آبان تتر در باگ پارتی
آبان تتر یک صرافی ارز دیجیتال است. در سال 1397 توسط جمعی از فارغالتحصیلان دانشگاه صنعتی شریف، راهاندازی شده تا راهی هموار را برای ارتباط کاربران ایرانی با جهان ارزهای دیجیتال ایجاد کند. تیم آبان تتر مسیر خود را تاکنون ادامه دادهاست و اکنون، با امکان معاملهی بیش از هزار رمزارز، روزانه میزبان هزاران کاربر و بستر انجام هزاران معامله است.
آبان تتر یکی از میدانهای رویداد باگ پارتی راورو در تاریخ 8، 9 و 10 اسفند 1403 بود. آبان تتر در این رویداد، اهدافی از سامانههای خود را میدان کشف آسیب پذیری در برنامهی باگ بانتی قرار داد. جمع 70 نفرهی شکارچیان آسیب پذیری حاضر در باگ پارتی، به بررسی امنیتی و کشف آسیب پذیریهای این اهداف پرداختند. در مجموع 3 روز رویداد باگ پارتی، 37 گزارش آسیب پذیری برروی این اهداف ثبت گردید، 13 گزارش مورد تایید تیم داوری راورو و تیم فنی آبان تتر قرار گرفت و بیش از ۲۰۰ میلیون تومان بانتی توسط آبان تتر پرداخت شد.
در این بلاگپست با میثم زندی بهعنوان نماینده فنی مجموعه آبانتتر به گپوگفت نشستهایم.
_ چه شد که تصمیم گرفتید در رویدادی مانند باگ پارتی، بهعنوان یکی از اهداف حضور پیدا کنید؟
آبان تتر یکی از قدیمیترین پلتفرمهای اکسچنج محسوب میشود. در مسیری که تابهحال پیمودهایم آزمون و خطاهای زیادی هم داشتهایم. اکنون صیانت از دارایی و دیتای کاربرها یکی از مهمترین اولویتهای ماست. اعتماد کاربران یکی از داراییهای ما محسوب میشود. بههرحال دارایی رمزارز مردم، در پلتفرم ما است. دلیل عمدهی حضور آبان تترر بهعنوان یکی از اهداف در رویداد باگ پارتی اهمیت همین نکته است: میخواهیم تشخیص بدهیم که آیا این داراییها در پلتفرم ما، امن هستند؟ ما بهخوبی میتوانیم امانتدار مردم باشیم؟ و مواردی از این قبیل. خب ما رویداد باگ پارتی را به چشم جایی برای محکزدن این امنیت میبینیم. تصمیم گرفتیم در این رویداد، هدفی تعریف کنیم و ریسکش را بپذیریم. امیدواریم که نتیجهی خوبی هم بگیریم.
_ خوشحالیم که این را میشنویم. مسئولیتپذیری نسبت به دارایی و دیتای کاربر، چیزی ست که برخی کسبوکارها توجه لازم را به آن نمیکنند.
_ قسمت شیرین یا خوشایند در تجربهی راهکار باگ بانتی (در باگ پارتی) برای شما چه بوده است؟
همانطور که میدانید کلمهی "باگ (Bug) " در واقع بهمعنای حشره است. بیاید در تمثیلی این حشره را سوسک در نظر بگیریم. شما تا زمانی که سوسک را میبینید، از آن نمیترسید. ترسش از آنجایی شروع میشود که سوسک میرود و گم میشود. قضیهی باگ نرمافزاری هم برای ما همینطور است. ما وقتی که بدانیم یک روزنه یا باگ خطرناک امنیتی داریم و دوستانی آگاهانه آن را ما گزارش بدهند و ما میتوانیم برایش برنامهریزی کنیم، اوضاعمان خیلی بهتر است. اوضاع بدتر آن است که کسی بیاید و بدون آگاهی ما، از آن سوءاستفاده کند، آسیبی بزند، اعتبار شرکت زیر سوال برود و ... .
در باگ بانتی هکرهایی هستند که بهطور قانونی فعالیت میکنند؛ زمانیکه یک باگ و آسیب پذیری را کشف میکنند، آن را گزارش میدهند و طبیعتا بابتش مبلغی بهعنوان بانتی دریافت میکنند که نوش جونشان! این شکارچیان آسیب پذیری با این آسیب پذیریهایی که کشف میکنند، بهدنبال آبروریزی یا رقمزدن داستان بدی نیستند.
