شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
گپ‌وگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security)

گپ‌وگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security)

۱,۶۳۵

در این بلاگ‌پست، به سراغ یکی از شکارچی‌های جوان راورو رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ آرمان محمدتاش (Arman_Security)

آرمان یک هکرهای کلاه‌سفید متولد دهه‌‌ی هشتاد است. اهل چالش و رقابت با خود است. تا تاریخ این مصاحبه، ۳۲ گزارش آسیب‌پذیری در راورو ثبت و ۱۰۲ امتیاز کسب کرده است.

_ خودت را برایمان معرفی می‌کنی؟

آرمان هستم، متولد ۱۳۸۱. دو سال است که در حوزه‌ی امنیت سایبری فعالیت می‌کنم. الان در بخش وبسایت مشغول به کار هستم.

_ ما کنجکاویم بدانیم که اصلا چه شد که فهمیدی می‌خواهی به سمت امنیت بروی؟

من دبیرستانی بودم دوست صمیمی‌ام، گفت:" می خواهم هکر شوم و پایتون یاد بگیرم." آن‌موقع از برنامه‌نویسی صحبت می کردیم، راجع به امنیت سایبری چیزی نمی‌دانستیم. ما کنکور را دادیم، مهرماه همان سال من دوره‌ی پایتون را شروع کردم. درواقع دلیل ورودم به حوزه‌ی امنیت سایبری چیز خاصی نبود، با حرف دوستم شروع کردم، خوشم آمد...

_ پس بعد از کنکورت بوده است؟ کنکور چطور بود؟

بله،بعد از کنکور. رتبه ی کنکورم کد شارژی بود برای خودش. من از کارهایی که در زندگی‌ام می‌کنم، پشیمان نمی‌شوم. مقداری هم مغرورم و اگر هم خراب‌کاری شود، می گویم که مسیر من درست بود. ولی برای کنکور پشیمانم که چرا خواندم و آن‌قدر وقت و هزینه گذاشتم! الان هم مهندسی پزشکی می‌خوانم که هیچ ارتباطی با کارم ندارد! امتحان‌هایم هم شروع شد و بلد نبودم. ۴ ترم هیچ درسی نخوانده‌ام و نمی‌دانم که تا چند ترم قرار است این واحد هارو بیفتم! این ترم هم با معدل زیر ده مشروط شدم. :)

_ برای مسیرت رودمپ داشتی؟

من راهی که رفته‌ام را به هیچ کس پیشنهاد نمی‌کنم. رودمپ عجیب‌وغریبی بود. اول Burpsuite و بعد آسیب پذیری‌های Owasp Top10 را یاد گرفتم. کلا با هرچه بیش‌تر حال می‌کردم می‌رفتم سراغش.

_ در مسیر بر چه اساسی قدم بعدی را انتخاب می کردی؟

هدف من یادگیری آسیب پذیری جدید بود. در آن زمان مدل‌های مختلف و زیادی آسیب پذیری وجود داشت که بخواهم یاد بگیرم. من هر روز چک می‌کردم که چه نوع آسیب‌پذیری‌هایی هست که من هنوز بلد نیستم و شروع به خواندن آن‌ها می‌کردم.

زمانی که شروع کردم چندتا تارگت برای خودم قرار دادم. قدم اولم، سایت‌های معمولی ایرانی بود.هدفم بانتی یا دیفیس نبود، فقط دلی و تمرینی بود. بعد سراغ برنامه‌های باگ بانتی ایرانی رفتم، به‌عنوان مثال؛ در راورو این هدف و چالش را برای خودم تعریف کردم که رتبه‌ام را تا زیر ۱۵ بیاورم که موفق هم شدم. چالش و رقابتی که برای خودم ایجاد کرده بودم برایم مهم بود، نه از لحاظ بانتی و نه هیچ چیز دیگر. فقط برای من یک چالش و بازی بود که بتوانم اعتماد‌به‌نفس بگیرم و بعدش سراغ پلتفرم‌های خارجی بروم. بعد شروع کردم و روی وبسایت‌های خارجی کار کردم. بعدش هم با شرکت‌های مختلف برای تست نفوذ قرارداد بستم. بعد از این‌که وارد سایت‌های خارجی شدم، دیگر خیلی روی باگ بانتی داخلی کار نکردم.

_ چه منابعی را دنبال می‌کردی؟

مدیوم، یوتیوب، هکروان و همه‌ی این موارد را چک می کردم. این‌ها منابعی بودند که به طور پیوسته از آن‌ها استفاده می‌کردم. دوره‌های خارجی را هم می‌گذراندم. دوره TheXssRat، NahamSec و … دوره‌ی TheXssRat و توییتر خیلی به من کمک کرد. برای حل Lab هم از Labهای Portswigger استفاده می‌کنم.

