در این بلاگ‌پست، به سراغ یکی از جوان‌ترین و فعال‌ترین شکارچی‌های راورو، رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ پیمان زینتی (Scar3cr0vv)

پیمان یه هکر کلاه‌سفیده که از حدود یک سال پیش با راورو همراه شده، تا تاریخ این مصاحبه، ۲۱ گزارش آسیب‌پذیری در راورو ثبت و ۸۸ امتیاز کسب کرده است. اولین گزارش‌های پیمان، آسیب‌پذیری‌های سطح بالایی از میدان نماوا بوده‌اند.

• پیمان جان، خودت رو برامون معرفی می‌کنی؟

من پیمان زینتی هستم؛ متولد 82 هستم. از 15-16 سالگی وارد دنیای هک و امنیت شدم. و الان در حوزه‌ی امنیت وب‌اپلیکیشن کار می‌کنم.

• متولد 82 هستی، یعنی امسال کنکور داشتی؟ پس چطور این همه باگ ثبت کردی؟!

آره، امسال کنکور داشتم. خوش‌بختانه چون می‌تونستم به صورت فریلنس باگ کشف کنم، از این جهت چالش نداشت. برای شکار باگ از درس و مدرسه زدم. اوایل که خانواده‎م با مسیرم آشنایی نداشتند، اصرار به درس خوندن داشتند. اما بعد از مدتی که ثمره‌های کارم رو دیدند، دیگر از اصرار خبری نبود.

• چرا وب‌اپلیکیشن؟ چی شد که انتخابش کردی؟

اوایل ورودم به این حوزه، مسیر مشخصی نداشتم. در جست‌وجوی علاقه‌م شاخه‌به‌شاخه می‌رفتم و شاخه‌های مختلفی رو امتحان می‌کردم؛ یه مدت رفتم سمت Reverse اندروید ، یه مدت رفتم سمت شبکه و نتورک‌پلاس و ... . تا این‌که بالاخره علاقه‌م رو پیدا کردم و متمرکز شدم روی شاخه‌ی وب که گستردگیش برام جذاب بود. اوایل که کار رو شروع می‌کنی، مسیر اشتباه زیاده و به نظرم بایدم باشه. این‌که یکی دو سال رو صرف این کنی که ببینی به چه چیزی علاقه‌مندی، ممکنه به نظر بیاد که داری وقتتو هدر میدی، ولی به نظرم این اشتباه نیست. من 15 تا 17 سالگی خودمو هدر دادم ولی الان می‌دونم که به چی علاقه‌مندم. این پیداکردن دو سالی طول کشید، ولی بالاخره پیداش کردم.

• اصلا چی شد که به به دنیای هک و امنیت علاقه‌مند شدی؟ هک و امنیت از کجای زندگیت شروع شد؟

تو دوره‌ی راهنمایی با یکی که مثل خودم و هم‌سنم بود، آشنا شدم. وقتی با یکی بُر می‌خوری، فضا جور می‌شه. مسائل و دغدغه‌های مشترکی داشتیم، با هم پیش می‌رفتیم. برای همه از RAT و مسائل مشابه شروع می‌شه. برای ما هم از همین‌جا شروع شد.

• چه منابعی رو دنبال می‌کردید؟ دوره‌های خاصی رو شرکت می‌کردید؟

اوایلش، از جای خاصی شروع نکردیم و به صورت پراکنده توی وب می‌چرخیدیم و از منابع مختلف مطالعه می‌کردیم. اما خب الان شرایط متفاوته و طبق Syllabus پیش می‌ریم. Syllabusهای اصولی رو استفاده می‌کردیم. الان هم می‌شه از Syllabusهایی مثل مموری‌لیکز استفاده کرد. یاشار شاهین زاده واقعا باگ‌هانتر خوبیه.

• تصویر پروفایلت تو راورو یه پانداست و آیدیتم scar3cr0vv است. دلیلش چیه؟

به پاندا خیلی علاقه دارم. از معنای آیدیم بگذریم، موقع ثبتش داشتم یه آهنگی گوش می‌دادم و از یه تیکه از اون آهنگ انتخابش کردم.

