شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
گپ‌وگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton)

گپ‌وگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton)

۲,۲۶۴

در این بلاگ‌پست، به سراغ یکی از شکارچی‌های راورو، رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ ابوالفضل فهیمی (crypton)

ابوالفضل یه هکر کلاه‌سفیده و طرفدار پرسپولیس و رئال مادریده. تا به‌ حال ۴۳ گزارش آسیب پذیری در راورو ثبت و ۱۷۵ امتیاز کسب کرده.

_ ابوالفضل جان، خودت رو برامون معرفی می‌کنی؟

ابوالفضل فهیمی هستم؛ متولد ۷۷. در سن ۱۸ سالگی وارد حوزه امنیت سایبری شدم.

_ چطور وارد حوزه‌ی امنیت سایبری شدی؟

اگر قرار باشه از اولش بگم؛ از سن ۱۶،۱۵ سالگی وارد حوزه‌ی برنامه‌نویسی شدم. یکی،دو سال طراحی وب خوندم. اما خیلی برام جذابیت و هیجان نداشت. یه استادی داشتیم که یک سایتی که طراحی کرده بود، رو به‌عنوان نمونه بهمون نشون داد. گفت سایت اصلی یه شرکته و … . من بعد از کلاس رفتم خونه و روی سایت کار کردم. اون زمان نمی‌دونستم که باگ چیه، آسیب‌پذیری چیه و … . فقط متوجه شدم یه مشکلی وجود داره که می‌تونستم به پنل مدیریت دسترسی داشته باشم و همه چیز رو بخونم. بهشون اطلاع دادم. ناراحت شدن و رفعش کردن. از اون‌جا بود که برام جالب شد. بعد از این قضیه برنامه‌نویسی رو گذاشتم کنار و با هک و امنیت بیش‌تر آشنا شدم. مقاله و منابع مختلف رو می‌خوندم و به‌صورت خودآموز یاد گرفتم.

_ و با باگ‌ بانتی آشنا شدی؟

اوایل که در حوزه‌ی امنیت کار می‌کردم، فکر نمی کردم که در آینده حوزه‌ای باشه به اسم باگ بانتی که بشه ازش به طور قانونی پول درآورد! تا قبل از اون بیش‌تر جنبه‌ی رقابت تو ذهنم داشت؛ دیفیس و اینجور چیزها کار می‌کردیم... . بعد از حدود دو-سه سال با باگ بانتی آشنا شدم. اوایل متن‌هایی که یاشار جان توئیت می‌کردن رو می‌خوندم، تا این‌که به این حوزه علاقه‌مند شدم و الان هم دو،سه ساله تو حوزه‌ی باگ بانتی کار می‌کنم.

_ پس یاشار اولین نقطه‌ای بود که به واسطه‌ش با باگ بانتی آشنا شدی؟

_ یه زمانی به این فکر می‌کردم که چرا من نتونم ازطریق این کار پول دربیارم!؟ پیگیرش شدم و چندتا از دوستان گفتن که یاشار هست و کارش خیلی خوبه. من هم پیگیر شدم و دیدم که واقعا کارش خوبه. منم تصمیم گرفتم بیام تو این حوزه و خیلی هم خوب بود و تا الان هم خوب بوده. البته یه سری مشکلاتی هم برام پیش اومد تو این حوزه.

_ مثلا چه مشکلاتی؟

مثلا؛ دو سال پیش بود (سال ۹۸) باگی تو یه شرکت گزارش کردم و حتی کمکشون هم کردم که رفعش کنن. اما خیلی شاکی شدن و تجربه‌ی خیلی بدی شد! بعد از از اون اتفاق حتی با مخالفت خانواده‌م هم روبه‌رو شدم، اما دست نکشیدم.

شما فضای امنیت سایبری ایران رو چطور می‌بینی؟

تا چند سال پیش که اوضاع اصلا خوب نبود! کم کم خیلی بهتر شده... نسبت به سال‌های پیش بهتر شده و بیش‌تر شرکت‌ها به فکر امنیت افتادن. باعث خوش‌حالیه که شرکت‌ها میان تو برنامه‌های باگ بانتی شرکت می‎‌کنن! این خودش یه پیش‌رفت بزرگه. ایشالا که بهتر هم بشه.