_ به کدام یک از آسیب پذیری‌های Owasp Top10 بیشتر علاقه داری؟

یکی از آسیب پذیری هایی که وقت زیادی برایش گذاشته‌ام، آسیب پذیری CSRF است. علاقه‌ی شدیدی به فرم‌های هر سایتی دارم. برایم بخش جذاب هر وبسایتی محسوب می‌شود.

آسیب پذیری‌های Logic را هم خیلی دوست دارم، بیشتر گزارش های من Logic بوده‌اند.

سناریو های Account Takeover و Admin Panel Bypass هم جزو موردعلاقه‌هایم هستند.

_ به XSS علاقه نداری؟

سعی میکنم یه آسیب پذیری XSS را ساده گزارش ندهم و تا جای ممكن ایمپکت را بالا ببرم، مثلا یک رایتاپ در مموری‌لیکس منتشر کرده‌ام، که ماجرایش از این قرار بود که داخل لینکی که آپدیت می‌کرد برای عکس پروفایل، Breakpoint می‌شود و آن‌جا XSS می‌خورد.

_ پس فرم‌های ورود، از نقاط موردعلاقه‌ی شما در سامانه‌ها هستند. وجود آسیب پذیری‌ های به‌خصوصی را در این نقطه بررسی می‌کنی؟

من از اول که فعالیت در حوزه‌ی امنیت سایبری را شروع کردم، سناریومحور یاد گرفته‌ام. یعنی کلا برنامه‌نویس نبوده‌ام، در شرکت به‌عنوان طراح وبسایت کار نکرده‌ام و... . من وقتی فرم‌ها را می‌بینم، نمی‌توانم کد پشتش رو کامل پیاده کنم. من سناریو محور یاد گرفته‌ام؛ زمانی‌که فرمی را می‌بینم، تمام چیزهایی که در ذهنم است، مرور می شود. از خودم می‌پرسم، روی این فرم قرار است چه آسیب پذیری‌ای پیش بیاید؟ برای همین بیش‌تر روی بخش Forget Password کار می‌کنم که دستم بازتر است و لذت بیش‌تری هم برایم دارد.

یکی از گزارش هایم که یک‌جورهایی Port Injection محسوب می‌شد، این طور آغاز شد که نمی‌دانستم سامانه آسیب پذیری دارد یا نه. گفتم از این فانکشن باید آسیب پذیری پیدا کنم و آن‌قدر کار کردم که به آسیب پذیری رسید. من سناریو آسیب پذیریDangling Markup را به ۱۰ نفر گفتم و ۹ نفرشان اصلا نمی‌دانستند! کلا آسیب پذیری هست که کم به آن اشاره شده است. من داشتم این آسیب پذیری را آن‌جا می زدم. یکی از دلایلی که من توانستم آسیب پذیری Port Injection‌ و Host-header Injection را بگذارم همین بوده است که من خواستم اول این را بزنم. بعد دیدم این را نمی‌شود زد، گفتم اگر نمی‌توانم تزریق کنم، بگذار ببینم می‌توانم Open Redirect کنم یا نه؟ گفتم خب بگذار این را تست کنم. تست کردم و دیدم که جواب داد و سناریویی بود که من فقط توانستم در پن‌تستی که می‌زنم، در شرکت دیگری آن را پیاده‌اش کنم.

من سناریومحور یاد گرفته‌ام برای همین وقتی فرمی را نگاه می کنم، با خودم فکر می‌کنم که بقیه‌ی شکارچی‌ها چه سناریو هایی رفته‌اند و به موفقیت رسیدند؟ من باید داخل فرم خودم چه کاری انجام بدهم؟ اکثر اوقات سناریوهای مختلفی را قاطی می‌کنم مثل همین آسیب پذیری که گفتم ازش آسیب پذیری جدیدی می‌شود نوشت که حداقل جایی ندیده باشید.

_ در صفحاتی که می خواهی SQL Injection یا XSS بزنی، بیش‌تر پیلود را در خود فرم وارد می‌کنی یا از URL کمک می‌گیری؟ پارامتری اضافه می‌کنی؟ و یا اگر بخواهی بایپسی داشته باشی، چطور؟ فرمی را بایپس کرده‌ای که خیلی از آن لذت برده باشی؟

اول راجع به XSS Stored بگویم؛ من اول در فرم تستش می‌کنم، چون در قسمت URL، به احتمال ۹۰ درصد می‌زنند. مگر این‌که پارامتری که می‌زند تریک خاصی داشته باشد. ولی بیش‌تر سعی می‌کنم روی فرم‌ها کار کنم.

لذت‌بخش‌ترین آسیب پذیری‌ای که زده‌ام، از نظر بایپس، CSRF بود و یک برنامه‌ی VDP بود، که کلا بایپس بود.

CSRF که زدم داخل هدرهایش، Header Protection CSRF توکن داشت. این را کلا پاک کردم، Content-Type را عوض کردم، چون json بود و کلا Content-Type را تغییر دادم، بازهم قبول کرد. Verb Tampering را هم انجام دادم و قبول کرد. به‌نظرم قشنگ‌ترین بایپسی که خورد، همین بود.

