شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
گپ‌وگفتی با شکارچی آسیب‌پذیری؛ هادی پات

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ هادی پات

۱۶۴

در این بلاگ‌پست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ هادی پات (@0xhadiworld) 

هادی رشته‌ی دانشگاهی‌اش ریاضی بوده و براساس علاقه‌اش به سمت دنیای امنیت سایبری آمده. در مسیر یادگیری‌اش، خواندن تجربیات دیگران را بسیار مفید و کارساز می‌داند. با چند دانشجوی دیگر و یک لیدر، یک تیم تشکیل داده‌اند و با به‌اشتراک‌گذاری دانش، برای رشد و ارتقای جمعی تلاش می‌کنند. یک کلمه‌ی کلیدی در تعریف هک برای هادی وجود دارد و آن "خلاقیت" است. معتقد است که هرکسی باید آگاهی‌رسانی درخصوص امنیت سایبری را از دوستان و اطرافیان خودش شروع کند. نقطه‌ی قوت باگ بانتی را ترکیب تنوع و خلاقیت شکارچیان آسیب پذیری می‌داند. 

_ کمی از خودت برایمان می‌گویی؟

من خودم را یک بخش خیلی خیلی کوچک از جامعه‌ی امنیت سایبری می‌دانم که راه خیلی زیادی در پیش دارد تا بتواند برخی کارها را انجام دهد. سعی می‌کنم در دنیای امنیت سایبری از همه‌ی افراد، چیزهایی یاد بگیرم و جلوتر بروم. 

_ مسیر ورود به امنیت سایبری و یادگیری آن برای شما چطور بوده است؟

رشته دانشگاهی‌ من ریاضی است. وقتی این رشته را انتخاب می‌کردم، فکر نمی‌کردم که سمت امنیت سایبری بیایم. اما بعدتر به خاطر علاقه‌ام به سمت امنیت سایبری آمدم. به‌صورت خودخوان و سلف‌استادی موارد مرتبط با امنیت سایبری را یاد گرفتم. سعی کردم از منابع مختلف استفاده کنم؛ از محتواهای موجود در یوتیوب، رایتاپ‌ها و ... . مثلا؛ محتوای رایگانی که استادانی که داخل ایران هستند برروی یوتیوب منتشر کرده‌اند، خواندن رایتاپ‌های دیگران، آشناشدن با نقطه‌نظرات دیگران، خواندن راجع به آسیب پذیری‌ای که پیدا کرد‌ه‌اند و این‌که چگونه به آن رسیده‌اند. می‌توانم بگویم که برای من، خواندن تجربیات دیگران خیلی خیلی مفید و کارساز بوده است. یک نقطه‌ی قوت کلی من در این مسیر این بود که سعی می‌کردم هر روز مطالعه داشته باشم. به نظر من حتی اوقاتی که حال‌وحوصله‌اش را نداریم، هم باید سعی کنیم انجامش دهیم.

پیشنهاد خواندنی: هکرهای ایرانی از چه راه‌هایی برای یادگیری هک استفاده می‌کنند؟ 

نقش حیاتی گزارش حملات سایبری (رایتاپ) در ارتقای امنیت سایبری برای همه

_ در دنیای شخصی خودت، هک را چگونه تعریف می‌کنی؟

یک کلمه‌ی کلیدی در تعریف هک برای من وجود دارد و آن "خلاقیت" است. "هک" از نگاه من یعنی "خلاقیت" و "خلاقیت" یعنی "هک"؛ این‌که شما به یک موضوع جوری نگاه کنی که با خلاقیتی که داری بتوانی یک سری موارد را دور بزنی، نوعی هک است. 

مثلا در دنیای واقعی و زندگی؛ وقتی می‌خواهی به جایی بروی، یک میان‌بر پیدا کنی که شاید کس دیگری ندیده باشد. از میان‌بر می‌روی و زودتر به مقصد می‌رسی. من چنین مواردی را هم از جنس هک می‌دانم. و خب لازم است که برایش دید دقیق‌تری داشته باشیم و خلاقیت به خرج دهیم. اگر راه‌حل متفاوت می‌خواهیم، باید نگاهمان به مسئله هم متفاوت باشد، نه مشابه روال معمولی که باقی افراد به یک مسئله نگاه می‌کنند. 

