شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
گپ‌وگفتی با شکارچی آسیب پذیری؛ رامین اسدیان

گپ‌وگفتی با شکارچی آسیب پذیری؛ رامین اسدیان

۱۲۶

در این بلاگ‌پست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ رامین اسدیان

رامین متخصص تست نفوذ برنامه‌های تحت وب، شکارچی آسیب پذیری و از اعضای تیم داوری و تیم فنی راورو است. دوست دارد که یک هکر کلاه سفید بماند. تست نفوذ را به باگ بانتی ترجیح می‌دهد و بیشتر وقتش را صرف آن می‌کند. شخصیت پویایی دارد و فعالیت‌های دیگری نیز در حوزه‌ی امنیت سایبری داشته است و همچنان دارد. در طول مصاحبه، از فعالیت‌هایش بیشتر برایمان گفته است. آسیب پذیری هایی که بیشتر از همه دوست دارد SQL Injection و IDOR و آسیب پذیری های مرتبط با authentication هستند. 

_ کمی از خودت برایمان می‌گویی؟

من اگر بخواهم خودم را معرفی کنم، می توانم بگویم از کسانی هستم که همیشه دوست دارم هکر کلاه سفید بمانم. شخصیت پویایی دارم و به هیچ چیز نه نمی‌گویم. همیشه به دنبال موارد جدیدی برای یاد گرفتن و بررسی هستم تا تکنولوژی‌های جدید را بشناسم. بچه‌های توییتر معمولا من را به عنوان شخصی می‌شناسند که چالش‌های کد می‌گذارد و بیشتر روی کد کار می‌کند. ولی کار من محدود به این‌ها نیست. فقط در حوزه‌ی نرم افزار کار نمی‌کنم، بعضی اوقات کارهای مربوط به سخت افزار هم می‌کنم. مثلا؛ روی مودم‌ها و دیوایس‌های مختلف. می‌شود گفت به نوعی در حوزه‌های مختلف مثل شبکه، سخت افزار، آنالیز کد، تست نفوذ وب، موبایل، وایرلس، کار کرده‌ام. نمی‌گویم که یک آدم فوق حرفه‌ای هستم، ولی خب به همه‌ی موارد علاقه‌مند بودم. یکی دو سالی هم هست که شروع کرده‌ام و در حوزه ی مشاوره امنیت، ISMS، امن سازی زیرساخت ها و موارد مشابه کار می‌کنم.  

پیشنهاد خواندنی: معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید! 

_ چطور شد که وارد حوزه ی امنیت سایبری شدی؟

 من از بچگی واقعا به هکر شدن علاقه ی خاصی داشتم. فکر می‌کنم دور و بر اول و دوم دبیرستان بود که این علاقه قوت گرفت؛ وقتی برای اولین بار در وب سایت آسیب پذیری SQL Injection پیدا کردم و هکش کردم. می‌دانید از چه زمانی حرف می زنم؟ زمانی که شما حتی شاید در گوگل هم می‌توانستید آسیب پذیری SQL Injection را کشف کنید. آسیب پذیری SQL Injection تا این حد در همه جا زیاد بود. آن موقع یاهو و MSN سایت‌های پرطرفداری بودند و کاربران زیادی داشتند. شاید بتوانم بگویم که آن زمان، خیلی افراد توانسته بودند کل یاهو را هم با آسیب پذیری SQL Injection هک کنند. آسیب پذیری SQL Injection خیلی آسیب پذیری فوق العاده ای ست. من هم همیشه دوستش داشته‌ام. این یکی از مواردی بود که جذابیت هک کردن را به من نشان داد و من را وارد این وادی کرد. در ادامه هم وارد دانشگاه شدم و این حوزه را به صورت حرفه‌ای‌تر ادامه دادم. با مراکز آپا، شرکت‌های خصوصی و شرکت‌های دولتی همکاری کردم. خلاصه جوری شد که مانند قرار گرفتن در جریان یک رودخانه، ناخواسته و خود به خود، در این مسیر افتادم و همراه جریانش جلوتر و بالاتر آمدم. 

_ آسیب پذیری موردعلاقه‌ات چیست؟

 آسیب پذیری هایی که بیشتر از همه دوست دارم، SQL Injection و IDOR و آسیب پذیری های مرتبط با authentication هستند. همیشه هم این آسیب پذیری ها را چک می‌کنم، خصوصا آسیب پذیری های IDOR و authentication خیلی زیاد پیدا می‌شود. شاید آسیب پذیری SQL Injection در نرم‌افزارهای مدرن‌تر خیلی کمتر وجود داشته باشد ولی طبق تجربه‌ی من آسیب پذیری IDOR و authentication خیلی زیاد پیدا می‌شود. 

