گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)

گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)

۸۴۱

در این بلاگ‌پست، به سراغ یکی از شکارچی‌های راورو، رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ محمد درخشان (mohammadrobot)

محمد یه هکر کلاه‌سفیده، ۲۱ سالشه و دانشجوی یه رشته‌ی غیرمرتبط به امنیت هم هست. تا به‌ حال ۱۲۸ گزارش آسیب‌پذیری در راورو ثبت و ۵۷۷ امتیاز کسب کرده است. محمد در تاریخ این مصاحبه، بالاترین امتیاز رو در بین شکارچیان راورو داره.

- محمد جان، خودت رو برامون معرفی می‌کنی؟

من محمد درخشان هستم. ۲۱ سالمه.

- اولین تجربه‌ی آشناییت با کامپیوتر به چه زمانی برمی‌گرده؟

من کلاس چهارم بودم، ۱۰ سالم بود، که با کامپیوتر آشنا شدم. اولین سیستم عاملی که باهاش کار کردم، ویندوز XP بود. اون زمان یک سری کارت‌های اینترنت بودند که می‌خریدیم. دنیای عجیبی بود و برام سوال بود که :«اینترنت چطور کار می‌کنه؟» بیش‌تر با کامپیوتر GTA بازی می‌کردم.

- اهل Counter Strike هم هستی؟ ؛)

بله کمی، ولی ضعیفم و به سرعت بازیکن‌های دیگه نمی‌رسم. این روزها هم فرصت نمی‌کنم بازی کنم.

- از چه زمانی وارد حوزه‌ی امنیت شدی؟

تا بعد از کنکورم با امنیت و برنامه‌نویسی آشنا نبودم. اون موقع بیش‌تر درس می‌خوندم و زیاد از کامپیوتر استفاده نمی‌کردم. الان یک ساله که وارد این حوزه شدم. درواقع از ۲۰ سالگی وارد حوزه‌ی امنیت شدم. اولین عامل جذب من به این حوزه، این بود که من سریال Mr. Robot رو دیدم. ایده‌ی آیدی فعلیم (mohammadrobot) هم از این سریاله. اون موقع اصلا نمی‌دونستم چطور می‌شه هک کرد. بعد توی یوتیوب که می‌چرخیدم، یک باگ‌هانتر آرژانتینی به نام سانتیاگو لوپز رو پیدا کردم. وقتی ویدیوهای اونو دیدم، خیلی علاقه‌مند شدم و بعد در اینترنت جست‌وجو کردم و به هکروان و راورو رسیدم.

- با برنامه‌نویسی و دانش شبکه آشنایی داشتی یا بدون اونا شروع کردی؟

حدود یک سالی با برنامه‌نویسی آشنایی پیدا کردم و بعد یک سال وارد باگ‌بانتی شدم. بیش‌تر زبان‌های برنامه‌نویسی پایتون و جاوااسکریپت رو بلدم. همه رو self-study و رایگان یاد گرفتم و کلاسی شرکت نکردم. زبان انگلیسی رو خوب بلد بودم چون برای کنکور می‌خوندم. هنوز مشکل‌هایی دارم، اما در کل خوبه.

- بیش‌تر تمرکزت روی وب بوده یا روی بخش‌های دیگه هم تمرکز کردی؟

همه‌ش وب بوده البته یه مدت سراغ Smart Contract رفتم، دیدم سخته و رها کردم.

- اولین باگی که ثبت کردی برای کجا بود؟

سایت ویرگول بود. برخوردشون خوب بود؛ یک میلیون تومن بانتی دادند. خیلی حس خوبی داشت و انگیزه زیادی بهم داد.

- اگه بخوای حس لحظه‌ای که باگی رو کشف می‌کنی توصیف کنی، چی می‌گی؟

اگر باگی باشه که حساس باشه هیجان زده میشی. مثلا باگ بدی استرس تکراری شدنشو داری.

