BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
گپ‌وگفتی با شکارچی آسیب‌پذیری؛ ندا

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ ندا

52

در این بلاگ‌پست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ ندا (nedved@)

ندا تجربه‌ی کاری در زمینه‌های مختلفی را داشته و حدود 2 سال است که امنیت سایبری را انتخاب کرده است. تنها فعالیتی که می‌تواند او را ساعت‌ها پای سیستم بنشاند، شکار آسیب پذیری است. از دست‌وپنجه نرم‌کردن با چالش‌ها لذت می‌برد. مهم‌ترین ویژگی برای یک شکارچی آسیب پذیری، را صبر می‌داند. به نظرش امنیت سایبری، هرچند کند، اما دارد مسیرش را پیدا می‌کند.

_ کمی از خودت برایمان می‌گویی؟

من متولد هفتاد هستم. می‌توانم بگویم که حدود 2 سال است که به‌صورت متمرکز و اختصاصی سمت امنیت سایبری آمده‌ام. ارشد کامپیوتر دارم. در زمینه‌ی مدیریت محصول کار کرده‌ام، در زمینه‌ی برنامه‌نویسی کار کرده‌ام و ... . الان حدود 1/5 ، 2 سال است که انتخاب کرده‌ام که سمت امنیت سایبری باشم.

_ چطور شد که امنیت سایبری را انتخاب کردی؟

من از ابتدا هم امنیت سایبری را دوست داشتم. فکر می‌کنم که گاهی مواقع آن‌قدر مسیرهای مختلفی پیش روی فرد هست، که فرد علاقه‌مندی‌اش را فراموش می‌کند؛ یادش می‌رود که همیشه چه چیزی را دوست داشته است.

من قبلا در بخش پروداکت اسنپ‌فود بودم. الان در اداره امنیت بانک هستم. فكر مي‌كنم كه همين تغییر شغل و فیلد کاری‌ام، شبیه به طلوعی شد که منجر شد به سمت امنیت سایبری بیایم.

_ خوشحالیم که این‌طور بوده.

_ بیش‌تر به تست نفوذ می‌پردازی یا باگ بانتی؟ یا سایر موارد در زمینه‌ی امنیت سایبری؟

من در حال حاضر و در شغل فعلی‌ام، به ارزیابی امنیتی و تست نفوذ می‌پردازم. می‌شود گفت که کار روزمره‌ام کارکردن با چک‌لیست‌های OWASP و این‌هاست.

حدود 1سال است که جدی‌تر وارد باگ بانتی شده‌ام؛ سعی کرده‌ام باگ بانتی و پیش‌نیازهایش را بیشتر بشناسم و کم‌کم وارد بازارکارش شوم.

پیشنهاد خواندنی: متخصصین امنیت سایبری از انتخاب میان باگ بانتی و تست نفوذ می‌گویند

_ کشف آسیب پذیری برایت چه حس‌وحالی دارد؟ شبیه به چیست؟

من زمانی که مشغول ارزیابی امنیتی هستم و زمانی که مشغول باگ بانتی هستم، برایم اتفاق مشابهی می‌افتد. این‌ روند که حس می‌کنی ماجرایی وجود دارد، نخش را می‌گیری، جلو می‌روی و کشفش می‌کنی و می‌بینی که درست حس کردی! آدرنالینی که این روند به فرد می‌دهد را من در کمتر فیلدی (رشته‌ای) تجربه کرده‌ام. حالتی از جنس رقابت و مسابقه است. من احساس می‌کنم که آدم به این دوپامین و این حس، یک جورایی معتاد می‌شود و دوست دارد که تکرارش کند. واقعا لذتبخش است! تنها فعالیتی که می‌تواند من را ساعت‌ها پای سیستم بنشاند و اصلا متوجه گذر زمان نشوم، همین است. وقتی مشغول این کار هستم، گاهی متوجه می‌شوم که چند ساعت است که هیچ چیری نخورده‌ام. این‌گونه محو چیزی شدن، فقط در این زمینه برای من اتفاق می‌افتد.

