در این بلاگ‌پست، به سراغ یکی از شکارچی‌های راورو، رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ ارغوان کامیار(Spark@)

ارغوان حدود ۷ سال است که در حوزه‌ی آی‌تی فعالیت می‌کند. متخصص تست نفوذ اپلیکیشن‌های تحت وب است. به زنجیرکردن چند آسیب پذیری‌ به‌هم علاقه‌ی زیادی دارد. لحظه‌ی کشف آسیب پذیری برایش مانند این است که در تاریکی، ناگهان جرقه‌ی بزرگی زده شود.

_ اگر بخواهی برایمان چند جمله از ارغوان بگویی تا ما بیش‌تر با او آشنا شویم، چه می‎‌گویی؟

من از سن خیلی کم، با کامپیوتر بزرگ شده‌‌ام. برای همین خیلی عجیب نبوده که شغلم را هم مرتبط با کامپیوتر انتخاب کنم. دامنه‌ی علایقم خیلی وسیع است: از روان‌شناسی و فیزیک گرفته تا امنیت سایبری، نقاشی و موزیک. سعی هم می­‌کنم سمت همه‌ی آن‌ها بروم، و تجربه‌ای از هر کدامشان داشته باشم. ولی خوب چیزی که دوست داشتم به عنوان حرفه‌­ام دنبال کنم، آی­‌تی بود. کنجکاویم و میل به هیجان، من را سمت امنیت سایبری و حوزه‌ی وب کشاند.

_ پس پیشینه و خاطراتی از کامپیوتر، در کودکی شما وجود دارد. از کودکی ویژگی‌هایی مثل کنجکاوی و میل به هیجان وجود داشته است. و بعد متوجه شدی که حوزه‌ی امنیت سایبری با روحیه شما و این ویژگی‌ها سازگاری بیش‌تری دارد و به همین دلیل انتخابش کردی.

بله، از سن خیلی کم؛ شاید ۱۲ سالگی. حتی شاید قبل از آن هم بوده­ است. حالا یادم نیست آن‌موقع و در آن سن دقیقا دنبال چه بوده‌ام، اما خاطرم هست که علاقه داشتم و خیلی سمت کامپیوتر کشانده می­‌شدم. به این فکر می­‌کردم و فکر می­‌کنم که "چیزهای مختلف چطور کار می­­‌کنند؟" و "پشتشان چه چیزی است؟" همیشه این موضوع برایم جالب است. و خب از سنی به‌بعد، این علاقه برایم بیش‌تر شد. سبک‌وسنگین هم کردم و به این نتیجه رسیدم که به عنوان شغلم، آی‌تی را دوست دارم.

به‌نظرم این‌که آدم در مسیر شغلیش بتواند آن راهی را که با روحیه‌­اش سازگار باشد، پیدا کند، واقعا خیلی مهم است. گاهی اوقات آدم شانس می آورد، گاهی اوقات با آگاهی خودش متوجه می‌شود و این کار را می­‌کند و گاهی اوقات هم پیدا نمی­‌کند.

_ و به سمت آی‌تی آمدی...

من اوایل که شروع کردم، به‌عنوان برنامه­­‌نویس کار می‌­کردم. چند سال قبل این‌طور بود که می‎‌گفتند برنامه‌نویسی شغل پول‌سازی است و هزینه‌ی کمی می­‌خواهد؛ می‌­گفتند یک لپ‌تاپ (که آن سال‌ها ارزان بود) می‌خرید، می­‌نشینید کد می‌­زنید، می­‌فروشید، پولتان را می­‌گیرید و دردسر هم ندارد.

ولی من واقعا با این نیت سمت برنامه‌نویسی نرفتم! خب بالاخره برایم یک پلن B بود. سمت برنامه‌نویسی وب رفتم و شروع کردم. این دوره­ای که دارم برایتان می­‌گویم همزمان شده­ بود با زمانی که در پونیشا، مردم با ۵۰ هزار تومان پروژه می­‌گرفتند! خب در این شرایط شانس کمی وجود داشت که بخواهید از طریق این پلتفرم‌ها طراحی سایت انجام بدهید و پروژه بگیرید. مدتی که گذشت، فهمیدم این مدل که دائم شخصی بخواهد به من بگوید که این تسک‌ها را چطور بنویسم، پروژه را چطور انجام بدهم و تغییرش بدهم و غیره، با روحیه‌ام همسو نیست. من یک آدم برون‌گرا هستم. حدود دو، سه سالی کار کردم. و بعد دیگر اصلا این مدل کارکردن را دوست نداشتم. تحقیق­‌هایی کردم، به این نتیجه رسیدم که یه حوزه‌ی جذابی هست به اسم امنیت سایبری. خب من با وب هم آشنا بودم، خیلی درکش می­‌کردم، به همین دلیل سمت امنیت وب آمدم. و این سال‌­ها هم کارهایم در حوزه‌ی امنیت وب بوده است.

