گپ‌وگفتی با شکارچی آسیب پذیری؛ زهرا ایزدی امیری

گپ‌وگفتی با شکارچی آسیب پذیری؛ زهرا ایزدی امیری

۲,۲۱۰

در این بلاگ‌پست، به سراغ شکارچی آسیب‌پذیری دیگری رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ زهرا ایزدی امیری

زهرا یک شکارچی آسیب پذیری تمام‌وقت است. پیش از این، موقعیت‌های متنوع کاری را در حوزه‌ی امنیت و آی‌تی تجربه کرده است؛ متخصص تست نفوذ برنامه‌های تحت وب، کارشناس شبکه و ... . حدود ۶ سال است که در حوزه‌ی امنیت سایبری فعالیت می‌کند. دوستدار شعر، ادبیات و هنر است. آرزویش برای حوزه‌ی امنیت سایبری این است که در شرکت‌های داخلی توجه بیش‌تری به امنیت سایبری شود.

داخل پرانتز: این گپ‌وگفت در شهریورماه ۱۴۰۱ با زهرا ایزدی امیری انجام شده است.

_ اگر بخواهی خودت را در چند جمله خلاصه کنی، آن چند جمله، چه هستند؟ لطفا برایمان چند جمله از "زهرا ایزدی امیری" بگو، تا او را بیش‌تر بشناسیم.

زهرا ایزدی امیری هستم، دوستدار شعر، ادبیات و هنر.

معتقدم که امکان ندارد کارو مهارتی آن‌قدر سخت باشد، که انسان نتواند انجامش دهد. آن‌چه که باید به عنوان موتور حرکتی از آن استفاده کرد، علاقه است. اگر علاقه‌ی کافی را به کاری که انجام می‌دهیم داشته باشیم، از عهده‌ی هرکاری برمی‌آییم.

اکثر مواقع در بین خانواده و دوستان به‌عنوان یک آدم باپشتکار و گیک شناخته می‌شوم. این موضوع صرفا محدود به کار نیست. در جنبه‌های مختلف زندگی در رفتار من دیده می‌شود. درکنار آن، نگاه همه‌جانبه‌ای به ابعاد مختلف یک مسئله را می‌شود به‌عنوان دومین خصیصه‌ام مطرح کرد. به طور مثال؛ اگر بخواهم کتابی بخوانم، هرچند روز که طول بکشد، برنامه‌ی اصلی زندگی‌ام می‌شود. تحت‌تاثیر آن، برنامه‌ی غذاخوردنم بهم می‌ریزد و خوابم هم به‌شدت کم می‌شود. یا اگر بخواهم سریالی ببینم، باید تمام آن را تا آخر ببینم، در موردکارگردانش و طرز تفکرش، بازیگرانش، جوایزش، اخبارش و همه چیز مربوط به آن جست‌وجو می‌کنم.

که البته این دو خصیصه نیاز به مدیریت دارند؛ چه بسا که اگر از کنترل و مهار خارج شوند، مکن است نتیجه‌ی عکس داشته باشند.که البته گاهی هم به طبع ذات انسانی خارج و آزاردهنده می‌شوند.

_ چطور شد که سمت حوزه‌ی امنیت سایبری آمدی؟ چه شد که شکارچی آسیب‌پذیری شدی؟ این مسیر از آغازش تاکنون به‌شما چگونه گذشته است؟ چه مسیر و مراحلی را طی کرده‌ای؟

بنا بر مسئولیت‌های شغلی‌ام، کارهای مختلفی را انجام داده بودم؛ از passive شبکه گرفته، تا ادمینی شبکه و ... . همه را دوست داشتم، ولی خب هیچ‌کدامشان آن حس رضایت واقعی را در من ایجاد نمی‌کردند. از طرفی به حوزه‌ی امنیت سایبری هم علاقه و مطالعات محدودی درباره‌اش داشتم. تا این‌که از سال ۹۶ توانستم به‌صورت تمام‌وقت در این حوزه مشغول به کار شوم. این‌جا بود که حس خیلی خوبی نسبت به کارم در من ایجاد شد. از همان ابتدای فعالیتم تمرکزم روی تست نفوذ وب اپلیکیشن ها بود. پس از حدود یک سال، با باگ بانتی آشنا شدم و کار جالب و جذابی به نظرم می‌رسید. حدودا یک سال بعد، شروع به فعالیت در پلتفرم باگ بانتی هکروان کردم. با وجود این‌که در ابتدا نتایج قابل‌توجهی کسب نکردم، ولی خب ماهیت کار برایم جذاب بود. به همین دلیل بود که ناامید نشدم. یک سال پس از شروع فعالیت در حوزه‌ی باگ بانتی، توانستم خودم را در شرایطی که به نظرم مطلوب است، قرار دهم. الان با جرئت می توانم بگویم که این کار، همان کاری ست که می‌تواند باعث رضایت من شود.