قسمت شیرینی باگبانتی برای ما همین آگاهبودن و آگاهانه پیشبردن روند است.
_ آنچه گفتید نشانهایی از بلوغ امنیتی را دارد. انتخاب شما، در دنیای امنیت سایبری، آگاهی از آسیب پذیریهایتان و تلاش برای آن است، نه انکارشان، نادیدهگرفتنشان، اهمیت ندادن بهشان و غیره، که در بسیاری از کسبوکارها شاهدشان هستیم.
_ چه معیارهایی در ارزشمندی گزارشهای آسیب پذیری برای شما اثرگذار هستند؟
طبیعتا آسیب پذیری، انواع مختلفی دارد و هر کدام یک جور تأثیری دارند. برای کسب و کار ما، آسیب پذیری هایی در اولویت اول قرار دارند که دارایی مردم را تحت تأثیر قرار دهند. چون حفظ و مراقبت از دارایی مردم، خط قرمز ماست. اولویت دوم ما، اطلاعات شخصی کاربران است. مثلا اینکه؛ هر فرد چهمقدار معامله کرده است و چه جور معاملهای کرده است. حتی دارایی خود شرکت، اولویت چهارم- پنجم ماست. ما نمیخواهیم که برای مخاطبین ما چالشی ایجاد شود و یا دچار بیاعتمادی شوند.
_ از صحبتهایتان اینطور به نظر میرسد که امانتداری و مراقبت از اعتماد مخاطبین را اولویت اول کسبوکارتان میدانید.
_ وضعیت امنیت سایبری در ایران را چطور میبینید؟
فضای امنیت سایبری در ایران، فضای مبهمی است. خب ایران، نه با سرعت کشورهای در حال رشد، ولی با سرعت خودش در حال حرکت است. این روزها کسب و کارهای دیجیتال بخشی جداییناپذیر از زندگی مردم شدهاند. قبلا اینطور بود که فرد برای خرید نان به نانوایی میرفت. اما الان افراد نانشان را هم آنلاین سفارش میدهند. بخشی از امنیت سایبری، مربوط به امنیت اطلاعات کاربر، اطلاعات همین نوع خریدها، حتی زمان خریدهای یک کاربر یا هر عملیات دیگری. این اطلاعات جزو اطلاعات حیاتی کاربر محسوب میشوند. این دیتاها میتوانند موردسوءاستفاده قرار بگیرند و بخشی از نقشهی یک سرقت را تشکیل دهند. چنین فضایی بهشدت این را میطلبد که اطلاعات کاربر در امنیت باشد.
ما در ایران به اجبار و بهخاطر شرایط، بسیار از ویپیان استفاده میکنیم. همین موضوع باعث شده که تشخیص نوع حمله سخت شود. من اینطور میبینم که این فضای شبکه کشور هم تاثیر منفی بر امنیت ما میگذارد. میشود گفت که در چنین شرایطی، حفظ امنیت (تاحد ممکن) و کشف و رفع حفرهها و رخنهها یک هنر است.
_ آرزویی برای حوزهی امنیت سایبری دارید؟
در حوزه امنیت سایبری این شفافیت است که اولویت دارد؛ اینکه بدانیم این resource از کجا میآید، منجر به چهچیزی میشود، چه کسی رصدش میکند، ورودیش کجاست، خروجیش کجاست، مصرفکنندهاش چهکسی بوده، چه کسی درخواست داده و ... . وقتی شفافیت وجود داشته باشد، سوءاستفاده سخت میشود. متاسفانه در ایران چنین شفافیتی وجود ندارد و به همین دلیل پیداکردن رخنهها سخت است.
و خب همین یک خانهی مفید برای سوءاستفادهگرها میشود. امیدوارم این مسئله برطرف شود.
امیدوارم که از لحاظ مدیریتی کشور به نقطهای برود که همه چیز شفاف باشد و دستگاههای امنیتی از بعضی کارها صرفنظر کنند تا آدم ها کمتر به سراغ ابزارهای مخربی بروند که معلوم نیست اصلا منشأش چیست و کجاست.
_ ما هم امیدواریم. ممنون از وقتی که اختصاص دادید و در این گپوگفت همراه ما بودید. خوشحالیم که در باگ پارتی حضور داشتید. برایتان (طبق گفتهی خودتان) آرزوی شرایطی با آگاهی بالا و (تاحدممکن) امن را داریم.
بلاگپستهای مرتبط: