گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

۲,۷۴۳

در این بلاگ‌پست، به سراغ یکی از شکارچی‌های راورو، رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ سیدرضا فاطمی (checkmate)

رضا یه هکر کلاه‌سفیده که با حفظ سمت، آموزگار هم هست. به فلسفه و شطرنج هم علاقه داره. تا به‌ حال ۱۸ گزارش آسیب‌پذیری در راورو ثبت و ۹۰ امتیاز کسب کرده است.

- رضا جان، خودت رو برامون معرفی می‌کنی؟ من سیدرضا فاطمی هستم، از ۱۶ سالگی و با برنامه‌نویسی شروع کردم و بعدا به مباحث امنیت علاقه‌مند شدم. رشته‌ی تحصیلی من، مرتبط با علوم کامپیوتری نیست و در اصل آموزگار پایه پنجم ابتدایی هستم. بر خلاف دیدگاه عموم مردم، آموزگاری شغل بسیار حساس و دشواری هست و جا داره که بیشتر و بهتر بهش پرداخته بشه. دوست دارم بیشتر وقتم رو صرف حل چالش ها و مسائل مرتبط با حوزه امنیت و برنامه نویسی کنم ولی به‌خاطر حساسیت شغل آموزگاری نمی تونم وقت زیادی براش صرف کنم.

- بیا زودتر بریم سر اصل مطلب؛ چی شد که در ۱۶ سالگی به امنیت و برنامه‌نویسی علاقه‌مند شدی؟