_ ممکن است کمی از تجربه‌های کاری متنوعی که تا به حال داشته‌ای، برایمان بگویی؟

سال ۱۳۸۸ بود که در شهرستان شروع به کار کردم. حدود ۱ سال کارآموز بودم و مبلغی که دریافت می‌کردم به‌اندازه‌ی هزینه‌ی رفت‌وآمدم بود. کار تعمیرات Motherboard و موبایل انجام می‌دادم. پس از آن، از سال ۱۳۹۰ تا ۱۳۹۲، در زمان تحصیل در مقطع کارشناسی ارشد آی تی -گرایش تجارت الکترونیک- ، بعد از گذراندن دوره‌ی شبکه، در تهران مشغول به کار passive شبکه شدم. بعد از آن تا سال۱۳۹۴ ادمین شبکه‌ی یک هلدینگ بودم. سپس با توجه به رشته‌ی تحصیلی‌ام، به مدت ۲ سال به‌عنوان تحلیل‌گر CRM در هلدینگی مشغول به کار شدم. از سال ۱۳۹۶ با گذراندن دوره‌های امنیت در زمینه‌ی تست نفوذ مشغول به کار شدم. در طی تمام مدت فعالیتم در دنیای کامپیوتر، همه چیز را دوست داشتم. ولی چیزی که واقعا جذبم کرد، امنیت سایبری بود؛ مخصوصا حوزه‌ی تست نفوذ وب اپلیکشن ها. البته ۲ سال اخیر WAF هم کار کرده‌ام. با توجه به تجربیاتی که در حوزه‌ی Offensive (هجومی) اشتم، توانستم به خوبی در بخش Defensive (دفاعی) هم راه بیفتم.

پیشنهاد خواندنی: تقابل هجوم و دفاع در امنیت سایبری

_ به عنوان یک خانم، آیا رفتارهای متفاوتی را در حوزه‌ی امنیت سایبری تجربه کرده‌ای؟

این‌که در بعضی موارد دید نامناسبی نسبت به توانمندی‌های خانم‌ها وجود دارد، را کتمان نمی‌کنم. ولی به شخصه هیچ‌‌وقت خودم را درگیر چنین مسائلی نکرده‌ام. همیشه تمرکزم را برروی افزایش دانش و توانمندی‌‌هایم در زمینه‌ی موردعلاقه‌م قرار داده‌ام. فکر می کنم اگر خانمی دانش و تخصص قابل‌توجهی داشته باشد، نمی‌شود او را نادیده گرفت یا به او توجهی نکرد.

_ چه رفتارهای ناامن یا امن کاربران اینترنت برایتان جالب‌‌توجه است؟

نصب نرم افزارهای موبایل از ‌‌‌Sourceهای غیرمعتبر. هم‌چنین نرم افزارهای Crack که به شکل بسیار گسترده در کشور ما استفاده می‌شوند و اشخاص و سازمان‌ها را در معرض خطر نفوذ به سیستم‌ها و نشت اطلاعات آن‌ها قرار می‌دهد. این یک رفتار ناامن است که گاهی از سوی برخی افراد شاغل در حوزه آی تی نیز دیده می‌شود. یک مورد دیگر هم، آسیب پذیربودن شدید عموم مردم در برابر حملات مهندسی اجتماعی است؛ به‌سادگی اعتمادکردن به هر پیامی برایم جالب است. امیدوارم که با آموزش‌های مستمر توسط رسانه‌های عمومی و سازمان‌‌ها، آگاهی عموم مردم و کارکنان سازمان‌های مختلف در این خصوص بیشتر شود.

