باگ‌ بانتی از کجا آمده‌است؟ آمدنش بهر چه بود؟

باگ‌ بانتی از کجا آمده‌است؟ آمدنش بهر چه بود؟

۳۸۱

تابه‌حال بارها و بارها از باگ بانتی به‌عنوان یک راهکار در راستای ارتقای امنیت سایبری نوشته‌ایم. راهکاری که در ترجمه‌ی فارسی می‌توان آن را معادل «پرداخت پاداش در ازای ارائه‌ی گزارش آسیب پذیری » دانست. به اصطلاح عامیانه و خودمانی‌تر شاید بتوان آن را این‌گونه بیان کرد: « فراخوانی که در آن متخصصین دعوت می‌شوند تا هر یک از منظر خود بنگرند، آسیب پذیری‌های ممکن را کشف و گزارش کنند و مطابق با ارزش هر یک از آسیب‌پذیری‌ها، پاداش دریافت نمایند.» وقتی این‌گونه بیان می‌شود، راهکار آشناتری به نظر می‌رسد. راهکاری که شاید در بسترهای کوچک‌وبزرگ گوناگون شاهد به‌کارگیری آن بوده‌ایم. اما تاریخ درباره‌ی باگ بانتی چه می‌گوید؟ این راهکار ارتقای امنیت سایبری، از کجا آمده است و آمدنش بهر چه بوده؟ اولین بار کدام کسب‌وکارهای جهان چنین رویکردی را به طور رسمی موردتوجه و استفاده قرار داده‌اند؟

آن‌چه در این بلاگ‌پست خواهید خواند:

• یکی بود، یکی نبود؛ اول از همه، منتورگرافیکس بود...

• نت‌اسکیپ و راه‌اندازی کلمه‌ی «باگ بانتی»

• تولد پلتفرم‌های باگ بانتی

• باگ بانتی در سیر صعودی محبوبیت

• فیس‌بوک و مایکروسافت وارد میدان می‌شوند...

• هکروان

• ارتقای اعتماد به باگ بانتی و هکرها

• آینده؟

ویژگی بارز باگ بانتی چیست؟

شاید بتوان باگ بانتی را تنها منحصر به یک روش ارتقای امنیت ندانست! بلکه به‌عنوان راهکاری نو برای کشف آسیب‌پذیری‌ به آن نگریست. چگونه؟ با بهره‌گیری از کمک همه، هوش همه، دانش همه، تجربیات همه و ... ؛ با باز کردن درهای پذیرش گزارش از آسیب‌پذیری‌ها به روی دیگران. در این راهکار، قدرت «خرد جمعی» به رسمیت شناخته می‌شود. چراکه هرچه چشم‌ها و هوش‌های بیش‌تری، هر یک از منظری متفاوت و با بهره‌گیری از دانش و تجربه‌ی زیسته‌‌ی خود به کمک بیایند و در جست‌وجوی آسیب‌پذیری‌ها باشند، آسیب‌پذیری‌های بیش‌تری کشف می‌شوند. اگر با چنین نگاهی بنگریم، احتمالا همگی مثال‌هایی را به خاطر می‌آوریم که به این شیوه‌ عمل می‌کرده‌اند. اما در زمینه‌ی امنیت سایبری چطور؟

آسیب پذیری هک هکر

یکی بود، یکی نبود؛ اول از همه، منتورگرافیکس بود...

بگذارید سری به سال ۱۹۸۳ میلادی بزنیم؛ سالی که در آن، اولین برنامه‌ی پرداخت پاداش در ازای کشف آسیب‌پذیری اجرا شد. شرکت منتور گرافیکس، اولین اجراکننده‌ی این برنامه بود. منتور گرافیکس در تبلیغاتی، در ازای کشف آسیب پذیری در یک سیستم عامل بلادرنگ، یک اتومبیل فلکس واگن مشهور به باگ (سوسک) را به‌عنوان پاداش درنظر گرفته بود.