اولین آشنایی من با کامپیوتر برمی گرده به کلاس اول ابتدایی. اون موقع پسرعمه‌ی من کامپیوتر شخصی داشت که برای بازی و سرگرمی استفاده می‌کرد. منم اکثر اوقات می‌رفتم پیشش و با هم مشغول بازی می‌شدیم. خیلی دوست داشتم که کامپیوتر شخصی خودم رو داشته باشم اما شرایط اقتصادی جوری نبود که بتونم خواسته‌ام رو به خانواده تحمیل کنم. بالاخره هرطور که بود، تونستم سال پنجم ابتدایی صاحب یه کامپیوتر شخصی بشم؛ یه سیستم دستِ دوم با رم 256 ! کار کردن با اون سیستم تجربیات تلخ و شیرین خاص خودش رو داشت. مثلا خاطرم هست که تابستون کنارش پنکه روشن می کردم و زمستون کنارش بخاری می ذاشتم تا روشن بمونه و بتونم باهاش کار کنم. :))) گذشت و گذشت؛ سال اول دبیرستان بود که وبلاگ و وبلاگ‌نویسی خیلی بین بچه ها باب شده بود و اکثرا باهم رقابت می‌کردند. مثلا یکی می‌گفت: "فلان اسکریپت رو تو وبلاگم گذاشتم." یکی دیگه می‌گفت:" فلان قالب رو گذاشتم و فلان بخش هاش رو ویرایش کردم". تا اون موقع من چیزی در مورد وبلاگ‌نویسی نمی‌دونستم و نهایت دانش من جست‌وجو توی گوگل برای انجام تحقیق‌ها و پروژه های مدرسه بود. همین رقابت‌ها باعث شد که من هم به این سمت علاقه‌مند بشم، CSS، HTML و Javascript رو یاد بگیرم، بتونم اسکریپت‌ها رو دست‌کاری کنم و تغییراتی روشون اعمال کنم. جرقه‌ی اصلی ورود من به این حوزه، برمی گرده به سال سوم دبیرستان؛ اون موقع معلم فیزیک ما، معلم درس مبانی کامپیوتر بچه های ریاضی فیزیک هم بود. اون سال بچه‌های ریاضی که درس مبانی کامپیوتر داشتند، دائم از جذابیت برنامه‌نویسی تعریف می‌کردند. من هم که برای بار اول بود با چنین مطالبی آشنا می شدم، به شدت کنجکاو شده بودم. با اینترنت Dial-Up اون موقع، یک فایلی با پسوند chm دانلود کردم که راهنمای برنامه‌نویسی ویژوال بیسیک یا VB6 بود. مطالعه و درک مباحث داخل فایل راهنما برام سخت بود چون هیچ آشنایی قبلی از مباحث مطرح‌شده نداشتم. دانش زبان انگلیسی من هم در حد مدرسه بود. خلاصه خیلی اذیت شدم اما به هر شکلی که بود خوندم و یاد گرفتم. معلم مبانی، به بچه‌های ریاضی یک پروژه داده بود که یک ماشین‌حساب بنویسید و یک صفحه‌ی لاگین هم روی اون قرار بدن تا هر کس با نام کاربری و پسورد مشخصی وارد بشه. منم به خاطر همون حس رقابت و کنجکاوی‌ای که داشتم، این برنامه رو به همراه امکانات اضافه، مثل؛ تبدیل تاریخ شمسی به قمری و میلادی نوشتم. ایمیل معلم مبانی رو گیر آوردم، براش ارسال کردم و منتظر موندم تا ببینم بازخوردش چی می‌شه.‌ بچه‌های کلاس مبانی هیچ‌کدوم نتونسته بودند اون تکلیف رو انجام بدن. معلم مبانی هم من رو مثل پتک زده بود تو سر بچه‌های کلاس و گفته بود: "بهتره تجدیدنظری درباره‌ی خودتون و روندی که طی می‌کنید، انجام بدید. یکی از بچه های تجربی با وجود این‌که سر کلاس نبوده و آموزشی ندیده، این برنامه رو نوشته. اما شما که میاین کلاس نتونستید بنویسید؟" این صحبت به گوشم رسید و این‌جا بود که این جرقه تو سرم خورد که "من هم می‌تونم به صورت مستقل یاد بگیرم و نیازی نیست که حتما سر کلاس باشم." از همون موقع به صورت خودآموز شروع به مطالعه کردم و متوجه شدم که بدون هزینه های گزاف و تنها با استفاده از منابع توی اینترنت هم می‌تونم نیازمو برطرف کنم. در مراحل بعد با جستجو و کنکاشِ بیش‌تر به مطالب دیگه‌ای در مورد Metasploit رسیدم که اون روزها خیلی باب شده بود. سراغ همون معلم فیزیکمون رفتم و ازش درباره‌ی این دست مطالب سوال کردم، پاسخش این بود:" اصلا سمتش نرو! " شما بهتر از من می‌دونید که این جمله برای یه نوجوون، به این معنیه که "حتما باید بری سراغش و هر طور شده ازش سر در بیاری ؛)" از همین نقطه قدم به قدم جلو اومدم و رسیدم به Keylogger ها، RAT ها و یاد‌گرفتن آسیب‌پذیری‌های مختلف سمت وب مثل؛ SQL Injection ، XSS و ... . این مسیری بود که من از ابتدا شروع کردم.

- خب، تا این‌جا برامون گفتی که از HTML شروع کردی، از VB6 گذشتی و رسیدی به وب. در ادامه‌ی مسیر زبان‌های مختلفی رو یاد گرفتی یا فقط رفتی سمت اسکریپت‌ها و ابزارها؟

