مهمترین ویژگیهای یک شکارچی آسیب پذیری
این بلاگپست شامل تجمیع و برداشتی هدفمند از محتوای گپوگفتهایی با شکارچیان آسیب پذیری و متخصصین تست نفوذ ست که قبلا در بلاگ راورو منتشر کردهایم. در گپوگفتهای قبلی پرسشهای مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخهایی منحصربهفرد و متفاوت به این سوالها دادهاند. اینطور فکر میکنیم که جمعبندی و درکنارهم قراردادن پاسخهایی به هریک از این پرسشها داده شده، در یک متن جدید میتواند نگاهی چندجانبه را فراهم سازد و ارزشمند و دارای پیامی جدید باشد. این پاسخها که شامل نکاتی هستند که هم میتوانند برای شکارچیان آسیب پذیری تازهکار خواندنی باشند و هم برای شکارچیان آسیب پذیری باسابقه.
آنچه در این بلاگپست خواهید خواند:
مهمترین ویژگی لازم برای یک شکارچی آسیب پذیری چیست؟
مراقبت از انگیزه و اعتمادبهنفس
رهرو آن است که آهسته و پیوسته رود؛ حفظ پیوستگی و پشتکار
گر صبر کنی...
آپدیت باش
با متدولوژی شخصی خودت به میدان بیا
جور دیگر باید دید؛ پرسشگری، تفکر خارج از جعبه و خلاقیت
وقتی از علاقه حرف میزنیم، از چه حرف میزنیم؟
جنبههای دیگر زندگی روزمره بهعنوان یک شکارچی آسیب پذیری
آنچه در مجموع پاسخها، پررنگ به نظر میآید
در این بلاگپست گفتههایی از 10 شکارچی آسیب پذیری را خواهید خواند که تجربیات خود درخصوص باگ بانتی را به اشتراک گذاشتهاند و از نگاه خود راجع به چالشها و ناخوشایندیهایی که در باگ بانتی تجربه کردهاند، گفتهاند.
گفتههایی از:
محمدصالح مهری، نیما غلامی، حسین محمدیان، الهه حسنپور، برنا نعمتزاده، امید شجاعی، ایلیا کشتکار، محمد دلاور، ندا و محمدرضا عمرانی
داخل پرانتز: ترتیب ارائهی پاسخهای افراد در هر قسمت، مطابق با ترتیب گپوگفتهای منتشرشده با آنها در بلاگ راوروست.
مهمترین ویژگی لازم برای یک شکارچی آسیب پذیری چیست؟
ما از شکارچیان آسیب پذیری پرسیدیم:
_ یک شکارچی آسیب پذیری باید چه ویژگیهایی داشته باشد؟
_ چه ویژگیای برای یک شکارچی آسیب پذیری، لازم و کمککننده است؟
_ مهمترین ویژگی برای یک شکارچی آسیب پذیری، چیست؟
در ادامه، پاسخ شکارچیان آسیب پذیری را میخوانید که هر یک براساس تجربهی زیستهی خود، به ویژگیهای متفاوت و مشابهی برای یک شکارچی آسیب پذیری اشاره کردهاند. ما پس از جمعآوری پاسخهای جداگانهی افراد، به دنبال نقاط مشترک و متفاوت گشتیم و به دستهبندی موارد اشارهشده پرداختیم.