_ یعنی چند سال است که وارد حوزه‌ی امنیت شده‌ای؟

به‌طورکلی، تجربه‌ی ۳، ۴ سالی کار کردن در حوزه‌ی امنیت سایبری را دارم. شانسی که داشتم این بود که من در دانشگاه آی‌تی خوانده بودم و این‌که از همان اول در بازار حرفه­‌ای کار کردم. تجربه‌های کاری‌ام فقط مرتبط به آی‌تی بوده و کار متفرقه­‌ای نکرده‌ام، برای همین خوب توانستم پیش بروم.

قبل از این‌که وارد حوزه‌ی امنیت سایبری بشوم، یعنی تا ۱۸ سالگی، دیدگاهم این نبود که کامپیوتر حوزه‌ی مردانه­‌تری به حساب می‌آید. من اصلا در حوزه‌ی خودم این دیدگاه را نداشتم، از سازوکار کامپیوتر خوشم می­‌آمد. وقتی‌که واردش شدم، متوجه شدم که چطور است و چقدر تعداد خانم‌ها نسبت به مردها کم است! حتی در بین کسانی که با خودم هم‌دانشگاهی بودند، تعداد کمی از هم‌کلاسی‌های خانم من وارد بازار کار آی‌تی شدند.

_ این تجربه برایت چطور بوده و چطور گذشته است؟

از دو نگاه می‌شود پاسخ داد؛ از این نظر که در مکان­‌هایی کار می­‌کنم که بیش‌تر آقا هستند و خانم نیستند، برایم موضوع و چالش مهمی نبوده است. چون من به آدم‌ها دیدگاه جنسیتی ندارم. برای همین از این نظر، خیلی برایم سخت نیست. ولی خوب از نظر برخوردهایی که در این سال‌ها با من به‌عنوان یک زن داشته‌اند، خیلی تجربه‌های عجیب و متنوعی داشته‌ام.

_ اگر امکانش هست، دوست داریم از تجربه‌های متنوعت که به آن اشاره‌ کردی، به‌عنوان یک زن در حوزه‌ی امنیت سایبری، بیش‌تر بشنویم.

من در محیط­‌های متنوعی کار کرده‌ام، از بانک، شرکت‌­های دولتی و خصوصی و ... . در تجربه‌هایم، آدم‌­ها و برخوردهای متنوعی هم در این محیط‌ها دیده‌ام.

در برخی سازمان­‌ها حضور خانم­‌ها آن‌قدر غیرمعمول بود که برای ورودشان نیاز به مجوز بود! می­‌گفتند برای ورود خانم­‌ها نیاز به مجوز است و هماهنگ نشده. بعضی از مکان­‌های دولتی از این جنس بوده‌اند.

در بعضی جاها به‌عنوان کارشناس خانم شما را می‌پذیرفتند ولی می­‌گفتند: " چه کسی قرار است کارتان را تایید کند؟" حتما باید یک آقا می­‌بود که کار شما را تایید کند!

در بعضی مکان­‌ها هم رفتارهایشان حمایت‌آمیز و تشویق‌کننده بود. طوری که نظرشان مشوقت بود. خوش‌بختانه این مدل رفتار را هم دیده‌ام.

رفتارها خیلی متنوع بوده است. فکر می­‌کنم در مورد آقایان این‌طور نیست. این مدل تفاوت‌های رفتاری را شاید کم‌تر تجربه کنند.

_ تجربه‌های متنوع و قابل‌توجهی بوده‌اند!

بله، خاطره‌ی جالب دیگری هم دارم. چندوقت گذشته که پروژه‌ای را تحویل دادم، آن شخصی که پروژه را از من تحویل گرفتند، بررسی کردند و به‌قصد تعریف در بازخوردشان گفتند: خیلی خوب بود. نتیجه‌ی کارتان را خیلی دوست داشتیم. انتظار نداشتیم که یک خانم بتواند این کار را بکند! می­‌خواستند از من تعریف کنند. ظاهرا تعریف بود ولی پشتش را که می‌­بینی، متوجه می‌شوی واقعا چه دیدگاهی وجود دارد؛ فکر می‌­کنند خانم‌­ها نمی‌­توانند و چون نمی‌­توانند، در این حوزه نیستند! در صورتی‌که واقعا این‌طور نیست. دلیل این‌که خیلی از خانم‌­ها سمت این حوزه نمی­­‌آیند، این نیست که نمی­‌توانند! حتما دلایل مختلفی دارد!

_ ناراحت‌کننده بودنش کاملا قابل‌درک است وانتظار انصاف بیش‌تری می‌رود.

بله. البته الان اوضاع کمی بهتر شده است. در چند سال گذشته، نگاه بالا به پایین خیلی شدید بود! اوایل من را خیلی آزار می­‌داد. بعد به این فکر کردم که این دیدگاه و پیش­‌فرضی که دارند، در یک روز، یک ماه یا یک سال ایجاد نشده که قرار باشد یک دکمه را بزنی و حل بشود! یا این‌که چند نفر خانم بیایند، کار کنند و این دیدگاه عوض شود! بالاخره این چیزی است که طی این سال­‌ها به وجود آمده است. من این شغل را انتخاب کرده‌ام و باید با این موارد کنار بیایم و بپذیرم که در فضای کاری من هم‌چین دیدگاه غلطی وجود دارد. این برخوردها واقعا انرژی آدم را می‌گیرد، ولی خب این‌طور نگاهش می‌کنم که کار می‌­کنی و بالاخره می­‌شناسندت.