_ گفتی که خودآموز وارد این حوزه شدی، چه مطالبی رو می‌خوندی؟ چه منابعی رو دنبال می‌کردی؟

من بیش‌تر سیلابس‌ها رو دنبال می‌کردم و می‌دیدم در چه حفره‌هایی بیش‌تر تاثیرگذارند. کانال‌های یوتوب رو دنبال می‌کردم. توییتر و کورس‌های Udemy هم خیلی خوبند و استفاده می‌کردم. چند نفر از دوستانم بهم کتاب‌هایی معرفی کردن و مطالعه کردم. کتاب Web Application Hackers Handbook واقعا کتاب خیلی خوبی بود. چون انگلیسی هست، ممکنه کم‌تر سمتش برن. البته که الان باید همه زبان انگلیسی رو بلد باشن، در این حوزه مخصوصا! خود همین منابع ایرانی رو از منابع انگلیسی ترجمه کردن. و تجربه‌ی من این رو می‌گه که کتاب‌های ایرانی هیچ کدومشون توضیح عمیقی ندادن. من بیش‌تر منابع انگلیسی رو دنبال می‌کردم و گام‌‌به‌گام پیش می‌رفتم. برای این‌که مطمئن بشم که کامل همه‌ی مباحث رو گرفتم، مثلا دوره‌ی OwapTop10 یاشار رو شرکت کردم. اون‌جا هم یک‌سری چیزها رو خیلی خوب یاد گرفتم، اما در کل دوره خاصی رو شرکت نکردم. ویدئوهایی که یاشار جدیدا تو یوتیوبش می‌ذاره، خیلی منبع خوبیه برای کسایی که تازه می‌خوان وارد این حوزه بشن. در ویدئوهاش خیلی واضح و عملی توضیح می‌ده. یاشار خیلی لطف می‌کنه که این ویدئوها رو تهیه می‌کنه و به صورت رایگان در اختیار مردم قرار می‌ده. چنین محتوایی رو واقعا هرجایی به این شکل رایگان در اختیار مردم قرار نمی‌دن!

_ به نظرت هکرها باید برنامه‌نویسی بلد باشن یا هکرهایی که برنامه‌نویسی بلد نباشن هم می‌تونن موفق بشن؟

تو این حوزه تا حدی باید بلد باشن تا کارشون راحت‌تر بشه، مثلا؛ برای اکسپلویت کردن و اتومیشن من پیشنهاد می کنم تا حدودی برنامه نویسی بلد باشن. مثلا Python ،Javascript ،GO یا PHP واقعا کمک می‌کنه.

_ شما رشته‌ی دانشگاهی‌ت مرتبط به برنامه‌نویسی و امنیت بوده؟

من وارد دانشگاه نشدم، بعد از پیش‌دانشگاهی به صورت خودآموز وارد حوزه‌ی کامپیوتر شدم.

به علوم تجربی هم علاقه‌ای نداشتم و تصمیم گرفتم بذارمش کنار.

_ به نظرم شجاعت و جسارت می‌خواد این تصمیم.

من خیلی هم روم فشار نبود. با خانواده هم صحبت کرده بودم که علاقه ای به علوم تجربی ندارم. البته نمراتم هم خوب بود اما علاقه‌ای نداشتم و تا پیش دانشگاهی هم به زور می‌خوندم چون علاقه و حسی بهش نداشتم و نمی‌شد در ادامه‌ش کامپیوتر بخونی.

_ در بحث امنیت، بیش‌تر در چه حوزه‌‌ای متمرکز هستی؟

حوزه‌ی تخصصی من وب هستش، تا یه حدودی هم در حوزه‌ی اندروید و اپلیکیشن کار می‌کنم.

_ ریورس می‌کنی؟

آره، Reverse و مهندسی معکوس و اینا... . به طور تخصصی تو حوزه‌ی Malware و تا این حدود نه، Reverse و مهندسی معکوس کار می‌کنم.

_ آسیب‌پذیری موردعلاقه‌ت در حوزه‌ی وب چیه؟ آسیب‌‌پذیری مخصوص سرآشپز تو رستوران شما چیه؟

باگ ها یا آسیب پذیری هایی که خودم خیلی دوست دارم، SQL Injection و RCE هستند. این دوتا باگ‌ های موردعلاقه‌م هستند و بعدش XSS.

_ ابزار موردعلاقه‌ت چیه؟

ابزار محبوب هر هانتری اول BurpSuite هست دیگه، ابزار محبوب من هم هست.