پیشنهاد خواندنی: رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم. (قسمت اول)

_ هک، در لغت‌نامه‌ی شخصی زهرا ایزدی امیری، چگونه تعریف می‌شود؟

به صورت کلی هک را می‌شود فرآیند جمع‌آوری اطلاعات یا هرچیزی، به روشی بدیع دانست. طوری‌که منجر به چیز جالب یا مفیدی شود. در زمینه‌ی کامپیوتر، هک یعنی: شناسایی نقطه‌ضعف‌ها یا آسیب پذیری های یک سیستم، ورود به سیستم از طریق آن‌ها و اجبار آن سیستم به انجام اعمال موردنظر نفوذگر.

پیشنهاد خواندنی: تعریف هک از نگاه هکرها

_ تابه‌امروز شاهد چه تجربه‌های ناموفقی در امنیت کسب‌وکارها بوده‌ای؟

در کسب و کارهایی که در آن‌ها فعالیت کرده‌ام، شاهد تجربه‌های ناموفق زیادی دررابطه با امنیت سایبری بوده‌ام. به نظرم مهم‌ترین دلیل این ناکامی‌ها، خلأ و نبود استراتژی و مدیریت درست بود. هم‌چنین توجه ناکافی مدیران شرکت‌‌ها به امنیت سایبری و استفاده‌نکردن مدیران امنیت از افراد توانا و متخصصی که اهلِ شوآف نیستند.

_ به نظر شما برای تقویت فرهنگ" اهمیت به امنیت سایبری" چه می‌شود کرد؟

موثرترین اقدامی که می توان در این مورد انجام داد، آشناکردن مدیران سازمان‌ها، شرکت‌‌ها و یا زیرساخت‌های حیاتی کشور با مسئله‌ی بسیار مهم امنیت سایبری است. این مدیران رده بالا هستند که باید اهمیت این فضا را درک کنند تا بتوانند افراد متخصص و توانمند را برای هدایت موضوع امنیت سایبری سازمان یا زیرساخت خود استخدام کنند و از هزینه‌ی قابل‌‌توجه در امنیت سایبری روی‌‌گردان نباشند.

پیشنهاد خواندنی: چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟

_ آرزویت برای حوزه‌ی امنیت سایبری چیست؟

آرزو می کنم که توجه شرکت‌های داخلی به امنیت سایبری بیشتر شود. شرکت‌ها از افراد توانمند برای موقعیت‌های شغلی در این حوزه استفاده کنند و بودجه‌ی کافی برای توسعه‌ی سخت‌افزاری و نرم‌افزاری واحدها و تیم‌های امنیت در نظر بگیرند.

_ آیا سوال یا نکته‌ای بود که ما مطرح نکردیم، اما شما دوست داشتی که مطرح شود؟

امیدوارم در امنیت سایبری بیشتر از صحبت‌ کردن و شوآف، به فهم و دانش عمیق دست پیدا کنیم. نتیجه و یا بحث مالی، محرک اصلی‌مان نباشد. چراکه مهارت و دانش، در درازمدت خودبه‌خود باعث کسب درآمد می‌شود و این چیزی ست که باعث می‌شود همیشه در این بازار رقابتی، باقی بمانیم. به نظرم به‌اشتراک‌گذاری دانش هم مسئله‌ی مهمی ست که باعث گسترش و بهبود دانش امنیت سایبری موجود می‌شود. اگر مشکلی در تمرکز شخص ایجاد نکند، از نظر فردی هم مفید خواهد بود.

_ ممنون زهرای عزیز. از گفت‌وگو با شما لذت بردیم. ما هم فرداهای بهتر و غنی‌تری را برای حوزه‌ی امنیت سایبری آرزو داریم.

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark)

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ رضا شریف‌زاده

گپ‌وگفتی با شکارچی؛ محمدحسین آشفته‌یزدی (sec_zone64)

چگونه توانستم آسیب پذیری ۶۰ میلیون تومانی Mass Assignment را برروی وبسایت راورو کشف کنم؟ (رایتاپ محمدجواد بناروئی)