گپوگفتی با شکارچی آسیبپذیری؛ زهرا
در این بلاگپست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفتهایم تا با او گپوگفت کوتاهی داشته باشیم؛ زهرا
زهرا حدود 4 سال است که در حوزهی امنیت سایبری فعالیت میکند؛ در این مدت تجربههای مختلفی همچون تست نفوذ، کارهای پژوهشی، آمادهسازی داکیومنتهای امنیتی و بلوتیم را داشته است. بهعنوان یک زن در حوزهی امنیت سایبری معتقد است که گاهی به زنان در فضای امنیت سایبری، سخت میگذرد. نگاه جامعه به هکرها را غیرمنصفانه میداند و آرزو دارد که این نگاه و ذهنیت "هکر مساوی است با مجرم " در طول زمان تغییر کند. نسبت به بیاحتیاطیهای کاربران عمومی در فضای اینترنت، حساس و دغدغهمند است. آگاهیرسانی و فرهنگسازی در این خصوص را از خانواده، دوستان و دوروبریهای خودش شروع کردهاست.
_ کمی از خودت برایمان میگویی؟
حدود چهار سالی میشود که در حوزهی امنیت سایبری هستم؛ بیشتر به تست نفوذ، پژوهش و این موارد پرداختهام. در سالهای فعالیتم خیلی به سمت به باگ بانتی نرفته بودم. میشود گفت که رویداد باگ پارتی راورو در پارک فناوری اولین تجربهی باگ بانتی من محسوب میشد.
_ کمی از تجربههایی که در حوزهی امنیت سایبری داشتهای، برایمان میگویی؟
تجربهی کاری من بیشتر در حوزهی تست نفوذ است. روند تست نفوذ هم به این شکل است که باید موارد داخل چکلیست را ریزبهریز و جزء به جزء مورد بررسی قرار دهی و آسیب پذیری ها را پیدا کنی. از این جهت، تست نفوذ زمان زیادی فرد را مشغول خودش میکند. کارهای دیگری هم کردهام؛ برای سازمانهای مختلف کارهای پژوهشی انجام دادهام، برایشان داکیومنتهای امنیتی (مثلا؛ در مورد زیرو تراست ) تدوین کردهام و به مفاهیم امنیتی که سمت بلو تیم هم هست، کمی پرداختهام. تصمیم دارم که در مسیر آینده، بیشتر به باگ بانتی بپردازم و بیشتر تجربهاش کنم.
_ ما در تجربهمان، شاهد حضور و فعالیت کمتر زنان در حوزهی امنیت سایبری بودهایم. دوست داشتیم بدانیم که فعالیت در این حوزه، بهعنوان یک زن، به شما چه گذشته است؟
واقعیتی که مشاهده میشود همین است که در حوزهی امنیت سایبری، زنان کمتر هستند. متاسفانه گاهی هم به خانمها سخت میگذرد. ولی وقتی علاقهای که داری را در ذهنت مرور میکنی و با خودت میگویی " من برای این رشته وقت گذاشتم" ، " من میخواهم در این حوزه کار کنم" ، " من این حوزه را دوست دارم و ادامه میدهم" ، " من یک زنم، بگذار دیگران هرچه میخواهند فکر کنند و بگویند"، کمی راحتتر میتوانی ادامه دهی.
همیشه مشکلاتی داشتهایم. مثلا جایی که من در آن کار میکنم، قبلا کارمندهای زن بیشتری مشغول بودهاند. اما الان فقط من هستم. مثلا ممکن است حس کنی که همکارانت وقتی برای سیگارکشیدن بیرون رفتهاند، در آنجا راجع به چیزی صحبت کردهاند. و تو در جریان موضوع قرار نمیگیری، چون نرفتهای و انگار جزوی ازشان نبودهای. این پدیده به خصوص در محیطهای استارتاپی دیده میشود. با وجود همهی این مشکلات، همیشه تلاش اطرافیانت هم بر این بوده که هوای تو را بیشتر داشته باشند.
_ امیدواریم که خیلی بیشتر شاهد حضور زنان در حوزهی امنیت سایبری باشیم.
