گپوگفتی با شقایق جوادی؛ راهبر ارتباط با میدانهای راورو
در راورو چه میگذرد؟ چه افرادی مشغول کارند؟ چه اتفاقها و رخدادهایی در جریاناند؟
در این بلاگپست به گپوگفت با شقایق جوادی پرداختهایم.
شقایق جوادی، راهبر ارتباط با میدان های راوروست. در پلتفرم باگ بانتی راورو، که پلی میان کسبوکارها و شکارچیان آسیب پذیری ست، شقایق در نقطهی ارتباط پلتفرم با میدانها و کسبوکارها ایستاده است. ارتباط با میدانها، پاسخگویی به آنها، همراهی با آنها در کلیهی فرآیند پیوستن و حضور در برنامهی باگ بانتی، پشتیبانی و حمایت در چالشهای احتمالی و کارهایی از این قبیل، مواردی هستند که شقایق جوادی در راورو بهعهده دارد.
_ کمی از خودت و مسئولیت هایت در راورو برایمان بگو.
من یک سالی هست که وارد تیم راورو شدهام و درطی این یک سال در قسمتهای مختلف تیم کار کردهام؛ در ارتباط با شکارچیان بودهام، در ارتباط با اعضای داخلی تیم راورو بودهام و درحالحاضر در ارتباط با تیم فنی راورو و تیم فنی میدانها هستم. اگر بخواهم دقیقتر بگویم، نقشم ارتباط با کسبوکارها از زمان عقد قرارداد به بعد است؛ یعنی از زمانی که میدان راورو میشوند. طی یک سالی که کسبوکارها با راورو همکاری دارند و میدان راورو هستند، هر چیزی که در مسیر این همکاری دغدغهی میدان شود، برایش سوال شود، چالش شود و نیاز به حمایت داشته باشد، من آنجا هستم. فرقی نمیکند که این سوال و چالش از چه نوعی باشد؛ ممکن است فنی باشد، مالی باشد، مربوط به CTO باشد، مربوط به قرارداد باشد یا … من نقطهی دریافت این چالشها از سمت کسبوکارها هستم و وظیفهی پاسخگویی به آنها را دارم. این پاسخگویی به این شکل است که درصورتنیاز با تیم مربوطه در راورو مرتبط میشوم، یا نمایندهی میدان را به تیم و فرد مربوطه در راورو مرتبط میکنم تا پاسخ بهشکل مناسبی به میدان ارائه شود.
پیشنهاد خواندنی: گفتنیهایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان
_ نقش خودت را چطور میبینی؟
آدمها وقتی درحال دریافت خدمتی هستند، دوست دارند که در هر ساعتی از شبانهروز بتوانند پشتیبانی دریافت کنند. دوست دارند که اگر سوالی دارند یا به موردی برخوردهاند، همانموقع حل شود. برایشان تفاوتی ندارد که آن زمان، ساعت اداری ست، شب است، روز است، مشکلشان کوچک یا بزرگ است، میخواهند مشکلشان همانموقع حل شود. نقش من دقیقا همینجاست. همین ارتباط با نمایندهی هر میدان راورو و ارائهی پشتیبانی به آنهاست؛ اینکه میدانها هر مشکل یا مسئلهای که داشته باشند، فرقی نمیکند که چه ابعادی داشته باشد، میتوانند در هر ساعتی از شبانهروز از طریق راه ارتباطی انتخابی خود با من درمیان بگذارند. مقدار این ارتباط نیز با میدانهای مختلف متفاوت است بستگی به این دارد که چهمقدار نیاز به آن وجود داشته باشد یا از سمت میدان ابراز شود.
_ چه چالشهایی در شغل و مسئولیتهای روزانهی تو پررنگ است؟
یک چالشی که من در ارتباط با کسبوکارها و میدانها إحساس کردهام و میکنم، "تفاوت در نگاه کسبوکارها نسبت به امنیت " است.
برای برخی کسبوکارها، امنیت سایبری موضوع پررنگی است و اهمیتی که به امنیت سایبری داده میشود، کاملا از رفتارهای تکتک بخشهای آن کسبوکار دریافت و مشاهده میشود، چه با بخش مالی آن کسبوکار تماس بگیری، نیروهای فنی و افرادی که ما در ارتباطند و ... همه اکتیو و پویا هستند. بهعنوان مثال اگر در رابطه با گزارش آسیبپذیری دریافتشده، چالش یا سوالی داشته باشند به سرعت از شکارچی میپرسند و أصلا نمیگذارند که روند بررسی گزارش از نظر زمانی طولانی شود، سریع آسیب پذیریهای دریافتی را برطرف میکنند و این دغدغهمندی در آنها حس میشود.