_ تجربه‌ی شما می‌گوید که فرم‌های وبسایت‌های کسب‌وکارها، معمولا چه آسیب پذیری هایی را دارند؟

به نظر من، در وبسایت‌ها اگر پنل لاگین دارند، باید بیش‌تر به "فراموشی رمزعبور"ها توجه کنند. اگر هم که پنل لاگین ندارند، خیلی مراقب آسیب پذیری SQL Injection باشند. معمولا تایپ کوکی‌ها طوری است که می‌شود جلوی CSRF را گرفت. من در اکثر سایت ها، سایت های ایرانی کهJWTها را می زنم، کلا CSRF این قسمت را بسته است. به‌نظرم "فراموشی رمزعبور" خیلی جای کار دارد. چون در پنل یک قسمت "فراموشی رمز عبور" حداقل فقط ۴ ساعت زمان می‌برد که بشود تست نفوذ و شکارش کرد و تست امنیت از آن گرفت. یک فانکشن برایتان بفرستد و شما ایمیل را باز کنید و پسورد را عوض کنید. از طرف دیگری این آسیب پذیری و آسیب پذیری IDOR، به نظرم آسیب پذیری های خطرناکی در سامانه‌های ایرانی اند. مخصوصا در سایت‌هایی که از یک کاربر، اطلاعات مهمی می‌گیرند و در سایت‌هایشان اطلاعات مهمی قرار می‌دهند. درکل بستگی به سایت دارد. یک سایت فروشگاهی اگر Account Takeover هم داشته باشد، می‌گوید اصلا برایم مهم نیست. ولی سایتی که از کاربر اطلاعات خیلی حساسی می‌گیرد، باید برایش مهم باشد.

_ بیش‌ترین بانتی‌ای که تاحالا گرفته‌اید، چقدر بوده است؟

۱۴۰۰ دلار. بانتی تومانی زیاد نگرفته‌ام، یا گزارش نداده‌ام و یا گزارش داده‌ام و بانتی نگرفته‌ام. حقیقتا حال‌وحوصله‌ی چانه‌زدن برای دریافت بانتی را ندارم که بخواهم چانه بزنم و بگویم بانتی بدهند.

_ در طول روز و یا در طی هفته، چه زمان‌هایی را باگ می زنی؟ زمان خاصی دارد؟

بستگی دارد که در چه مودی باشم و چقدر کارهای دیگرم را توانسته باشم هندل کنم. چون با ۳، ۴ شرکت داخلی کار می‌کنم و نسبت به آن‌ها هم یک سری وظایفی دارم. سعی می‌کنم آن‌ها را اول انجام بدهم، بعد به کارهای شکار برسم.

_ برای Recon از چه روش‌هایی استفاده می‌کنی؟ و به چه چیزهایی توجه می‌کنی؟

در Recon قدم ثابتی مشخصی برای قدم اول مشخص نکرده‌ام. بیش‌تر گوگل می کنم، یعنیGoogle Dork را سعی می‌کنم پیش بروم. همین‌طور از Crunchbase به دنبال شرکت های جدیدم. زمانی که دامنه را پیدا ‌کنم، اول روی زیردامنه‌ها شروع به کارکردن می‌کنم؛ یعنی خودم شخصا دورترین نقطه را می‌گیرم و می زنم. چون داپلیکیت خوردن گزارشم را واقعا دوست ندارم. متاسفانه حتی روی Walmart زیاد داپلیکیت خوردم. حتی چندبار با تیم داخلی‌شان! سعی می کنم دورترین نقطه را بگیرم و بزنم تا تیرم به هدف بخورد.

_ تکنیک و استراتژی جالبی است. لحظه‌ی کشف آسیب پذیری، برایت چه حسی دارد؟

بستگی به سطح دسترسی‌ای که می‌گیرم و آن قدرت و تسلطی که روی سایت دارم، دارد؛ اگر یک Shell را Upload کنم، خیلی خوش‌حال می‌شوم. اگر آسیب پذیری Account Takeover و یا Information Leak باشد، در یک حدی. اگر روی پلتفرم باشد، می‌گویم خب من آسیب پذیری زده‌ام و قرار است برایش ارزش قائل شوند، داپلیکیت و خارج از محدوده نخورد و اذیت هم نکند. گاهی هم قرار نیست بانتی خاصی بگیرم، ولی اگر بخواهم عشقی ‌می‌روم بزنم. می‌گویم من این سایت را زده‌ام و حس خوبی برایم دارد.