• لحظه‌ی کشف آسیب‌پذیری و باگ، چه احساسی برات داره؟

حس نابی دارد. اینکه باگی رو پیدا کنی و گزارش کنی و تکراری هم نباشه، و impact بالایی هم داشته باشد، واقعا حس خیلی نابی داره اصلا.

• باگ‌ پیدا کردن برات تکراری نمی‌شه؟ حس نابی که از کشف آسیب‌پذیری گفتید، بعد از مدتی تکراری نمی‌شه؟

نه، تکراری که نمیشه. هر تارگت یه جوره، یه تجربه ست. مثل CTF نیست که بعد از یک مدت تکنیک‌ها مشخص باشن و یه جورایی عادی بشه. هر تارگت پیچش خاص خودشو داره. و خب چون پرداختی هم هست، هم انگیزه ست، هم کسب تجربه ست و هم یه درآمدی داره.

• از لحظه‌های به‌یادموندنی تو باگ‌هانتینگ، که تو ذهنت مونده، برامون می‌گی؟

اخیرا یه Vector جدیدی کشف کردم. بار اول که استفاده کردم، حس خیلی خوبی داشت. اهداف و وب‌سایت‌های زیادی آسیب‌پذیر بودند، مثلا ؛ چند هدف در راورو و جاهای دیگه.

• معمولا در روز چند ساعت برای باگ‌هانتینگ وقت می‌ذاری؟

ساعت محدودی نداره. هر چی که یاد بگیرم، تکنیک جدیدی که متوجه بشم و ... رو تست می‌کنم. من هر چه دستم بیاد تست می‌کنم. معمولا از زمانی که از خواب بیدار می‌شم تا شب مشغولم.

• بیش‌تر شب‌ها کار می‌کنی یا روزها؟

بیش‌تر شب‌ها کار می‌کنم، تمرکزم بیش‌تره. ساعت دوازده که همه بخوابند تا صبح، حدود ساعت ۵. بعدش 5 ، 6 ساعتی می‌خوابم.

• خب یعنی اگه ساعت خوابتو جدا کنیم، بقیه‌شو، حدود 18 ساعت در روز مشغولی؟

آره، فقط به استثنای تایم شام و ناهار.

• به غیر از حوزه‌ی هک ما اگر پیمانِ رو بیرون ببینیم، چطور جوونی به نظر می‌رسه؟ اگر ما شما رو جایی ببینیم، لپ‌تاپ دستته و مشغول کاری؟ ؛)

آره، فقط همین حوزه رو دوست دارم و به موارد دیگه علاقه‌مند نیستم.

• اهل تماشای فیلم هم هستی؟

قبلا آره، ولی الان کم‌تر. بیش‌تر سریال می‌دیدم. مستر روبوت رو خیلی دوست داشتم. سریال قشنگی بود. پیکی بلایندرز هم از سریال‌های مورد علاقمه.

• اهل گیم و بازی هستی؟

در حد نیم ساعت، برای رفع خستگی.

• چه بازی‌ای؟

CSGO

• احتمالا از اون حرفه‌ای‌هاش باشی که نیم ساعته همه حریفا رو با knife درو می‌کنه، بازی رو Clean می‌کنه و می‌ره بیرون.

آره ؛)

• پیمان، تو برنامه‌نویسی هم می‌کنی؟

قبل از این‌که سمت وب بیام، پایتون کار می‌کردم و جاوا اسکریپت هم در حد نیاز کار می‌کنم.

• این درسته که می‌گن :هکرها حتما باید برنامه‌نویس هم باشند؟

آره، یه سری از آسیب‌پذیری‌ها نیاز به درک از لحاظ برنامه‌نویسی دارند. واسه Automate کردن، برنامه‌نویسی نیاز می‌شه. لازم نیست Senior باشی. در حدی که بتونی کارهای خودت رو هندل کنی، کافیه. مثلا به نظر من؛ برای Automate کردن، زبان‌های برنامه‌نویسیِ Python و Golang لازمه و Javascript هم که دیگه پایه‌ست و باید بلد باشیم.