دستهی دیگری از کسبوکارها هستند که امنیت سایبری برایشان اهمیت دارد و میخواهند که سطح امنیتشان را ارتقا دهند، اما این کار اولویت اول و دوم آنها نیست. اولویت اول آنها این است که فیچر جدید اضافه کنند، آپدیت کنند، پروداکتهای جدیدی بیاورند و ... . اینگونه است که اولویت امنیت برای آنها پایینتر میآید و امنیت سایبری در ردههای پایینتر اولویتهایشان قرار میگیرد. ارتباط با اینگونه میدانها نیازمند پیگیری مداوم است؛ پیگیری بررسی گزارش، چککردن و ... . بههمین دلیل معمولا روند بررسی گزارشهای این دسته از میدانها طولانی میشود. ما این را هم درنظر داریم که ممکن است لود کاری در سمت آنها زیاد باشد. اما این نیاز را داریم که از سمت میدانها به این شکل حمایت شویم که تایملاینها و ددلاینها را حفظ کنند تا کارها بهموقع و طبق روال پیش برود.
پیشنهاد خواندنی: چرا کسبوکارهای ایران امنیت اطلاعات را جدی نمیگیرند.
دغدغهی دیگری که دارم، موضوع "برطرفکردن آسیب پذیریها" توسط میدانهاست. بعضی میدانها، که اغلب از میدانهای دستهی دوم کسبوکارهایی که نام بردم هستند، فقط آسیب پذیریهایی که برایشان حیاتی ست را برطرف میکنند. و دررابطه با آسیب پذیریهایی که اهمیت کمتر یا متوسطی دارند، بانتی را پرداخت میکنند اما آسیب پذیری را برطرف نمیکنند. اینطور است که در چنین مواقعی، لود کاری به سمت ما میافتد. سایر شکارچیهای آسیب پذیری نیز ممکن است به آن آسیب پذیری بربخورند، کشفش کنند و گزارش کنند، اما آن آسیب پذیری تکراری محسوب میشود. مواقعی پیش آمده است که ما آسیب پذیریهایی داشتهایم که،7 یا 8 ماه است که از گزارششدن آن آسیب پذیری میگذرد، اما هنوز توسط میدان رفع و برطرف نشده است! من دوست دارم به جایی برسیم که قسمتی از کار تیم فنی یا تیم امنیت مجموعهها (که هر کسبوکار وابسته به سایزش، یکی از آنها را داراست)، زمان ثابت و مشخصی در ماه را به رفع آسیب پذیریهای سامانهشان اختصاص دهند؛ از آسیب پذیریهای حیاتی گرفته تا کماهمیت. چهبسا که یک هکر کلاهسیاه بتواند از همان آسیب پذیری کماهمیت هم با سناریوی پیچیدهتری به یک آسیب پذیری حیاتی برسد. به همین دلیل بهتر است که کلیهی راههای نفوذ برطرف شوند. من دوست دارم که میدانها به این سمت بروند که خودشان هرروز به پنل خود در سایت راورو سر بزنند، بررسی کنند که گزارش جدیدی دارند یا ندارند، سریعتر آسیب پذیریهای خود را برطرف کنند و فقط به آسیب پذیریهای حیاتی خود اهمیت ندهند و فقط آنها را برطرف نکنند.
پیشنهاد خواندنی: چگونه بفهمیم هر آسیبپذیری چقدر خطرناک است؟ (معرفی ۳ سنگ محک جهانی)
_ در جلسههایی که با میدانها یا کسبوکارها داری، معمولا چه میگذرد؟
جلسههایی که من با کسبوکارها دارم، معمولا دو دسته است؛ یک دسته از جلسات مربوط به قبل از این است که میدان راورو شوند. یک سری جلسات هم که مربوط به کسبوکارهای میدانهای راورو ست که با راورو درحال همکاری اند.
جلسهی دستهی اول از این قرار است که کسبوکارها معمولا آشنایی کم یا متوسطی با باگ بانتی دارند. و ما در جلسه برایشان از باگ بانتی بهعنوان محصول و خدمتمان میگوییم؛ اینکه باگ بانتی چیست؟ چه نیازی را برطرف میکند؟ چه حسنی دارد؟ باگ بانتی راورو چه تفاوتی با سایر پلتفرمها دارد؟ و ... . اگر دغدغه و یا سوالی هم به وجود بیاید، به آن پاسخ میدهیم.