_ شما به‌عنوان یه هکر، نایت‌پرسن هستی یا دی‌پرسن؟

درکل برام فرقی نمی‌کنه و زمان خاصی نداره. هروقت که حسش باشه؛ حالا شب باشه یا روز. ولی بیش‌تر روزها کار می‌کنم.

_ در روز چند ساعت رو پای سیستم می‌گذرونی؟

من ساعت‌های هفت صبح می‌شینم پشت کامپیوترم، تا هشت شب. دیگه بعدش رو با خانواده‌ام هستم.

_ یک روز ابوالفضل فهیمی چطور می‌گذره؟

چون شبش یه سری ابزارهای اتومیشن که دارم رو می‌ذارم که رو یه سری وب‌سایت‌ها کار کنن، صبح که از خواب بیدار می‌شم اول اون ها رو چک می‌کنم که ببینم چیز جدیدی بهشون اضافه شده یا نه. بعد از اون از ساعت ۱۲ تا ۲ رایتاپ می‌خونم؛ بیش‌تر رایتاپ‌های هکروان رو می‌خونم و دنبال نکته‌های جدید می‌گردم. تا اگه چیز جدیدی داشت و می‌شد، سعی کنم اون رو اضافه می‌کنم به بخش اتومیشن ابزاری که طراحی کردم که بهتر هم بشه. بعد از اون میام کارهای کشف باگ رو انجام می‌دم تا ساعت هشت، نه شب.

_ از ابزارت بیش‌تر برامون بگو.

یه ابزار اتومیشن هست و خیلی از کارهایی که من هر روز باید چند ساعت وقت بذارم رو به‌صورت اتوماتیک انجام می‌ده و منو خیلی جلو می‌ندازه، مثلا؛ Subdomainها رو درمیاره و مثلا نشون می‌ده که امروز چه Sobdomainهایی امروز روی فیس‌بوک ایجاد شده. URLها رو crawl می‌کنه. و بعد از این می‌رسیم به کشف آسیب پذیری که خودم باید وقت بذارم و دونه به دونه چک کنم. به‌طور مرتب هم سعی می‌‌کنم که ابزارم رو ارتقا بدم.

_ اگه بخوای حس لحظه‌ای که باگی رو کشف می‌کنی توصیف کنی، چی می‌گی؟

تا قبل از این‌که باگی پیدا بشه و در حال کشفشیم، خب یه خورده خسته‌کننده‌ست. ولی وقتی یه باگ پیدا می‌شه، خستگی‌ای که تو اون چند ساعت داشتیم، از تنمون درمیاد و خیلی حس خوبیه. برای همه‌ی هانترها آرزو می‌کنم این حس رو. ؛)

_ هک در دنیای ابوالفضل چطور تعریف می‌شه؟

هک جدا از علمی که هست، یه هنر محسوب می‌شه! واقعا یه هنره! بعضی‌ها دید خوبی نسبت بهش ندارن، اما درست نیست. به این خاطره که اون‌ها از بیرون می‌بیننش؛ تا زمانی که واردش نشید، نمی‌دونید که چه حس خوبی داره... .

_ به مخالفت خانواده اشاره کردی؛ یکی از چالش هایی که هکرها باهاش روبه رو می‌شن. نگاه خانواده و اطرافیان به هک که با ترس و بی اعتمادی همراهه...

بعد از اون تجربه‌ی بدی که بهش اشاره کردم، خانواده‌م مخالفت کردند. معتقد بودند که نباید سمت این حوزه برم. ولی خب من دست نکشیدم و دوباره شروع کردم. البته با دقت بیش‌تری که دوباره چنین مشکلی برام پیش نیاد! تلاش کردم خارج از چارچوب کار نکنم، واقعا رفتار کسب‌وکارها خیلی موثره! وقتی که به میدان شاتل یه باگ حیاتی (Critical) گزارش کردم، شاتل تقدیرنامه‌ای بهم داد. وقتی خانواده‌م دیدند که ازمن تقدیر شد، دیدشون نسبت به این حوزه کمی تغییر کرد و بهتر شدند. البته که هنوز هم شک و شبهه‌هایی دارند که خب نمی‌شه کاریش کرد.