امنیت

نت‌اسکیپ و راه‌اندازی کلمه‌ی «باگ بانتی»

حدود یک دهه بعد، در سال ۱۹۹5، شرکت نت اسکیپ اولین برنامه‌ی پاداش در ازای کشف آسیب‌پذیری خود را اجرا کرد. در این برنامه‌ی کشف آسیب‌پذیری بود که کلمه «باگ بانتی» به‌طور رسمی بر سر زبان‌ها افتاد. مسئولان شرکت نت اسکیپ در توضیح این برنامه‌ی باگ بانتی، این‌طور بیان کردند که با اهدای پاداش به کاربران برای یافتن و گزارش آسیب‌پذیری، افراد زیادی مشتاق به بازبینی محصولات خواهند شد... و علاوه‌بر استفاده از محصول، آسیب‌پذیری‌های آن را گزارش می‌دهند. این‌گونه، محصولات نهایی با بهترین کیفیت ممکن ارائه خواهند شد. این برنامه‌ی باگ بانتی تا انتشار آخرین نسخه مرورگر Netscape Navigator 2.0 ادامه داشت و در نهایت، برندگان این مسابقه نیز اعلام شدند.

پیشنهاد خواندنی: آیا هر باگی، یک باگ امنیتی ست؟

تولد پلتفرم‌های باگ بانتی

روشی که نت‌اسکیپ ارائه کرده بود، در آن زمان مورد استقبال شرکت‌های دیگر قرار نگرفت! اما در سال ۲۰۰۲ شرکت‌های امنیتی از جمله شرکت IDefense تصمیم گرفتند تا واسطه‌ای برای اجرای برنامه‌های باگ‌بانتی شوند تا شرکت‌های مختلف از این طریق برنامه‌های باگ‌ بانتی خود را تعریف کنند. در واقع مشابه یک پل بین سازمان‌ها و متخصصین امنیت قرار بگیرند؛ مشابه همان چیزی که این روزها آن را با نام پلتفرم باگ بانتی می‌شناسیم. این شرکت امنیتی از سوی شرکت‌های نرم‌افزاری به ازای گزارش هر آسیب پذیری، تا ۴۰۰ دلار، پاداش می‌داد.

Image

در سال ۲۰۰۵ شرکت رقیب IDefense، به نام TippingPoint، نیز پلتفرم باگ‌بانتی‌ای با عنوان Zero Day Initiative راه انداخت. پلتفرم باگ بانتی Zero Day Initiative همانند IDefense‌، واسطه‌ای بین متخصصین امنیت و شکارچیان آسیب‌پذیری با شرکت‌های نرم‌افزاری به شمار می‌رفت. این برنامه، حتی پس از خرید TippingPoint توسط شرکت HP ادامه دارد و زیر نظر HP این مسابقه را برگزار می‌کند.

پیشنهاد خواندنی: در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

باگ بانتی در سیر صعودی محبوبیت

پس از این رویداد بود که بر محبوبیت باگ بانتی افزوده شد و برگزاری برنامه‌های باگ بانتی شدت گرفت! شرکت موزیلا دو سال بعد، برنامه‌ی باگ بانتی اختصاصی خود را برای کشف آسیب‌پذیری‌های مرورگر فایرفاکس با پیشنهاد پاداش تا سقف ۵۰۰ دلار آغاز کرد. این برنامه‌ی باگ بانتی تا امروز ادامه داشته و دارد و حتی به محصولات دیگر شرکت موزیلا نیز گسترش یافته است.

باگ بانتی

اواخر سال ۲۰۰۶، پیش از کنفرانس امنیتی CanSecWest، پژوهش‌گری امنیتی به نام Dragus Ruiu خبر از برگزاری مسابقه‌ای داد که هدف آن سیستم عامل مکینتاش بود. این اقدام در اعتراض به عدم پاسخگویی شرکت اپل به آسیب‌پذیری‌های کشف شده‌اش انجام شده بود. این مسابقه که با عنوان Pwn2Own برگزار می‌شد در سال ۲۰۰۸ اهداف خود را گسترش داد و ویندوز ویستا و اوبونتو را اضافه کرد. یک سال پس از آن نیز گوشی‌های تلفن همراه به این اهداف اضافه شدند و روال برگزای آن‌ها تابه‌حال ادامه دارد.

