در این بلاگ‌پست، به سراغ دو شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری که تجربه‌ی تست نفوذ تیمی را داشته‌اند، رفته‌ایم تا با آن‌هاگپ‌وگفت کوتاهی داشته باشیم؛ ایلیا کشتکار و مهدی حسینی

 دوستی مهدی و ایلیا از زمان دانشگاه شکل گرفته است. تقریبا دو سالی است که باهم در حوزه‌ی امنیت سایبری کار می‌کنند. تجربه‌ی کار مشترک در پروژه‌های تست نفوذ، CTF، باگ بانتی، باگ پارتی و ... را باهم دارند. ایلیا یک ویژگی کمک‌کننده برای شکارچی آسیب پذیری را، "سمج‌بودن" می‌داند. مهدی یک چالش باگ بانتی را " احتمال تکراری محسوب شدن گزارش" و رقابتی که به خاطرش شکل می‌گیرد، برمی‌شمارد. 

_ چطور شد که باهم هم‌گروه شدید؟ چرا کار گروهی را انتخاب کردید؟

ایلیا: ما از زمان دانشگاه با هم دوست بودیم و این قضیه از آن‌جا برایمان شروع شد. تقریبا دو سالی هست که باهم کار می‌کنیم؛ در پروژه‌های تست نفوذ، CTF، باگ بانتی، باگ پارتی و ... . معمولا در هر موردی، کار تیمی بهتر از کار انفرادی جواب می‌دهد. حالت انفرادی زمان بیشتری هم می‌برد. در کار تیمی تمرکزت بالاتر می‌رود. اگر در موقعیتی خسته هستی و نمی‌توانی تمرکز کنی، می‌دانی که هم‌تیمی‌ات کار را پیش می‌برد. تو هم اگر نکته‌ای یادت افتاد، می‌توانی به کار اضافه کنی. 

ما معمولا باهم در مسابقات شرکت می‌کنیم. در مواقعی مانند باگ بانتی درنهایت باید هر گزارش را به اسم یک نفرمان ثبت کنیم. در این جور مواقع سعی می‌کنیم هر بار گزارش آسیب پذیری را به اسم و آیدی یکی‌ نفرمان ثبت کنیم و بانتی را تقسیم کنیم.  

_ کمی از روال کار گروهی‌تان برایمان می‌گویید؟

مهدی: در باگ بانتی همه چیزش را با هم انجام می‌دهیم. مثلا یکی‌مان نصف یک روند را طی می‌کند و ادامه‌اش را به دیگری می‌سپارد و خودش به سراغ هدف بعدی می‌رود. با این روال با هم روی یک چیز کار می‌کنیم. هردو روی یک هدف تمرکز می‌گذاریم تا زودتر به نتیجه برسیم و زودتر ثبتش کنیم. 

_ از نگاه شما هک چطور تعریف می‌شود؟

ایلیا: سوال خیلی خوبی است. بستگی دارد بخواهیم از چه نگاهی "هک" را تعریف کنیم. از نگاه یک مهاجم؟ از نگاه دفاعی؟ در موقعیت‌های مختلف، تعریف متفاوتی به این کلمه در ذهن شکل می‌گیرد. 

 من فکر می‌کنم در هک، باید دید بالاتری نسبت به برنامه نویسی داشته باشی. باید در مرحله‌ی اول یک برنامه‌نویس باشی که بدانی چه اتفاقی دارد می‌افتد، و همان را دور بزنی. 

با نگاه ساده‌تر می‌شود گفت " هک کردن" پیدا کردن روشی است که می‌تواند به یک سامانه و کسب‌وکار آسیبی بزند. و خب ما به عنوان یک هکر کلاه سفید آن آسیب پذیری را گزارش می‌دهیم و اطلاع می‌دهیم که "آقا، همچین خطری وجود دارد. مراقبش باش." معمولا الان این طور است که کسب‌وکار هم رفتار بدی ندارد و کنار می‌آید. در گذشته خیلی این‌طور نبود. 

_ هنگام کشف و ثبت آسیب پذیری چه حس‌وحالی را تجربه می‌کنید؟

ایلیا: من هیجانی که در فرآیند هک و کشف آسیب پذیری جریان دارد را واقعا دوست دارم. واکنشی که کسب‌وکارها بعد از دریافت گزارش آسیب پذیری دارند، هم برایم جالب است. همیشه این‌طور نیست که مقاومت داشته باشند، گاهی جلویش را می‌گیرند و ... . 

پیشنهاد خواندنی: حس‌وحال لحظه‌ی کشف و شکار آسیب پذیری 

_ چه چالش‌هایی را در باگ بانتی تجربه کرده‌اید؟

مهدی: تکراری محسوب شدن گزارش‌ها. در باگ بانتی یک رقابتی درمیان است. ممکن است آسیب پذیری‌ های قبلی ثبت ‌شوند. و ما باید عجله کنیم که زودتر آسیب پذیری ها را کشف و گزارش کنیم، تا نفر اول باشیم و گزارش‌هایمان تکراری محسوب نشود. در باگ پارتی هم عینا این مورد تجربه می‌شد. 