- آسیب‌پذیری موردعلاقه‌ت چیه؟

IDOR رو خیلی دوست دارم، چون خودش به چند شاخه تقسیم می‌شه؛ باهاش می‌تونی Account Takeover بزنی، Information Disclosure کنی و خیلی موارد دیگه هم درونش وجود داره.

- ابزار خاصی هست که بیش‌تر استفاده کنی؟

همون BurpSuite

- شما جزو یکی از شکارچی‌های رده‌بالای ما هستی. این‌طور که می‌بینیم تا حالا ۳۷ میلیون تومن در راورو بانتی گرفتی. درآمدت از باگ‌بانتی داخلی در کل چه‌قدر بوده؟

سر جمع حدود ۱۰۰ میلیون تومنی می‌شه.

- توصیه می‌کنی بقیه هم بیان باگ بانتی پول در بیارن؟

اگر بخوان که وارد این حوزه بشن باید صبر زیادی داشته باشند.

- در روز چقدر برای باگ‌بانتی وقت می‌گذاری؟

در تابستون در بیش‌تر روزها حدود ۵ ساعت روی باگ‌بانتی وقت می‌گذاشتم. اما در حال حاضر به خاطر مشغله‌ای که برای دانشگاه و ... دارم، کم‌تر وقت می‌ذارم. بعضی وقتا باگ‌هایی هستند که در یک دقیقه کشف می‌شن اما بعضی اوقات هم باگ‌هایی هستند که سخت پیدا می‌شن.

- بیشتر شب ها کار می‌کنی یا روزها؟

من فکر می‌کنم صبح‌ها بهتر ذهنم کار می‌کنه؛ اوایل صبح حدود ساعت ۸. شب‌ها هم می‌تونم کار کنم، اما بیشتر صبح‌ها بازدهیم بهتره.

- در زمانی که صرف باگ‌بانتی می‌کنی، بیش‌تر مطالعه می‌کنی یا وقتتو روی بررسی تارگت‌ها می‌گذاری؟

اوایل بیش‌تر مطالعه می‌کردم اما الان بیش‌تر روی تارگت‌ها وقت می‌گذارم.

- وقتی که اطرافیانت فهمیدن که محمد بلده هک کنه، واکنششون چطور بود؟

وقتی که اولین بار بانتی گرفتم خونواده‌م فکر می‌کردن که من اون پول رو دزدیدم. هر چی توضیح می‌دادم باور نمی‌کردند. اما الان دیگه قبول کردند.

- از بین شکارچی‌های ایرانی و خارجی کسی هست که الگو بدونی؟

بله آقا یاشار که صحبت می‌کنن، انگیزه‌ی من برای باگ بانتی زیاد می‌شه.

- اهل فیلم و سریال هستی؟

نه زیاد مگر اینکه خیلی سر و صدا کنه، مثل Squid Game. در کل بیش‌تر به فیلم‌های علمی - تخیلی علاقه دارم.

- برای چی اومدی و در باگ بانتی هک می‌کنی؟

من خودم شاغلم و به عنوان شغل به باگ بانتی نگاه نمی‌کنم. بیش‌تر به خاطر هیجانی که برام داره، این سمت فعالیت می‌کنم.

مخصوصا کشف باگ‌هایی که Impact زیادی داشته باشن! مثل این می‌مونه که خیلی بهشون کمک کردی.

- اگر بخوای به افرادی که می‌خوان تازه وارد این حوزه بشن، توصیه‌ای بکنی، شامل چه نکاتی می‌شه؟

در این مسیر صبر خیلی مهمه! باید مطالعه‌ی زیاد داشته باشند و مهارت برنامه نویسی رو قوی کنن، مخصوصا زبان‌های Python و JavaScript

- ممنون که زمانت رو در اختیار ما گذاشتی محمد جان و این مصاحبه جذاب رو تونستیم باهات داشته باشیم :)