BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
گپ‌وگفتی با شکارچی آسیب‌پذیری؛ عرفان توکلی

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ عرفان توکلی

113

در این بلاگ‌پست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ عرفان توکلی 

عرفان حدود دو سال است که در حوزه‌ی امنیت سایبری فعالیت می‌کند. قبل از ورود به حوزه‌ی امنیت سایبری، برنامه‌ نویس فول استک دولوپر بوده است. معتقد است دانش برنامه نویسی به شکارچی آسیب پذیری دید می‌دهد و کمک می‌کند تا بفهمد در پشت کار چه اتفاقی می‌افتد. باج بانتی را متفاوت با باگ بانتی می‌داند. آرزویش این است که کامیونیتی امنیت سایبری در ایران بیشتر متحد شود. 

_ کمی از خودت و مسیرت برایمان می‌گویی؟ 

من قبل‌ترها برنامه‌نویس فول استک دولوپر بودم. بعدش چیزی که به آن علاقه‌ی بیشتری داشتم را پیدا کردم. به سمت امنیت سایبری و این داستان‌ها آمدم. به خاطر آن پیش‌زمینه‌ی برنامه‌نویسی‌ای که داشتم، یک مقدار راحت‌تر با امنیت سایبری ارتباط برقرار کردم و دیدم که برایم جذاب‌تر هم هست. الان حدود دو سال است که در این حوزه کار می‌کنم. 

_ با توجه به این که شما از برنامه نویسی به سمت امنیت سایبری آمده‌ای، از افرادی هستی که فکر می‌کنی همه‌ی هکرها و شکارچیان آسیب پذیری باید به برنامه‌نویسی مسلط باشند؟  

نه. قطعا لازمه‌اش تسلط کامل بر برنامه‌نویسی نیست. ولی اگر شکارچیان آسیب پذیری و هکرها برنامه‌ نویسی بلد باشند، دید خیلی خیلی بهتری می‌توانند داشته باشند؛ می‌دانند که آن پشت چه اتفاقاتی دارد می‌افتد. تست‌هایی که انجام می‌دهند، صرفا فی البداهه نیست. یک منطقی پشتش وجود دارد. فقط یک تست کیس خاص را تکرار نمی‌کنند. خودشان می‌توانند با خلاقیتی که دارند و پیش‌زمینه ذهنی برنامه‌نویسی روش بهتری را ابداع کنند. مثلا ممکن است بتوانند ذهنیت برنامه‌نویس را بفهمند و بر اساس آن منطقش را دور بزنند. 

_ تجربه‌ی شما در باگ بانتی چطور بوده است؟ چه چالش‌هایی را در باگ بانتی تجربه کرده‌ای؟ 

اگر بخواهم تقسیم کنم می‌توانم این‌طور بگویم: باگ بانتی ایرانی و باگ بانتی خارجی، هر کدام چالش‌های متفاوتی دارند.  

از چالش‌های باگ بانتی خارجی می‌شود به محدودیت‌هایی که به خاطر ملیت ایرانی‌مان داریم، اشاره کرد. باید فرم مالیاتی پر کنیم. اگر هم بفهمند که ایرانی هستیم حسابمان را می‌بندند و ... . 

در برنامه‌های باگ بانتی ایرانی، برخی کسب‌وکارهایی هستند که حقیقتا خیلی خوب هزینه می‌کنند و بانتی می‌دهند. این موارد، تعداد محدودی هستند. برخی کسب‌وکارها هم هستند که آسیب پذیری را می‌گیرند و بابتش بانتی نمی‌دهند. من به شخصه، هم تجربه‌های خوشایندی داشته‌ام و هم ناخوشایند. ولی خب، تعداد تجربه‌های ناخوشایند بیشتر بوده است. کسب‌وکارها دارند کم کم وارد این مسیر می‌شوند، ولی هنوز این ورود کامل صورت نگرفته است.  

هنوز که هنوز است، کسب‌وکارها نسبت به کلمه ی هکر دید منفی دارند. وقتی بهشان می‌گویی :" آقا، سامانه‌ات را بده که یک هکر تستش کند." می‌گویند : " هکر!؟ هکر می‌خواهد چه‌کار کند؟" و این داستان‌ها. 

پیشنهاد خواندنی: کسب و کارهای مختلف در مواجهه با باگ بانتی چه واکنشی نشان می‌دهند؟ 

_ در تجربه‌‌ی ارسال گزارش آسیب پذیری برای کسب‌وکارها شاهد چه برخوردهای ناخوشایندی بوده‌ای؟ 

مواردی بوده است که سامانه‌ی کسب‌وکارهای معروف، آسیب پذیری های مهمی داشته‌اند. ولی هنگام دریافت گزارش آسیب پذیری، دریغ از حتی یک تشکر خشک و خالی ... . حتی اگر بخواهیم از بانتی هم بگذریم، گاهی یک تشکر خشک و خالی هم کمک می‌کند. اما متاسفانه اکثر کسب‌وکارها در مقابل دریافت گزارش آسیب پذیری، جوابی نمی‌دهند و  ignore می‌کنند. در برخی مواقع هم بحث شکایت و تهدید و این داستان‌ها پیش آمده است. اگر بخواهم از تجربه‌های ناخوشایند بگویم، تا صبح طول می‌کشد... 

