شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
گپ‌وگفتی با شکارچی آسیب‌پذیری؛ نیما غلامی

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ نیما غلامی

۱۵۲

در این بلاگ‌پست، به سراغ یک شکارچی آسیب پذیری در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ نیما غلامی

نیما شانزده سال دارد و از جوان‌ترین شکارچیان آسیب پذیری راورو محسوب می‌شود. حدود یک سال است که در حوزه‌ی باگ بانتی فعالیت می‌کند. انتخابش میان باگ بانتی و تست نفوذ، باگ بانتی است و دلایلی برایش دارد. مهم‌ترین ویژگی برای یک شکارچی آسیب پذیری را، کنجکاوی و پرسش‌گری می‌داند. بابت اولین آسیب پذیری ای که کشف کرده، 2000 دلار بانتی دریافت کرده است. 

_ کمی از مسیرت برایمان می‌گویی؟

نقطه ی ورود من به امنیت سایبری، برنامه‌نویسی و گیم بوده است. به واسطه‌ی گیم به برنامه‌نویسی علاقه مند شدم. حدود دوران سیزده سالگی‎‌ام بود که با گیم دولوپمنت آشنا شدم و در این زمینه کار می‌کردم. پس از آن، حدود یک سال و اندی پیش، به سراغ توسعه‌ی بک‌اند با Golang (زبان برنامه‌نویسی Go ) رفتم. در آن زمان‌ها بود که به‌واسطه‌ی یوتوب با باگ بانتی آشنا شدم. باگ بانتی به خاطر درآمدش، برایم جذاب شد و سمتش آمدم. به نظرم خیلی خفن است. اولش با پلتفرم‌های خارجی کار می‌کردم. بعدش فهمیدم که پلتفرم راورو هم به‌عنوان یک پلتفرم باگ بانتی ایرانی وجود دارد. حدود یک سال ست که در آن فعالیت می‌کنم. پلتفرم بسیار خوبی ست. 

_ آسیب پذیری موردعلاقه‌ی شما چیست؟

XSS 

_ اولین آسیب‌ پذیری‌ ای که کشف کردی، چه آسیب پذیری ای بود؟ موقع کشفش چه احساسی داشتی؟

آسیب پذیری DOM Based XSS بود. بابتش 2000 دلار بانتی پرداخت کردند. 

متاسفانه نزدیک بود مانیتورم بشکند.  داد می‌زدم. خیلی حال داد. ولی بعدش هم استرس زیادی داشتم. چون نقدکردن بانتی پلتفرم باگ بانتی خارجی خیلی دردسر دارد. 

ولی مثلا چند وقت پیش که در پلتفرم راورو، روی هدف ایرانسل باگ زدم، بانتی‌اش دو سه روز بعدش نقد شد. حس باحال تری داشت، چون روند پرداخت و نقدشدنش خیلی ساده‌تر طی شد و آن استرس را نداشتم. آسیب پذیری ای که برروی ایرانسل در راورو، کشف کردم، هم مشابه همان حس اولین آسیب پذیری ام را داشت. تقریبا هر بار که آسیب پذیری کشف می‌کنم، همان حس دفعه‌ی اول را برایم دارد. 

_ در دنیای شما "هک" چه معنایی دارد؟

معنای هک برای من این است که به مسئله یک جور دیگر نگاه کنید. اگر شما به مسئله از یک جهت دیگر نگاه کنید، هک‌کردن است. 

پیشنهاد خواندنی: تعریف هک از نگاه هکرها

_ بین تست نفوذ و باگ بانتی، معمولا کدام را انتخاب می‌کنی و بیشتر به آن می‌پردازی؟

در حوزه‌ی تست نفوذ کار نمی‌کنم. فقط در باگ بانتی فعالیت می‌کنم. 

دلیل اصلی اش این است که دوست ندارم کارفرمای مستقیم داشته باشم. مزیت باگ بانتی این است که شما به کسی تعهدی نداری؛ هر وقت بخواهی می‌توانی کار کنی، هر وقت نخواهی هم کار نمی‌کنی. 