_ خاطره‌ای از کشف آسیب پذیری در شرکت یا کسب‌وکاری داری؟

یک خاطره‌ی کوتاه ولی دردناک دارم؛ داخل شرکتی کار می‌کردم، RCE می‌زدم، Shell آپلود کردم به عنوان PoC داخل همان جایی که گزارش‌ها را می‌گذاریم، گذاشتم. و یادم رفت Shell را پاک کنم... چند وقت پیش به من پیام دادند که چرا سایت دیفیس شده؟ من رفتم نگاه کردم، دیدم ما Shell را پاک نکرده‌ایم و دسترسی پابلیک دارد! یعنی شما را سایت را که باز می‌کردید، در قسمت همه‌ی نظرات می‌توانستید Shell را ببینید! دقیقا در کامنت هم Shell نوشته شده بود. یعنی تقریبا هرکسی کلیک می‌کرد، می‌توانست بازش کند. من رفتم سایت را بالا آرودم، دیدم فرد هر دایرکتوری یک فایل PHP آپلود کرده به‌عنوان دسترسی که Backdoor داشته باشد، به شخص گفتم سایت را کلا پایین بیاورید و خامش را بگذارید، سایت هنوز کامل بالا نرفته است. خیلی خندیدیم.

_ دقیقا

_ تعریف آرمان از "هک" چیست؟

هک یک مدل چالش و قدرت‌نمایی است که در آن سعی می‌کنی برنامه‌نویس و خودت را به چالش بکشی. از طرفی دیگر بستگی به رنگ کلاه هکر دارد، که بیش‌تر بخواهی قدرت‌نمایی کنی یا ...؟ چون خیلی از افراد با قدرت‌نمایی، حس خوبی می‌گیرند. مثلا؛ فردی ممکن است با دیفیس‌کردن سایتی، حس کند که کار قشنگی کرده است. البته من هم از اول به‌طورمرتب در پلتفرم و به‌صورت کلاه‌سفید کار نکرده‌ام، بالاخره مدتی تقریبا کلاه‌سیاه هم بوده‌ام، البته آن زمان هم هیچ‌وقت سایتی را دیفیس نکردم. یک بار یک سایت افغانی را زدم و دیدم که خیلی قدیمی است و کلا با آن کار نمی‌کنند، کل سایت را پاک کردم و به عنوان هاست شخصی‌م از آن استفاده کردم. این مورد خوب بود و تنها جایی که زدم، همین سایت بود.

پیشنهاد خواندنی: تعریف هک از نگاه هکرها

_ الان کلاهت چه رنگی است؟ رنگ مشخصی دارد؟

همیشه بازه‌ای بین سیاه و خاکستری است.

_ فکر می کنی هک کردن چه تاثیری در دنیا دارد؟

از دید آدم‌های معمولی، ترسناک است.

_ از شما درخواست شده که اکانت کسی را هک کنی؟

این نرمال است! یک بار به من زنگ زدند و گفتند:" من اشتباهی پول جابه‌جا کرده‌ام. می‌توانی برای من برگردانی؟" من هم گفتم:" اگر می‌توانستم از حساب تو به حساب خودم برمی‌گرداندم!"

پیشنهاد خواندنی: معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!

_ در مورد ترسیدن از هک گفتی. شما وقتی‌که اطرافیانتان، خانواده و آشنایان، از شما می‌پرسند:"چه کار می‌کنی؟" چه پاسخی می‌دهی؟

پدر و مادرم بعد از ۲ سالی که دارم کار می کنم، هنوز دقیقا نمی‌توانند شغلم را جایی معرفی کنند! برای توضیح به دوستانم از همان کلمه‌ی هکر استفاده می کنم. خیلی معقول‌تر است تا این‌که بخواهی توضیح بدهی که پن‌تستر وب هستم و دوباره و بعدش بقیه را هم توضیح بدهی. سعی می‌کنم از همان لفظ هکر استفاده کنم و بعدا اگر کاری داشتند، بگویم نمی‌توانم برای شما انجام بدهم.

_ اگر داخل تاکسی نشسته باشی، مسافر کناری‌ت بپرسد که شغلت چیست، چه پاسخی می‌دهی؟ برای فردی خارج از دایره‌ی آشنایانتان حوصله‌ داری که توضیح بدهی؟

آدم با آدم فرق دارد. من برای دوستان دانشگاهم صحبت می‌کنم. بالاخره دوستان هستند و پیجم را دارند و می‌بینند، سوال‌هایی هم می‌پرسند. به این افراد توضیح می‌دهم و می‌گویم:" من کارم تست وب‌سایت‌هاست. باگ‌هایشان را می زنم و مبلغی هم می‌گیرم." توضیح دادن برای بعضی افراد هم دقیقا به این شکل است که می‌گویی: "من هکر هستم." و دیدش به این موضوع عوض نمی‌شود. من به این افراد می‌گویم:" بی‌کار هستم." اقوام می‌دانند که بی‌کار هستم، به اقوام که کلا نگفته‌ام که کار می‌کنم، دوستان نزدیکم می‌دانند، ولی اگر یک نفر داخل خیابان بپرسد، صدرصد می‌گویم بی‌کار هستم.