• مفاهیم تئوری مثل TCP/IP و نتورک پلاس و موارد این چنینی رو هم کار کردی؟

آره، در همون دو سال، از 15 تا 17 سالگی، که داشتم شاخه‌های مختلف رو یاد می‌گرفتم و امتحان می‌کردم، سراغ این‌ها هم رفتم.

• تو که از دوره‌ی راهنمایی مسیر هک و امنیت رو شروع کردی، تاحالا شده پیش بقیه هنرنمایی هکری کنی؟

در یکی از سال‌های دوران تحصیل، از این کارها می‌کردیم اما صداش رو در نمیاوردیم. مدرسه‌ی ما وبلاگ و کانال داشت. وبلاگ رو دیفیس کردیم و با استفاده از RAT آماده، به کانال دسترسی گرفتیم. نمی‌دونم یادتون میاد یا نه، یه زمانی Sessionهای تلگرام در دسترس بود. با پایتون یه برنامه نوشتیم و به لپ‌تاپ مدرسه منتقل کردیم و از این طریق به تلگرامشون دسترسی پیدا کردیم. کانال رو خراب کردیم اما صداش را در نیاوردیم.

• نظرت درباره‌ی افرادی که در اینستاگرام تامین امنیت می‌کنند، چیه؟ تو هم امنیت پیج اینستاگرام کار می‌کنی؟

نیازی نداره که. پسورد گذاشتن و 2FA گذاشتن امنیتشو تامین می‌کنه.

• پیش اومده که افراد ازت بخوان، براشون اکانت اینستاگرام دوستاشون یا ... رو هک کنی؟

آره، معمولا پیش میاد. اکثرا رد می‌کنم و می‎گم: نه. اگه برای پس گرفتن اکانت خودشون باشه، کمک می‌کنم.

• بازخورد اطرافیان و بقیه‌ی افراد، وقتی بهشون می‌گی که هکری، معمولا چیه؟

اوایل از طرف خانواده‌ام هم دید بدی وجود داشت. فکر می‌کردند که یه جور دزدیه. البته اینم تحت‌تاثیر سریال‌هایی مثل هوش سیاه بود. اما خب الان دید درستی پیدا کردند.

• چی شد که این دید تغییر کرد؟ دید خانواده‌ت به فعالیتت، به عنوان یه هکر کلاه‌سفید.

زمانی که من اولین بانتی‌هامو گرفتم، این دید تقریبا حذف شد. وقتی دیدند که جایی هست که وقتی شما این کار رو براش انجام بدی، بابتش دست‌مزد و پاداش می‌گیری. یادمه یه بار به دیجی‌کالا باگی گزارش داده بودم. دیجی کالا به عنوان پاداش برام کارت هدیه فرستاد. تقریبا بعدش کلا این دید حذف شد. متوجه شدند این کاری که من می‌کنم بر خلاف قانون نیست، به رسمیت شناخته می‌شه و درآمد خودش رو داره.

• اولین گزارش باگی که ثبت کردی، همون باگ برای دیجی کالا بود؟

آره. یک باگ XSS و یک باگ Logical بود.

• وضعیت باگ‌بانتی رو در ایران چطور می‌بینی؟

نسبت به اوایل که من شروع کرده بودم، پلتفرم‌های جدید ایجاد شده‌اند. بیش‌تر جا افتاده. اما قبلا خبری نبود و حضور این پلتفرم‌ها به بیش‌تر شناخته‌شدن و به‌رسمیت شناخته‌شدن باگ‌بانتی کمک کرده.

• آسیب‌پذیری محبوبت چیه؟

در حال حاضر فکر کنم RCE رو همه دوست داشته باشند. هم بانتی زیاد داره و هم impact بالایی داره.

• ابزار محبوبت چیه؟

BurpSuite

• اولین آشناییت با کامپیوتر چه زمانی و چطور شکل گرفت؟

کلاس ششم ابتدایی بودم. اولین سیستم‌عاملی که باهاش کار کردم، ویندوز XP بود. کار خاصی نمی‌شد باهاش کرد. کالی نصب کردم و XP رو فرمت کردم.