مراقبت از انگیزه و اعتمادبهنفس
محمدصالح مهری:
وقتی شکارچی آسیب پذیری هستی، در مواقعی پیش میآید که نتوانی هیچ آسیب پذیری ای را کشف کنی. در چنین مواقعی نباید ناراحت شوی. چون این یک مورد متداول است. در این فراز و فرودها، به یاد آوردن آسیب پذیری هایی که قبلا کشف کردهای، خیلی کمکت میکند. باید حسهای خوبی که در گذشته به واسطهی کشف آسیب پذیری ها در ذهنت شکل گرفتهاند، را مرور کنی. این طرز فکر برای کشف آسیب پذیری های بهتر کمکت میکند. مطمئن باش اگر سر جایت نایستادهای، دوباره برایت اتفاقهای خوبی میافتد. باید همینطور جلو بروی و رایتاپ بخوانی. باید جوری باشی که امروزت نسبت به دیروزت، فرق کرده باشی و اگر فرقی نکردی، عذاب وجدان بگیری. اگر این استایل ذهنیات شده باشد، در مسیر درستی قرار گرفتهای.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمدصالح مهری
نیما غلامی:
مهارتهایی مثل شناخت آسیب پذیری ها خیلی کمک میکنند. واجب هم هست. ولی اصلیترین چیز، ذهنیت است. باید بیشتر از تکنیکهای تست نفوذ روی ذهنیت خودت کار کنی. اصل شکار آسیب پذیری به نظر من این است. وقتی شما mindset درست را داشته باشید، باگ زدن اصلا سخت نیست. من سه ماه بعد از شروع یادگیری owasp ، توانستم باگ بزنم. همهاش هم به خاطر اعتمادبهنفسم بود. ذهنیت من این است که میتوانم راحت باگ بزنم. این طور فکر میکنم که همهی سازمانها در یک نقطه آسیبپذیری دارند، فقط باید عمیق نگاه کرد و پرسشگر بود.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ نیما غلامی
حسین محمدیان:
اگر دانش فنی را کنار بگذاریم، اولین ویژگی را داشتن انگیزه میدانم و دومی را حفظ و مراقبت از این انگیزه؛ اینکه سعی کنی این انگیزه را همچنان حفظ کنی و burn out نشوی. اگر حالا 6 ماه روی یک یا چند برنامه وقت گذاشتهای ولی آسیب پذیری ای کشف نکردهای، بیخیال نشوی و با خودت نگویی "من نمیتوانم". من، خودم، مدتی درگیر این فرآیند بودم. رویداد باگ پارتی واقعا کمکم کرد که انگیزهام بالاتر بیاید و باورم نسبت به خودم بیشتر شود. روز اول باگ پارتی، وقتی نتوانستم آسیب پذیریای را پیدا کنم، همین طرز فکر را راجع به خودم داشتم. ولی این مهم است که ادامه دهی و آن انگیزه را همچنان کنار خودت نگه داری و حفظش کنی. به نظرم از همه مهمتر همین است؛ همین انگیزه و طرز فکر. چون به نظرم هر کسی که وقت بگذارد، میتواند به یک سطحی از دانش برسد؛ حالا بعضی افراد در سطحی بالاتر و بعضی در سطحی پایینتر. ولی فکر میکنم اگر آن طرز فکر، قدرت ذهنی و تصمیمگیری نباشد، سخت شود.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ حسین محمدیان
الهه حسنپور:
به نظرم یک ویژگی مهم این است که شکارچی آسیب پذیری اعتماد به نفسش را حفظ کند. مثلا؛ اگر یک ماه برروی یک تارگت کار کردی و نتوانستی به آسیب پذیریای برسی، این طور فکر نکنی که "ضعف از من است"، "من هیچی بلد نیستم" و اینها. چون خیلی از شکارچیها تحت تاثیر همین موارد اصطلاحا burn out میشوند. برای من هم قاعدتا خیلی اتفاقا میافتد؛ اگر یک آسیب پذیری که وجود دارد را نتوانم کشف کنم، خیلی حالم خراب میشود. به نظرم داشتن ذهنیت قوی و تحت تاثیر قرار نگرفتن با این اتفاقات، خیلی برای یک شکارچی آسیب پذیری، عالی و کمککننده است.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری: الهه حسنپور
رهرو آن است که آهسته و پیوسته رود؛ حفظ پیوستگی و پشتکار
برنا نعمتزاده:
یکی از ویژگیهای مهم برای یک شکارچی آسیب پذیری، حفظ پیوستگی در کار است. ممکن است وقتی ما داریم روند شکار یک آسیب پذیری را طی میکنیم، به دلایلی آسیب پذیری پیدا نشود و نتوانیم گزارشی بفرستیم. اگر این پیوستگی رعایت شود، به مرور میتواند حتی شخص را به موفقیت برساند. نه اینکه آدم بخواهد جا بزند و بگوید: "این حوزه اصلا فایده ندارد و خستهکننده است."