_ به‌عنوان یک‌ شکارچی آسیب پذیری چه چالش‌هایی را در شغل خود تجربه می‌کنی؟ چه دغدغه‌هایی داری؟

لازم به ذکر می دانم که بگویم من شکار آسیب پذیری را به شکل معمول انجام نمی‌دهم، یعنی؛ نمی‌آیم یک وب سایت را باز کنم و ازداخلش آسیب پذیری پیدا کنم، نه. من اگر هرازگاهی فرصت داشته باشم، روی سخت افزارهایی مثل مودم، دوربین یا روی یک سری سایت‌ها یا کدهای اپن‌سورس به دنبال آسیب پذیری می‌گردم. 

یکی از چالش‌های شکارچی آسیب پذیری بودن، این است که افراد خیلی کمی در این حوزه فعالیت می‌کنند. من هم ادعایی نمی‌کنم که یک آدم فوق‌حرفه‌ای در این حوزه هستم. من باگ هانتینگ را خیلی کم انجام می‌دهم و خیلی آرام جلو می‌روم. شاید پروژه بررسی یک مودم برای من شش هفت ماه طول بکشد، چون آن وسط‌ها کارهای زیاد دیگری مثل پن تست هم دارم.  

یک چالش و دغدغه ی خاص دیگر برای یک شکارچی آسیب پذیری این است که در ایران، تیم‌هایی نیستند که آدم بتواند با آن‌ها ارتباط بگیرد. در ارتباط با تیم‌های خارجی هم گاهی به مشکل می خوری. علتش هم این است که حوزه‌ی امنیت سایبری، حوزه ای بسیار خاص و تاحدی خطرناک است. وقتی موضوع به بحث ‌Binary Exploitation  و چنین مواردی نزدیک می‌شود، کامیونیتی‌های حرفه‌ای خارجی، افرادی که خوب نمی‌شناسند یا افراد اهل ایران، کره شمالی و امثالشان را خیلی در جمع خودشان راه نمی‌دهند، نمی‌پذیرند و کمکی نمی‌کنند. 

پیشنهاد خواندنی: برخی از مصائب و چالش‌های هکر بودن 

_ بر چه اساسی بین تست نفوذ و باگ‌بانتی برای کار انتخاب می‌کنی؟ معمولا بیشتر به کدام می‌پردازی؟ چرا؟

تقریبا می‌شود گفت که 90% از فعالیت من، مربوط به تست نفوذ است. این کار را هم دوست دارم. چرا؟ چون دوست دارم کاری را از صفر تا صد انجام دهم. من حتی اگر بخواهم در اهداف برنامه‌های باگ بانتی هم کار کنم، تقریبا با همان روال و استایل جلو می‌روم. تقریبا یک اشل کامل از تست نفوذ را چک می‌کنم. شاید فقط اولویت‌ها فرق کند، مثلا؛ شاید در باگ بانتی اول از آسیب پذیری های authentication شروع کنم بعد به سراغ موارد دیگر بروم. 

به عنوان یک متخصص امنیت، در باگ بانتی هنگامی که شما یک یا چند آسیب پذیری را پیدا می‌کنید، شاید آن آسیب پذیری ها low یا medium باشند و به درد باگ بانتی نخورند. اما در پن تست، اوضاع متفاوت است. به همین دلیل است که من با باگ بانتی احساس راحتی ندارم. دوست دارم کاری که انجام می‌دهم، میزان هزینه، زمان و درآمدش از قبل برایم مشخص باشد. همین مورد باعث می‌شود که بیشتر مایل به تست نفوذ باشم تا باگ بانتی. 

ممکن است در مواردی باگ بانتی سود بیشتری داشته باشد. من هم به صورت موردی باگ بانتی کار می‌کنم، خصوصا در یک سری موارد خاص. ولی در حالت کلی برایم این طور نیست که در برنامه‌ی باگ بانتی، به سراغ وبسایت‌هایی بروم که هزار نفر دیگر هم آن ها را چک کرده‌اند. به این شرایط علاقه‌ی خاصی ندارم. 

_ در میان کسب‌وکارهایی که به عنوان میدان در برنامه‌های باگ بانتی حضور دارند، جای چه کسب‌وکارهایی را خالی می‌بینی؟

صنایع انرژی مانند نفت و گاز، فولاد، پتروشیمی، صنایع غذایی، سرمایه‌گذاری در بورس و کارگزاران و همچنین صنعت بیمه به دلیل ماهیت حساس و پیچیده‌ی فعالیت‌های خود، معمولاً تاکنون کمتر وارد حوزه‌ی باگ بانتی شده‌اند. این صنایع به طور عمده بر امنیت فیزیکی و عملیاتی تمرکز داشته‌اند و ممکن است اهمیت و ضرورت امنیت سایبری و شناسایی آسیب‌پذیری‌های نرم‌افزاری را کمتر درک کرده باشند. با این حال، با افزایش وابستگی به فناوری‌های دیجیتال و افزایش تهدیدات سایبری، لازم است این صنایع در آینده به طور فعال‌تری به حوزه‌ی باگ بانتی ورود کنند تا باگ‌ها و ضعف‌های احتمالی سیستم‌های خود را شناسایی و اصلاح کنند، و از آسیب‌های جدی‌تر جلوگیری کنند. 

