scripting) همیشه در ابتدای لیستم قرار دارد. این آسیبپذیری Ubiquitous، در اکثر وباپلیکیشنها کشف میشود و با یک Payload خلاقانه میتواند به سناریوهای پیچیدهتری مثل Session Hijacking یا Client-Side Exploitation منجر شود. ضمناً، تنوعش در انواع Reflected، Stored یا DOM-Based باعث میشود هر بار تستکردنش چالشهای جدیدی به همراه داشته باشد.
_ هنگام بررسی یک سامانه، چگونه عمل میکنی؟ ابتدا به سراغ بررسی آسیب پذیری محبوبت میروی؟
اول با Recon گسترده شروع میکنم؛ از Subdomain Enumeration و Parameter Discovery گرفته تا Mapping کامل اپلیکیشن. چون XSS یک نقطهی شروع پربازدهست، با تزریق Payloadهای اولیه تستش میکنم. اگر جواب نداد، به سراغ آسیبپذیریهای عمیقتر مثل LFI (Local File Inclusion) RFI (Remote File Inclusion) یا SQL Injection میروم و با ابزارهایی مثل SQLMap و Custom Scripts، Attack Surface را گسترش میدهم و Expand میکنم.
_ چطور شد که به سمت باگ بانتی آمدی؟
قبل از آشنایی با پلتفرم باگ بانتی راورو، فکر میکردم باگ بانتی در ایران یک مفهوم دور از دسترس است. وقتی با این پلتفرم باگ بانتی ایرانی آشنا شدم و دیدم یک زیرساخت بومی برای افشای آسیبپذیری (Vulnerability Disclosure) و هماهنگی بین پژوهشگرهای امنیتی و شرکتها وجود دارد، واقعاً شگفتزده شدم. راورو فقط یک پلتفرم باگ بانتی برای شکار آسیب پذیری نساخته، بلکه یک جامعه و کامیونیتی پویا ساخته است که من را به این حوزه متصلتر کرد و فرصت رشد در یک محیط حرفهای را برایم داشت.
_ بیشتر به تست نفوذ میپردازی یا باگ بانتی؟
ترجیح من باگ بانتی است. تست نفوذ چالشهایی دارد؛ باید مستقیما فرآیندهایی را با کسبوکار پیش ببری، مدام با کسبوکار صحبت کنی و سروکله بزنی تا در نهایت مبلغ توافقشده را دریافت کنی.
_ آیا خارج از باگ بانتی راورو، تجربهی ارسال مستقیم گزارش برای کسبوکار را داشتهای؟ شاهد چه برخوردی از کسبوکارها بودهای؟
چند بار مستقیم به کسبوکارها گزارش آسیب پذیری دادهام، ولی اغلب با واکنشهای غیرحرفهای و آماتوری روبهرو شدهام.
یک بار یک گزارش آسیب پذیری XSS Reflected را به همراه یک PoC دقیق و قابلاجرا، ارسال کردم. کسبوکار، آن آسیب پذیری را رفع کرد، ولی با جواب سربالا گفت: "این به ما ربطی ندارد، بانتی هم نمیدهیم."
در یک مورد دیگر هم، یک آسیب پذیری CSRF (Cross-Site Request Forgery) حساس را در یک پلتفرم مالی کشف کردم که میتوانست به Account Takeover منجر شود. گزارش آسیب پذیری را با تمام جزئیات (شامل یک Exploit Chain کامل) برای کسبوکار فرستادم. اما نهتنها تشکری نکردند، بلکه با لحن تمسخرآمیزی گفتند: "ما خودمان تیم امنیت داریم، نیازی به این گزارشها نیست."
یک بار هم یک آسیب پذیری IDOR (Insecure Direct Object Reference) را در یک سیستم CRM پیدا کردم که دسترسی غیرمجاز به دیتابیس مشتریها را امکانپذیر میکرد. بعد از ارائهی PoC و توضیح ریسکهای Privilege Escalation، صرفاً گفتند: "این باگ نیست، یک فیچر است!". هیچ اقدامی هم نکردند، تا زمانی که خودم با هدف این که آن را جدی بگیرند، تهدید به افشای (Disclosure) عمومی کردم.
این تجربهها نشان میدهند که بسیاری از کسبوکارهای ایرانی هنوز فرهنگ افشای آسیبپذیری (Vulnerability Disclosure) را درک نکردهاند. کسبوکارها هنور به شکارچیان آسیب پذیری، هکرهای اخلاقی و پژوهشگران امنیتی به چشم تهدید نگاه میکنند، نه بهعنوان یک فرصت برای امنسازی ( و Hardening) سیستمهایشان.
در تجربهام با راورو اما، داستان کاملاً فرق داشته است؛ راورو به عنوان یک پلتفرم باگ بانتی، پشتیبانی 24/7، تعامل حرفهای و یک فرآیند شفاف دارد که مثل یک هماهنگکننده (Coordinator) بین ما و شرکتها عمل میکند. این روند، کار را بهینهتر و لذتبخشتر کرده است. مثلاً در راورو، یک گزارش از آسیب پذیری SSRF (Server-Side Request Forgery) دادم که میتوانست به Internal Network Enumeration و حتی Lateral Movement در زیرساخت منجر شود. نهتنها به سرعت پاسخ دادند، بلکه تیم فنی یک جلسه ترتیب داد تا جزئیات را مرور کنیم و بتوانند یک Patch مؤثر پیاده کنند. این سطح از مشارکت و احترام به شکارچی آسیب پذیری، استاندارد جدیدی را در ذهنم ساخته که امیدوارم بقیه هم به آن برسند.
پیشنهاد خواندنی: رفتار کسبوکارها نسبت به دریافت گزارش آسیب پذیری
_ ما هم امیدواریم که اتفاقهای خوبی در جهت به رسمیت شناختن ارسال گزارش آسیب پذیری برای کسب وکارها بیفتد.
_ چه آرزویی برای حوزهی امنیت سایبری داری؟
امنیت سایبری در ایران هنوز در فاز اولیه ی رشدش است، یک صنعت نوپا (Infant Industry) ست که پتانسیل بالایی دارد. امیدوارم با گسترش آگاهی، شاهد پذیرش و همافزایی ( Adoption) گستردهتر نسبت به برنامههای باگ بانتی و فرهنگ افشای آسیبپذیری (Vulnerability Disclosure ) باشیم. در حال حاضر، نسبت به چند سال پیش توجه بیشتری به امنیت سایبری میشود. ولی هنوز فاصله زیادی با استانداردهای جهانی داریم. آرزویم این است که سازمانها، پژوهشگران امنیتی و شکارچیهای آسیب پذیری را بهعنوان یک دارایی (Asset) ببینند، نه یک تهدید. امیدوارم که با حمایت مالی و قانونی، بتوانیم یک اکوسیستم پایدار برای امنیت سایبری بسازیم که هم برای کسبوکارها سودمند باشد، هم برای ما انگیزهبخش.
_ ما هم امیدواریم که هر روز بیشتر از قبل به امنیت سایبری بها داده شود و بتوانیم با همراهی هم فرداهای روشنتری برایش بسازیم. ممنون که وقت خود را به ما اختصاص دادی محمد عزیز.
بلاگپستهای مرتبط:
گپوگفتی با شکارچی آسیب پذیری؛ محمدحسین آشفتهیزدی
گپوگفتی با شکارچی آسیبپذیری؛ علی فیروزی