گپ‌وگفتی با شکارچی؛ محمدحسین آشفته‌یزدی (sec_zone64)

گپ‌وگفتی با شکارچی؛ محمدحسین آشفته‌یزدی (sec_zone64)

۱,۳۶۴

در این بلاگ‌پست، به سراغ یکی از شکارچی‌های راورو، رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ محمدحسین آشفته یزدی ( @sec_zone64 )

محمدحسین یک هکر کلاه‌سفید، اهل مشهد و دانشجوست. حدود ۳ سال است که در حوزه‌ی امنیت سایبری فعالیت می‌کند. متخصص تست نفوذ برنامه‌های تحت وب و موبایل است. هربار فیلم هری‌پاتر را می‌دیده، آرزو می‌کرده که چوب جادو داشته باشد. ۱۷ سالش بوده که برای نخستین بار توانسته به سیستم اینترنت نفوذ کند. آن روز حس کرده که این نزدیک‌ترین اتفاق دنیای واقعی به داشتن چوب جادو ست. محمدحسین در تاریخ این مصاحبه، ۱۶ گزارش آسیب‌پذیری در راورو ثبت کرده و ۸۱ امتیاز کسب کرده است.

_ خودت را برایمان معرفی می‌کنی؟

محمد حسين آشفته یزدی هستم، متولد یک ماه در فصل گرم در سال ۱۳۷۶. علاقه‌مند به امنیت و دانشجوی کارشناسی مهندسی کامپیوتر، گرایش نرم‌افزار.

_ حوزه‌ی تخصصی فعالیتت در چه زمینه‌ای است؟

در حال حاضر در حوزه‌ی تست نفوذ و امنیت برنامه‌های تحت وب و موبایل کار می‌کنم. در کنارش مقداری از وقتم را به صورت پاره‌وقت به باگ بانتی اختصاص می‌دهم. البته باگ بانتی را خیلی بیشتر دوست دارم. در تست نفوذ فرقی نمی کند که چند آسیب پذیری پیدا کنی، به‌هرحال حقوق ثابتی دریافت می‌کنی. به همین دلیل فکر می‌کنم در تست نفوذ انگیزه‌ی خیلی کم‌تری جریان دارد. من خودم گاهی از تست نفوذ لذت نمی‌برم و کارکردن برایم سخت می‌شود.

_ از چه زمانی فعالیت در حوزه‌ی هک و امنیت سایبری را شروع کرده‌ای؟

حدود ۳ سال است که در حوزه‌ی هک و امنیت به‌صورت حرفه‌ای فعالیت دارم.

_ از اولین خاطره‌های هک برایمان بگو.

7 سال پیش بود که برای نخستین بار توانستم به یک شبکه‌ی اینترنتی نفوذ کنم. مشهد زندگی می‌کردیم. یادم هست سرعت اینترنت بسیار کند بود و از طرفی پولی برای پرداختن هزینه اینترنت نداشتم. برای همین به سراغ اینترنت یکی از دانشگاه‌ها رفتم و توانستم از ترافیک آن استفاده کنم، بدون اینکه پولی بپردازم. هیچ‌یک از اعضای خانواده‌ام سر در نمی‌آوردند که من چه کاری انجام داده‌ام. با خوشحالی به سراغ‌شان رفتم و ماجرا را تعریف کردم. واکنش‌شان دور از تصور من بود؛ گفتند: "بچه‌جان برو سر درس و مشقت. " باور نکردند. من هم دیگر اصراری به گفتن نداشتم. تنها یک موضوع مرا آزار می‌داد؛ عذاب وجدان داشتم از اینکه بدون اجازه از ترافیک اینترنت دانشگاه استفاده می‌کنم. فکر می‌کردم دزدی کرده‌ام. اما به‌خودم قول ‌دادم که وقتی بزرگ شدم این پول را به دانشگاه برگردانم. از آن زمان تابه‌حال بارها و بارها گزارش این مشکلات را به‌صورت رایگان در اختیار مراکز دانشگاهی و آموزشی گذاشته‌ام؛ هرچند که برخلاف انتظارم این مشکلات امنیتی چندان هم جدی گرفته نمی‌شود و اغلب آن‌ها حل‌نشده باقی می‌مانند.