آدم­‌هایی هستند که بهم می‌­گویند: "خب شما استثنا هستید!" من فکر نمی‌کنم استثنا هستم. اگر خانم‌­ها هم مثل آقایان، تعدادشان در حوزه‌ی امنیت سایبری زیاد بود، خانم‌­های موفق زیادی هم در این حوزه داشتیم. مگر تمام آقایانی که در حوزه‌ی امنیت سایبری کار می­‌کنند، موفق هستند؟ تعدادی خوب هستند و سطح بالا کار می­­‌کنند، تعدادی متوسط هستند، تعدادی هم نه. در مورد خانم­‌ها هم همین‌طور است. فقط چون تعدادشان زیاد نیست، مشخص نمی­‌شود.

_ بله، با شما کاملا موافقیم.

پیشنهاد خواندنی: برخی از مصائب و چالش‌های هکر بودن

_ حوزه‌ی تخصصی شما کار برروی وب است؟

بیش‌تر کار تست نفوذ وب انجام داده‌ام تا باگ هانتینگ و باگ­­ بانتی. ولی خوب کلا وب و موبایل کار کرده‌ام.

کار تست نفوذ وبم را از یک سازمان خیلی بزرگی شروع کردم! الان که دارم بهش فکر می­‌کنم، با خودم می‌گویم چه اعتمادبه­‌نفسی داشته‌ام. سابقه‌ی کاری نداشتم و ‌چنین کاری کردم! یادم است که اولین آسیب­ پذیری‌ای هم که آن‌جا پیدا کردم، این بود که توانستم سورس‌کدشان را از سایتشان دانلود کنم و این خیلی ­خوب بود. خیلی دستمان را باز کرد برای این‌که بتوانیم آسیب­ پذیری‌­های بیش‌تری را پیدا کنیم.

_ به‌صورت جعبه سفید یا جعبه سیاه؟

جعبه سیاه بود.

_ چه تجربه‌ی اول جذاب و هیجان‌انگیزی بوده.

_ وقتی می‌خواهی پروژه یا تست نفوذی را شروع کنی و آسیب پذیری‌هایش را کشف کنی، معمولا از کدام نقاط وبسایت یا موبایل شروع می‌کنی؟ کجا برای شکار کمین می‌­کنی؟

من دو کار را اول از همه انجام می‌دهم؛

اولین کاری که می­‌کنم حداکثر URL هایی که می­‌توانم را به هر روشی از وبسایت در­می‌­آورم. این URLها را بادقت مشاهده می‌کنم و به‌دنبال آسیب پذیری‌ها می‌گردم. اگر قسمت آپلود داشته باشد،حتما اولین جایی که سراغش می­‌روم، همان بخش است.

خودم هم به سراغ استفاده از اپلیکیشن می‌روم. بررسی می‌کنم که چه فانکشن­‌هایی دارد.

_ پس از بررسی URLها، حتما اولین کارت این است که شل آپلود کنی...

سعی ام را می­‌کنم.

البته آخرین باری که با مجوز مدیر امنیت دسترسی شل گرفتم، در نهایت مالک وب سایت به دروغ به مدیر سازمانشان شکایت کرد که من سرورهایشان را مختل کرده‌ام. در صورتی که من برای PoC فقط یک دستور dir اجرا کرده بودم!

_ چه دلیلی! چه منطقی! :)

_ آسیب­ پذیری محبوبت چیست؟ چه آسیب­ پذیری ­هایی را بیش‌تر مثلا در همان قسمت آپلود فایل بررسی می‌­کنی؟

آسیب­ پذیری محبوبم گرفتن دسترسی شل است. ولی آسیب­ پذیری­ هایی که به نشت دیتا منجر می‌شوند و یا به بایپس‌کردن مکانیزم‌های Authorization و Authentication منجر می‌­شود، برایم خیلی هیجان­‌انگیز است.

_ در تجربه‌ی شما آسیب پذیری هایی که پیدا کرده‌اید، بیش‌تر مربوط به چه نقاطی از سامانه‌ها بوده‌اند؟ چه نقطه­‌هایی از سامانه­‌ها بیشتر آسیب ­­پذیر بوده‎‌اند؟

این را که می­‌گویم کلی است و منجر به آسیب­ پذیری متنوعی می­‌شود ولی در کل کانفیگ‌های نادرست، مشکل در Input Validation و کنترل نکردن دسترسی ها و ...