به نظرم درآمد باگ بانتی هم بهتر است. 

جنبه ی دورکاری و فریلنس باگ بانتی هم یک ویژگی خوب آن است. مخصوصا برای من که دانش آموزم، خیلی مناسب بوده است. در خانه یا سفر، راحت پول در می‌آورم. هرجایی که باشم، فقط یک لپ تاپ لازم دارم. 

_ انتخاب باگ بانتی، چالش‌هایی هم به همراه دارد؟

مهم ترین چالشی که برای باگ بانتی ذکر می‌کنند، این است که شما مثلا برای اجاره خانه نمی‌توانید به باگ بانتی تکیه کنید. چون در کنار مهارتی که دارید، بحث شانس هم وجود دارد. ممکن است در موقعیتی یک سرویس یا سامانه‌ی جدید بالا بیاید، خب درصد شانستان بالا می‌رود و احتمال کشف آسیب پذیری بیشتر است. در موقعیت دیگری هم ممکن است سرویس جدیدی در کار نباشد، سامانه‌ای باشد که چند بار هم تست نفوذ شده است، خب درصد شانستان پایین می‌آید. شما اگر قرار باشد به صورت ماهیانه مبلغ ثابتی را به جایی پرداخت کنید، انتخاب باگ بانتی ریسک است. به همین خاطر است که خیلی از افراد در کنار باگ بانتی، در جایی مشغول به کار می‌شوند، یا پروژه‌ی تست نفوذ قبول می‌کنند.  

ولی من فکر می‌کنم اگر یک سری قوانین و اصول رعایت شود، از باگ بانتی هم می‌شود به درآمد ثابت رسید. خیلی از افراد باگ بانتی را به عنوان یک شغل حساب نمی‌کنند. می‌گویند :"درامد ثابت ندارد". اما من کسانی را می‌شناسم که ماهانه 300، 400 میلیون تومان از باگ بانتی درآمد دارند، حتی فقط از باگ بانتی ایرانی. باگ بانتی شغل خیلی خوبی است. من فکر می‌کنم کسب درآمد ثابت و بالا از باگ بانتی به مهارت برمی‌گردد. اگر بلد باشید، می‌توانید درآمد ثابت داشته باشید و لذت ببرید. 

پیشنهاد خواندنی: درآمد باگ بانتی به‌عنوان یک شغل

_ از نگاه شما مهم‌ترین ویژگی برای یک شکارچی آسیب پذیری چیست؟

اگر بخواهم از نظر ویژگی‌های ذهنی بگویم، به نظرم کنجکاوی و پرسش‌گری راجع به همه چی، خیلی مهم است. مهارت‌هایی مثل شناخت آسیب پذیری ها خیلی کمک می‌کنند. واجب هم هست. ولی اصلی‌ترین چیز، ذهنیت است. باید بیشتر از  تکنیک‌های تست نفوذ روی ذهنیت خودت کار کنی. اصل شکار آسیب پذیری به نظر من این است. وقتی شما mindset درست را داشته باشید، باگ زدن اصلا سخت نیست. من سه ماه بعد از شروع یادگیری owasp ، توانستم باگ بزنم. همه اش هم به خاطر اعتماد‌به‌نفسم بود. ذهنیت من این است که می‌توانم راحت باگ بزنم. این طور فکر می‌کنم که همه‌ی سازمان‌ها در یک نقطه آسیب‌پذیری دارند، فقط باید عمیق نگاه کرد و پرسش‌گر بود. 