_ در سال‌های تجربه‌ ی خود، شاهد چه نوع رفتارهایی از سمت کسب‌وکارها نسبت به امنیت سایبری بوده‌ای؟

بگذارید رفتار کسب‌وکارها نسبت به امنیت سایبری را در گذر زمان براساس مشاهداتم بگویم، که ببینیم در طی ده سال گذشته رفتارها چقدر تغییر کرده است. می‌توانم بگویم که رفتارها بین صفر تا صد هست. ما زمانی را داشتیم که مثلا به عنوان یک بیزینس می‌رفتیم با سازمان ها صحبت می‌کردیم که می‌خواهیم تست نفوذ را انجام دهیم. واکنش کسب‌وکار چه بود؟ کسب‌وکار مقابل دیدش این بود که "من چرا باید تست نفوذ را انجام دهم؟ من یک فایروال دارم، شبکه‌ام هم که از اینترنت جداست و این‌جا هیچ اتفاقی نمی‌افتد." یک زمانی این شکلی بود! یه زمانی قبل‌تر از آن پاسخ کسب‌وکارها این بود "ما سرور را می‌گذاریم در گاوصندوق و هیچ مشکلی پیش نمی‌آید. ما یک هارد داریم، هارد را برمی‌داریم و می گذاریم در گاوصندوق و این گونه هیچ مشکلی پیش نمی‌آید."  ولی رفته‌رفته دیدها بازتر شده و رشد کرده است. الان دیگر شاهد این هستیم که سازمان‌های دولتی هم (با این که معمولا در خواب هستند) دارند به دنبال امنیت سایبری می‌گردند و اقدام هایی می‌کنند. حالا درست است که شاید شکسته‌وبسته و ناقص باشد، ولی حداقل استارت حرکت زده شده است. و به مدل عادی سیستم‌های اداری آرام آرام پیش می‌روند. در موارد مختلفی می‌بینیم که شروع کرده‌اند به پیاده‌سازی SOC ها، پیاده‌سازی مکانیزم‌های امنیتی، جذب نیروهای امنیتی با درآمدهای نسبتا خوب و ... . این موارد نشان دهنده‌ی این هستند که این فهم و درک در سیستم اداری و کسب‌وکاری دارد شکل می‌گیرد که "امنیت سایبری وجود دارد، چیز مهمی ست و باید برایش کارهایی کرد". در همین اثنا می‌توانید ببینید که دید نسبت به باگ بانتی و تست نفوذ و امثالش خیلی بازتر شده و رشد پیدا کرده است. و دارد به این سمت می‌رود که کسب‌وکارها مایلند ایرادات خود را پیدا و رفع کنند. 

_ آرزویی برای حوزه‌ی امنیت سایبری داری؟

آرزویی که می‌توانم بکنم شاید آرزوی خیلی ساده‌ای ست که شامل همه چیز می‌شود. 

افرادی که دارند در حوزه امنیت سایبری کار می کنند، خیلی زحمت می‌کشند، پشتکار دارند و سختی‌های خیلی زیادی را هم به صورت محیطی و هم به صورت کاری تحمل می‌کنند. آرزویم این است که امیدوارم همه‌ی بچه‌های این حوزه، به چیزهایی که دوست دارند و علاقه‌مندند برسند. با کارکردن در همین حوزه هم بهش برسند، نه این‌که مجبور شوند این حوزه را رها کنند و به سراغ حوزه‌ی دیگری بروند. من واقعا دیده‌ام که افرادی که در این حوزه بوده‌اند، تلاش کرده‌اند و به مشکلات زیادی خورده‌اند، به دلیل مشکلات امنیتی مجبور شده‌اند علایقشان را کنار بگذارند و به دنبال کارهای دیگری بروند. امیدوارم که اصلا این‌طور نشود. امیدوارم این اتفاق برای هیچ کس نیفتد، مگر اینکه خودش و با اختیار خودش (نه از روی اجبار) بخواهد این کار را کنار بگذارد. 

_ ما هم امیدواریم که چنین شود و شاهد غیر از این نباشیم. ممنون که در این مصاحبه همراه ما بودی رامین عزیز.

بلاگ پست های مرتبط:

گپ‌وگفتی با شکارچی آسیب پذیری؛ محمدجواد بناروئی 

گپ‌وگفتی با متخصص امنیت دنیای صفرویک‌ها؛ علی امینی 

گپ‌وگفتی با شکارچی آسیب پذیری؛ محمدحسین آشفته‌یزدی

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.