_ آسیب­‌پذیری‌ای را به یاد می‌آوری که کشفش خیلی لذت­‌بخش بوده باشد؟ برایمان از آن تعریف می‌کنی؟

من Chain کردن آسیب­ پذیری­ ها را خیلی دوست دارمیک آسیب­ پذیری پیدا کرده بودم که نقطه‌­ی شروعش جایی بود که برنامه‌نویس موقع ثبت‌نام کاربر قسمتی از کد را که مربوط به انتخاب role بود کامنت کرده بود . می توانستید کد را از کامنت خارج کنید و roleی­ که با آن ثبت­‌نام می­‌کنید را از یوزر به حالت دیگری تغییر دهید و با آن role خاص بعضی ازURL­هایی که من از جای دیگری دست­ آورده بودم را می­‌توانستید باز کنید و دسترسی به بخش‌هایی داشته باشید که کاربر عادی نمی‌تواند. بعد تغییرات را در پنل ادمین ایجاد می‌کردی و خریدت را انجام می‌دادی و بدون این که رد و نشانی باقی بماند خارج می‌شدی.

_ بله، به همین زیبایی.

بله، اصلا باگ پیچیده­‌ای هم نبود. ولی از ترکیب همین چند مورد ساده به دست آمده بود. آسیب پذیری‌­های این مدلی زیاد داشتم.

_ این Chain‌کردن آسیب پذیری‌ها خیلی لذت‌بخش است.

معمولا برای ریکان از چه ابزاری استفاده می­‌کنی؟

برای ریکان، از ابزارهایی که معروف هستند، استفاده می‌کنم. با Golang ، Rust و ... ابزارهای خیلی­ خوبی نوشته شده و سرعت خوبی هم دارد. پیشنهاد هم می‌­کنم که آدم‌­هایی که دارند در این حوزه کار را می­‌کنند، این ابزارها را امتحان کنند.

BurpSuite هم که ابزاری است که همه استفاده می­‌کنند؛ از افراد تازه‌کار تا متخصص سطح بالا. منتها وقتی Extensionهای مختلفش را بیش‌تر بشناسی و با ابزارهای مختلف هم کار کرده باشی، کمک می‌کند که بتوانی ابزارها را باهم Chain کنی و خروجی کامل‌تری بگیری. و خب یک شکارچی لازم است که دائما آپدیت هم باشد، چون ابزارهای به‌­روزی هم می­‌آید.

ابزارهایی که زیاد استفاده می­‌کنم، این‌ها هستند؛ nuclei، feroxbuster، gospider،ffuf، subfinder ، gau و خیلی ابزارهای دیگر.

از ابزارهای شناخته‌شده‌استفاده می‌کنم. ابزارهای شخصی‌ای هم نوشتم و استفاده می‌کنم که کارم را سریع­‌تر می‌کنند و سعی می­‌کنم تکیه‌­ام به آن‌­ها باشد.

پیشنهاد خواندنی: ابزارهای شکار توصیه‌شده‌ی شکارچیان آسیب پذیری

_ شکار و کشف آسیب­ پذیری برای شما چه حسی دارد؟ از حس‌وحال مواقعی که آسیب ­پذیری‌ای را کشف می­‌کنی، برایمان بگو.

من از پیداکردن آسیب پذیری خیلی هیجان­‌زده می­‌شوم. چند سالی ست که دارم کار می­‌کنم ولی هنوز وقتی یک آسیب پذیری بحرانی را پیدا می‌­کنم، حسابی هیجان زده می شوم. برایم عادی نمی­‌شود. از پیدا کردن آسیب پذیری خیلی انرژی می­‌گیرم. لحظه‌ی کشف آسیب پذیری برایم این‌طور است که انگار در تاریکی باشیم و یهویی جرقه­­‌ی بزرگی زده شود. واقعا همه‌ی سختی‌­ها و خستگی‌­هایم را می­‌برد! فارغ از این‌که به پول می­‌رسد یا نمی­‌رسد. از خود کشف آن آسیب پذیری خیلی خوشحال می­‌شوم.

_ پس دلیل انتخاب عنوان آیدیت " Spark" در راورو از این‌ نگاه می‌آید...

بله.

_ هک در دنیای شما و با ادبیات شما چطور تعریف می‌شود؟

نمی­‌توانم بگویم که برای من یک تعریف به­‌خصوصی دارد.

یک تعریف کلی که در مورد "هک" وجود دارد که همه شنیدیم، این است:" اول باید درک کنید چیزهای مختلف چطور کار می­‌کنند تا بعد بتوانید طوری از آن‌ها استفاده کنید که قرار نبوده است." درست است که فقط یک جمله است ولی پشتش واقعا یک دنیایی است! برای من این تعریف جالبی است.

_ بله، همین اتفاق می‌­افتد. یعنی یک سیستم قرار است کاری کند، ولی کاری بکنی که آن کار را نکند و یک کار دیگری بکند.

