گپوگفتی با شکارچی آسیبپذیری؛ امید شجاعی
در این بلاگپست، به سراغ یک متخصص تست نفوذ و شکارچی آسیب پذیری در دنیای امنیت سایبری رفتهایم تا با او گپوگفت کوتاهی داشته باشیم؛ امید شجاعی (@dmitriy_area51)
امید، 8 سال است که در حوزهی امنیت سایبری فعالیت میکند. کارشناس ارشد تست نفوذ است. "تلاش کردن"" را، یک ویژگی لازم برای یک شکارچی آسیب پذیری میداند. در میان میدانها و اهداف باگ بانتی (چه در پلتفرمها، چه به صورت باگ بانتی مستقل) ، جای دستگاههای زیرساختی (سازمانهایی که مربوط به زیرساخت در بحث انرژی و موارد دیگر هستند) و سازمانهای بانکی را خالی میبیند.
_ آسیب پذیری موردعلاقهی شما چیست؟
آسیب پذیری هایی که به نظرم کمتر در دید بقیه هستند؛ آن جاهایی که معمولا کمتر کسی واردش میشود. برخی از آنها آسیب پذیری های logical هستند. معمولا خیلی هم جذابند. آسیب پذیری هایی هستند که مربوط به لیکشدن دیتاها میشوند و از OSNIT و جستوجوهای مختلف میشود پیدایشان کرد. این آسیب پذیری ها ناگهان یک قدم آدم را به جلو میبرند. به نظر من خیلی جذابند و به نظر من معمولا در پروژههای ردتیم یا تست نفوذ هم میشود این آسیب پذیری ها را به کار برد.
_ از نگاه شما، یک شکارچی آسیب پذیری چه مهارت یا ویژگیهایی را حتما باید داشته باشد؟
موردی که به نظر من خیلی مهم است، این است که فرد تلاش کند، خیلی هم تلاش کند. این موضوع فقط برای شکارچیان آسیب پذیری نیست، اما برای شکارچیان آسیب پذیری هم صدق می کند.
من دوستی دارم که از بچههای قدیمی و سرشناس این حوزه است و رابطهی خیلی خوبی هم با هم داریم. یک بار باهم صحبت می کردیم. دوست من میگفت:" من آدم خنگی هستم. ولی یک موضوع را خیلی میخوانم. شاید یک مورد را یک نفر دیگر، با یک بار خواندن یاد بگیرد. ولی من دو بار، سه بار و چهار بار می خوانم تا یاد بگیرم و به آن مسلط شوم." به نظر من این پشتکار خیلی مهم است. نه فقط در باگ بانتی، در هر مبحثی میشود آن را به کار برد.
_ فعالیت در باگ بانتی، برای شما چه مزایا و خوشایندیهایی داشته است؟
اگر بخواهم جدای از بخش مالی پاسخ دهم، ارتباطی که با دیگران ایجاد میشود، برای من نکتهی ارزشمند و مفیدی ست. با حضور در کامیونیتی، ارتباط بهتری برقرار میکنم. راورو تنها پلتفرم باگ بانتی ایرانی است که که با آن کار می کنم. خیلی بچههای خوبی دارد. مثلا همین ارتباطی که با افراد شکل میگیرد به خود من برای افزایش دانشم کمک کرده است.
این ارتباط،این فرصت را هم به من داده که در کنار چیزهایی که به دست میآورم، بتوانم به صورت قانونی نیز فعالیتهایی در حوزهی امنیت سایبری و شکار آسیب پذیری داشته باشم. خب این چیزی نیست که به راحتی و در هرجایی بشود پیدایش کرد. مثلا من اگر بخواهم به صورت سرخود بر روی سامانهی فلان جا کار کنم، طبیعتا تبعات خودش را دارد. ولی وقتی سامانه در پلتفرم باگ بانتی حضور پیدا میکند، من خیلی راحتتر به این امکان دسترسی پیدا میکنم که با خیال راحت برروی اهدافش کار کنم و به دنبال آسیب پذیری بگردم.
