شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
باگ‌بانتی در وب‌سایت‌های فروش دوره‌های آموزشی

باگ‌بانتی در وب‌سایت‌های فروش دوره‌های آموزشی

۴,۳۳۸

زمانی راه فراگیری دانش و آموختن علوم مختلف، مراجعه به مکتب‌خانه‌ها، بزرگان و مطالعه‌ی آثار مکتوب محدود بود. اما این روزها، و با به میدان آمدن وبسایت‌های فروش دوره‌های آموزشی، دیگر چنین نیازی نیست. حالا دیگر متخصصان زیادی محتواهای تخصصی خود را در قالب متن، ویدیو و یا حتی پادکست و در بستر وبسایت‌های فروش دوره‌های آموزشی عرضه می‌کنند. و این‌گونه کلاس درس و محتوای موردنیاز در موقعیت جغرافیایی مخاطب، به‌سادگی و به‌سرعت برپا می‌شود.

Image

• اما چه چالش‌های امنیتی و چه خطراتی این گونه کسب‌وکارها و سرمایه‌هایشان را تهدید می‌کنند؟

• چه اقدامات امنیتی‌ای می‌توانند این خطرها و ناامنی‌ها را کاهش دهند و به امنیت این کسب‌وکارها بیفزایند؟

ما در این مطلب به طور گسترده به پاسخ این دو سوال می‌پردازیم. همراه ما باشید ؛)

چه خطراتی سرمایه‌های وب‌سایت‌های فروش دوره را تهدید می‌کنند؟

ابتدا لازم است نگاهمان نسبت به واژه‌ی سرمایه را یک‌سو و یک‌سان کنیم. در این مطلب مقصود از سرمایه تنها سرمایه‌ی مالی کسب‌وکار نیست. بلکه سرمایه‌های دیگری نیز است که چرخ کسب‌وکار شما را به گردش در می‌آورند و بقای کسب‌وکار شما در گرو آن‌هاست.

این چهار مولفه‌ی اصلی، سرمایه‌های اصلی کسب‌وکار شما هستند:

• اطلاعات مشتریان و مولفان دوره‌ها

• محتواهای بارگذاری‌شده‌ي غیررایگان

• اعتماد مولفان برای انتشار دوره‌های خود

• اعتماد مشتریان برای خرید دوره‌ها

این چهار مولفه‌ی اصل، سرمایه‌های اصلی کسب‌وکار شما هستند. رشد کسب‌وکار شما در گرو برقراری امنیت برای هر کدام از این چهار سرمایه‌ی اصلی شماست. در صورت خدشه وارد شدن به هر یک از این سرمایه‌ها، کسب‌وکار شما تحت‌تاثیر قرار خواهد گرفت. آیا می‌دانید که هر یک این سرمایه‌ها، از نگاه فنی در معرض چه خطرهای امنیتی‌ای هستند؟ ما در ادامه‌ی مطلب به‌تفکیک برای شما خواهیم گفت:

اطلاعات مشتریان و مولفان دوره‌ها

این اطلاعات شامل مجموعه اطلاعات هویتی کاربران وب‌سایت شما مانند نام و نام خانوادگی و اطلاعات دیگری مانند شماره تلفن و گذرواژه هستند. باید توجه داشت که در فضای مجازی هر کس یک شخصیت مجازی از خود دارد و دارای اطلاعاتی است که به فضای حقیقی مرتبط است. اگر این اطلاعات در فضای مجازی به سرقت بروند، می‌توانند مشکلاتی را در فضای حقیقی هر کدام از اشخاص به وجود بیاورند که گاه جبران‌ناپذیر است. بنابراین اطلاعات کاربران در هر سامانه‌ای از مهم‌ترین اطلاعاتی به شمار می‌روند. برقراری حریم خصوصی این اطلاعات بسیار اهمیت دارد.

محتواهای بارگذاری‌شده‌ی غیررایگان

محتواهایی که در وب‌سایت شما بارگذاری شده‌اند، عموما رایگان نیستند. بنابراین باید دسترسی کاربران و مشتریان به آن‌ها بر اساس ضوابطی صورت بگیرند که مهم‌ترین آن پرداخت هزینه‌ی هر محتواست. در این وب‌سایت‌ها، دانلود غیرمجاز و انتشار محتوای غیررایگان توسط دیگران از جمله مواردی است که مشکلاتی را برای ناشران محتواهای آموزشی پدید می‌آورد.

امنیت محتواهای بارگذاری‌شده‌ی غیررایگان، سرمایه است.

وب‌سایت‌هایی که اقدام به فروش دوره‌های آموزشی می‌کنند، معمولا محتوای غیررایگان خود را برای کاربرانی که آن محتوا را خریده اند، به دو روش ارائه می‌کنند: در برخی، محتوا هم قابل‌دیدن و هم قابل‌دانلود است. اما در برخی دیگر، محتوا فقط قابل‌دیدن است؛ گزینه‌ی دانلود برای محتوا وجود ندارد و کاربر فقط از طریق مراجعه به وب‌سایت می‌تواند به محتوا دسترسی داشته باشد.