پیشنهاد خواندنی: برخی از مصائب و چالش‌های هکر بودن

_ چه رفتارهایی در کسب‌وکارها، مایه‌ی ناراحتی‌ات شده‌اند؟

من زمانی که فعالیت در حوزه‌ی امنیت را شروع کردم، شروع به کار کردن برروی دو موسسه‌ی کنکوری که درس می‌خواندم، کردم. از هر دو موسسه هم تقریبا آسیب پذیری های مشابهی کشف کرده بودم؛ Account Takeover، RCE ، XSS و CSRF. هم‌زمان به مدیرهای هر دو موسسه به‌طور مستقیم گزارش دادم. مدیر یکی از موسسه‌ها بود، کلا قضیه را رها کرد! پیام را نخواند، ندید، نشنید. گفتند که برایشان مهم نیست. این در حالی بود که اطلاعات خیلی مهمی لیک می شدند؛ سندهای مالیشان و ... . اما موسسه‌ی دیگر برخورد خیلی معقولی داشتند. مدیرشان گفتند که حضوری به موسسه بروم تا ببینند چه اطلاعاتی دارم. به موسسه رفتم و صحبت کردیم. قرار شد که کارهای امنیت سایتشان را به من بسپارند. تقریبا تا ماه گذشته هم امنیت سایتشان بر عهده‌ی من بود. رفتارشان خیلی متفاوت بود.

ما کسب‌وکارهایی را داریم که مشابه همان سایت تفریحی هستند. شخص برای سایتش پنج یا ده میلیون تومان هزینه کرده است، صدرصد این کسب‌وکار یک میلیون تومان هزینه برای بانتی نمی‌دهد. کارش هم زیاد با سایت نیست و مخاطب و کاربر زیادی در سایتش ندارد. نهایت چند نفر بخواهند پول رزرو بدهند، مابقی به‌طور حضوری یا ... بلیت تهیه می‌کنند. طبیعی ست که برای چنین کسب‌وکاری، امنیت سایبری اهمیت کم‌تری دارد درمقایسه با کسب‌وکاری که کاربران زیادی در سایتش دارد و اکثر فرآیندهای کارش اینترنتی ست. یعنی اگر برای سایتشان مشکلی پیش بیاید، کارشان تعطیل می‌شود! این برای من سوال است که چرا بعضی مجموعه‌های بزرگ خودشان را نسبت به امنیت عقب می‌کشند.

_ در ماجرای دو موسسه‌ای که اشاره‌کردی، از طریق آسیب پذیری‌هایی که گفتی، چه دیتاهایی در خطر بودند؟

هم دیتای کسب‌وکار و هم دیتای کاربر. مثلا؛ داخل یکی از سایت‌ها، صفحه‌ی چت را که باز می کردی، کل شماره‌های کاربران، کل دیتاهایشان، همه با چت لود می‌شد. حتی داخل یک بخش کد OTP هم بود! کد OTP کاربر را هم نشان می داد! من برایم خیلی عجیب بود و برایم سوال بود که برنامه‌نویسشان با چه ذهنیتی همچین پارامتری را این‌جا تعریف کرده‌؟!

سندهای مالی هم بودند. اصلا هرچیزی که فکر کنید، آن‌جا بود! هر چیزی که داشتند را روی هاست آپلود کرده بودند. من نمی‌دانم که چرا این همه اطلاعات را روی هاست آپلود کرده بود!

_ بعضی کسب‌وکارها،مانند همین مثالی که شما زدی، اطلاعات محدودی از کاربر لازم دارند و اطلاعات محدودی هم می‌گیرند. ولی بعضی از کسب‌وکارها با‌وجود این‌که اطلاعات محدودی هم برایشان کافی است، ولی اطلاعات بیش‌تری از کاربر می گیرند. و نسبت به این دیتای دریافت‌شده از کاربر هم مراقبت ندارند و امنیت لازم را فراهم نمی‌کنند! و بارها مشاهده کرده‌ایم که حجم زیادی از دیتا لیک می‌شود! البته در مواردی می‌بینیم که برای خود کاربر هم اهمیتی ندارد. یک سری جاها هک می‌شوند و یک سری دیتاها منتشر می‌شوند و کاربر اهمیتی نمی‌دهد!

بله، بستگی به این دارد که چه سایتی و کجا هک بشود.. فرض کنیم فردی در یک سایت تفریحی، یک حساب داشته باشد، حسابش Takeover بشود. هکر به چه چیزی می‌خواهد برسد؟ کاربر هم با خودش می‌گوید که فقط یک شماره تلفن من در آن‌جا بود که من خودم هم همه جا آن را داده‌ام و اهمیتی برایم ندارد. ولی مثلا در سایتی دیگر، هکر، دیتا های مهم کاربر را می‌یابد. خب این خیلی برایش فرق دارد! مهم است که هکر به چه دیتاهایی می‌تواند دسترسی پیدا کند!