جلسات دستهی دوم، جلساتی تجمیعی هستند که در طول مدتی که کسبوکار میدان راوروست، با آن داریم. در این دسته جلسات، ما خلاصهای از فعالیتی که در این بازهی زمانی داشتیم، را گزارش میکنیم؛ از آسیب پذیریهای ثبتشده، نوع آسیب پذیریها، آسیب پذیری های رفعشده و رفعنشده، نظر شکارچیان آسیب پذیری، فیدبکهای دریافتشده در این مدت، چالشهای موجود و ... . تعداد و بازهی زمانی این جلسات هم به هدف و نیازش بستگی دارد؛ برای بعضی پس از 3 ماه، برای برخی اهداف پس از 6 ماه و برای برخی دیگر نیز متفاوت است.
پیشنهاد خواندنی: باگبانتی چه نیست؟
_ کسبوکارها معمولا در جلسات دستهی اول چه میپرسند؟ از چه چیزهایی میپرسند؟ چه دغدغههایی بیشتر توجهت را جلب میکند؟
برخی سوالهایی که کسبوکارها در جلسههای دستهی اول میپرسند، از این قرار است:
ما چطور مطمئن شویم که وقتی وارد باگ بانتی شویم، هکرهای کلاه سفید سوءاستفاده نمیکنند؟
چه تضمینی وجود دارد که وقتی که ما به باگ بانتی میپیوندیم، هک نشویم؟
چطور مطمئن شویم که همهی آسیب پذیری هایمان به ما گزارش میشوند؟
و...
ما پاسخهای مفصل و متنوعی ارائه میدهیم، که میتوانم یک یا دو مثال را برایتان بازگو کنم:
در پاسخ به دو سوال اول، یکی از پاسخهای ما این است که در بخشی از این جلسات به توضیخ أنواع هکر و تشریح و توصیف شخصیت و روحیات هکرهای کلاهسفید میپردازیم. برای میدانها توضیح میدهیم که این افراد اگر بخواهند نفوذ، تخریب و سوءاستفاده را انتخاب کنند، أصلا نیازی به پلتفرم نیست. این کاری ست که هر هکری میتواند در حالت عادی بهراحتی انجام دهد. در این میان از مثالهایی کمک میگیریم؛ باگهایی که ارزش بالایی داشتهاند و قابل سوءاستفادهی بسیاری بوده اند، را با مبلغ پایینتری به کسبوکارها گزارش میدهند.
و در پاسخ به سوال سوم هم یکی از نکاتی که به آن توجه میدهیم این است که بخشی از میزان فعالیت شکارچیها، بستگی به رفتار خود میدان دارد. اگر که میدان واقعا، امنیت سایبری و باگ بانتی برایش اهمیت داشته باشد، مطمئنا در رفتارش و عملکردش مشاهده میشود و شکارچیان آسیب پذیری نیز بیشتر به فعالیت برروی آن میپردازند. میدانهایی که در زمان کوتاهتری گزارشهای خود را بررسی میکنند، بانتیهای شکارچیان آسیب پذیری را پرداخت میکنند و آسیب پذیریها را نیز رفع میکنند، از محبوبیت بیشتری در میان شکارچیان آسیب پذیری برخوردارند. با رفتار میدان، گویی نیروی محرکهای به شکارچیان آسیب پذیری داده میشود تا فعالیت بیشتری برروی اهداف آن میدان داشته باشند؛ چراکه آنها هم متوجه میزان اهمیتی که آن میدان به امنیتش میدهد و ارزشی که برای گزارشهای آسیب پذیری دریافتی قائل است، میشوند. به همین دلیل آنها نیز بیشتر مایل به کشف و گزارش آسیب پذیریهای آن میدان میشوند.
پیشنهاد خواندنی: در باگ بانتی، میتوانید برای هکنشدن از هکرها کمک بگیرید!
_ یک خاطرهی جالب از کسبوکارهای مخاطب راورو که هیجانزدهت کرده است، را برایمان تعریف میکنی؟
برخی میدانها ابتدا ثبتنام خود را از طریق سایت انجام میدهند، سپس ما با آنها مرتبط میشویم و روند را بههمراه هم پیش میبریم. با یکی از کسبوکارها که تماس گرفتم، گفت که من کل سایت راورو ، کلیهی بلاگپستها، تمام قسمت راهنما و ... را خواندهام. همهی بخشهای سایت را کاملا زیرورو کرده بود. منتظر این نبود که ما برایش توضیح بدهیم. این برایم جالب بود. چون تابهحال اکثر کسبوکارها از این نوع بودهاند که در سایت ثبتنام میکنند و منتظر میمانند تا ما با آنها مرتبط شویم، توضیح دهیم و ... تا از کار ما آگاه شوند. اما این مخاطبی که گفتم، آنقدری امنیت برایش مورداهمیت و جالب بود که تمامی مطالب منتشرشدهی راورو را بهخوبی مطالعه کرده بود. اشتیاق این مخاطب برای فهم و کشف باگ بانتی و روند کار، خیلی برایم جالب بود.