ایلیا: یکی از مواردی که احتمالش در CTF کمتر و در باگ بانتی بیشتر است، این است که در لحظه نیاز دارید که یک ریسرچ را انجام دهید. در تجربه‌ی من از CTF این گونه بوده است که معمولا در یک مسابقه می‌شود نزدیک‌ترین چالش به چیزی که طراحی شده است را با جست‌وجو در اینترنت پیدا کرد. چالش‌ها نزدیک به هم هستند. فردی که رایتاپ‌های زیادی از CTF خوانده باشد، آن رایتاپ‌ها بهش کمک می‌کنند و به کارش می‌آیند. ولی در باگ بانتی به این صورت نیست. هر تارگت طراحی خاص خودش را دارد و این یک مقدار کار را متفاوت و سخت می‌کند. به همین خاطر ما نمی‌دانستیم دقیقا به دنبال چه چیزی بگردیم که نزدیک به این سامانه باشد یا حداقل بتوانیم آسیب پذیری مشابهی پیدا کنیم. گاهی مواردی پیدا می‌کردیم، مثلا؛ سایتی یا سامانه‌ی نسبتا مشابهی که یک آسیب پذیری را داشت. اما وقتی تست می‌کردیم، می‌دیدیم که در اینجا متفاوت است و همچین بخشی وجود ندارد. به نظرم در این مورد در باگ بانتی، بیشتر تجربه به فرد کمک می‌کند. 

_ برای یک شکارچی آسیب پذیری، داشتن چه ویژگی‌ای را مهم می‌دانید؟

ایلیا: در باگ بانتی یک ویژگی اخلاقی کمک‌کننده این است که سمج باشی. با خودت بگویی:" من باید این آسیب پذیری را پیدا کنم." این خیلی مهم است که ناامید نشوی. 

ما در باگ پارتی شاهد این بودیم که یک سری از بچه ها از بعضی بخش‌ها، راحت‌تر گذر کردند. ولی یک نفر دیگر (که میز جلویی ما هم بود) سر همان بخش‌ها ایستاد، دقیق‌تر چک کرد و یک آسیب پذیری کشف کرد. با سمج‌بودنش شروع کرد به ارسال یک سری پیلودها که نتیجه داد. به نظرم این خیلی مهم است. 

پیشنهاد خواندنی: در باگ پارتی چه گذشت؟ 

_ آرزویی برای حوزه‌ی امنیت سایبری دارید؟

مهدی: آرزوی موفقیت :) 

ما خیلی دوست داریم که حوزه‌ی امنیت سایبری در ایران، شناخته‌شده تر و جاافتاده‌تر شود. در کشور های خارجی بیشتر روی حوزه‌ی امنیت سایبری کار کرده‌اند. کشور ما در این حوزه یک مقدار عقب‌تر است. و خب خداروشکر برگزاری رویدادهای گسترده‌ای مانند باگ پارتی و CTF و ...  باعث می‌شود در اخبار هم بحث امنیت سایبری بیشتر به میان بیاید، حوزه‌ی امنیت سایبری کمی بیشتر در جامعه جا بیفتد و اهمیت امنیت بیشتر دیده شود. 

ایلیا: من هم یک زمانی آرزوی مشابهی را داشتم. مسابقات CTF خارجی را که می‌دیدم، خیلی حسرت می‌خوردم که نمی‌توانم در آن‌ها شرکت کنم. دوست داشتم رویدادهای مشابهش هم در ایران اتفاق بیفتد. و خوشحالم که الان شاهد چنین اتفاق‌هایی هستیم و امیدوارم که ادامه‌دار باشند. 

درکل امیدوارم که در حوزه‌ی امنیت سایبری در ایران پیشرفته‌تر و به‌روزتر باشیم و در مقایسه با سطوح جهانی، وضعیت بهتری داشته باشیم. متوجهم که اتفاق‌های خوبی دارد می‌افتد و به‌هرحال این ماجرا در ایران دیرتر از بقیه‌ی کشورها شروع شده است و در حرکت است. امیدوارم شاهد بهبود و ارتقای سطح امنیت سایبری در ایران باشیم. 

_ ممنون که در این گپ‌وگفت همراه ما بودید ایلیا عزیز و مهدی عزیز. برای هردوی شما آرزوی موفقیت در حوزه‌ی امنیت سایبری را داریم. امیدوارم باهم تجربه‌های بیشتری را رقم بزنید.

بلاگ‌پست‌های مرتبط: 

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ بهراد رضایی 

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ محمد دلاور 

گپ‌وگفتی با شکارچی؛ علیرضا رضایی 

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ رضا شریف‌زاده