_ در شبانه‌روز چند ساعت با سیستم کار می‌کنی؟

به حال‌وهوای خودم بستگی دارد. در زندگی‌ام مدام چشم‌هایم به ال‌سی‌دی است. وقتی که با سیستم هم کار نمی‌کنم، با گوشی کار می‌کنم. برای کار نرمالش برایم بین ۶، ۷ ساعت است ولی ممکن است به ۱۰ ساعت هم برسد. البته اگر بیرون کاری نکنم. چون من تایم کاری‌ام را با شکارم می سنجم، بقیه‌ی کارهایم مثل تست نفوذ و ... را اصلا در تایم کاری‌ام در نظر نمی‌گیرم. بیش‌تر زمان شکارم برایم مهم است. بیش‌ترین تایمی که در ۲۴ ساعت برای شکار گذاشته‌ام، ۱۲ ساعت بوده است.

_ پیوسته؟

بله، ۱۲ ساعت واقعا پیوسته بود. نمی‌دانم Prince of Persia بازی کرده‌اید یا نه. من وقتی نصبش کرده بودم، به قدری بازی کردم که وقتی دستم را روی پد موس می گذاشتم، رگم می گرفت! خیلی زیاد بازی کرده بودم؛ فکر کنم ۹ ساعت شده بود. بعدش با خودم گفتم: "می توانم همچین کاری را برای امنیت انجام دهم؟ می‌توانم ۹ ، ۱۰ ساعت کار امنیت انجام دهم؟" توانستم ؛ موفق شدم و هدفم زدن این تارگت خودم بود. توانستم ۱۲ ساعت پیوسته کار کنم و رکورد بازی را بزنم.

_ در صحبت‌هایت اشاره کردی و ما این‌طور متوجه شدیم که تست نفوذ هم کار می‌کنی. تست نفوذ را به باگ بانتی ترجیح می‌دهی؟

برخی میدان‌ها هستند که وقتی به باگ بانتی می‌آیند، آسیب پذیری‌های زیادی دارند. من از روی برخی اهداف،آسیب پذیری OTP Brute Force هم پیدا کرده‌ام. یعنی امنیت سایت در این حد ضعیف بود. اما کم‌کم هر میدانی که به راورو می‌آید، دست‌کم یک بار قبلش تست نفوذ شده است. و خوب این دارد به مرور بیش‌تر هم می‌شود. زمانی‌که یک نفر در باگ بانتی، برای میدانی وقت می گذارد که قبلا تست شده است، مجبور است انرژی زیادی بگذارد. من به‌شخصه سعی می‌کنم انرژی‌ام را جایی صرف کنم که برایم بیش‌تر سود داشته باشد. به‌همین خاطر اولویتم تست نفوذ و باگ بانتی خارجی است. درست است که باگ بانتی خارجی شامل مالیات می‌شود، اما باز هم سود دارد. خود من، الان کش‌هایم را نقد کرده‌ام و ۲۵ درصد هم برایم مالیات خورد. ولی از نظر سود برای من ارزش داشت و سود مالی‎‎‌اش خیلی بیش‌تر بود.

مزیت دیگر تست نفوذ این است که پولش نقد است؛ یعنی زمانی که کار می‌کنی، نمی‌دانی چه آسیب‌پذیری‌هایی ممکن است وجود داشته باشند و وبسایت از نظر امنیتی چقدر آسیب پذیر است. ولی می‌دانی که صدرصد آسیب پذیر است. می‌دانی پولش نقد است و سر ماه پولت وارد حسابت می‎‌‌شود. ولی وقتی در باگ بانتی فعالیت می‌کنی، ممکن است ۲ ماه باگ نزنی، گزارش‌هایت داپلیکیت بخورند و ... .

_ بله، یک مزیت تست نفوذ، بحث امنیت مالی و شغلی ست. پس احتمالا فکر می‌کنی اگر فردی تنها به باگ بانتی بپردازد و به تست نفوذ و ... نپردازد، امنیت ذهنی‌اش تحت تاثیر قرار می‌گیرد.

الان کسانی هستند که فقط به باگ بانتی می‌پردازند. شدنی هست، ولی ریسک است. مثلا اگر من این موقعیت را برای خودم ایجاد کنم، همه‌ی پن‌تست شرکت‌ها را کنار بگذارم و بگویم که کلا می‌خواهم باگ بانتی کار کنم، ریسک است. اگر بعد از 2 ماه باگی نزنم، فشار عصبی بهم وارد می‌شود!

همه وقتی از دور کار ما را نگاه می‌کنند، می‌گویند: " خوش به حال شما! در اتاقت پشت میزت می‌نشینی و با لپ‌تاب کار می‌کنی! " اما فشار عصبی‌ای که به‌عنوان یک فریلنس به تو وارد می‌شود را نمی‌بینند. اگر راه سایر درآمدهایت را بسته باشی و کلا برای باگ بانتی وقت و انرژی صرف کنی، وقتی یکی دو تا گزارشت، داپلیکیت بخورد، واقعا نابود می‌شوی!