_ نگاه تو به "امنیت سایبری" قبل و بعد از همکاری با راورو تغییری کرده است؟
اگر بخواهم صادق باشم، من قبل از همکاری با راورو هیچ دیدی نسبت به امنیت سایبری نداشتم. حتی نمیدانستم که چند نوع هکر داریم؛ هکر کلاه سفید کیست، هکر کلاه سیاه کیست، هکر کلاه خاکستری کیست و ... . موقعیت شغلیای که در آن قرار داشتم هم کاری اجرایی_عملیاتی بود و لزوم این دانش را چندان برایم ایجاب نمیکرد. ولی وقتی وارد راورو شدم، در دنیای امنیت سایبری کار کردم، اتفاقات مختلف را دیدم، شاهد هکشدن سامانههای بزرگ و کوچک و خصوصی و دولتی بودم، این موضوع برایم پررنگتر شد که " چه سوءاستفادههایی از این طریق صورت میگیرد..." متوجه شدم که چقدر آگاهی جامعه نسبت به امنیت سایبری کم است. دانش و حقخواهی لازم را نداریم. شاهد این حجم از نشت اطلاعات هستیم، مقدار زیادی از اطلاعات هویتی و اطلاعات حساب بانکی کاربران منتشر میشوند و برایمان اهمیتی ندارد! میگوییم: " خب منتشر شد، که شد!" أصلا نمیدانیم که بعدش چه اتفاقهایی ممکن است بیفتد! از وقتی وارد راورو شدهام، فهمیدهام که این موضوع چقدر پررنگ و مهم است! شاید مانند نیاز به آبوغذا نیاز اولیه نباشد، اما جزو نیازهای اساسیست؛ این که حریم خصوصیات حفظ شود، اینکه اطلاعاتت همهجا و درمعرض سوءاستفادهی دیگران نباشد و ... از نیازهای مهم است. مشخص نیست که چه کسی ممکن است از این اطلاعات نشتپیداکرده، سوءاستفاده کند. به دلیل همین سوءاستفادههای احتمالی و ناگهانیست که حالا فکر میکنم که امنیت سایبری برای هر کسبوکاری که یک سایت و یا سامانه دارد، موردنیاز است. چراکه ممکن است خسارتهای زیادی متوجه کسبوکار شود. کسبوکار کوچکی که ممکن است از نظر امنیتی در سطح مناسبی قرار نداشته باشد، ممکن است با یک هک و نشت اطلاعاتی، کل کسبوکارش از دست برود. این همان اهمیت امنیت در اجتماع و زندگی روزمره ست که در اثر همکاری با راورو متوجه آن شدهام.
پیشنهاد خواندنی: معرفی ۹ دسته هکر که احتمالا تاکنون نمیشناختید!
_ اگر چوب جادویی داشتی که میتوانست چیزی را در شغلت تغییر دهد، چه چیزی را تغییر میدادی؟
من اگر چوب جادویی داشتم، دوست داشتم که علم، فهم و توجه به امنیت سایبری را زیاد کنم. دوست داشتم که همه علم درسطح متوسط روبهبالایی نسبت به امنیت داشته باشند؛ بدانند امنیت سایبری چیست؟ برای چیست؟ چه اتفاقهایی در امنیت میافتد؟ چرا به آن نیاز داریم؟ چه نکات مثبت و منفیای دارد؟ چرا برخی به آن توجه میکنند؟ چرا روزبهروز نیاز به آن بیشتر إحساس میشود؟ همه به امنیت در دنیای واقعی اهمیت میدهند و فکر میکنند که امنیت تنها بهمعنای این است که دزد وارد خانهی آنها نشود، موردحمله قرار نگیرند و ... . امنیت سایبری نیز در همان حد مهم است و شاید درهمان حد میتواند تخریبکننده نیز باشد. دوست دارم این توجه جمعی در جامعه نسبت به امنیت سایبری، تحقق یابد.
بلاگپستهای مرتبط:
هک اخلاقی یا هک قانون مند چیست؟
افزایش حملات سایبری؛ شائبه یا واقعیت؟!