_ به عنوان یک شکارچی آسیب پذیری، چه چالشهایی را در این شغل و حوزه تجربه کرده یا شاهدش بودهای؟
یکی از چالشهای اصلی در این بخش، این است که سازمان ها نسبت به کسانی که شکارچی آسیب پذیری هستند، موضعگیری خاصی دارند و معمولا آنها را بهعنوان یک هکر کلاه سیاه میشناسند. این موردی ست که به صورت عمومی وجود دارد و به نظر من طبیعتا، آهسته آهسته این نگاه تغییر میکند.
پیشنهاد خواندنی: هک اخلاقی یا هک قانون مند چیست؟
مورد دیگر از زاویهی دیگری است. به نظر من کسی که بهعنوان یک شکارچی آسیب پذیری در باگ بانتی فعالیت میکند، صرفا به خاطر همان فعالیتش، نمیشود بهعنوان یک کارشناس امنیت نگاهش کرد و رویش حساب کرد. مثلا؛ چون صرفا در زمینهی وب اپلیکیشن کار میکند. من فردی را میشناسم که برروی اهداف مایکروسافت هم کار میکند و اسمش در آن لیست هم ذکر شده است، ولی صرفا فقط چند آسیب پذیری را بلد است. مثلا؛ به لیست OTG (OWASP Testing Guide) تسلط کامل ندارد، به سایر لیستهای استاندارد هم همینطور. به همین دلیل من فکر میکنم نمیتوانیم حتی بگوییم که از حوزهی وب شناخت کاملی دارد. متاسفانه بعضی موارد این چنینی هستند که بولد میشوند، برای سازمان رزومه ارسال میکنند و خیلی خوب خودشان را شو میکنند و نشان میدهند. اما در ادامه یک سری مشکلات پیش میآید. من شخصا، نبود یک سری دورههای آموزشی متناسب را بر این موضوع اثرگذار میبینم؛ دورههایی که که بتواند این افراد را به خوبی به جلو ببرد و و آموزششان دهد. این به نظرم نگرانکننده هم است. یکی از بخشهایی هم که خیلی بولد شده است، باگ بانتی های خارجی است. مثلا فردی تنها به یک نوع آسیب پذیری میپردازد و 100 ، 200 ، 500 یا 1000 دلار بانتی را ماهیانه دریافت میکند. آن فرد دیگر با خودش نمیگوید که " دانش خودم را بالاتر ببرم" یا " دانشم را گسترده تر کنم؛ از وب خارج شوم، سمت شبکه یا سمت اپلیکیشنهای موبایلی بروم یا به موضوع آسیب پذیری های حوزهی باینری وارد شوم" یا ... . سمت هیچ کدام از این ها نمیرود. صرفا در همان چیزی که یاد دارد، محدود میماند. گاهی هم متاسفانه برخیشان به خاطر سن پایینی که دارند، خیلی هم مغرور هستند. من اغلب شاهد چنین مواردی بودهلم.
_ از نگاه خود، جای چه دسته کسبکارهایی را در میان میدانها و اهداف باگ بانتی (چه در پلتفرم ها، چه به صورت باگ بانتی مستقل) خالی میبینی؟
با توجه به چیزی که تا حالا شاهدش بوده ام، این موارد به ذهنم میرسند: دستگاههای زیرساختی؛ سازمانهایی که مربوط به زیرساخت در بحث انرژی و موارد دیگر هستند. جای سازمانهای بانکی هم معمولا کلا خیلی خالی دیده میشود. چنین کسبوکارهایی دستورالعملها و خطمشیهایی که دارند و استانداردهایی را رعایت میکنند. به همین خاطر خود را خیلی جدا میدانند. متاسفانه دیده شده که در بسیاری از اوقات یک اشتباه خیلی کوچک باعث میشود که حجم دیتای خیلی بزرگی از این سامانهها لو برود. که ما متاسفانه خبرش را در همه جا میتوانیم ببینیم؛ در خبرگزاریها، در کانالهای تلگرامی و غیره. به نظر من جای این دستگاهها خیلی در برنامههای باگ بانتی خالی ست. اتفاقی که شاهدش هستیم این است که به صورت خیلی کم برخی اپراتورها و برخی بانکها با احتیاط خیلی زیاد به میدان آمدهاند که اکثر آنها مربوط به شرکتهای خصوصی هستند. اما ما سازمانهای زیرساختی را کمتر در این میان میبینیم.