بله. برای کسی که تکنولوژی را دوست داشته باشد، صبر داشته باشد، چالش­‌پذیر باشد و اشتیاق یادگرفتن داشته باشد، واقعا فرآیند جذابی است. فارغ از این‌که خانم یا آقا است، اگر این ویژگی­‌ها را داشته باشد، فکر می­‌کنم می­‌تواند فرد موفقی شود. اوایلش ممکن است خیلی ناامیدکننده باشد، مثلا: کسی که بخواهد کارش را شروع کند، شاید آگهی‌­ها را ببیند و باخودش بگوید:"اگر من الان شروع کنم، حقوق ماهانه­‌ام از کسی که کار اداری یا دفتری انجام می­‌دهد، شاید مقداری بالاتر و یا پایین­‌تر باشد." ولی شغلی است که این‌جا وضعیتش همین است، صبر و تلاش زیادی می­‌خواهد. تلاش هرروزه، کنجکاوی و اشتیاق می­‌خواهد، وگرنه اگر صرفا بحث کسب درآمد است واقعا باید برود شغل‌­های دیگری را انتخاب کند. تنها چیزی که می‌تواند آدم را در این حوزه نگه ­دارد، علاقه است. مخصوصا در کشور ما. مثلا: اگر فردی اینجا ۵ سال تلاش می­‌کند تا به آن نقطه­‌ای که بخواهد برسد، شاید در کشور دیگری تلاش می­‌کرد، زودتر به آن، می­‌رسید. ولی این‌جا تلاش بیش‌تری می­‌خواهد.

_ بله. زمان، جزو مواردی است که تاثیر می­‌گذارد. ولی چیزی که می­‌ماند و می‌­تواند آدم را نگه دارد، همان علاقه است.

پیشنهاد خواندنی: تعریف هک از نگاه هکرها

ـ به‌عنوان فردی که در حوزه‌ی امنیت سایبری کار می­‌کند، یک روز شما چطور می­‌گذرد؟

بخشی از زمانم را به کارهای روزانه­‌ام و تسک هایی که در محیط کارم به من سپرده شده اختصاص می‌دهم؛ به جز اینها، اگر پروژه‌ی تست نفوذ داشته باشم، آن را انجام می‌دهم.

بخشی از زمانم حتما برای این است که خبرهایی که در طول روز منتشر را بخوانم و چک کنم. این لازمه‌ی شغل من است وگرنه آدم از مدار خارج می­‌شود. این یادگرفتن هر­روزه، خیلی به من انرژی هم می‌­دهد. یعنی اگر یک روز چیزی یاد نگرفته باشم، فکر می‌کنم تمام روزم را هدر داده‌ام! فکر می‌­کنم یک ویژگی برای کسی که می­‌خواهد در حوزه‌ی امنیت سایبری کار کند، این است که واقعا باید هر روز پذیرای یادگرفتن چیز­های جدید باشد و خسته نشود.

و بخش دیگری از زمانم را بین کتاب‌خواندن و رایت­اپ‌خواندن تقسیم می­‌کنم. تا ببینم کلا در این حوزه در دنیا چه خبر است.

ساعت کاری‌م به ظاهر بعد از ۸، ۹ ساعت تمام می­‌شود، ولی خوب اوقات‌­فراغت و استراحتم را هم با کامپیوتر، لپتاپ و کارم مشغول هستم و ادامه‌ی کارم را انجام می­‌دهم. هم کار و هم تفریحم حساب می‌­شود، چون با علاقه این کار را می‌­کنم. وگرنه کسانی هستند که ۸، ۹ ساعت کار می­‌کنند و می­‌گویند کارم تمام شد و حالا دنبال زندگیم بروم. من این‌طور نیستم.

_ پس یک روز زندگی شما به‌عنوان یک متخصص امنیت و هکر این‌گونه می‌گذرد...

_ شما در جامعه، نگاه به "هکر" را چطور تجربه کرده‌ای؟

در مورد تصور اطرافیان در مورد هکرها، نگاه‌های متفاوتی وجود دارد. برای برخی افراد "هکر" مترادف با "دزد" است! معمولا آدم­‌هایی که در این حوزه نیستند و با آن آشنایی ندارند، هکرها را به عنوان مجرم می‌بینند. تصویری که از هکرها دارند این است که یک کلاه سیاه روی سرشان کشیده‌اند. می­‌گویند این افراد هکر هستند. این‌که هک قانونی وجود دارد و می‌­شود از آن درآمد داشت، برایشان تعریف‌شده نیست!

نوع دیگری از برخورد جالبی که من می­‌بینم، این است که مثلا بعضی از آدم­‌ها شغل من را که متوجه می شوند می‌ترسند! می‌­ترسند حتی موبایلشان را دست کسی که شغلش این است بدهند! یعنی فکر می­‌کنند الان من دکمه­‌ای می­‌زنم و تمام حساب­‌ها و گوشیشان خالی می­‌شود وهزار اتفاق دیگر هم برایشان می­‌افتد. ین ترس را هم من در نگاه بعضی از افراد می­‌بینم.

این‌طور است که من ترجیح می­‌دهم وقتی کسی شغلم را می‌پرسد، اگر بدانم آن فرد خیلی اطلاعی از این حوزه ندارد، می­‌گویم با کامپیوتر کار می­‌کنم و توضیحی نمی‌­دهم.

_ بله، فرهنگ و نگاهی است که خیلی زمان می­‌برد تا تغییری ایجاد شود.