_ آسیب پذیری مورد علاقه‌‌‌ات چیست؟

من اکثر اوقات سعی می‌کنم به سمت آسیب پذیری هایی بروم که مربوط به بیزینس و لاجیک برنامه می‌شوند. به همین خاطر، آسیب پذیری های Business logic و broken access control ، آسیب پذیری های مورد علاقه‌ام هستند. چون کشف این نوع آسیب پذیری ها، به خلاقیت‌ نیاز دارند. همچنین نیاز به نقطه‌ی دیدی دارد که شاید فرد دیگری به آن فکر نکرده است و تو باید مدام سعی کنی که آن سدی که جلوی راهت وجود دارد را بشکنی و بتوانی از سایت دسترسی بگیری. 

_ در تجربه‌ی خود، بیشتر شاهد وجود چه آسیب‌پذیری‌هایی در سامانه‌ی کسب‌وکارها بوده‌ای؟

چیزی که من در اهداف داخلی و خارجی شاهدش بوده‌ام، آسیب پذیری های مربوط به سطح دسترسی (access control) بوده است. اکثر سایت‌ها برای کاربر چندین نقش دارند، مثل؛ ادمین، مدیر، کاربر عادی و ... . بسیاری از کسب‌وکارها این موارد را کامل چک نمی‌کنند. 

من در سامانه‌های خارجی که تعداد زیادی از شکارچیان آسیب پذیری بررویشان کار می‌کردند هم شاهد این بوده‌ام که کاربر عادی به‌راحتی می‌تواند به دیتای ادمین دسترسی پیدا کند و حتی گاهی اوقات ویرایشش هم بکند. این به عملکرد و کارکرد کسب‌وکارها هم بستگی دارد. من شاهد این نکته هم بوده‌ام که در کسب‌وکارهای بزرگ که بخش‌های مختلفی برای تست دارند، ممکن است از بین 10 بخش یک سامانه، 9 موردش چک شده باشد و تو نتوانی آسیب پذیری‌ای پیدا کنی، ولی بخش دهم چک نشده باشد. می‌بینی که از آن بخش دهم، می‌توانی به یک سری دیتای سامانه دسترسی داشته باشی.  

_ در مواجهه با کاربری که می‌گوید: "من در گوشی‌ام هیچ چیز خاصی ندارم." یا یک سری نکته‌های امنیتی را رعایت نمی‌کند، چه می‌کنی؟

اولین چیزی که من به خیلی از بچه‌های حوزه‌ی امنیت سایبری و کسانی که آگاهی دارند، می‌گویم این است که "هرکسی باید آگاهی‌رسانی را از دوستان و اطرافیان خودشان شروع کند." احتمالا در خانه‌ی هر فرد و بین نزدیکانش، افرادی هستند که اطلاعی ندارند. می‌توانیم با گفتن به آن‌ها شروع کنیم. 

من فکر می‌کنم که برگزاری رویدادهای عمومی با این هدف، در دانشگاه‌ها و مکان‌های دیگر هم بتواند کمک‌کننده باشد. اکثر بچه‌های حوزه‌ی امنیت سایبری، مشتاق چنین اقداماتی هستند و اگر موقعیت‌هایی فراهم شود، همراه هستند. 

می‌‌توانیم به افرادی که این مسائل را خیلی ساده می‌بینند، راجع به مواردی که امنیت کاربر را تحت تأثیر قرار می‎‌دهد، توضیحاتی بدهیم. مثلا توضیح بدهیم که یکی از اتفاقاتی که با دیتای لورفته می‌افتد، فیشینگ است. که در آن، نفوذگران به‌راحتی می‌توانند به اطلاعات کاربران، پول داخل حساب بانکی‌شان و ... دسترسی یابند. 