_ در میان اطرافیان و خانواده شاهد چه برخوردهایی نسبت به "هکرها" بودهای؟
در میان افراد مختلف در خانواده و فامیل و ...، هر کسی که شنیده است که من در این کار هستم، بازخوردهایی داشته است. بعضیها آمدهاند و گفتهاند" این اکانت اینستا را برای ما هک کن" . بعضیهایشان از وقتی فهمیدهاند که هکرم، دیدشان نسبت به من عوض شده است؛ خیلی محتاطتر برخورد کردهاند، یا نصیحتم کردهاند که از این رشته بیرون بیایم. امنیت سایبری شاخههای مختلفی دارد که هر کسی میتواند نسبت به علاقه انتخاب کند. هکر کلاه سفید، هم هکری ست که انتخابش را کرده است. به نظرم خیلی خوب میشود اگر اطرافیان و افراد درک کنند که هکر کلاه سیاه چیست و هکر کلاه سفید چیست. آیا منصفانه به نظر میرسد که نسبت به منی که واقعا دوست دارم کمک کنم تا امنیت همهی افراد جامعه و امنیت اطرافیانم بیشتر شود، دید منفی وجود داشته باشد؟
رویدادهایی مثل باگ پارتی، میتوانند موقعیت مناسبی باشند تا هک به شکل دیگری به دیگران نشان داده شود. اگر این امکان هم فراهم باشد که افراد عادی هم به رویداد اضافه شوند، میتواند فرصت مناسبی ایجاد شود تا جامعه ببیند که قضیه چیست و در این حوزه چه میگذرد؟ چنین اتفاقی میتواند بر تغییر نگاه افراد نسبت به امنیت IT اثرگذار باشد.
پیشنهاد خواندنی: در باگ پارتی چه گذشت؟
_ بله، نگاه تازهای به هک و هکر (در مقابل دیدگاه اشتباهی که وجود دارد)، میتواند اتفاق خوبی برای امنیت سایبری ایران باشد.
_ وقتی با بیاحتیاطیهای کاربران عمومی مواجه میشوی، چه واکنشی داری؟
اتفاقا من وسواس عجیبی در مورد این رفتارها پیدا کردهام. به افراد میگویم:" این کار را نکن! دیتایت را به هر جایی نده!" اگر کسی دیتایت را خواست، اول ببین برای کجا و چه میخواهد". این آگاهیرسانی و فرهنگسازی را از خانواده، دوستان و دوروبریهای خودم شروع کردهام. مثلا بهشان گفتهام :" در خود روز تولدتان، استوری نذارید. اینطوری تاریخ تولد شما expose (افشا) میشود. یک نفر میتواند از همین اطلاعات استفاده کند." دیدن رعایت موارد امنیتی توسط افراد هم برایم بسیار خوشایند شده است.
به نظر من، کارکنان سازمانها و کسبوکارها هم باید بهصورت سازماندهیشدهتری آموزش ببینند. مثلا تا حالا چندین بار شده که از همین password policy (قواعد تعیین گذرواژه) ساده، account takeover (تصاحب حساب کاربری) صورت گرفته است.
پیشنهاد خواندنی: 10 توصیهی ساده برای آگاهی و امنیت کاربران اینترنت
_ به کاربری که میگوید "من که چیزی داخل گوشیام ندارم" یا "چه اتفاقی میخواهد بیفتد؟" چه میگویی؟ چه توضیحی میدهی؟
در مواقع اینچنینی، من برایشان مثال آوردهام و از مواردی که واقعا اتفاق افتاده است برایشان گفتهام. چند باری هم سناریوی فیک تعریف کردم و گفتم که این اتفاق برای فلانی افتاده است، لازم است تو هم به این قضیه دقت کنی.
فکر میکنم جا دارد که تولیدکنندههای محتوا هم بیشتر به این موارد بپردازند.
در اسکیل خیلی بزرگتر و در سطح جامعه، خوب میشود اگر دولت هم اقداماتی بکند. مثلا؛ آموزشهایی که از سنهای پایینتر به افراد داده شود. در مدرسه لازم است که چنین درسی باشد. چون که آموزش از سن پایین تر، موثر تر است و طبیعتا نتایج بهتری برای جامعه و ارتقای امنیت سایبری خواهد داشت.
پیشنهاد خواندنی: سوالهای رایج مردم راجع به امنیت سایبری
_ آرزویی برای حوزهی امنیت سایبری داری؟
آرزویم برای حوزهی امنیت سایبری ایران، در همان استیکری خلاصه میشود که به دوستم داده بودند و رویش نوشته شده " Hacker is not criminal" . ذهنیتی که از طرف سازمانها، از طرف خانواده، دوست و دیگران نسبت به هک وجود دارد، این است که هکر (حتی هکر کلاه سفیدی مثل ما) مجرم است. من دوست دارم که در طول زمان، این ذهنیت تغییر کند. همچنین امیدوارم کشورم بیشتر به سمت دفاع سایبری رفته و حواسش به آسیبپذیریهایش هم باشد.
_ ما هم امیدواریم که نگاه جامعه نسبت به هکر کلاه سفید، به چشم یک مجرم نباشد و تغییر کند. همچنین امیدواریم که درخصوص اوضاع امنیت سایبری شاهد بهبودهایی در ایران باشیم. ممنون که وقتت را در اختیار ما قرار دادی و همراه ما بودی، زهرا عزیز.
بلاگپستهای مرتبط:
گپوگفتی با شکارچی آسیب پذیری؛ آیلین همایونی
گپوگفتی با شکارچی آسیب پذیری؛ زهرا ایزدی امیری