در هر دو دسته‌ای که ذکر شد، با استفاده از تکنیک‌هایی، امکان دانلود فایل وجود دارد. در دسته‌ی اول که ظاهرا امکان دانلود وجود ندارد، هکر و یا حتی کاربر عادی می تواند به راحتی از طریق دنبال کردن منبع محتوا به وسیله‌ي مرورگر، آن را بدون پرداخت هزینه‌اش دانلود کند. در دسته‌ی دوم نیز معمولا آدرس فایل‌ها از یک الگوی خاص پیروی می‌کنند که با فهمیدن آن الگو امکان دانلود حتی بدون خرید محتوا امکان‌پذیر است.

بنابراین در صورتی که با نفوذ، دسترسی رایگان و غیرمجاز به محتواهای بارگذاری‌شده ممکن شود، قیمت‌های موجود برای هر محتوایی که در وب‌سایت خود قرار داده‌اید، بی معنی خواهند شد و این سرمایه‌ی مهم را از دست خواهید داد.

اعتماد مولفان برای انتشار دوره‌های خود

وب‌سایت شما بستر و مرکزی برای انتشار محتواهای آموزشی مولفان است. مولفان بر اساس اعتمادی که به کسب‌وکار شما دارند، محتوای خود را در اختیار شما قرار می‌دهند. اگر شرایط به گونه‌ای باشد که سطح امنیت محتواها ضعیف تلقی شود و یا ضعف در امنیت وب‌سایت، سبب منتشرشدن و دانلود غیرقانونی و رایگان محتواها شود، اعتماد مولفان به وب‌سایت شما خدشه‌دار خواهد شد و سرمایه‌ای به نام اعتماد مولفان در خطر قرار خواهد گرفت.

اعتماد مولفان اهمیت دارد.

اعتماد مشتریان برای خرید دوره‌ها

اگر مولفان کم‌تری برای فروش دوره‌ها و محتواهای خود به وب‌سایت شما اعتماد کنند، بدیهی ست که محتوای کم‌تری برای عرضه خواهید داشت و مشتریان و فروش شما هم کاهش پیدا می‌کند. اما این تمام ماجرا نیست و خطر دیگری نیز ممکن است حقوق مشتریان شما و اعتماد آن‌ها به وب‌سایت شما را تهدید کند.

یکی از مسائلی که سبب از بین رفتن سرمایه‌ی اعتماد مشتریان می‌شود، انتشار بدافزار توسط هکرها از طریق وب‌سایت شماست. یک نفوذگر و یا هکرکلاه‌سیاه با نفوذ به وب‌سایت شما می‌تواند فایل‌های آلوده‌ای را در سرور وب‌سایت شما با همان نام و با همان شکل جایگزین محتواهای بارگذاری‌شده کند. یعنی هر دانلود برابر است با افزایش ضریب انتشار بدافزار بین کاربران.

حمله‌ی منع سرویس یا DDOS یکی از خطرات در کمین است. این حمله باعث اختلال در سرویس‌های وب‌سایت می‌شود. به دنبال اختلال ایجادشده ممکن است دسترسی کاربران به محتواهای بارگذاری‌شده مختل و یا به طور کلی برای مدتی قطع شود. این اتفاق سبب می‌شود که پایداری وب‌سایت زیر سوال برود و هم‌چنین مشتریان و مولفانی که به شما اعتماد کرده‌اند در اعتماد خود تجدیدنظر کنند و رشد کاربران شما متوقف یا کم شود.

راه‌حل چیست؟

حال چطور می‌شود این مسئله را حل کرد؟ چگونه می‌شود از این سرمایه‌های ارزش‌مند مراقبت و محفاظت کرد؟ سرمایه‌هایی که ثمره و نتیجه‌ی مدت‌ها تلاش تیمی و هزینه‌های متنوع در کسب‌وکار شما هستند... همیشه نیمی ازجواب در صورت مسئله نهفته است و با شناخت دقیق‌تر مسئله، نیمی از مسیر طی می‌شود. پس بگذارید نگاه عمیق‌تری به مسئله بیندازیم:

چگونه از سرمایه‌های کسب‌وکار خود مراقبت کنیم؟

اگر دقیق‌تر نگاه کنیم، فصل مشترک تمامی خطرات بالا، "نفوذ دیگری و یا دیگران" به سامانه‌ی شماست. تمامی خطراتی که برشمردیم، از وجود نقطه و نقاط آسیب‌پذیر در سامانه‌ی شما آغاز می‌شوند؛ آسیب‌پذیری‌هایی که دریچه‌ی نفوذ هکرهای کلاه‌سیاه و نفوذگران به ساختمان مجازی کسب‌وکارتان و یا همان سامانه‌ی شما خواهند بود. آسیب‌پذیری‌ها گونه‌های متنوعی دارند و از نظر "خطر" و "اهمیت" در سطوح مختلفی، از سطح کم‌اهمیت تا بحرانی، دسته‌بندی می‌شوند. با شناخت مسئله نیمی از مسیر را با یک‌دیگر پیمودیم، حالا می‌خواهیم سراغ نیم دیگر برویم. راهکار منطقی برای کاهش این‌گونه خطرها و ارتقای امنیت، کاهش آسیب‌پذیری‌های سامانه است.