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری تماموقت؛ برنا نعمتزاده
امید شجاعی:
موردی که به نظر من خیلی مهم است، این است که فرد تلاش کند، خیلی هم تلاش کند. این موضوع فقط برای شکارچیان آسیب پذیری نیست، اما برای شکارچیان آسیب پذیری هم صدق می کند.
من دوستی دارم که از بچههای قدیمی و سرشناس این حوزه است و رابطهی خیلی خوبی هم با هم داریم. یک بار باهم صحبت می کردیم. دوست من میگفت:" من آدم خنگی هستم. ولی یک موضوع را خیلی میخوانم. شاید یک مورد را یک نفر دیگر، با یک بار خواندن یاد بگیرد. ولی من دو بار، سه بار و چهار بار می خوانم تا یاد بگیرم و به آن مسلط شوم." به نظر من این پشتکار خیلی مهم است. نه فقط در باگ بانتی، در هر مبحثی میشود آن را به کار برد.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ امید شجاعی
ایلیا کشتکار:
در باگ بانتی یک ویژگی اخلاقی کمککننده برای شکارچی آسیب پذیری این است که سمج باشی. با خودت بگویی:" من باید این آسیب پذیری را پیدا کنم." این خیلی مهم است که ناامید نشوی.
ما در باگ پارتی شاهد این بودیم که یک سری از بچه ها از بعضی بخشها، راحتتر گذر کردند. ولی یک نفر دیگر (که میز جلویی ما هم بود) سر همان بخشها ایستاد، دقیقتر چک کرد و یک آسیب پذیری کشف کرد. با سمجبودنش شروع کرد به ارسال یک سری پیلودها که نتیجه داد. به نظرم این خیلی مهم است.
پیشنهاد خواندنی: گپوگفتی با دو شکارچی آسیبپذیری؛ ایلیا کشتکار و مهدی حسینی
گر صبر کنی...
محمد دلاور:
به نظرم، داشتن ذهن باز و صبر استراتژیک، دو ستون اصلی موفقیت برای یک شکارچی آسیب پذیری است.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمد دلاور
ندا:
به نظرم مهمترین ویژگی برای یک شکارچی آسیب پذیری، صبر است. خودم هم دارم تمرینش میکنم.
من گاهی وقتی دارم یک آسیبپذیری را از چندین راه چک میکنم، بعد از مدتی با خودم میگویم "نه، نمیخورد. این آسیب پذیری وجود ندارد." ولی شاهد این بودهام که کسی که صبرش بیشتر است، آنقدر تست کرده تا بالاخره یکجوری بایپسش کرده. من فکر میکنم اگر عجول نباشیم، یک مقدار صبر کنیم و بیشتر با آن مسئله چلنج بکنیم، جواب میگیریم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ ندا
آپدیت باش
محمدصالح مهری:
در حوزه ی امنیت سایبری، "آپدیتکردن خودت" چیزی ست که باید تبدیل به روتین کاریات کنی؛ باید مدام خودت را آپدیت کنی. اگر این کار را نکنی در این حوزه خاک میخوری و بهراحتی به کنار میروی. حوزهی امنیت سایبری، مثل مهندسی مکانیک نیست، مثل مهندسی برق نیست.این طور نیست که اگر فرد در سه چهار سال اصلا چیزی نخواند، بازار اذیتش نکند. رشتهی ما رشتهی وحشتناک نامردی ست. اگر با زبان و روال خودش باهاش دوست نشوی، پست میزند. به همین دلیل آپدیت نگهداشتن خود، باید برای یک شکارچی آسیب پذیری تبدیل به روتین شود. بهعنوان یک شکارچی آسیب پذیری حتی باید معتاد به آپدیتکردن شوی.