پیشنهاد خواندنی: کسب و کارهای مختلف در مواجهه با باگ بانتی چه واکنشی نشان میدهند؟
_ حرف از لیکشدن دیتا شد. شما چقدر رفتار کسبوکارهای ایرانی را نسبت به دیتا های کاربرانشان مسئولیتپذیرانه میبینی؟
اگر بخواهم کسبوکارها را جدا کنم، میتوانم اینطور بگویم: یک بخش آن کسبوکارهای دولتی هستند که اطلاعات بسیاری از افراد را دارند و بخشی از آنها هم کسبوکارهای خصوصی بزرگ هستند.
در کسبوکارهای خصوصی، افراد معمولا تعهدی نسبت به آن مجموعه و افرادی که در آنجا کار میکنند، ندارند. این طور نیست که فرد قرار باشد سی سال در آن جا خدمت کند. این کسبوکارها با تهدیدهای بیشتری روبهرو هستند و خطر بیشتری بقای کارمندان و مجموعه را تهدید میکند، پس میتوان شاهد راهکارها و فعالیت بیشتری در حوزهی امنیت در این شرکتها بود. درکنارش ارگانهای نظارتی مثل فتا و غیره هم بیشتر رویشان تمرکز دارند.
در کسبوکارها و ارگانهایی که کمی حالت خصولتیتر دارند یا دولتی هستند، من به کرات شاهد این بودهام که حتی مدیر امنیت مجموعه اصلا برایش اهمیتی نداشته که دیتا لیک یا حتی لاست شود! گاهی در عمل میگفتند که برایشان مهم است، ولی در اصل و در عمل، این طور دیده نمیشد. اصلا برایشان مهم نبود. حتی سابقهی لیکشدن دیتا هم داشتهاند، ولی متاسفانه باز هم برایشان مهم نبود. به نظر خودشان و به قول معروف "هیچ کس نمیتوانست از جایشان تکانشان دهد" و آسیبی بهشان برساند. خب چنین آدمی، به نظر من طبیعی ست که هیچ واکنشی در رابطه با این موارد نداشته باشد. در کل هیچ اتفاقی قرار نیست در آن قسمت بیفتد. اگر حاکمیت بخواهد ورود کند و قوانین خوبی در این باره، داشته باشیم، ممکن است اتفاقهای خوبی بیفتد. مثلا چنین قانونی که اگر دیتایی لیک شد، یک نفرمسئولش باشد و پاسخ دهد. در بخش خصوصی هم همین اتفاق باید بیفتد. من چند وقت پیش در جایی خبری خواندم که چنین قوانینی در مسیر تصویب قرار دارند. حالا نمیدانم چنین قانونی، چقدر قرار است اجرایی شود و اصلا چقدر قابلاجرا است.
_ بله، جای امیدواری دارد اگر چنین قوانینی تصویب و اجرا شوند. آرزویی برای حوزهی امنیت سایبری یا برای خودت در حوزهی امنیت سایبری داری؟
آرزوی خاصی که به من در حوزهی امنیت سایبری مربوط باشد، ندارم. برای زندگی شخصی خودم دارم. من این طور فکر میکنم که همه چی وسیله است برای این که فرد به هدف دیگری که مدنظر دارد، برسد.
_ امیدواریم به اهدافت برسی امید جان. ممنون که در این مصاحبه همراه ما بودی.
بلاگپستهای مرتبط:
گپوگفتی با متخصص امنیت دنیای صفرویکها؛ علی امینی
گپوگفتی با شکارچی آسیب پذیری؛ ارغوان کامیار (spark)