گپوگفتی با شکارچی آسیبپذیری؛ محمدصالح مهری
در این بلاگپست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفتهایم تا با او گپوگفت کوتاهی داشته باشیم؛ محمدصالح مهری (@mmehri)
محمد، حدود 7 سال است که وارد حوزهی امنیت سایبری شده. دانشآموختهی کارشناسی ارشد رشته ی فناوری اطلاعات، گرایش شبکههای کامپیوتری، است. خودش را یک آدم جنگنده، ورزشی و پرانرژی معرفی میکند. مهمترین ویژگی برای یک متخصص امنیت سایبری و شکارچی آسیب پذیری را "آپدیت کردن خود" میداند.
_ کمی از خودت برایمان میگویی؟
من محمدصالح مهری هستم. فعالیتم در حوزهی امنیت سایبری را از سال 94 شروع کردهام. سال 94 بود که فوقلیسانسم را در رشتهی فناوری اطلاعات، گرایش شبکههای کامپیوتری گرفتم. بلافاصله وارد بازار کار شدم و فعالیت در حوزهی امنیت سایبری را آغاز کردم. در حال حاضر جزو ده هکر کلاه سفید اول در بیزینسهای دیوار و کافه بازار هستم. تقریبا یک سال پیش بود که تصمیم گرفتم به پلتفرم باگ بانتی ایرانی راورو بپیوندم و در آن شروع به فعالیت کنم. به امید خدا، امیدوارم که همینطور جلو بروم و در رنکینگ بهتری قرار بگیرم.
_ چه شد که سمت باگ بانتی آمدی؟
من سال 95 پژوهشگر حوزهی امنیت سایبری بودم و کار پژوهشی در reconnaissance attack ها انجام میدادم. بعد کمکم وارد حوزهی تست نفوذ شدم. فقط تست نفوذ سامانههای مختلف ملی را انجام میدادم. بعد احساس کردم که تمایل دارم که وارد دنیایی شوم که خودم را بیشتر نشان دهم. چون من شخصیتم این طور است که دوست دارم خودم را نشان دهم و به چالش بکشم. هیجان و قدرت را هم خیلی دوست دارم. به همین دلیل، تقریبا یک سال پیش وارد باگ بانتی شدم. اولین آسیب پذیری را هم همان پارسال کشف کردم. چندین آسیب پذیری مخاطره بالا از زیرساختهای داخلی کشف کردم و بانتیهای خیلی خوبی بابتشان گرفتم. این روند واقعا به من انرژی میداد.
_ گفتی که در دانشگاه رشتهی دانشگاهی مرتبطی با امنیت سایبری را گذراندهای و به طور تئوری دانشی را فرا گرفتهای. شما کسب دانش مرتبط را، چه مقدار در شکار آسیب پذیری موثر میدانی؟
الان و در شرایط موجود در جامعه، خیلی از جوانترها را میبینم که بدون این که تحصیلات آکادمیک داشته باشند و وارد دانشگاه شوند، چند کلاس مانند SEC 542 ، SEC 642 یا باگ هانتینگ میروند و میشوند شکارچی آسیب پذیری. حتی ممکن است به آسیب پذیری هم برسند و آسیب پذیری هم کشف کنند. ولی جنبهی منفیاش این است که شاید نتوانند عمق یک مطلب را درک کنند و ریشهی قضیه را بفهمند.
مسیر آکادمیک هم خیلی معایب دارد. مثلا؛ در مسیر من، شش سال طول کشید تا فوقلیسانسم را گرفتم و بعدش تازه میخواستم وارد بازار کار شوم و ببینم چه خبر است. ولی از طرفی، خوبیاش این بود که ذهن من را ساخت که بدانم در یک مسئله، واقعا ماجرا چیست؛ معماری چطور است، پشت صحنه چه خبر است و ... . ولی خب عیب مسیر آکادمیک این هم هست که فرد از نظر تجربی مقداری ضعیف میشود.