افراد جوانی که در سن کمتر وارد حوزهی امنیت سایبری میشوند، فرصت خیلی خوبی را دارند. از چه نظر؟ این نظر که وقتی فرد در دوران جوانیاش است، خیلی راحت میتواند بسیاری از موارد و ویژگیها را تبدیل به روتین خودش کند. با گذر زمان، هر چه قدر هم سنت بیشتر شود، باز آپدیت میکنی و معتادش میشوی.
الهه حسنپور:
یکی از مهمترین ویژگیها برای شکارچی آسیب پذیری این است که باید این قابلیت را داشته باشی که هر روز سرچ کنی، هر روز خودت را آپدیت کنی و روشهای جدیدی هم برای استفاده در کارت پیدا کنی. چون در دنیای باگ بانتی، یک سری چیزهای بدیهی را همه تست میکنند. تو باید بتوانی برای خودت یک روش جدید پیدا کنی، ریسرچهای جدیدی را بخوانی و آن متدها را در کارت پیادهسازی کنی. این مورد حتی برای یک متخصص تست نفوذ هم صدق میکند. مثلا برخی شرکتها آسیب پذیری هایی که جدید هستند، را بیشتر دوست دارند. مثلا آسیب پذیری XSS آسیب پذیری جدیدی نیست و خیلی مواقع هم اتفاق میافتد. کسی بابت آن هیجان زده نمیشود. اما وقتی با استفاده از تکنیک خاصی می توانی اهمیت یک آسیب پذیری را بالا ببری، خب خیلی هیجان انگیز است. این افزودهای ست که ریسرچ برای شکارچی آسیب پذیری و متخصص تست نفوذ به همراه میآورد.
با متدولوژی شخصی خودت به میدان بیا
برنا نعمتزاده:
دربارهی شکارچی آسیب پذیری (یا بهاصطلاح خودمانیتر همان هانتر)بودن باید بگویم که کسی که خودش را هانتر میداند، یک سری معیارها و فاکتورها را باید داشته باشد و یک سری چالش ها در این مسیر قطعا وجود دارند. از چالشهایی که میتوانم به آنها اشاره کنم، این است که در بحث شکار آسیبپذیری، ما رقیبهای زیادی داریم. مخصوصا دوستانی که در سطح بینالمللی فعال هستند و کار میکنند، خیلی از این شکارچیهای رقیب جهانی، از تکنیکهای مشابه و رایجی استفاده میکنند که ما هم میخواهیم از همانها استفاده کنیم، یا به سراغ دامنه هایی میروند که ما هم قطعا روی همان ها وقت میگذاریم. چالش اصلیای که وجود دارد، به نظرم این است که ما بتوانیم یکسری تکنیک، سناریو یا متدولوژی برای خودمان داشته باشیم که کمتر با موقعیت "گزارش تکراری" مواجه شویم، بتوانیم گزارش های بهتری را ارائه دهیم و بتوانیم از رقبایی که در این سطح داریم، جلوتر باشیم. به نظرم این مسئله یکی از رایجترین و بزرگترین چالشهایی ست که این مسیر دارد. مثلا من هم شاهد بودهام که خیلی از افراد که فعالیت در این مسیر را شروع میکنند، مدتی آسیب پذیری پیدا میکنند و گزارش میفرستند و وقتی با "تکراری شدن" گزارشها مواجه میشوند، میگویند: "چرا همهاش تکراری میشود؟" و "چرا در چند ماهی که کار کردهام، یک گزارش تایید شده ندارم؟" یک علتش این است که خب همه دارند روی همین دامنه ها و همین آسیب پذیری ها کار میکنند. اینکه "چگونه بتوانیم این چالش را پشت سر بگذاریم و موفق شویم" بستگی به هانتر دارد؛ که دقیقا چگونه تست میکند؟ چه سناریویی را استفاده می کند؟ و چه متدولوژیای را دارد؟
جور دیگر باید دید؛ پرسشگری، تفکر خارج از جعبه و خلاقیت
برنا نعمتزاده:
اکثر هانترهایی که در این زمینه فعالیت دارند، مدام خودشان را به روز میکنند، متدولوژی خودشان را دارند، سعی میکنند در اپلیکیشنها سناریوهایی را امتحان کنند که به ذهن کمتر هانتری رسیده باشد. جملهای که من، خودم، همیشه برآن تاکید دارم این است که "هانتر باید Out Of The Box ( خارج از جعبه) فکر کند". هانتر باید بتواند حملات ترکیبی که نیاز به chain دارد را پیادهسازی بکند، تا بتواند یک سناریو خوب را گزارش دهد و پول خوبی به دست بیاورد.