• با لینوکس هم کار کردی؟ چه توزیعی رو استفاده می‌کنی؟

الان در حال حاضر Mint

• این درسته که می‌گن: "همه‌ی هکرها از لینوکس استفاده می‌کنند"؟

به نظرم درست نیست. تقریبا برای هر سیستم عامل هکر داریم در دنیا. بعضی با مک کار می‌کنن و بعضی با لینوکس.

• دوست داری در ادامه در چه بخشی کار کنی؟

آفنس رو بیش‌تر دوست دارم. باگ‌هانتینگ رو هم دوست دارم اما نه به صورت فول‌تایم. من فقط قصد دارم تجربیات و مهارتم رو زیاد کنم. دانشگاهم رو هم فقط برای گرفتن مدرک ادامه می‌دهم.

• بیش‌ترین درآمدت از باگ‌بانتی چقدر بوده؟

بیش‌ترین پاداشی که در ازای یه باگ گرفتم، ۱۴ میلیون تومن بوده. از باگ‌بانتی در ایران و در پلتفرم‌های مختلف باگ‌بانتیش، در سال گذشته،‌ ۱۳۰ میلیون تومن بانتی گرفتم.

• درسته که می‌گن برای اینکه خوب هک رو یاد بگیری، لازمه که انگلیسی رو مسلط باشی؟

آره، دقیقا نقطه‌ی پیش‌رفت من زمانی بود که منابع فارسی رو رها کردم و به سمت منابع انگلیسی رفتم. اگه خودت رو محدود به منابع فارسی کنی، در Course‌های قدیمی گیر می‌کنی و پیش‌رفت نمی‌کنی. حتما باید خودت رو آپگرید کنی، رایت‌آپ انگلیسی مطالعه کنی و Course‌های انگلیسی ببینی.

• از چه منابعی بیش‌تر استفاده می‌کردی؟ الان چه منابعی رو دنبال می‌کنی؟

زمانی که به سمت منابع انگلیسی رفتم، اولین Course‌ها، Course‌های Udemy بود. الان در توییتر هشتگ‌هایی مثل #bugbountytips رو دنبال می‌کنم و به طور کلی موارد جدید رو از توییتر می‌گیرم.

• با پول اولین باگی که زدی، چی‎کار کردی؟

اولین باگی که باهاش حال کردم، لذت بردم و پولشو گرفتم (بعد از دیجی کالا) ویرگول بود. که با پولش گوشی گرفتم.

حتما تجربه‌ی لذت‌بخشی بوده و قطعا حس خوبی داشته که در سن پایین‌، با دست‌رنج خودت چیزی که می‌خواستی رو به‌دست بیاری.

• توصیه‌ت برای مدیران سازمان‌ها چیه؟ چون ممکنه این مطلب رو بخونند، اگر بخوای چیزی بهشون بگی، چی می‌گی؟

با هکرها مدارا کنند. صفحه‎‌ی اهداف و قوانین رو واضح بنویسند. به عنوان مثال در بخش قوانین می‌نویسند که تمام آسیب‌پذیری‌هایی که با تعامل کاربر نیاز دارد، قابل‌قبول نیستند و خب این شامل XSS هم می‌شه. در حالی که وقتی XSS گزارش می‌دید، گاهی قبول می‌کنند و گاهی قبول نمی‌کنند. هر چه شفاف‌تر باشد، بهتر است.

• موضوعی هست که دوست داشتی که راجع بهش حرف می‌زدیم، اما نزدیم؟

نه، نیست.

• ممنون که زمانت رو در اختیار ما گذاشتی پیمان جان. امیدواریم باگ‌های بیش‌تری شکار کنی و باعث امن‌تر شدن دنیا بشی ؛)

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

باگ‌بانتی در وب‌سایت‌های فروش دوره‌های آموزشی

گپ‌وگفتی با متخصص امنیت دنیای صفرویک‌ها؛ علی امینی

گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)