گپ‌وگفتی با شکارچی؛ محمدرضا تیموری ( rezamoreti1 )

گپ‌وگفتی با شکارچی؛ محمدرضا تیموری ( rezamoreti1 )

۲,۴۶۴

در این بلاگ‌پست هم، به سراغ یک شکارچی‌ دیگر رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ محمدرضا تیموری ( rezamoreti1@ )

محمدرضا حدود ۵ سال است که در حوزه‌ی امنیت سایبری فعالیت می‌کند. برای اولین بار در ۶ سالگیش و در مغازه‌ی فروش و تعمیرات کامپیوتر و قطعات کامپیوتری عمویش، با کامپیوتر و ویندوز۹۸ مواجه شده. قبلا دولوپر بوده و درزمینه‌ی اپلیکیشن اندرویدی کار می‌کرده. به نظر خودش این پیش‌زمینه کمکش کرده تا ساختار اپلیکیشن‌ها را بهتر بفهمد. عاشق دورزدن مکانیزم‌های امنیتی جدید است. یکی از لحظه‌های لذت‌بخش زندگی‌اش را لحظه‌ای می‌داند که باگی را کشف و گزارش کرده که دیتای حدود ۲۰،۳۰میلیون کاربر به خاطرش در خطر بوده است.

_ ممکن است خودت رو برایمان معرفی کنی؟ اگر بخواهی در چند جمله خودت را معرفی کنی، چه می‌گویی؟

من محمدرضا تیموری هستم؛ دانش‌آموخته‌ی رشته‌ی امنیت اطلاعات از دانشگاه تربیت مدرس، Senior در حوزه‌ی پن تست، فعال حوزه‌ی امنیت اندروید و iOS، مدرس حوزه‌ی وب و موبایل و CTF Player.

_ چه شد که شکارچی آسیب‌پذیری شدی؟ چرا امنیت اندروید را انتخاب کردی؟

من شکار آسیب پذیری را با برنامه‌های خارجی مانند هکروان شروع کردم. اولین هدفی که بررویش کار کردم، از نوع وب بود. نمی‌خواستم سمت موبایل بیایم. ولی باتوجه به نیازی که در جامعه و شرکت‌های در حوزه‌ی اندروید مشاهده می‌کردم، هم‌چنین مشاهده‌ی کم‌تر بودن تعداد متخصصان و فعالان در این شاخه، به این نتیجه رسیدم که این حوزه‌، برایم انتخاب بهتری است. چون بافعالیت در این حوزه، بیشتر می‌توانم به ارتقای کلی امنیت سایبری کمک کنم و در آن می‌توانم بیشتر موفق باشم. به همین خاطر حوزه‌ی اندروید را انتخاب کردم .

_ چه چالش‌هایی را در شغل خود (هکر و شکارچی‌بودن) پررنگ احساس می‌کنی؟

اول این‌که باتوجه به آن‌چه که تجربه و مشاهده کرده‌ام، فکر می‌کنم واقعا فرهنگ باگ بانتی بین شرکت های ایرانی جا نیفتاده است. بارها شاهد این بوده‌ام که شکارچی‌های مختلف آسیب پذیری‌هایی از یک سری بانک‌ها پیدا کرده‌اند، ولی بانک‌ها اصلا از آسیب پذیری‌ای که برایشان گزارش شده، استقبال نکرده‌اند و حتی ناراحت شده‌اند! چالش دیگری که در پلتفرم‌های باگ بانتی ایرانی وجود دارد، این است جایی وجود ندارد که فرد بتواند در آن رایتاپ‌های ایرانی بخواند و آسیب پذیری هایی که فیکس شده‌اند را ببیند. این انتشار و به‌اشتراک‌گذاری دانش خیلی می‌تواند به جامعه‌ی شکارچیان آسیب پذیری ایرانی کمک کند. برخی شکارچی‌ها هستند که با محتوای انگلیسی مشکل دارند. برای این افراد رایتاپ فارسی خواندن خیلی خوب و کمک‌کننده است. این هم یک چالش است که خیلی از شرکت‌ها چنین کاری نمی‌کنند و رایتاپ آسیب پذیری رفع‌شده‌یشان را پخش نمی‌کنند. چرا؟ به خاطر اعتباری که دارند و می‌ترسند از بین برود. چالش دیگری که در حوزه شکار آسیب پذیری می‌بینم، وضعیت اینترنت است. ما تحریم هستیم و خودمان هم یک سری جاها را فیلتر کرده‌ایم. در این وضعیت و محدودیت، دسترسی‌داشتن به خیلی از سایت‌ها، منابع، ابزارها و …. بسیار سخت شده.

به‌نظرم در زمینه‌ی هک، فرهنگ‌سازی مناسبی هم وجود ندارد و نیاز به فرهنگ‌سازی بیش‌تری ست. من چند وقت پیش به یه نفر گفتم که من هکرم. طرف واقعا ترسید! گفت: شما خیلی آدم‌های بدی هستید و کارهای خیلی بدی می‌کنید! بعدش من کلی برایش توضیح دادم که هکر لزوما آدم بدی نیست... .