چگونه می‌توان این ناامنی‌ها را برطرف کرد و امن‌تر شد؟

گفتیم تنها راهی که می‌تواند این مشکلات را کاهش دهد، کشف آسیب‌پذیری‌های موجود و سپس رفع آن‌هاست. اما چگونه؟ به چه روش؟ چه روش‌هایی برای ارتقای امنیت وجود دارند؟ چگونه می‌توان روش مناسب برای کسب‌وکار خود را از میان آن‌ها برگزید؟ ما در ادامه‌ی این مطلب به معرفی راهکاری خواهیم پرداخت که به عنوان به‌صرفه‌ترین راه ارتقای امنیت شناخته می‌شود. راهکاری که وب‌سایت مشهور Udemy، که از وب‌سایت‌های مشهور فروش دوره‌های آموزشی به شمار می‌رود، نیز از آن برای ارتقای امنیت خود استفاده کرده است. Udemy از سال ۲۰۱۵ به پلتفرم باگ‌بانتی هکروان پیوسته‌ است و برنامه‌ی باگ‌بانتی خود را بر روی آن اجرا کرده است.

باگ‌بانتی چیست؟ و چه جایگاهی در میان راهکارهای نوین ارتقای امنیت دارد؟

وقتی پای ارتقای امنیت یک سازمان وسط باشد، اولین ایده‌ای که به ذهن می‌رسد، ارزیابی امنیتی وب‌سایت است. اما چگونه؟ توسط چه کسانی؟ یکی از راه‌ها کمک‌گرفتن از تعدادی از هکر‌های کلاه‌سفید برای ارزیابی امنیتی وب‌سایت است. این روش در حوزه‌ی ارزیابی‌های امنیتی به روش تست‌نفوذ یا پن‌تست مشهور است. در این روش مدیران وب‌سایت تعداد محدودی هکر را استخدام می‌کنند، تا به ارزیابی امنیتی وب‌سایتشان و کشف آسیب‌پذیری‌های آن بپردازند.

باگ‌بانتی، روشی کارآمد و به‌صرفه

باگ‌بانتی نیز راه‌کار دیگری‌ که آن را نسل جدید پن‌تست می‌دانند. دو ویژگی بهره‌گیری از خرد جمعی و مدل پرداختی Pay Per Use در باگ‌بانتی سبب شده‌اند که این راهکار را به‌صرفه‌ترین راه‌ ارتقای امنیت نیز بخوانند. هر کسب‌وکار با پیوستن به یک پلتفرم باگ‌بانتی، می‌تواند از تخصص جمع نامحدودی از متخصصان امنیت و هکرهای کلاه‌سفید برای ارزیابی امنیتی وب‌سایت خود بهره ببرد. بدیهی‌ست که هر چه مغزها و چشم‌های بیش‌تری به ارزیابی امنیتی یک سامانه بپردازند، آسیب‌پذیری‌های بیش‌تری نیز کشف می‌شوند و امنیت بیش‌تری برقرار می‌شود. مزیت دیگر باگ‌بانتی نسبت به پن‌تست نیز از این قرار است که در پن‌تست، کسب‌وکار و هکرها در ابتدای کار سر قیمت مشخصی به توافق می‌رسند. در پایان نیز هزینه‌ی توافق‌شده بی‌کم‌وکاست پرداخت می‌شود. اما در روش باگ‌بانتی، کسب‌وکار تنها هزینه‌ی آسیب‌پذیری‌های کشف‌شده یا به عبارتی تنها هزینه‌ی میزان استفاده‌ی خود، را می‌پردازد.

در مطلب «باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این است...» دقیق‌تر و مفصل‌تر به مقایسه‌ی دو روش پرطرفدار پن‌تست و باگ‌بانتی پرداخته‌ایم.

در مطالب «یک گام به امنیت واقعی نزدیک‌تر شوید» و «باگ‌بانتی؛ به‌صرفه‌ترین راه ارتقای امنیت» نیز بیش‌تر راجع به ویژگی‌های باگ‌بانتی نوشته‌ایم.

سخن آخر

ما در این مطلب به چالش‌هایی پرداختیم که معمولا گریبان‌گیر امنیت محتواهای کسب‌وکارهایی می‌شوند که دوره‌های مختلفی را در حوزه‌های گوناگون منتشر می‌کنند و گفتیم که امنیت در همه حال یکی از لازمه‌های کسب‌وکارهای امروزی است. این را نیز همیشه به خاطر داشته باشید که یکی از مهم‌ترین سرمایه‌های شما داده‌های کاربرانتان و اعتماد مشتریان شما به کسب‌وکار شماست. اگر سهل‌انگاری سبب از دست‌رفتن این سرمایه‌ها شود، ممکن است هیچ‌گاه قابل جبران نباشد. اگر دغدغه‌ی عدم تضییع حق و حقوق مولف را داریم باید راه مناسبی برای پاسخ به این دغدغه بیابیم.

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.