_ موافقیم که داپلیکیت واقعا حس بدی دارد! در بین دوستانت دوستی بوده که در مسیر امنیت با هم پیش رفته باشید؟

زمانی که شروع کردم، تنها بودم. نه سوشال‌مدیایی داشتم، نه کسی من را می شناخت، نه من کسی را می‌شناختم که اگر سوالی برایم پیش آمد، ازشان بپرسم، نه در گروه‌ها جوین می‌شدم... . آدم منزوی‌ای نیستم. احتمالا در حین این گفت‌وگو متوجه شده اید که اصلا آدم منزوی‌ای نیستم. ولی اولش أصلا جوین نمی‌شوم، صبر می‌کنم کمی بگذردٍ، بعدش جلو می‌آیم و صحبت می کنم. برای همین کسی نبود که صدایم را بشنود یا حرف‌هایم را بفهمد. اولین جمعی که در آن آدم‌هایی را دیدم که متوجه حرفم می‌شدند، زبان و دنیای من را می فهمیدند همان دورهمی کافه روز صفر۲ راورو بود و بعدش هم گردهمایی هکرهای دوست داشتنی در اینوتکس ۲۰۲۲. واقعا حس خوبی است که چند آدم را می‌بینی که می دانی که حرفت را حداقل متوجه می‌شوند و با خودشان نمی‌گویند که من چه دارم می گویم! من بین جمع دوستانم معمولا در گفت‌وگوهای با موضوع عمومی شرکت می‌کنم. اما جایی برای گفت‌وگوی کاری فراهم نیست.

پیشنهاد خواندنی: کافه روز صفر ۲؛ شکارگاه

_ اولین مواجهه‌ت با کامپیوتر مربوط به چه زمانی‌ست؟

اگر بخواهیم به عقب برگردیم که از چه زمانی با کامپیوتر آشنا شده‌ام، خب من پدرم مهندس IT است. من از وقتی که به دنیا آمده‌ام، سیستم دم دستم بوده است و از آن موقع مشغول بوده‌ام. گاهی اوقات بعضی از کامپیوترهای شرکت را به خانه می آورد که کاری انجام بدهد، من کنارش می نشستم. اولین کامپیوترم، فکر کنم Core i5 بود، رمش ۸ و گرافیکش ۱ بود، رویش ویندوز نصب بود. برای گرافیکش خیلی اذیت شدم، هیچ بازی‌ای نمی‌توانستم روی سیستمم نصب کنم.

برخلاف چیزی که الان می‌بینم و برای من خیلی عجیب است، من از ۱۴ ، ۱۵ سالگی دنبال نصب لینوکس و کامندهای لینوکس نبودم. بازی می‌کردم. یعنی GTA San Andreas می زدم. چالش آن‌موقع من، نصب بازی روی سیستمم بود. ۲ سالی است که وارد فیلد امنیت سایبری شده‌ام. افرادی را می‌بینم که از ۱۴ ، ۱۵ و یا ۱۶ ، ۱۷ سالگی وارد فیلد امنیت سایبری شده‌اند و می‌گویند:"ما دیر شروع کردیم!" واقعا از حرف‌هایشان متعجب می شوم! می گویم:" چرا این حرف‌ها را می‌گویید؟برای شما دیر نیست! زود است، خیلی هم زود است! "

_ چه بازی هایی بازی می‌کردی؟

من گرافیک سیستمم ضعیف بود و کنسول هم نداشتم و الان هم ندارم، و نمی‌توانستم گیم‌های خیلی خوبی بزنم.

GTA San Andreas و Call of Duty MWها رو می زدم و ... این‌که می‌گویم Modern Warfareها می‌زدم؛ نه این‌که یک بار بزنم‌، من Modern Warfare 3 را بیش‌تر از ۳۰ بار تمامش کرده‌ام! یعنی از اول شروع می‌کردم و تا آخرش پیش می‌رفتم، چون انتخاب‌های زیادی نداشتم. معمولا هم از بیرون بازی می‌خریدم. نمی‌دانم چرا نصب نمی‌شد؟! این ذهنیت برایم تله‌ی ذهنی بود؛ هربار که بازی می‌خریدم، بالاخره در فرآیند نصب یا موقع اجراشدن باید به یک Error می‌خوردم که بازی اوکی نشود! برای همین سعی می‌کردم بیش‌تر فیلم ببینم.

_ چه سبک فیلم‌هایی؟

خیلی زیاد فیلم و سریال می بینم، جدیدا Sitcom می بینم. Friends را یک بار تمام کرده‌ام، How I Met Your Mother را هم یک بار دیده‌ام و الان هم دوباره دارم Friends می‌بینم. سعی می کنم فیلم‌های عاشقانه، زندگی‌نامه و درام نبینم. با روحیه‌ام سازگار نیست. بیش‌تر Marvel می‌بینم.