_ در فرهنگ لغت شخصی تو، هک چگونه تعریف می‌شود؟

از نظر من، هک‌ یک هنر است؛ هنر دیدن و پیداکردن چیزهایی که از چشم بقیه دور می‌ماند و دیگران نمی‌توانند آن‌ها را ببینند. نقاشی هم همین است، نقاش نقاشی‌ای می‌کشد که بقیه از آن دید به آن کس یا منظره نگاه نکرده‌اند. فرآیند باگ پیداکردن هم همین است. این‌که از یک منظری به اپلیکیشن نگاه کنی که باعث شود آسیب‌پذیری پیدا شود.

متخصص امنیت از نظر من کسی ست که هرروز چیزهای جدیدی یاد بگیرد،هرروز سرگرم این هنر باشد و هنرمندیش را اثبات کند.

_ به‌عنوان یک هکر، یه روزت را چطور می‌گذرانی؟

صبح‌‌هایم معمولا به اولویت‌بندی‌ کارهای آن روز، خواندن بولتن‌های جدید، انتخاب ۲مقاله یا رایتاپ برای خواندن در طول روز و خواندن کتاب در حوزه‌ی اندروید می‌گذرد. داشتن ذهن آماده،به استراحت نیاز دارد. ظهرها استراحت می‌کنم و ویدئوکنفرانس‌ها، اخبار و توییتر هانترهای بزرگ را چک می‌کنم. شب، بهترین تایم برای شروع است. قدم اول را با تحلیل داینامیک شروع می‌کنم. قدم دوم، تحلیل استاتیک است؛ تغییر اپلیکیشن برای به‌دست‌آوردن اشکالاتی که برنامه‌نویس هم آن‌ها را نمی‌داند. قدم سوم خلاصه‌ست، ولی طولانی؛ تست، تست و تست. مهم‌ترین قدم، قدم چهارم است؛ نوشتن خلاصه‌ای از تحلیلی که روی اپلیکیشن زده شده و برنامه‌ریزی برای بقیه‌ی قدم‌ها در فردا. درست است که خیلی از باگ‌‌ها زمانی پیدا می‌شوند که از خواب خود می‌زنیم و به اپلیکیشن گیر می‌دهیم، ولی من معتقدم که با نخوابیدن سرعت پایین‌تر می‌آید و خیلی از باگ‌ها هم از چشممان دور می‌مانند؛چون چشممان ظاهرا باز است ولی نگاه نمی‌کنیم و نمی‌بینیمشان. پس قدم پنجم، استراحت است.

_ جذاب‌ترین آسیب‌پذیری‌ای که در اپلیکیشن‌های اندرویدی پیدا کرده‌ای، چه بوده؟

جذاب ترین آسیب پذیری‌ای که شکار کرده‌ام، از نوع آسیب پذیری Race Condition بود. این آسیب پذیری برروی یکی از این اپلیکیشن‌های خیلی مهم بود. ماجرایش این‌گونه بود که شما با یک بار پرداخت کردن ده هزارتومان، می‌توانستید حسابتان را درحد ده میلیون تومان شارژ کنید و از خدمات اپلیکیشن استفاده کنید. با کسب‌وکار مربوطه، مکاتبه و آسیب پذیری را گزارش کردم. آن‌ها هم بانتی به آن اختصاص دادند، البته که هنوز پرداخت نکرده‌اند.

_ بیش‌تر به چه نوع آسیب پذیری‌هایی علاقه داری؟ بیش‌تر به دنبال چه نوع شکاری هستی؟

من بیشتر به آسیب‌پذیری‌های Logical (منطقی) علاقه دارم. خیلی دوست دارم که به‌دنبال کشف این دسته از آسیب پذیری ها باشم. وگرنه، بایپس‌کردن یک‌سری از پروتکشن‌های مختلف مثل SSL Pinning و Root Detection را خیلی کار بزرگی نمی‌دانم. به‌نظرم چیزی که خیلی مهم است، این است که در منطق و Logic سامانه به دنبال آسیب پذیری و باگ باشی. قطعا این نوع آسیب پذیری‌ها از درجه‌ی امنیت خیلی بالاتری هم نسبت به آسیب پذیری های دیگر برخوردار هستند.

_ آرزویت برای حوزه‌ی امنیت چیست؟

آرزویم برای حوزه‌ی امنیت سایبری این است که شرکت‌ها و کسب‌وکارها به سطحی از بلوغ امنیتی برسند، که وقتی یک آسیب پذیری برایشان گزارش می‌شود، گارد نگیرند، با روی خوش و دست باز برخورد کنند، بانتی با مبلغ شایسته‌ای به آن اختصاص بدهند و درکنارش حتی گاهی یک سری لوح‌تقدیرها اهدا کنند. تا میل و اشتیاق شکارچی‌ها بیش‌تر شود.

_ امیدواریم در آینده شاهد این باشیم که کسب‌وکارها آن‌طور که شایسته است، به فعالیت هکرهای کلاه‌سفید و شکارچیان آسیب پذیری توجه کنند. ممنون که وقتت را در اختیار ما قرار دادی و در این مصاحبه همراه ما بودی محمدرضای عزیز.

محمدرضا تیموری، در قسمت‌هایی از مجموعه‌ی پخش‌زنده‌ی راورو به شکار پرداخته است:

قسمت ۱۴ از فصل ۰۲ ؛ باگ ۷۰۰۰ دلاری محمدرضا

قسمت ۰۴ از فصل ۰۲

قسمت 04 از فصل ۰۲

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با شکارچی؛ محمدحسین آشفته‌یزدی (sec_zone64)

گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark)

گپ‌وگفتی با شکارچی جوان راورو؛ بهراد احمدپور (behrad_amp)