گاهی هم امکان دارد که مثل آن‌چه در روز اول باگ پارتی گذشت، تلاش کنم و فقط بتوانم یک آسیب پذیری پیدا کنم. ولی خب از دست‌وپنجه نرم‌کردن با همین چلنج هم لذت می برم. حتی اگر آخرش به چیزی نرسم هم، مسیرش برایم قشنگ است.

_ از نگاه شما مهم‌ترین ویژگی یک شکارچی آسیب پذیری چیست؟

به نظرم مهم‌ترین ویژگی برای یک شکارچی آسیب پذیری، صبر است. خودم هم دارم تمرینش می‌کنم.

من گاهی وقتی دارم یک آسیب‌پذیری را از چندین راه چک می‌کنم، بعد از مدتی با خودم می‌گویم "نه، نمی‌خورد. این آسیب پذیری وجود ندارد." ولی شاهد این بوده‌ام که کسی که صبرش بیشتر است، آن‌قدر تست کرده تا بالاخره یک‌جوری بایپسش کرده. من فکر می‌کنم اگر عجول نباشیم، یک مقدار صبر کنیم و بیشتر با آن مسئله چلنج بکنیم، جواب می‌گیریم.

_ اولین آسیب پذیری‌ای که پیدا کردی، چه بود؟

یک آسیب پذیری پیدا کردم که یک سری از داده‌های محرمانه را افشا می‌کرد. با وجود چند بار تست نفوذ شدن سامانه توسط شرکت‌های مختلف، کسی این Hidden file را پیدا نکرده بود. خب طبیعتا از کشفش خوشحال هم شدم.

_ این مورد، که گاهی آسیب پذیری پیدا نمی‌شود، را می‌شود یکی از چالش‌های فرآیند کشف آسیب پذیری و باگ بانتی دانست که افراد با آن روبه‌رو می‌شوند. برای شما درکل چگونه است؟

من خیلی تک‌بعدی فقط به این ماجرا نمی‌پردازم و همین گاهی کمک‌کننده است. بعضی مواقع که در چنین فضایی قرار دارم و چنین حس‌و‌حالی را تجربه می‌کنم، به فعالیت‌های دیگری هم می‌پردازم؛ شغلم، ورزش و ... .

شاید یک چیزی که باعث ‌می‌شود که آن سختی‌ها و burn outشدن‌ها خیلی به چشمم نیاید، این است که اگر الان نشد، سعی می‌کنم نیم ساعتی فاصله بگیرم، بروم بچرخم و فعالیت دیگری بکنم. گاهی اثرش این طور است که ناگهان ویژن جدیدی در ذهنم باز می‌شود. فکر می‌کنم که شاید گاهی سفت‌وسخت چسبیدن باعث شود که مغز یک سری داده‌ها که جلوی چشم است را نبیند. فاصله‌گرفتن و انجام یک فعالیت متفاوت، گاهی کمک می‌کند که ذهن بازتر شود و بتوانی از دریچه‌های مختلفی نگاه کنی.

پیشنهاد خواندنی: شکارچیان آسیب پذیری از چالش‌های باگ بانتی می‌گویند

_ چه آرزویی برای حوزه امنیت سایبری داری؟

به نظرم امنیت سایبری، هرچند کند، اما دارد مسیرش را پیدا می‌کند، جا می‌افتد و خوب می‌شود.

من فقط آرزو می‌کنم که رویداد‌هایی مشابه باگ پارتی، بهتر و بیشتر برگزار شوند.

_ ما هم امیدواریم که مسیر امنیت سایبری روبه‌رشد باشد. ممنون که وقتت را در اختیار ما قرار دادی و همراهمان بودی، ندا عزیز.

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با شکارچی آسیب پذیری؛ زهرا ایزدی امیری

گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark)

گپ‌وگفتی با شکارچی آسیب پذیری؛ آیلین همایونی

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ زهرا

Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.