فکر میکنم حالت مطلوبش برای یک شکارچی آسیب پذیری این گونه است که تعادل و بالانسی بین دو جنبهی دانش آکادمیک و تجربی وجود داشته باشد. یعنی اگر فردی میخواهد شروع کند، اول کانسپت و مفهوم را یاد بگیرد، سپس گامهای بعدی را بردارد.
پیشنهاد خواندنی: هکرهای ایرانی از چه راههایی برای یادگیری هک استفاده میکنند؟
_ مهمترین ویژگی لازم برای یک شکارچی آسیب پذیری را چه میدانی؟
در حوزه ی امنیت سایبری، "آپدیتکردن خودت" چیزی ست که باید تبدیل به روتین کاریات کنی؛ باید مدام خودت را آپدیت کنی. اگر این کار را نکنی در این حوزه خاک میخوری و بهراحتی به کنار میروی. حوزهی امنیت سایبری، مثل مهندسی مکانیک نیست، مثل مهندسی برق نیست.این طور نیست که اگر فرد در سه چهار سال اصلا چیزی نخواند، بازار اذیتش نکند. رشتهی ما رشتهی وحشتناک نامردی ست. اگر با زبان و روال خودش باهاش دوست نشوی، پست میزند. به همین دلیل آپدیت نگهداشتن خود، باید برای یک شکارچی آسیب پذیری تبدیل به روتین شود. بهعنوان یک شکارچی آسیب پذیری حتی باید معتاد به آپدیتکردن شوی.
افراد جوانی که در سن کمتر وارد حوزهی امنیت سایبری میشوند، فرصت خیلی خوبی را دارند. از چه نظر؟ این نظر که وقتی فرد در دوران جوانیاش است، خیلی راحت میتواند بسیاری از موارد و ویژگیها را تبدیل به روتین خودش کند. با گذر زمان، هر چه قدر هم سنت بیشتر شود، باز آپدیت میکنی و معتادش میشوی.
_ به بیانی دیگر، انگار معتقدی که این رشته به شدت پویاست و هر روز چیز جدیدی در آن میآِید. این مورد، میتواند یکی از چالشهای مسیر شکارچی آسیب پذیری شدن هم محسوب شود.
شما بهعنوان یک شکارچی آسیب پذیری، چه چالشهای دیگری را در مسیر این شغل میبینی؟
به نظرم زمانی که یک نفر میخواهد یک رشته را به عنوان فیلد کاریاش انتخاب کند، قبلش باید شخصیت خودش را بشناسد. یک لازمهی مشاغل حوزهی امنیت سایبری این است که فرد مدت زیادی پشت میزش بنشیند و حتی از اتاقش بیرون نیاید. من فکر میکنم اگر واقعا آدم پشت میز نشستن نباشی و پشت میز دوام نیاوری، هر چه قدر هم که استعداد داشته باشی، نمیتوانی به نقطهی مطلوبت برسی. باید این ویژگی شغلی با ویژگیها و مدل فرد همخوانی داشته باشد تا فرد بتواند پشت میز بنشیند. اگر این طور نباشد، فرد نمیتواند در مسیرش پیش برود و به اهدافش برسد. به همین دلیل فکر میکنم که این که آدم خودش را بشناسد، یکی از نیازهای ضروری است. کسانی که به سمت حوزهی امنیت سایبری و مخصوصا شکار آسیب پذیری میآیند، معمولا انسانهای درونگرایی هستند. ممکن است یک فرد بعد از شناخت خودش، بفهمد که فرد برونگرایی است. برونگرایی و شکار آسیب پذیری؟ به نظر من این دو با هم در تعارض هستند.