بله. به‌نظرم باید اطلاع­‌رسانی شود. این اطلاع‌رسانی برای خود مردم هم خوب است، از همه‌ی سوءاستفاده­‌هایی که دارد اتفاق می‌­ا‌فتد، کم می­‌شود. و هم این‌که به این کمک می‌کند که به­‌هرحال "هک" به‌عنوان یک شغل پذیرفته شود.و اینکه همه هکرها دزد و خلافکار نیستند.

من بارها برایم پیش آمده است که وقتی شغلم را گفته‌اند، بهم گفتند:" شغلتان به قیافه‌­تان نمی­‌خورد!"!می­‌گویم: " یعنی کسی که شغلش این است باید چه شکلی باشد؟!"

_ توصیف جالبی از دسته‌های افراد داشتید؛ بعضی­‌هایشان ناآگاهند و می­‌ترسند و بعضی­‌هایشان کمی آگاهی دارند و باز مقداری ترس دارند. دسته‌ی دیگری هم هستند که با فهمیدن شغل هکرها، درخواست­‌های مختلف­شان شروع می­‌شود!

داغ دلم تازه می­‌شود! خیلی­‌ها می­‌گویند: "هک اینستا هم انجام می‌دهید؟ تلگرام فردی را می­‌توانید برایم هک کنید؟" می­‌گویم: "کار من اصلا این موارد نیست!" می‌­گویند: "بعضی از افراد پکیج دارند و هک صددرصد اینستاگرام را می­‌فروشند.

_ بله. تامین امنیت پیج اینستاگرام هم که راه افتاده است، بعضی ازافراد به همین بهانه می­‌گویند: ما این نوع از امنیت را می­‌خواهیم!

بله، ما امنیت کل سرور و اپ اینستاگرام را تامین می­‌کنیم! :) به نظرم کسانی که در این حوزه فعالیت می­‌کنند باید به اندازه‌ی خودشان آگاهی­‌رسانی کنند. من به اندازه‌ی خودم واقعا دارم این کار را می­‌کنم. سعی می­‌کنم به آدم­‌ها بگویم: این افرادی که می­‌گویند امنیت پیج اینستاگرام را تامین می­‌کنیم، شیاد و دروغ‌گو هستند. من وقتی با دلیل برایشان توضیح می­‌دهم، می‌­پذیرند. ولی خوب هرکسی که در این حوزه فعالیت می­‌کند، اگر این کار را کند، کم­‌کم آدم­‌ها چشمشان باز می­‌شود. بالاخره این اطلاعات از یک جایی باید بیاید.

مشکلی که وجود دارد این است که بعضی از افرادی که در این حوزه کار می­‌کنند، خودشان به کلاهبردار تبدیل می‌­شوند و از ناآگاهی مردم سوءاستفاده می­‌کنند. خیلی ناراحت‌کننده است.

تبلیغات بعضی آدم‌هایی که خودشان را متخصص این حوزه معرفی می‌کنند، را می‌بینم که چطور سر آدم‌ها به خصوص نوجوان‌های علاقه‌مند، کلاه می‌گذارند. این افراد را که می­‌بینم خیلی دلم می­‌سوزد، ولی واقعا کاری از دستم بر­نمی‌­آید که بخواهم همه‌ی آدم‌­ها را آگاه کنم! ولی به اندازه­‌ای که بتوانم این کار را می­‌کنم. البته اکثراوقات هم آدم محکوم می­‌شود! وقتی چیزی می‌گویی، می­‌گویند: "می­‌خواهی این افراد را تخریب کنید؟! اگر جسارت دارید خودتان پول دربیاورید! اگر می­‌توانستید خودتان این­ کار را می­‌کردید! این موارد را هم می­‌شنوم، ولی سعی می­‌کنم این کار را کنم چون واقعا دلم می‌­­سوزد وقتی این افراد را می­‌بینم.

پیشنهاد خواندنی: قوانین و فرهنگ باگ بانتی در ایران

_ چه خاطره‌هایی از کار با کامپیوتر داری؟

خوب یادم است که از اینترنت Dial Up استفاده می‌­کردیم، موقع استفاده تلفن خانه قطع می­‌شد و دائم مشغول بود و قبض‌­های سنگین می­‌آمد! برای این‌که چنین اتفاقی پیش نیاید، من مثلا شب تا صبح کانکت می­‌شدم و یک پتو هم برروی کیس می­‌انداختم تا صدایش را کمتر کند و بتوانم ازش استفاده کنم. ولی باز هم قبض­‌هایی که آخر ماه می­‌آمد، کار را خراب می­‌کرد!

_ اوهوم، بله همگی خیلی خاطره‌های مشابهی داریم...

واقعا جذاب بود. من اتفاقا در همان سن، آن­‌موقع یاهومسنجر باب بود و همه استفاده می­‌کردند. من آن‌جا هک شدم! فردی برایم فایلی فرستاد، من سر در نمی‌آوردم که که ممکن است چه شود!. فکر کنم به اسم فایل عکس هم برایم فرستاده بود،نام فایل را طولانی کرده بود که من متوجه پسوندش نشدم. پسوندش هم exe بود. من فایل را دانلود و باز کردم و کامپیوترم هک شد!