پاداش این مسابقه در ابتدا یک لپ تاپ اعلام شد اما بعد از مدتی از سوی مسئولان برگزاری برنامه باگ بانتی Zero Day Initiative به ۱۰ هزار دلارافزایش پیدا کرد. در مسابقه‌ی برگزارشده‌ در سال ۲۰۱۴ ، ۸۵۰ هزار دلار به شکارچیان پرداخت شد و این اولین بار بود که این حجم از سرمایه گذاری به برنامه‌های باگ بانتی اختصاص داده می‌شد.

تنها نکته‌ی جالب‌توجه این برنامه‌ی باگ بانتی، مبلغ اختصاص‌یافته به‌عنوان پاداش نبود! نکته‌ی جالب‌توجه دیگر، سیستم اهدای پاداش است؛ در Pwn2Own به شکارچی برنده، در کنار جایزه‌ی نقدی، دستگاه مورد نفوذ قرار گرفته توسط او و یک لباس با عنوان Masters نیز به‌عنوان پاداش، هدیه داده می‌شود. دلیل انتخاب این نام برای این مسابقه نیز به همین خاطر است: نفوذ کن صاحب شو!

این مسابقه اخیرا از سال ۲۰۱۹، اتومبیل‌های شرکت تسلا و سیستم‌های کنترل صنعتی را نیز به فهرست اهداف خود اضافه نموده و ۹۰۰ هزار دلار برای آن‌ها پاداش در نظر گرفته است.

فیس‌بوک و مایکروسافت وارد میدان می‌شوند...

در سال ۲۰۱۳ دو شرکت مایکروسافت و فیس‌بوک با همکاری هم، یکی از بزرگترین برنامه‌های باگ‌بانتی شامل بسیاری از اهداف را با عنوان «باگ بانتی اینترنت» راه‌اندازی کردند. در آن برنامه‌های بسیاری که توسط کاربران اینترنت مورداستفاده قرار می‌گرفتند، به عنوان اهداف مشخص شده بودند:

• Adobe Flash

• Python

• Ruby

• PHP

• Django

• Ruby on Rails

• Perl

• OpenSSL

• Nginx

• Apache HTTP Server

• Phabricator

البته این برنامه محدود به این اهداف نبود و اهداف دیگری نظیر سیستم‌های عامل و مرورگرهای وب که میزان کاربران زیادی دارند را نیز شامل می‌شد.

شرکت گوگل نیز از سال ۲۰۱۰ دست به کار شد. گوگل در دهه اخیر برنامه‌های باگ‌بانتی بزرگی را به اجرا گذاشته است. این شرکت که اکنون از غول‌های فناوری دنیا به شمار می‌رود از سال ۲۰۱۰ تا ۲۰۲۰ به میزان ۲۱ میلیون دلار در زمینه باگ بانتی هزینه کرده است.

در سال‌های ۲۰۱۳ و ۲۰۱۷، گوگل برنامه‌های باگ بانتی گذشته‌ی خود را به طور قابل‌ملاحظه‌ای گسترش داد و عمومی کرد. گوگل، برنامه‌ی اندروید، محصولات کروم، گوگل کلود و برنامه‌های موجود در گوگل پلی (بالای ۱۰۰ میلیون نصب) را جزو اهداف باگ‌بانتی خود تعریف کرد. سقف پاداش این برنامه ۳۱۳۳۷ دلارتعیین شد. گوگل به طور مرتب در حال گسترش میدان‌های خود است و انتظار می‌رود به زودی دوباره تغییرات بزرگی در برنامه‌ی باگ بانتی این شرکت اعلام شود و محصولات جدید، هدف‌های جدید این برنامه باشند.

هکروان

در سال ۲۰۱۱، دو هکر هلندی آسیب‌پذیری‌های متعددی را از ۱۰۰ شرکت بزرگ فناوری از جمله فیس‌بوک، گوگل، اپل، مایکروسافت و توییتر کشف کرده و این کار خود را Hack 100 نامیده بودند.این دو هکر درخواست‌های متعددی به شرکت‌ها برای افشای آسیب‌پذیری‌ها ارسال کرده اما پاسخی دریافت نکرده بودند. در نهایت با هشدار مدیر داخلی فیس‌بوک، مدیر امنیت محصول فیس‌بوک با آن دو ارتباط گرفت. همین ماجرا زمینه‌ی تاسیس هکروان در سال ۲۰۱۲ شد.

