در این بلاگ‌پست، به سراغ یک متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی درباره‌ی تجربیاتش در تست نفوذ داشته باشیم؛  پیمان زینتی (@Scar3cr0vv)

پیمان 22 سال دارد. از از 15-16 سالگی وارد دنیای هک و امنیت شده است. بیشتر در حوزه‌ی امنیت وب‌اپلیکیشن‌ها فعالیت می‌کند. هم به باگ بانتی می‌پردازد، هم به تست نفوذ. سعی می‌کند با حفظ تنوعی از هردو، از هیچ کدام اصطلاحا "زده" نشود. آرزو دارد که ایران از حالت اوپن سورسی که هست، یک‌مقدار کلوز سورس‌تر شود. 

ما مصاحبه‌ی دیگری هم با پیمان داشته‌ایم: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ پیمان زینتی 

_ از نگاه شما، تفاوت یک تست نفوذ خوب با یک تست نفوذ بد، در چیست؟  

چیزی که من در تجربه‌ام در تست نفوذ در این چند سال مشاهده کرده‌ام، این است که اکثر شرکت‌ها در تلاش هستند که روند تست نفوذ بر اساس یک استاندارد، مثلا OWASP Top10 یا چنین چیزی، انجام شود. درحالی‌که اکتفا به چنین مواردی، باعث می‌شود که برخی موارد هم پوشش‌ داده نشوند. کیس‌های خاص‌تر و بیشتری هم وجود دارند که نیاز است چک شوند. 

_ درباره‌ی کارهایی که کسب‌وکارها لازم است قبل از تست نفوذ به آن توجه کنند، نکته‌ی قابل‌توجهی به ذهنت می‌رسد؟ (که در تجربه شاهد عدم توجه کافی به آن بوده باشی.) 

بله، جای خالی توجه به بعضی موارد را می‌بینم.  

مواردی پیش آمده است که سامانه‌ای برای تست نفوذ داشته‌ایم، ولی فیچرهایش کار نمی‌کند. لازم است که کسب‌وکارها وقتی سامانه‌ای که برای تست نفوذ به فردی می‌سپارند، حداقل تست نرم افزاری عادی‌اش را قبلش انجام داده باشند. 

یک مورد کمک‌کننده این است که کسب‌وکارها قبل از فرآیند تست نفوذ، جلسه‌‌ای در جهت شناخت برای تیم تست نفوذ، ترتیب دهند؛ بیزینس را توضیح دهند، یا اگر API دارد، مستندات API را در اختیار تیم تست نفوذ قرار دهند. تیم تست نفوذ را به‌عنوان دشمنشان نبینند. به‌عنوان دوستی ببینند و همراهی کنند تا روند راحت‌تر و با کیفیت بالاتری انجام شود. 

_ با مشاهده‌ی اقدامات مختلف کسب‌وکارهای مختلف برای امنیتشان، چه نکته‌ی قابل‌توجهی به ذهنت می‌آید؟ 

این نکته راجع به راهکارهای امنیتی به ذهنم می‌آید که هر کدام به یک شکل خاص و ابعاد خاصی را پوشش می‌دهند. لازم است کسب‌وکارها به این نکته توجه کنند. تست نفوذ نیاز است، باگ بانتی هم نیاز است. آن بغل Red Team هم نیاز است که باشد. هر کدام از این‌ها، اصطلاحا " یک جای کار را می‌گیرند". همه‌شان درکنارهم، لازم و معنادار هستند. مثلا در Red Team بعد انسانی هم چک می‌شود، به مهندسی اجتماعی هم پرداخته می‌شود. همیشه که فقط موارد فنی مهم نیستند، ابعاد انسانی هم مهم هستند. در تست نفوذ و باگ بانتی این موارد پوشش داده نمی‌شوند و بیشتر به موارد فنی پرداخته می‌شود که آن‌ها هم مهم هستند. تست نفوذ و باگ بانتی هم باهم تفاوت‌هایی دارند. متخصص تست نفوذی که تست نفوذ را انجام می‌دهد، آن را به چشم یک روال کاری و وظیفه می‌بیند و به‌طور معمولی انجامش می‌دهد. ولی کسی که به شکار آسیب پذیری می‌پردازد، حتی بر سر آن حداقل آورده‌ی مالی‌اش هم که شده، جان و دل بیشتری برای کار می‌گذارد. 

پیشنهاد خواندنی: چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟ 

_ در بررسی یک سامانه، ابتدا به سراغ چه نقاطی می‌روی؟  

اول به سراغ موارد مربوط به احراز هویت می‌روم که موردعلاقه‌ام هم هست. در 30% تا 40% موارد سامانه‌ی کسب‌وکارها نسبت به آن آسیب پذیر هستند. 

_ چه‌قدر طول می‌کشد که برروی یک سامانه‌ی ایرانی یک آسیب پذیری معمولی کشف کنی؟ یک آسیب پذیری حیاتی چطور؟ 

معمولا حداکثر یک روز زمان می‌برد تا بتوانم یک آسیب پذیری معمولی کشف کنم. کشف آسیب پذیری حیاتی زمان‌برتر است؛ باید با سامانه کار کنم، شناخت بیشتری از آن داشته باشم و ... . زمان مشخصی را نمی‌توانم بگویم. برای سامانه‌ها و کسب‌وکارهای مختلف، این زمان متفاوت است. 

_ تا به حال آسیب‌پذیری سطح پایینی کشف کرده‌ای که بابتش افسوس خورده باشی و با خودت بگویی که دیگر در این حد نباید آسیب‌پذیر باشد! 

از این جنس آسیب‌پذیری‌ای کشف کرده‌ام. هیچ چیز مخربی در میان نبود، صرفا یک فیچر بود. فیچرش لاگین با بارکد بود؛ یک بارکد را اسکن می‌کردی و به فرد دیگری می‌دادی و رویش کلیک می‌کردند. خب این خیلی خطرناک بود، ولی فیچر بود. 

_ ممنون که وقتت را در اختیار ما قرار دادی و تجربیاتت درخصوص تست نفوذ و دنیای امنیت سایبری را به اشتراک گذاشتی، پیمان عزیز. 

بلاگ‌پست‌های مرتبط: 

تجربیات و نکات تست نفوذ؛ با زهرا 

تجربیات و نکات تست نفوذ؛ با محمدرضا عمرانی 

چک لیست قبل از تست نفوذ