در زمان راهنمایی و دبیرستان هم کمی دوستانم را اذیت می‌کردم. آن زمان یکی از کارهای من، گشتن در فروم‌های هک بود. یکی از خاطراتم به زمانی که کلاس اول دبیرستان بودم، برمی‌گردد. یک اسکریپت پیدا کرده بودم که نقش یک web proxy را بازی می‌کرد. آن زمان Facebook خیلی مورد استفاده قرار می‌گرفت. برای همین همه به دنبال دورزدن محدودیت‌های اینترنتی بودند. من هم یک هاست رایگان درست کردم، این اسکریپت را روی هاست قرار دادم. زمانی که قربانی وارد سایت می‌شد، به‌صورت اتوماتیک به یک fake page که من از Facebook ساخته بودم redirect می‌شد. در آن زمان ۹۹ درصد دوستانم بدون دقت، نام کاربری و رمزعبورشان را در آن صفحه‌ی تقلبی که ساخته بودم، وارد کردند. من هم تمام نام‌هار کاربری و رمزهایشان را ذخیره کردم. بعد از این مرحله که من به هدفم رسیده بودم، کاربران دوباره redirect می‌شدند به webproxy و می توانستند از Facebook استفاده کنند. خلاصه که Script Kiddie بودم برای خودم. :)

_ ما هم به خاطر داریم که یک بار باگی را از میدانی گزارش کرده بودی که در آن توانسته بودی بدون پرداخت مبلغ (یا با پرداخت مبلغ کم‌تر) حساب کاربریت را شارژ کنی. و بعد از پرداخت بانتی پیگیر این بودی که مبلغ شارژشده هم از حساب کاربری‌ات کسر شود. این توجهت برایمان جالب بود.

_ چرا حوزه‌ی امنیت سایبری را انتخاب کرده‌ای؟

حوزه‌ی امنیت سایبری را از بچگی دوست داشتم. کلا از کودکی استعداد خوبی در خراب‌کردن همه چیز داشتم و در درست‌کردن اصلا خوب نبودم. این شد که احساس کردم هک کردن هم همین‌طور است. باید سعی کنی یک چیز را خراب کنی. برای همین از آن خوشم آمد. دلیل کلاه سفید شدنم به این برمی‌گردد که علاقه‌ای ندارم که به کسی توسط من آسیبی برسد.

_ برای طی‌کردن مسیرت roadmap داشتی؟

به نظرم مسیری که من رفتم، خیلی اشتباه داشت. اگر به عقب برگردم و بخواهم دوباره شروع کنم، از برنا نعمت‌زاده یا یاشار شاهین زاده کمک می‌گیرم.

_ هک در دنیای تو چطور تعریف می‌شود؟ هکر چطور؟

هک یعنی توی یک موضوع آن‌قدر دانشت عمیق شود که بتوانی حفره‌های آن را پیدا کنی. هکر از نظر من کسی ست که که دانش گسترده ای درباره‌ی یک موضوع دارد و می تواند خیلی خوب فکر کند. کار هکر هم بستگی به هدفش دارد. بستگی دارد به این دارد که بخواهد در چه زمینه‌ای از دانشش استفاده کند. دانش هک و امنیت مثل یک چاقو هم می‌تواند مفید باشد و هم خطرناک و آسیب‌رسان. یک هکر معمولا مقدار زیادی از زمانش را مطالعه می‌کند و بقیه‌ش را به هک‌کردن اختصاص می‌دهد، حال چه در جهت مثبت و چه در جهت منفی.

_ از نظر محمدحسین: "یک ساعت هک = ؟"

به صورت کلی هک کردن برای من ترکیبی از إحساس هیجان، سردرد، ناامیدی، امید دوباره و درنهایت حس خوب پیداکردن باگ داره.

_ وقتی یک آسیب‌پذیری یا حفره‌ی امنیتی را پیدا می‌کنی، چه حس و حالی داری؟

خانم مریم میرزاخانی در یکی از مصاحبه‌هایش می‌گوید که یکی از دلایلی که ریاضی را دوست دارد، حسی ست که بعد از کلی سختی و شکست در موقع حل مسئله بهش دست می‌دهد. دقیقا جایی که می‌گویی: " آها… جواب این است!" من هم همین حس را موقع کشف آسیب پذیری دارم.

_ چه نوع آسیب پذیری‌هایی را بیش‌تر کشف کرده‌ای؟

۹۰ درصد آسیب پذیری‌هایی که در باگ بانتی پیدا کرده‌ام، آسیب پذیری منطقی بوده‌اند. البته آسیب پذیری های منطقی معمولا نیاز دارند تا درک بیشتری نسبت به کسب‌وکار هدف داشته باشی.