این برایم تجربه شد و اولین جرقه­‌ای که در ذهنم راجع­ به این موضوع خورد، همان­‌جا بود. با خودم می‌گفتم:" یعنی چطور این­‌کار را کرد؟!" به نظرم اولین باری که جذب این ماجراها شدم، همان اتفاق بود. باعث شد به آن موضوع فکر کنم. تا قبل از آن اتفاق، ندیده بودم و سنم هم خیلی کم بود. اصلا روبه­‌رو نشده بودم.

_ در صحبت­‌هایت اشاره‌ای کردی که در محیط­‌های مختلف خصوصی،دولتی، کوچک، بزرگ و … کار کرده‌ای. در محیط­‌های مختلف شاهد چه چیزهایی بودید؟ نگاه به امنیت در محیط­‌های مختلف چطور بود؟

به نظر من، ما در حوزه‌ی امنیت سایبری، حلقه‌­‌های گمشده‌ای داریم این حلقه‌های گمشده کم و بیش در شرکت و سازمان‌های مختلف دیده می شود. یکی این است که ما مشاور خوب، خیلی کم داریم. مشاوری که به موضوع مسلط باشد. و حلقه‌ی گم‌شده‌ی دیگر هم به نظرم، "اشتراک دانش" است. عدم اشتراک دانش خیلی ضربه می­‌زند. منی که دارم در این حوزه کار می­‌کنم، شرکت‌­ها و سازمان­‌های مختلفی را به چشم می­‌بینم که هک می­‌شوند و هیچ اقدامی درراستای اشتراک دانش باهم ندارند. هیچ اطلاعات فنی و مفیدی از حمله‌ها و هک‌ها منتشر نمی‌شوند. همین باعث می‌شود که بارها جاهای دیگری نیز از همان روش دوباره آسیب ب­بینند و خسارت‌­های سنگینی زده شود.

ما می­‌شنویم که شهرداری، فولاد، بعضی از زندان­‌ها و ... هک شدند و خیلی از سازمان­‌ها هم که هک می­‌شوند و چیزی نمی­‌شنویم و اصلا خبرش در نمی‌­آید! مثلا:بانک X هک شده است ولی هیچ خبری از آن منتشر نمی­‌شود، این موارد را که کنار هم می­‌گذاریم می­‌بینیم جایی که اشتراک دانش را ندارد و به روز نیست و متخصص ندارد، خیلی ضرر کرده است.

یک بخش دیگر هم برای این است ما متخصص زیادی نداریم، ما متخصص­‌هایمان را داریم کم­‌کم از دست می­‌دهیم. هرسال کم‌تر می­‌شوند. به دلایل مختلف از ایران خارج می­­‌شوند. عده‌­ای دیگر واقعا تحت فشار هستند و از کار کردن میترسند و دیگر نمی‌­توانند کار کنند.

موضوع اصلی این است که ما شدیدا نیاز داریم که متخصص تربیت کنیم. این موضوع حادی در شرکت‌­­ها و سازمان‌­ها شده است. این اوضاعی که می­‌گویم در سازمان­‌های دولتی، بیشتر نمود دارد.

الان در هر چارت سازمانی، یک واحد امنیت هم وجود دارد. ولی این واحد را چطور تشکیل می­‌دهند؟! آقای X را از واحد بی­‌ربط به امنیت که یک عمر کارشان چیز دیگری بوده است، به واحد امنیت می­‌آورند. خانم Y را هم از واحد دیگری به واحد امنیت می‌آورند. فقط برای این‌که واحد امنیتی تشکیل بدهند. این خیلی ضربه­‌زننده است.

من خیلی از شرکت­‌ها را می­‌بینم که به همین شکل تیم امنیت تشکیل داده‌اند! پیمان‌کار هم دارند و در آخر هک می­‌شوند و اتفاقات خیلی بدی برایشان می‌­افتد. چون متخصص هم ندارند اصلا متوجه نمی­‌شوند چه اتفاقی افتاده است! و اشتراک دانش هم ندارند و این اتفاقات هم دائم تکرار می‌شود!

_ اوج حرکتشان، Iran Access کردن است!

بله. واقعا ضعف تخصص بیداد می­‌کند. به نظرم خیلی از نهادها اهمیت امنیت را درک نمی‌­کنند! چون مدیرانی که وجود دارند، مشاور ندارند یا مشاور خوبی ندارند. شاید از مدیر انتظار نداشته باشید که جزئیات فنی را متوجه بشود. باید کارشناس یا مشاور امنیتی وجود داشته باشد تا بتواند اهمیت آن مسائل را برای آن مدیر توضیح بدهد. شما خیلی به ندرت سازمان‌ها یا نهادهایی را می‌­بینید که بخش امنیتشان به خوبی کار کنند.