من این‌طوری فکر می‌کنم که باید پله به پله جلو برویم. راه خیلی طولانی‌ای در پیش داریم، ولی شدنی است. اگر از موقعیت‌های مختلف شروع کنیم و زیرساختش هم فراهم شود، کارهای خوبی انجام می‌شود. این‌گونه جامعه به مرور آگاه‌تر می‌شود. به این صورت هم نیست که بشود انتظار داشت که با اقداماتی، کل اعضای جامعه از فردا آگاه شوند، همه‌ی افراد نکات لازم را رعایت کنند و دیگر هیچ دیتایی لو نرود. آگاهی به مرور و کم کم شکل می‌گیرد. از جمع‌های خیلی کوچیک‌تر شروع می‌شود، تا به افراد بیشتری برسد. امیدوارم که آن روز برسد. 

پیشنهاد خواندنی: 10 توصیه‌ی ساده برای آگاهی و امنیت کاربران اینترنت

_ ما هم امیدواریم که با تلاش‌های جامعه‌ی امنیت سایبری، آگاهی جامعه به مرور ارتقا یابد.

_ شما به صورت تیمی هم، فعالیت‌هایی داشته‌ای؟ کمی بیشتر راجع به آن‌ها برایمان می‌گویی؟

من به صورت تیمی فعالیت‌هایی داشته‌ام. با تیممان بر روی برنامه‌های باگ بانتی در پلتفرم های باگ بانتی خارجی و پلتفرم های باگ بانتی داخلی کار کرده‌ایم. سعی کردیم ریسرچ و پژوهش انجام دهیم و خودمان را آپدیت نگه داریم. جلسه‌هایی می‌گذاشتیم و هر کدام از بچه‌ها می‌آمد و راجع به چیزی که در موردش مهارت داشت یا ریسرچ انجام داده بود، برای جمع می‌گفت و توضیح‌هایی می‌داد. این‌طوری تلاش می‌کردیم که همدیگر را لول آپ کنیم و ارتقا دهیم. 

_ دوست داریم بدانیم که تیم شما چگونه شکل گرفته است. ممکن است برایمان بگویی؟

همه‌ی ما در تیممان، به غیر از لیدرمان، دانشجو هستیم. از طریق دانشگاه، فضای مجازی و کامیونیتی امنیت سایبری با همدیگر آشنا شدیم. حضوری هم‌دیگر را دیدیم و تیممان کم‌کم شکل گرفت. من خودم، در یک شهر دیگر دانشجو هستم. ولی با این وجود توانستیم برنامه‌های حضوری‌ای را هماهنگ کنیم و تیم را تشکیل دهیم و باهم جلو برویم. 

_ چرا باگ بانتی؟ چه چیزی در باگ بانتی برای شما قابل‌توجه است؟

چرا باگ بانتی... . خب اکثر افراد می‌گویند جنبه‌ی مالی‌اش مهم نیست. اما بحث مالی هم با نگاه واقع‌بینانه، قطعا مهم است و از نگاه من هم مهم است.  