ویدئوهای مرتبط:

قسمت ۰۸ فصل ۰۲ پخش زنده‌ی شکار آسیب پذیری با محمدحسین آشفته یزدی

قسمت ۰۹ فصل ۰۲ پخش زنده‌ی شکار آسیب پذیری با محمدحسین آشفته یزدی

_ وقتی به سامانه‌ای سر می‌زنی، اول به سراغ چه نقاطی و بررسی چه آسیب‌پذیری‌هایی می‌روی؟

قسمت‌های موردعلاقه‌ی من در سامانه‌ها، مربوط به Authorization (کنترل سطح دسترسی) است. خیلی از باگ‌ها آن‌جا به وجود می‌آیند. اگر بخواهم کلاس حملات را بگویم، کلاس حملات Broken Access Control را خیلی دوست دارم. انتخاب اولم این نوع حملات است. بیش‌تر به سراغ آن‌ها می‌روم و بعدش به سراغ حملات فنی‌ای مثل XSS و ... .

_ چه رفتارهای ناامن یا امن کاربرهای اینترنت خوش‌حال، متعجب یا ناراحتت می‌کند؟

یکی از رفتارهایی که خیلی اذیتم می‌کند، این است که خیلی از کاربران اینترنت، مخصوصا افراد عادی، حواسشان به دسترسی‌ها یا Permissionهایی که به اپلیکیشن‌ها می‌دهند، نیست! مثلا وقتی اپلیکیشنی را از اینترنت نصب می‌کنند، به آن اپلیکیشن دسترسی‌هایی می‌دهند، مثل؛ مخاطبین، لوکیشن یا ... . که این‌ها بیش‌تر برای جاسوسی استفاده می‌شوند و مربوط به مبحث تروجان‌ها هستند. واقعا تعجب می‌کنم از این‌که مثلا چرا یک نرم‌افزار VPN باید دسترسی به رکورد صدا داشته باشد؟ چرا باید دسترسی‌های خاصی داشته باشد؟ مردم خیلی وقت‌ها به این موضوع توجه نمی‌کنند! و این برای من خیلی اذیت‌کننده است. قسمت خوبش این است که نسبت به گذشته، حالا فرهنگ‌سازی بیش‌تری شده و مردم نسبت به این قضایا کمی آگاه‌تر و حساس‌تر شده‌اند. ولی هم‌چنان این قضیه هست. ای کاش که ما در دوران دبیرستان یا دانشگاه، درسی با موضوع "رفتارهای ایمن در اینترنت" را داشتیم.

_ اگر بخواهی یک توصیه‌ی امنیتی به مردم بکنی، آن چیست؟

یکی از رفتارهای مخاطره‌آمیز مردم در فضای اینترنت، که بیش‌ترین معضل را در این زمینه داریم، این است که: افراد معمولا نرم‌افزاهایی را نصب می‌کنند، که ممکن است بدافزار باشند! یا روی لینک‌هایی کلیک می‌کنند که آن لینک‌ها نرم‌افزارهایی دانلود می‌کنند که ممکن است آلوده باشند. به نظر من بزرگ‌ترین مشکل در حال حاضر، همین مسائل است. اگر مردم، نرم‌افزارها را از منابع مورداطمینان مثل Play store ، App store یا مارکت‌های معتبر دانلود و نصب کنند، و از سایت‌های مختلف به‌صورت مستقیم نصب نکنند، روی هر لینکی کلیک نکنند و به‌طور کلی به این مسائل ریز کوچک توجه کنند، خیلی خوب می‌شود و خیلی از مشکلات حل می‌شود. پلیس فتا هم گاهی همین تذکر را در اس‌ام‌اس‌ها ارسال می‌کند. چون بیش‌تر حملاتی که اتفاق می‌افتند، به‌خاطر همین مسائل اند. البته که تحریم‌ها هم در این مورد بی‌تاثیر نیستند. به‌‌هرحال خیلی از اپلیکیشن‌ها برروی مارکت‌های بین‌المللی و رسمی قابل‌دسترسی نیستند.

_ یک روز تو چطور می‌گذرد؟

روز من از ساعت ۵:۳۰ صبح شروع می‌شوذ. ۳۰ دقیقه‌ی اول صبح به کارهای شخصی‌ام می پردازم. بعدش به‌سراغ چک‌کردن ایمیل‌ها و پیام‌هایم می‌روم. . ساعت ۶:۳۰ تا ۸:۳۰ را معمولا به ورزش اختصاص می‌دهم بعدش ساعت ۹ به محل کارم می‌روم. همیشه در ساعت‌های اولیه صبح به مطالعه می‌پردازم و بعدش به سراغ کارهایی که باید انجام شوند، می‌روم. نکته‌ای که در شخصیتم هست این است که اصلا دوست ندارم که روزهایم شبیه به روزهای دیگر زندگی‌ام باشد. به همین دلیل برنامه‌ی مشخصی برای هر روز ندارم. معمولا اول هفته یک لیست از کارهایم درست می‌کنم، کارهای کل آن هفته را مشخص می‌کنم، اما مشخص نمی‌کنم که هر کدام چه روز و چه زمانی باید انجام شوند. با توجه به حس‌وحالم در طول هفته سراغ انجامشان می‌روم. هر روز برای خانواده‌ام وقت می‌گذارم. به قول شخصیت ویتو در فیلم موردعلاقه‌ام، پدرخوانده:" مردی که برای خانواده‌اش وقت صرف نکند، هیچ‌وقت نمی‌توند یک مرد واقعی باشد. " اتمام روزم هم ساعت ۱۱:۳۰ شب است.