من یک بار آسیب پذیری‌ای را پیدا کردم که Critical نبود. به کسب‌وکار گزارش دادم و در جواب به من گفتند: "شما یا نمی­‌دانید که چطور پول دربیاورید! یا می­‌خواهید از ما اخاذی کنید!"آسیب پذیری را هم رفع کردند. ولی نمی­‌دانم به‌خاطر این‌که مبلغی پرداخت نکنند، این‌طور گفتند یا واقعا دیدگاهشان این بود! همین تجربه و برخورد باعث شد که من خیلی سمت باگ­ هانتینگ نروم.

الان بازار خیلی­ خوب شده است خداروشکر. خیلی شرکت­­‌ها آسیب پذیری ­هایشان را قبول و حداقل تشکر می­‌کنند! ولی خوب باز هم می‌­بینیم که بعضی از متخصصین امنیتی از تجربیات منفی‌شان می‌­نویسند که ما این آسیب پذیری را گزارش داده‌ایم و به دلایل مختلف برخورد درستی با آن‌ها نشده است.

پیشنهاد خواندنی: چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟

_ ما با شکارچی­‌های مختلفی که مصاحبه داشتیم و تجربه‌­های مختلف را شنیدیم، اغلبشان تجربه‌های مشابهی برایشان پیش آمده بود. همین‌طور که شما گفتید، هم تجربه­‌های خوب و هم تجربه­‌های بدی داشتند. یک نظر جمعی هم معمولا وجود داشته است که، با این‌حال شرایط نسبت به سال‌های قبل بهتر شده است.

خیلی بهتر شده است. قبلا شما اگر آسیب پذیری‌ای پیدا می‌­کردید، می‌­آمدند و شما را می بردند! مجرم بودید و سر از زندان در می­‌آوردید! نسبت به آن موقع خیلی اوضاع بهتر شده است.

در بین این پلتفرم­‌هایی که کار می­‌کنند، راورو خیلی بهتر کار می­‌کند. من راورو را واقعا قبول دارم. منتها به­‌هرحال هنوز هم فعالیت و داده­‌هایشان خیلی کم است،میدان ها خیلی دیر رسیدگی می­‌کنند. مثلا؛ شما وقتی در هکروان گزارشی ثبت می کنید ، در کم‌تر از یک ساعت جواب می­‌دهند. شاید ادامه فرآیندش زمان ببرد، ولی جوابی که می‌­دهند خیلی فوری و سریع است.

البته مقایسه نمی­‌کنم چون جای مقایسه‌ نیست. بالاخره هکروان یک دهه است که دارد کار می‌کند و به آن بلوغی که باید، رسیده است و واقعا قابل‌مقایسه نیست. ولی این شرایطی که الان در باگ­ بانتی و پلتفرم­‌ها است، می‌­تواند برای آدم­‌ها کمی دلسرد‌کننده باشد. ولی خب جای خرده‌گرفتن هم نیست، زمان می­‌برد تا شرایط بهتر شود.

_ بله، بابت نظرات مثبت و منفی‌تان ممنونیم. قطعا که ما به عنوان یک پلتفرم، نقد و نظر منفی‌تان را پذیرا هستیم. قطعا تمام تلاشمان را می­‌کنیم که اوضاع را تاحدممکن و توانمان بهبود دهیم.

حتما. کاری که شما انجام می­‌دهید، الان نسبت به یک سال گذشته، خیلی پیشرفت داشته است. من خودم زیاد در راورو فعال نیستم. فعالیت کمی در این جمع و کامیونیتی دارم. اگر فعالیت کنم مطمئنا کارهای بیش‌تری انجام می‌­دهم. به همین دلایلی که گفتم، فعال نیستم ولی خوب دوست دارم که در این فضا کم‌وبیش حضور داشته باشم.

_ خوشحالیم که این را می­‌شنویم.

_ با نگاه یک متخصص امنیت، فکر می‌کنی یک کاربر عمومی باید چه کارهایی را بکند؟ چه توصیه‌ای برایشان داری؟

به نظرم چیزی که شایع است این است که آدم­‌ها راحت اطلاعاتشان را در اختیار بقیه قرار می­‌دهند و اطلاعات‌گرفتن از آن‌ها کار خیلی­‌ سختی نیست. فکر می­‌کنم نیازی نیست آدم هکر یا حتما در حوزه‌ی امنیت سایبری باشد تا بداند که نباید خیلی ساده و راحت اطلاعات را منتشر کرد. چیزی که شاید به هرکسی بگویم همین است که هر پیام، ایمیل و مسیجی که برایشان می­‌آید، واقعا همان چیزی نیست که داخلش نوشته شده است! و اطلاعاتشان را منتشر نکنند. من همیشه به همه می­‌گویم:" روی هر لینکی که دیدید، کلیک نکنید و برای دیگران نفرستید. حواستان به پنیرهای رایگانی که در تله موش‌هاست باشد! " .

_ ما هم امیدواریم که روزی برسد که هیچ کاربری، بی‌احتیاط روی هر لینکی کلیک نکند! ممنونیم که وقتت را برای این مصاحبه در اختیار ما گذاشتی ارغوان عزیز.

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با متخصص امنیت دنیای صفرویک‌ها؛ علی امینی

گپ‌وگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security)

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)

گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)

کافه روز صفر ۱