هکروان از همان ابتدا برنامه‌های باگ بانتی بزرگ و مهمی را برگزار کرد. او در آمار ارائه‌کرده‌ی خود عنوان کرده است که تا سال ۲۰۲۱، ۱۶۰ هزار آسیب‌پذیری در برنامه‌های باگ بانتی آن کشف شده اند و صد میلیون دلار نیز توسط کسب‌وکارها بابت آن‌ها به شکارچیان پرداخت شده است.

پیشنهاد خواندنی: چگونه بفهمیم هر آسیب‌پذیری چقدر خطرناک است؟ (معرفی ۳ سنگ محک‌ جهانی)

ارتقای اعتماد به باگ بانتی و هکرها

هرچه باگ بانتی در مسیر خود پیش‌تر می‌رفت، اعتماد بیش‌تری را به خود جلب می‌کرد؛

در مارس ۲۰۱۶، وزارت دفاع ایالات متحده آمریکا برنامه‌ی باگ بانتی خود را با عنوان Hack the Pentagon به وسیله پلتفرم باگ‌بانتی هکروان برگزار کرد. این برنامه ۲۴ روز به طول انجامید و ۷۰ هزار دلار به ازای ۱۳۸ آسیب‌پذیری در سایت‌های این ارگان دولتی به هکرها پرداخت شد.

سیستم‌های امنیتی ارتش آمریکا نیز در برنامه دیگری به نام Hack the Army برنامه‌ی باگ بانتی خود را بر روی این پلتفرم باگ بانتی تعریف کردند. در این برنامه ۳۷۱ شکارچی حضور داشتند که ۲۵ کارمند دولتی و ۱۷ پرسنل ارتش نیز شاملش می‌شدند و در نهایت حدود ۱۰۰ هزار دلار به شکارچیان پرداخت شد.

در می ۲۰۱۷، نیز برنامه دیگری برای پیدا کردن نقص در نیروی هوایی ارتش آمریکا موسوم به Hack the Air Force برگزار شد که در آن، ۱۳۰ هزار دلار به عنوان پاداش به شکارچیان پرداخت شد.

باگ بانتی راهکار امنیت

حال و آینده‌...

طبق گزارش هکروان: « تا سال ۲۰۲۲، کمبود ۱/۸ میلیون جایگاه شغلی امنیت در کسب‌وکارهای جهان احساس می‌شود. اما هکرها با تخصص و همراهی خود برای جبران بخشی از این خلا به کسب‌وکار ها کمک می‌کنند...» و این بیان‌گر این نکته است که، دنیا برای برقراری امنیت سایبری، به راهکاری مبتنی بر مشارکت و خردجمعی نیاز دارد. باگ‌بانتی که راهکاری از این جنس است، می‌تواند پاسخی برای این شرایط باشد. این روزها که در دهه سوم قرن ۲۱ میلادی به سر می‌بریم، پلتفرم‌ها و برنامه‌های باگ بانتی بسیاری در حال برگزاری و در دست اجرا هستند. با وجود این گسترش فرهنگ باگ بانتی در میان پژوهشگران امنیتی و کسب‌وکارها، می‌توان پیش‌بینی کرد که باگ‌بانتی در آینده‌ی جهان سایبری، نقش پررنگ‌تر و محبوب‌تری را ایفا خواهد کرد.

نظر شما راجع به باگ بانتی چیست؟ چه آینده‌ای را برای این راهکار ارتقای امنیت پیش‌بینی می‌کنید؟

بلاگ‌پست‌های مرتبط:

معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!

باگ‌بانتی؛ به صرفه‌ترین راه ارتقای امنیت

باگ‌بانتی چه نیست؟

VDP؛ صندوق پیشنهادها و انتقادات امنیتی