نیما غلامی:
اگر بخواهم از نظر ویژگیهای ذهنی بگویم، به نظرم کنجکاوی و پرسشگری راجع به همه چی، خیلی مهم است.
محمد دلاور:
یک شکارچی آسیب پذیری باید بتواند از زوایای مختلف به یک سیستم نگاه کند و با آرامش مسیرهای Exploit را تست کند. مثلاً؛ وقتی بر روی یک هدف ( Target) کار میکنم، هنگامی که یک بردار حمله (Attack Vector) جواب نمیدهد، اگر ذهنم قفل شود، کل پروسه متوقف میشود.
محمدرضا عمرانی:
در تجربه چند سالهام تا به حال، شاهد این بودهام که خلاقیت یکی از اصلیترین فاکتورهای کار ما است. من در بین شکارچیان آسیب پذیری اطرافم، بسیار شاهد این ویژگی بودهام؛ شکارچیان آسیب پذیری در برنامهها و موقعیتهای Out Of The Box (خارج از جعبه) فکر میکنند. این ویژگی میتواند خیلی مفید باشد. یک کسبوکار شاید صد مرتبه پروژهی تست نفوذش را ( بهصورت پیمانکاری) به تیمهای مختلف تست نفوذ بسپارد تا بر روی آن تست نفوذ انجام دهند و به دنبال آسیب پذیری بگردند. اما شکارچیان آسیب پذیری، خلاقیت بیشتری دارند و میتوانند آسیب پذیری های خلاقانهتر، پیچیدهتر و خفنتری را پیدا کنند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمدرضا عمرانی
وقتی از علاقه حرف میزنیم، از چه حرف میزنیم؟
برنا نعمتزاده:
حرفی که برای شکارچیان آسیب پذیری دارم این است که اول از همه لازم است که واقعا به این حوزه علاقه داشته باشید. منظورم از علاقه این نیست که بگویید "هک جذاب است." یا " جذاب است که آسیب پذیری پیدا کنم و گزارش بدهم و بانتی بگیرم.". نه! منظورم این است که وقتی دارید یک جملهای را از یک آسیب پذیری میخوانید، اول از همه بروید و در کلی reference ( در منابع مختلف؛ یوتویوب، کتابها و ...) چک کنید تا بفهمید مفهوم آن دقیقا چیست. بعدش خیلی ساده برای خودتان توضیح دهید. طوریکه اگر من و یا هر شخص دیگری از شما پرسیدیم: "مفهوم این جمله چیست؟" بتوانید خیلی ساده برای مخاطب توضیح دهید. این یعنی آن مفهوم را خوب فهمیدهاید، یعنی آنقدر علاقه دارید که برای آن مفهوم وقت بگذارید.