_ بیش‌ترین بانتی‌ای که تا حالا گرفتی، چقدر بوده؟ مربوط به کجا بوده؟

حالا نمی‌دونم باید اسم ببرم از اون شرکت یا نه، بیش‌ترین بانتی‌ای که گرفتم از شرکت خدمات الکترونیکی بود که مجموعا 26 میلیون تومن بابت 5 تا باگ کریتیکال بود. گزارش بسیار بازخورد خوبی داشت و استقبال کردن.

_ با پولش چی‌کار کردی؟ شیرینی هم دادی؟

واسه خودم لپ‌تاپ خریدم و به‌عنوان شیرینی واسه داداشم هم یه گوشی خریدم.

_ امسال چقدر از باگ بانتی درآمد داشتی؟

از اول سال تا الان ۶۰ میلیون تومن.

_ بیش‌تر باگ بانتی داخلی کار کردی یا خارجی؟

خارجی هم کار کردم اما هنوز موفق نشدم. بقیه معمولا زودتر گزارش می‌کنن، به همین خاطر ابزارهای Automation لازم می‌شه که سریع‌تر به آسیب پذیری برسیم.

_ پس ایشالا اولین بانتی دلاریت رو که گرفتی، به ما هم شیرینی بده :)

_ ما کنج‌کاویم که یه کم بریم عقب‌تر؛ قبل از این‌که شما برنامه نویس بشی، وقتی برای اولین بار با کامپیوتر آشنا شدی. برامون تعریف می‌کنی؟

فکر کنم پنجم ابتدایی بودم. اون‌موقع بابام قول داد که اگه نمره‌ی خوبی بگیرم، برام کامپیوتر می‌گیره. اون‌موقع نمی‌دونستم که چیه، چه جوریه و ... . از دوستام تعریفش رو شنیده بودم که چیز خوبیه، به خاطر بازی‌هایی که روش نصب می‌شد. پنجم ابتدایی تموم شد و نمره‌م برای پدرم قابل‌قبول بود. بابام برام کامپیوتر خرید و شروع شد. ؛) شروع کردم به یادگیریش. اصلا نمی‌دونستم چه‌جوری کار می‌کنه. بعد از اون مشغول Game بودم؛ بازی می‌کردم، حتی نمی‌دونستم اینترنت چیه! دیگه کمکم با دوستان آشناشدم با اینترنت آشنا شدم و دوستان گفتن برو تو اینترنت این کار رو انجام بده و و دیگه با اینترنت آشنا شدم

_ مشخصات کامپیوتری که داشتی، رو یادته؟

فکر کنم رم دو گیگ بود، گرافیک ۲۵۶ مگابایت روش بود با یه CPU دوهسته‌ای یا چهارهسته‌ای! خیلی ضعیف بود، ولی بازی‌هایی که روش نصب می‌شد رو جواب می‌داد. سیستم عاملش هم ویندوز XP بود.

_ الان چه سیستم عاملی داری؟

بعد از این‌که وارد حوزه‌ی هک و امنیت شدم، با لینوکس آشنا شدم و سراغ Ubuntu رفتم. الان هم بعضی وقت‌ها با ویندوز کار می‌کنم و بعضی وقت‌ها با Ubuntu.

_ تا حالا ازت به‌عنوان کسی که امنیت سایبری می‌دونه، درخواست شده که مثلا امنیت اکانت اینستاگرامی رو فراهم کنی؟ که امن بشه و کسی نیاد هک کنه؟ یا ازت درخواست شده که ایمیل فلانی کسی رو هک کنی؟

چرا، خیلی از اینجور پیام‌ها میاد :) بیش‌تر هم از طرف فامیل. که میگم کلا من تو اینستاگرام نمیام. یا اگه کسی هم بتونه نمیاد. از این درخواست ها خیلی زیاده و برای همه اتفاق می‌افته...

_ تفریحاتت چیه؟

کلا شب هاکنار خانواده‌ام هستم؛ کنار هم یه فیلمی، سریالی می‌بینیم. بعضی وقت‌ها، جمعه‌ها با دوستانم هستم؛ ورزشی می‌کنیم، فوتبالی بازی میکنم و ... بعد پشت کامپیوترم. Game هم Call of duty3 می‌زنیم.

_ فوتبال تماشا می‌کنی؟ طرفدار چه تیمی هستی؟

آره، اگه فرصت بشه مسابقه‌های مهم رو می‌بینم. از لیگ اروپا طرفدار رئال مادرید و از لیگ ایران طرفدار پرسپولیسم.