_ از فعالیتت در سوشال مدیا برایمان بگو.

خلاصه این‌که؛ از همان زمان تولیدمحتوا می کردم، مقاله می نوشتم و ... . هنوز هم رایتاپ می‌نویسم. به رایتاپ‌نوشتن علاقه دارم. به‌عبارتی به اشتراک دانش، علاقه داشتم. این برای من خیلی سودآور بود. سوشال‌مدیا دست من را گرفت و معرفی کرد. این برایم خیلی سودآور بود. واقعا این تریبون در معرفی‌شدن فرد به آدم‌های مختلف و موقعیت‌های شغلی بهتر، خیلی تاثیر دارد. خودتان هم تولید محتوا می‌کنید می‌دانید که چقدر اهمیت دارد!

_ بله سوشال‌مدیا جهانی است که محدودیتش نسبت به جهان واقعی کمتر است. در جهان واقعی شاید محدودیت در موقعیت زمانی، مکانی و امثال این موارد مطرح باشد، ولی در آن‌جا مرزهای کم‌تری وجود دارد.

بله، و این جامعه صحبت‌هایتان را می‌شنوند؛ ۲ هزار نفری که فالوور من هستند و چند هزار نفری که شما را دنبال می‌کنند، می‌شنوند. شاید از بین ۲ هزار نفر فالوورمن، هزار نفر متوجه نشوند. ولی هزار نفر هستند که صحبت‌های من را متوجه می شوند. زمانی‌ هم هست که این افراد نقدت می‌کنند، نظراتشان را می‌دهند و ... . پس یک مکانی را داری که به کمک آن، هم می‌توانی به جاهای دیگر کانکت شوی، اگر برایت مشکلی پیش بیاید افرادی هستند که به شما کمک کنند و کار شما را راه می‌اندازند و به نظرم این واقعا خیلی خوب است.

_ اوهوم. افراد از شغلشان تاثیر می‌پذیرند. معمولا شغل هر فرد تاثیری بر روی شخصیت و ویژگی فردی آن فرد هم می‌گذارد. شغل شما چنین تاثیری بر روی مدل شخصیت یا مدل رفتاری‌ت خارج از فعالیت کاری داشته است؟

بیشتر می‌نشینم! بله نشستنم بیشتر شده است. :) از نظر رفتاری، سعی می‌کنم به جزئیات بیش‌تر از قبل توجه کنم؛ حتی جملاتی که اطرافیانم می‌گویند را بررسی می‌کنم تا ببینم، آن فعلی که استفاده کرده است، واقعا منظور دیگری هم می‌توانسته داشته باشد؟ چون شما وقتی یک کد را برای استفاده‌ی مورد دیگری می‌زنید، اما برای موارد دیگر هم جواب بدهد، آن کد آسیب‌پذیر می‌شود. که اصلا فکرش را هم نمی‌کردید که آن‌جا آسیب‌پذیر بشود! باید حواسمان به جملاتی که استفاده می‌کنیم و مثال هایی که می زنیم، باشد. تا طرف مقابل برداشت دیگری نکند و جمله‌ی شما آسیب‌پذیر نشود. اگر جملات بقیه را بررسی کنیم تا ببینیم که آیا آسیب پذیر بوده یا نه، شاید متوجه شویم که طرف مقابل منظور دیگری از صحبتش داشته است.

_ چه جالب،برایم نگاه جالبی داشت.

_ اگر بخواهی آسیب پذیری ها را به آدم‌ها و ویژگی‌های آدم‌ها تشبیه کنی، چه تشبیهی به ذهنت می‌رسد؟

یاشار شاهین‌زاده در پیج توییترش مثالی مشابهش را گذاشته بود. و آسیب پذیری Owasp Top10 را با مثال در کاراکتر آدم‌ها بررسی کرده بود. اگر بخواهم آسیب پذیری رفتاری عاطفی مثال بزنم که به فضای مصاحبه نمی خورد. اگر بخواهیم منطقی نگاه کنیم، شاید زود اعتمادکردن به بقیه‌ی آدم‌ها را بشود یک آسیب پذیری دانست که باعث شود دیتاهایت Down شوند. بدون هیچ WAF ، بدون هیچ بایپسی و ... به صحبت‌های دیگران اعتماد نکنید.

_ بله، این هم نگاه جالبی است. جای آهنگ کلید اسرار خالی‌ست. :)

ممنونیم که وقتت را برای این مصاحبه در اختیار ما گذاشتی آرمان عزیز. امیدواریم انسان‌ها هم با آگاهی از آسیب‌پذیری‌های خود، به‌سوی جهانی امن‌تر حرکت کنند.

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)

گپ‌وگفتی با متخصص امنیت دنیای صفرویک‌ها؛ علی امینی

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.