حالا از این طرف داستان هم برای من این‌طور نبوده است که به‌عنوان یک هکر کلاه سفید به کسب‌وکار بگویم: "آقا من این آسیب پذیری یا باگ را دارم، در ازای فلان مبلغ پول گزارشش را می‌دهم." این می‌شود باج‌گیری. حقیقتش به نظرم می‌شود باج بانتی. همیشه این‌طور بوده که به‌عنوان یک هکر کلاه سفید، گزارش آسیب پذیری را ارسال کرده‌ام و انتظار متقابل هم داشته‌ام. این مواردی که گفتم هم این طور نبوده که در خارج از پلتفرم باگ بانتی اتفاق بیفتند. خیلی از آن‌ها در پلتفرم باگ بانتی اتفاق افتاده است. مثلا در مواردی این طور بوده که کسب‌وکارها قراردادشان با پلتفرم باگ بانتی تمام شده بوده و باز برایشان گزارش آسیب پذیری‌ مهمی که کشف کرده‌ام را ارسال کرده‌ام. آن‌ها هم گفته‌اند مبلغی پرداخت نمی‌کنند. با وجود این‌که آن آسیب پذیری، در صورت سوءاستفاده‌ی یک هکر کلاه سیاه، می‌توانسته تاثیری زیادی بر روی سازمانشان بگذارد، تاثیری به مراتب خیلی بیشتر و بزرگتر از پرداخت بانتی. برخی کسب‌وکارها هم این‌طور هستند که تنها در حالت باج‌گیری حاضر به صرف هزینه هستند. مثل همین اتفاقاتی که در هک‌های اخیر افتاده است. خب اگر هکرها به‌عنوان یک هکر کلاه سفید گزارش می‌دادند (در حالتی که مسائل قانونی برایشان ایجاد نمی‌شد)، مبلغ کمی نصیبشان می‌شد. ولی با باج‌گیری توانستند مبلغ خیلی بالاتری دریافت کنند. البته که درست نیست. ولی حرفم این است که اگر فرهنگ ارسال گزارش آسیب پذیری و پرداخت بانتی، به‌خوبی جا بیفتد، اوضاع به مراتب بهتر می‌شود. 

_ طبق توصیف شما، انگار یک طیف است. کسب‌وکارهایی که یک طرف طیف قرار دارند، از گزارش استقبال می‌کنند و بانتی شایسته‌اش را پرداخت می‌کنند. کسب‌وکارهایی که در طرف دیگر طیف قرار دارند، اقدام به شکایت و تهدید می‌کنند. هر کسب‌وکاری در جایی میان این طیف قرار می‌گیرد. امیدوارم که کسب‌وکارها به سمت خوشایند این طیف حرکت کنند. 

_ آرزویی برای امنیت سایبری در ایران داری؟ 

آرزویم این است که کامیونیتی امنیت سایبری در ایران بیشتر متحد شود. بچه‌های این حوزه، به جای این‌که در مقابل هم قرار بگیرند، در کنار هم باشند. مثل کامیونیتی‌های خارجی؛ هندی‌ها، چینی‌ها، روس‌ها و امثالشان. به نظر من این‌طوری جای پیشرفت زیادی وجود دارد، در مقایسه با این حالت که هر کس به دنبال بیزینس خودش باشد و بگوید "آقا من جدا هستم، تو جدا. پس به جای این‌که همکاری کنیم، در مقابل هم قرار داریم." اگر داستان، داستان همکاری باشد، خیلی بهتر از در مقابل هم بودن است. بحث رقابت جداست. به نظر من این‌که به خاطر بیزینس خودم، یک نفر دیگر را پایین بکشم اشتباه است. 

جدای از آن‌‌چه برای بچه‌های خودمان در امنیت سایبری گفتم، از طرف دیگر آرزو دارم که (به قول معروف) افراد بالاتر هم کمتر سخت بگیرند؛ بابا Come on، سخت نگیر... 

ما هم امیدواریم که کامیونیتی متحدتری داشته باشیم و جهان امن‌تری را باهم بسازیم. همچنین امیدواریم مسیر برای همه‌ی اعضای امنیت سایبری، سهل‌تر شود. ممنون که همراه ما بودی عرفان عزیز. 

بلاگ‌پست‌های مرتبط: 

گپ‌وگفتی با شکارچی آسیب پذیری؛ محمدجواد بناروئی 

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ بهراد رضایی 

گپ‌وگفتی با شکارچی آسیب پذیری؛ محمدرضا تیموری 

گپ‌وگفتی با شکارچی آسیب پذیری؛ رامین اسدیان

Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.