_ پادکست، سایت و منابع به‌خصوصی هستند که هر روز دنبالشان کنی؟

یکی از اصلی ترین منابعم Twitter است. بعدش پروژه‌های گیتهاب مثل؛ PayloadsAllTheThings و البته سایت .pentester.land

_ اوقات فراغتت را چطور می‌گذرانی؟ چه تفریحاتی داری؟

تفریحات زیادی دارم؛ بازی‌های کامپیوتری، دیدن فیلم‌های خوب، خوندن کتاب، (رمان کلاسیک دزیره‌ از کلاری و کتاب قوی سیاه از مورد‌علاقه هایم هستند) ، گشتن در یوتیوب، (کانال over simpilified را خیلی دوست دارم)، وقت گذراندن با دوستانم و البته فکرکردن به اهدافم.

_ فیلم موردعلاقه‌‌ات چیست؟

سخت‌ترین سوالتان همین است. :)

سه سری God Father و Once upon time in America و Eternal Sunshine of the Spotless Mind.

_ چه جالب. پس دوستانت رو نزدیک خودت نگه می‌داری، دشمنانت رو نزدیک‌تر؟ ؛)

سعی می‌کنم. ولی متاسفانه آدم‌ها مثل صفحات وب نیستند که Inspect Element بزنی تا بتوانی سورس‌کدشان را ببینی و بفهمی باطنشان چگونه است. سخت است که بفهمی دوست واقعی کیست.

_ چه تشبیه جالبی. اگر می‌شد، واقعا خوب می‌شد...

_ تو چه آرزویی برای حوزه‌ی امنیت داری؟

آرزویم برای حوزه‌ی امنیت بیش‌تر به مناطقی مربوط است که مثل تهران شرایط خیلی مهیایی ندارند، مثل جایی که خودم در آن زندگی می‌کنم. قطعا پتانسیل‌هایی در شهرستان‌ها هم وجود دارند. اما مثلا در جایی که من در آن زندگی می‌کنم، کامیونیتی امنیت قوی‌ای وجود ندارد، افراد کمی هستند. همان افراد کم هم معمولا برای تبادل اطلاعات و ... به تهران می‌روند. امیدوارم که شرایط مهیا شود و همه چیز منحصر به پایتخت نباشد. خیلی از اساتید خوب، در پایتخت هستند. موسسه‌هایی هستند که فقط آموزش حضوری دارند. البته الان که برخی آموزش‌ها غیرحضوری شده‌اند، شرایط بهتر شده. شما تصور کنید در زمانی که کلاس‌ها حضوری بود، برای افرادی که به‌صورت شخصی (نه از طرف سازمان یا شرکتی) از شهرهای دور از پایتخت می‌خواستند از این آموزش‌ها بهره‌مند شوند، حضور در کلاس‌ها برایشان خیلی سخت بود. پرداخت هزینه‌ها هم، خیلی سخت است. مخصوصا در دوره‌های پایه که ممکن است فراگیرانش شغلی نداشته باشند.

امیدوارم این مسائل حل شوند و کامیونیتی امنیت در شهرهای مختلف رشد کند. و افراد به‌خاطر فراگیری آموزش، خیلی با چالش جغرافیایی مواجه نشوند.

_ ما هم امیدواریم که شرایط بهتری برای تمام مناطق فراهم شود و کامیونیتی‌های شکارچی‌ها، هکرها و متخصصین امنیت در تمام شهرها رشد پیدا کند تا بستر غنی‌تری برای افراد فراهم شود. ممنون که وقتت را در اختیار ما قرار دادی محمدحسین عزیز.

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

گپ‌وگفتی با شکارچی؛ علیرضا رضایی

گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark)

ویدئوهای مرتبط:

قسمت ۰۸ فصل ۰۲ پخش زنده‌ی شکار آسیب پذیری با محمدحسین آشفته یزدی