جذابیت باگ بانتی برای من در ایده‌های مختلف، نوع دید و پرسپکتیوی که شکارچیان آسیب پذیری مختلف دارند، است. این موارد خیلی به آدم کمک می‌کند. در روند معمول تست نفوذ، ما یک چک‌لیست داریم. موارد این چک‌لیست را به‌صورت مکرر انجام می‌دهیم. در نهایت این طوری است که نتیجه‌ی آن لیست را آماده می‌کنیم و می‌فرستیم. (البته من دارم راجع به سطح ساده و بیسیک تست نفوذ حرف می‌زنم.) ولی در باگ بانتی این‌طور نیست. مثلا در باگ پارتی سامانه‌ای را داشتیم که قطعا بالای چندین بار تست نفوذ روی آن انجام شده بود. اما شکارچیان آسیب پذیری توانستند در طول یک ساعت بیش از 30 آسیب پذیری را روی همان سامانه کشف و گزارش کنند. این فقط به این خاطر است جمع شکارچیان آسیب پذیری از تجربه‌های مختلف، نگاه‌های متنوع و خلاقیت‌های مختص خودشان استفاده می‌کنند. این تعداد گزارش آسیب پذیری، حاصل این موارد است. در میان شکارچیان آسیب پذیری کسانی وجود دارند که قبلا برنامه‌نویس بوده‌اند. این افراد از دید یک برنامه‌نویس و اشتباهاتی که ممکن است مرتکب شود نگاه می‌کنند. برخی شکارچیان آسیب پذیری هستند که به‌صورت Out of box فکر می‌کنند. یعنی شاید آن‌قدر دانش برنامه‌نویسی‌شان زیاد نباشد، ولی موارد مختلفی را تست می‌کنند که ممکن است به ذهن کس دیگری نرسد. نقطه‌ی قوت باگ بانتی از نگاه من، همین ترکیب تنوع و خلاقیت شکارچیان آسیب پذیری است. 

_ آرزویی برای حوزه‌ی امنیت سایبری داری؟

من آرزو دارم که جامعه‌ی امن‌تری داشته باشیم؛ جامعه‌ای که رو به جلو برود. نه این‌که دیتای کاربران لیک شود و ما حسرت بخوریم که "چرا دیتای ما لو رفت؟" 

امیدوارم که جامعه‌ی امنیت سایبری ایران صمیمانه‌تر شود. امیدوارم که بچه‌های جامعه‌ی امنیت سایبری دورهم جمع شوند و در کنارهم به برنامه‌ها و ایده‌هایی برای آینده فکر کنند. تا درنهایت جامعه‌ی امن‌تری داشته باشیم. چون ما آدم‌ها تنها زندگی نمی‌کنیم. در کنار همدیگر و به‌صورت یک جامعه زندگی می‌کنیم. وقتی که تک‌تکمان بتوانیم آگاهی بیشتری پیدا کنیم و امن‌تر باشیم، در نهایت جامعه‌ی امن‌تری خواهیم داشت. من امیدوارم که چنین روزی برسد. 

همچنین آرزو دارم که زیرساخت‌هایی برای فعالیت بچه‌های امنیت سایبری که واقعا در حوزه‌ی کاری خودشان خفن هستند، فراهم شود تا بتوانند با استعدادهای خودشان به میدان بیایند و بدرخشند. 

خیلی دوست دارم که در ایران، افراد و شرکت‌ها به دیتای کاربران اهمیت بیشتری بدهند. کاربران هم نسبت به خطرها و امنیت سایبری آگاه‌تر شوند. 

دوست دارم رویدادهایی برگزار شوند که واقعا مفید باشند. افراد زیادی در حوزه‌ی امنیت سایبری وجود دارند که پتانسیل و استعداد قابل‌توجهی دارند، ولی هیچ‌وقت دیده نمی‌شوند و نمی‌توانند ارتباطات بیشتری شکل دهند. چرا؟ چون جای چندانی برای دیده‌شدن و ارتباط، مثل رویداد باگ پارتی، وجود ندارد. کاش پیشکسوت‌ها و بچه‌های امنیت سایبری (که برایشان احترام قائلم) با همراهی پلتفرم‌ها بیشتر به فکر بسترهایی برای این موارد باشند، مثل برگزاری رویدادها. 

_ ما هم امیدواریم که آرزوی شخصی‌ات و آرزوهایت برای جامعه‌ی امنیت سایبری به وقوع بپیوندند. ممنون که در این گپ‌وگفت هراه ما بودی و وقتت را در اختیار ما قرار دادی، هادی عزیز.

بلاگ‌پست‌های مرتبط: 

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ علی فیروزی 

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ محمد دلاور 

گپ‌وگفتی با شکارچی آسیب پذیری؛ زهرا ایزدی امیری 

گپ‌وگفتی با شکارچی ؛ علیرضا رضایی

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.