یک چالش دیگر شکارچی آسیب پذیری بودن در عصر انفجار اطلاعات این است که افرادی که در سطح متوسط ( mid level) و یا پایین (low level) هستند، به راحتی حذف میشوند. چرا؟ به خاطر هوش مصنوعی. چون کاری که آن فرد (در سطح پایین یا متوسط) انجام میدهد را هوش مصنوعی (AI) هم میتواند انجام دهد. فرد متخصص در حوزهی امنیت سایبری، باید یک مزیت افزوده به آن بیفزاید. مزیت افزوده چیست؟ یکیاش این است که تو بیایی و آسیب پذیری های مختلف را باهم زنجیر (Chain) کنی. یک مورد دیگرش این است که خیلی از تستهایی که ممکن است هوش مصنوعی (AI) فعلا قادر به انجامش نباشد، را شناسایی کنی و بتوانی انجام دهی. این جا ست که فرق تو و آن هوش مصنوعی مشخص میشود. وگرنه، اگر غیر از این باشد، ذهنت مدام فقط یک روال و روتین ثابت را طی میکند. مثلا؛ ممکن است من یک آسیب پذیری XSS کشف کنم و فکرکنم الان شاخ غول را شکستهام. توانایی کشف آسیب پذیری XSS یا CSRF خیلی هم خوب است. ولی کافی نیست. چون الان عصر انفجار اطلاعات است. کمکم دیگر اکثر افراد میدانند که چه طور باید جلوی آن آسیب پذیری XSS و CSRF را بگیرند. حملات هم به سمت پیچیدهترشدن میروند. شکارچی آسیب پذیری هم باید خودش را متناسب با زمان، ویژگیها و تکنولوژیها ارتقا دهد. وقتی که تکنولوژی جدیدی میآید، باید بررسی کرد تا ببینیم حملات درآن تکنولوژی جدید به چه شکل قابل انجاماند. به دنبال آن، منی که کارم کشف آسیب پذیری است، باید تکنولوژی جدید و Security Misconfiguration های آن را بررسی کنم و روند و نکات تست نفوذش را هم یاد بگیرم. این موارد، مرتبط با همان "آپدیتکردن خود" که قبل تر به آن اشاره کردم، هم میشود.
وقتی شکارچی آسیب پذیری هستی، در مواقعی پیش میآید که نتوانی هیچ آسیب پذیری ای را کشف کنی. در چنین مواقعی نباید ناراحت شوی. چون این یک مورد متداول است. در این فراز و فرودها، به یاد آوردن آسیب پذیری هایی که قبلا کشف کردهای، خیلی کمکت میکند. باید حسهای خوبی که در گذشته به واسطهی کشف آسیب پذیری ها در ذهنت شکل گرفتهاند، را مرور کنی. این طرز فکر برای کشف آسیب پذیری های بهتر کمکت میکند. مطمئن باش اگر سر جایت نایستادهای، دوباره برایت اتفاقهای خوبی میافتد. باید همینطور جلو بروی و رایتاپ بخوانی. باید جوری باشی که امروزت نسبت به دیروزت، فرق کرده باشی و اگر فرقی نکردی، عذاب وجدان بگیری. اگر این استایل ذهنیات شده باشد، در مسیر درستی قرار گرفتهای.
_ چه آرزویی برای حوزهی امنیت سایبری داری؟
اخیرا، احساس نیاز به امنیت در شرکتهای آیتیمحورافزایش پیدا کرده است. این برای من آرزوی جذاب و لذتبخشی ست که در کشورمان، همه با هم پیشرفت کنیم. وقتی اکثریت یک جمع در حال پیشرفت باشند، اقلیت هم ناخودآگاه چارهای جز پیشرفت ندارند.
پیشنهاد خواندنی: آرزوهای جمعی برای حوزهی امنیت سایبری
_ ما هم امیدواریم که شاهد پیشرفت در حوزهی امنیت سایبری باشیم. خیلی ممنون از وقتی که به این مصاحبه اختصاص دادی و به سوالهای ما پاسخ دادی محمد عزیز.
بلاگپستهای مرتبط:
گپوگفتی با شکارچی آسیب پذیری؛ رامین اسدیان