جنبههای دیگر زندگی روزمره بهعنوان یک شکارچی آسیب پذیری
محمدصالح مهری:
به نظرم زمانی که یک نفر میخواهد یک رشته را به عنوان فیلد کاریاش انتخاب کند، قبلش باید شخصیت خودش را بشناسد. یک لازمهی مشاغل حوزهی امنیت سایبری این است که فرد مدت زیادی پشت میزش بنشیند و حتی از اتاقش بیرون نیاید. من فکر میکنم اگر واقعا آدم پشت میز نشستن نباشی و پشت میز دوام نیاوری، هر چه قدر هم که استعداد داشته باشی، نمیتوانی به نقطهی مطلوبت برسی. باید این ویژگی شغلی با ویژگیها و مدل فرد همخوانی داشته باشد تا فرد بتواند پشت میز بنشیند. اگر این طور نباشد، فرد نمیتواند در مسیرش پیش برود و به اهدافش برسد. به همین دلیل فکر میکنم که این که آدم خودش را بشناسد، یکی از نیازهای ضروری است. کسانی که به سمت حوزهی امنیت سایبری و مخصوصا شکار آسیب پذیری میآیند، معمولا انسانهای درونگرایی هستند. ممکن است یک فرد بعد از شناخت خودش، بفهمد که فرد برونگرایی است. برونگرایی و شکار آسیب پذیری؟ به نظر من این دو با هم در تعارض هستند.
آنچه در مجموع پاسخها، پررنگ به نظر میآید
به نظرمان قابلتوجه آمد که اکثر ویژگیهایی که افراد آنها را لازم برشمردهاند، به موقعیتهایی پرتکرار اشاره دارند که هنگام فعالیت بهعنوان یک شکارچی آسیب پذیری، بیشک تجربه میشوند. برخی نیز، به ویژگیهای شغل شکار آسیب پذیری برمیگردند. برخی ویژگیها نیز کلیترند و شاید بتوان آنها را لازمهی حضور در هر شغلی دانست:
گاهی نمیشود که نمیشود که نمیشود. گاهی علیرغم سعی شکارچی آسیب پذیری، آسیب پذیری ای کشف نمیشود. شکارچی در مسیر تلاش فراوان میکند، اما شکار عایدش نمیشود. شاید بتوان پرسید: در این موقعیت، چه ویژگیهایی به کار یک شکارچی آسیب پذیری میآیند؟
برای رقابت آمادهای؟ در حوزهی شکار آسیب پذیری، در سطح ایران و جهان، رقابتی میان شکارچیان آسیب پذیری جریان دارد. این رقابت یک ویژگی انکارناپذیر این شغل محسوب میشود و آمیخته به هیجان و اضطراب است. سوالی که به دنبالش ایجاد میشود، این است: در این بازار پررقیب، چه ویژگیهایی برای تداوم حیات و رشد یک شکارچی آسیب پذیری لازم به نظر میرسند؟
خودت را بشناس. آیا خودت، ویژگیهایت و علایقت را بهخوبی میشناسی؟ آیا این موارد را هماهنگ و یا قابلتطبیق با شغلی که انتخاب کردهای، میبینی؟
سخن آخر
در این بلاگ پست دیدگاه 10شکارچی آسیب پذیری را درمورد ویژگیهای لازم برای یک شکارچی آسیب پذیری در کنار هم قرار دادیم؛ ویژگیهایی که از دل تجربه زیستهی افراد بهعنوان یک شکارچی آسیب پذیری، بیرون کشیده و به اشتراک گذاشتهاند.
نظر شما چیست؟ شما مهمترین ویژگی یک شکارچی آسیب پذیری را چه میدانید؟
بلاگپستهای مرتبط:
شکارچیان آسیب پذیری از چالشهای باگ بانتی میگویند
هکرهای مختلف، چه ارزشی را به یک برنامه امنیتی جمع سپاری شده میافزایند؟