_ ابوالفضل برای مسیری که تاحالا طی کردی، رودمپ داشتی؟

نه من کلا رودمپ نداشتم. بیش‌تر کانال‌های یوتیوپ رو دنبال می‌کردم و سعی می‌کردم از اون‌جا یاد بگیرم چیزهای دیگه رو. ولی تو حوزه‌ی باگ بانتی، یاشار جان یه رودمپ تو سایتشون گذاشتن، که رودمپ خوبیه و خودمم تاحدودی براساس اون پیش رفتم ولی قبل از اون رودمپی نداشتم.

_ کجای مسیرت بود که مطمئن شدی و گفتی: " آهان! این همون مسیریه که من می‌خواستم!"

همون موقعی که اولین کار رو که کردم؛ همون سایتی که استادمون طراحی کرده بود و باگش رو پیدا کردم. همون‌موقع فهمیدم این چیزیه که من خودم دوستش دارم، بهش علاقه دارم و بهم هیجان می‌ده. از همون‌جا بود که شروع شد و به این حوزه علاقه‌مند شدم. می‌دونستم که ممکنه اتفاق­‌های خوب یا اتفاق‌­های بدی برام بیفته. اما همون موقع انتخابم رو انجام دادم. در تجربه‌ی بدی که اشاره کردم هم، من می‌دونستم کارم درسته و اشکالی توش نیست. می‌دونستم ونستم کمکشون کردم حالا چه اون‌ها بخوان ازم تشکر کنن، یا شکایت کنند و برام دردسر بشه! من می‌دونستم کارم درسته و هنوزم که هنوزه پشیمون نیستم از کارم.

_ در مسیری که طی کردی، دوست‌ها یا همراهانی داشتی؟

بله حدود سه نفر بودیم؛ ولی دوست‌هام دیگه کار نمی‌کنند تو این حوزه. مثلا دانشگاهشون رو ادامه دادند و از این حوزه جدا شدند و من موندم.

_ اگر بخوای تجربه‌های تابه‌حالت رو با یک نفر که در ابتدای مسیر قرار داره، همون‌جایی که خودت پند سال پیش قرار داشتی، به اشتراک بذاری، چی بهش می‌گی؟

شخصی که در اوایل مسیر قرار داره و می‌خواد شروع کنه، خب خیلی بستگی به علایقش داره که چه سمتی رو انتخاب کنه؛ برنامه‌نویسی، هک و امنیت، امنیت هم تو چه حوزه‌ای باشه؟ وب باشه یا اپلیکیشن؟ من چون تو حوزه‌ی وب کار کردم، پیشنهاد می‌کنم این حوزه رو امتحان کنه و بعد بره سراغ اپلیکیشن. براساس تجربه‌ی من، به نظرم این‌طوری می‌تونه اپلیکیشن رو بهتر هم درک کنه. این انتخاب هم وجود داره که راه قانونی رو انتخاب کنه یا راه غیرقانونی؟ حقیقتا من یه جورایی تو هر دوش بودم. حالا یه سری‌ها می‌گن که کار غیرقانونی پولش بیش‌تره، ولی خب دردسرش هم بیش‌تره. حالا اونی که قانونی کار می‌کنه پولش کم‌تره، ولی خیالش راحت‌تره. من این‌ها رو بهش می‌گم. ولی نمی‌تونم بگم چه کاری دقیقا انجام بده چون بستگی به انتخاب خودش داره.

_ اگر نقد یا نظری نسبت به راورو داری، خوشحال می‌شیم بدونیم.

من نقطه‌قوت راورو رو همین مبالغ بانتی هاش می‌دونم. به نظرم مبالغ خوبی هستند و بد نیستند. البته خوبه که مبالغ بانتی‌ای که شرکت‌ها می‌ذارن بیش‌تر بشه... و نقطه ضعف راورو رو مدت زمان پرداخت بانتی‌ها می‌دونم. به نظرم اگر راورو با میدان‌ها صحبت کنه که این پرداخت‌­ها سریع‌تر بشه، بهتر می‌شه. چون بعضی شرکت‌ها دیرتر از زمان اعلامی راورو، پرداخت رو انجام می‌دن.

_ ما حتما تلاشمون رو می‌کنیم. ممنون از این‌که وقتت رو در اختیار ما قرار دادی. :)

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)

گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.