_ خاطره‌ای از ثبت و ارسال گزارش داری که بخواهی برایمان تعریف کنی؟

بله. خاطره‌ی باحالی دارم. یک سال پیش در راورو گزارشی ثبت کرده بودم. این گزارش رد شد. حدود چند هفته پیش، دیدم ایمیلی از سمت راورو برایم آمده که در آن نوشته گزارش تایید شده است. من شوکه شده بودم که چه شده که بعد از یک سال این گزارش تایید شده است. حس خیلی باحالی بود. این که یک گزارشی که رد شده بود و زمانی هم از آن گذشته بود را دوباره تایید کرده بودند. برایم خیلی باحال بود. 

_ بخشی از حسش، شبیه به حس پیداکردن پول در جیب لباس‌های قدیمی داخل کمد است. در تجربه و مشاهده‌ی شما تا به حال، چه نقطه‌هایی از سامانه‌ی کسب‌وکارها بیشتر آسیب پذیر بوده‌اند؟

در سازمان‌های ایرانی، مهم‌ترین بخش، بخش مالی و پرداخت است. می‌توانم بگویم در سازمان‌های ایرانی بیشتر نقاط مربوط به بخش مالی و پرداخت باگ می‌خورد. یعنی شما می‌توانید با یک پرداخت، چند بار یک محصول را بخرید. یا می‌توانید موجودی‌تان را چندین برابر کنید. آسیب پذیری دیگری که بسیاری از کسب‌وکارها نسبت به آن آسیب پذیر هستند، آسیب پذیری Race Condition است، هم در بخش پرداخت و هم در بسیاری از بخش‌های دیگر. در قسمت آپلود فایل هم، آسیب پذیری XSS خیلی رایج است. 

_ به عنوان یک هکر، درخصوص نگاه جامعه به هکرها، حرف یا خاطره‌ای داری که با ما در میان بگذاری؟

من سعی می کنم خیلی از کلمه‌های هک و هکر استفاده نکنم. چون متاسفانه مفهوم هکر در جامعه‌ی ما بد جا افتاده است و بار مثبتی ندارد. بیشتر اوقات به دیگران می‌گویم برنامه‌نویس هستم. اگر بخواهم به تخصصم در هک اشاره کنم، می‌گویم کارشناس تست نفوذ هستم. در همان مواقع هم معمولا افراد می‌گویند: "می‌شود اینستاگرام فلانی را برایم هک کنی؟" و یا موارد مشابهش.  

چون من مدرسه می‌روم، پرتکراترین درخواستی که در آن فضا از سمت هم‌سن‌و‌سالانم از من می‌شود این است: " می‌شود نمره‌ی من را در سیستم عوض کنی؟" یک بار به انجامش نزدیک شدیم، ولی ترسیدیم و اقدامی نکردیم. 

_ مرسی که برایمان تعریف کردی. آرزویی برای حوزه‌ی امنیت سایبری داری؟

یک آرزویم این است که باگ بانتی بیشتر جا بیفتد و پروگرم‌هایی که پولی بابت باگ نمی‌دهند و انتظار دارند آسیب پذیریشان را کشف و گزارش کنیم، رواج نداشته باشند. درست است که ما شکارچیان آسیب پذیری، در ازای تخصصی که داریم، یک سری مسئولیت‌هایی هم داریم و می‌خواهیم جامعه را بهتر کنیم، ولی خب این دلیل نمی‌شود که یک سری کمپانی‌هایی که اوضاع مالی خوبی دارند، از این موضوع سوءاستفاده کنند.  

آرزو دارم بار منفی کلمه‌ی هکر برای تمام کسانی که هک می‌کنند برداشته شود. این طوری خیلی بهتر می‌شود. 

_ ما هم امیدواریم که کسب‌وکارها نسبت به پرداخت بانتی در ازای گزارش آسیب پذیری، دید گشوده‌تری داشته باشند. و امیدواریم که نگاه جامعه نسبت به هک و هکر، بهبود یابد. ممنون که در این مصاحبه همراه ما بودی نیما جان.

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با شکارچی آسیب پذیری تمام‌وقت؛ برنا نعمت‌زاده ( bornan )

گپ‌وگفتی با شکارچی آسیب پذیری؛ محمدجواد بناروئی

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.