زمانی که من سمت وب اومدم ناخودآگاه مثل اکثر افراد به سمت PHP کشیده شدم و احساس کردم که باید این زبان رو یاد بگیرم تا با درک بهتر آسیب‌پذیری‌ها و نحوه‌ی اکسپلویتشون، پیش‌رفت بیشتری داشته باشم. از دوره های رایگانی که توی اینترنت پیدا می‌شد استفاده کردم و این زبان رو کم کم یاد گرفتم. حتی سعی کردم با فریمورک های مختلف مثل Codeigniter و Laravel هم کار کنم تا از این طریق به درک بهتری از معماری MVC برسم. زمانی که داشتم روی بدافزارها کار می کردم، بسته به نیازم با زبان های VB.NET و C# به صورت مقدماتی آشنا شدم تا بتونم راه و رسم مخفی کردن بدافزارها از دید آنتی‌ویروس‌ها رو یاد بگیرم. اما این آشنایی در حد خیلی سطحی بود، جوری که بتونم آموزش ها رو دنبال کنم و از ابزارهایی که منتشر می‌شد، استفاده کنم. کم‌کم با Python آشنا شدم و سعی کردم اسکریپت‌ها و ابزارک‌های موردنیازم رو به این زبان بنویسم. پس از آشنایی‌م با مباحث مهندسی معکوس و توسعه‌ی اکسپلویت هم مجبور شدم زبان C رو یاد بگیرم. در حال حاضر هم دارم روی زبان CPP کار می‌کنم.

- به نظر میاد مسیر خودساخته‌ای رو اومدی. تمام این مسیر Self-Study بود؟

بله چون توی شهر ما دوره‌ای برای آموزش این مباحث وجود نداشت. مسافت تا مرکز استان هم طولانی بود و هزینه‌ها هم بالا. آشنایی درستی هم نداشتم که بدونم در کدوم دوره شرکت کنم. به همین خاطر، بر اساس نیاز خودم مسیر رو چیدم و در هر موقعیتی که بودم، سعی می کردم نکاتی که لازمه رو یاد بگیرم.

- چرا اومدی باگ‌بانتی و هکر کلاه‌سفید شدی؟

بیش‌تر برای اینکه خودمو محک بزنم. می‌خواستم ببینم که منم می‌تونم توی این میدون کار کنم و موفقیتی به دست بیارم یا نه؟ همچنین می‌خواستم پن‌تست واقعی رو به صورت قانونی و با خیال راحت تجربه کنم. قبل از اینکه وارد عرصه‌ی باگ‌بانتی بشم، به عنوان CTF Player فعالیت می‌کردم. بیشتر وقتم رو صرف چالش‌های پلتفرم‌هایی مثل Root-me و HackTheBox می‌کردم. و باید بگم برخلاف نظر بعضی از متخصصین که اعتقاد دارند صرف وقت برای این دست چالش‌ها به دلیل غیرواقعی بودنشون، تلف کردن وقته، اتفاقا تجربیاتی که توی اون حوزه به دست آورده بودم، این‌جا خیلی به من کمک کرد. توصیه می‌کنم بقیه هم حتما از این پلتفرم‌ها استفاده کنند و دانش خودشون رو به چالش بکشند.

- اگر بخوای هک رو از نگاه خودت برامون تعریف کنی، چی می‌گی؟

اگر بخوام هک رو تعریف کنم می‌تونم بگم:" هنرِ رفتنِ نرفته‌هاست؛ یعنی اون مسیرهایی رو دنبال کنیم که برنامه‌نویس تصور نمی‌کرده یا انتظارش رو نداشته که به شکل دیگه‌ای مورداستفاده قرار بگیره. توی این تعریف هک، هنره و به نظرم مهم‌ترین جنبه هر هنری، خلاقیت فرده." من شخصا به رودمپ زیاد اعتقادی ندارم چراکه به‌نظرم نمی‌تونیم یه لقمه‌ی واحد برای همه بپیچیم. مسیر یکسان برای افراد مختلف لزوما به نتیجه‌ی خوبی منتهی نمی‌شه. چون این تفاوت دیدگاه‌هاست که دنیا رو جذاب می‌کنه و اکثرا منجر به اختراعات و اکتشافات می‌شه. مثل این می‌مونه که شما برای کنکور مشاوره می‌گیرین و انتظار دارین که مشاور تمام مسیر رو جلوی شما قرار بده و شما با رفتن اون مسیر موفقیت رو به دست بیارید. درحالی‌که شما باید یاد بگیرید که مشاور خودتون باشید؛ باید یاد بگیرید که علایق و نیازهاتون رو بشناسید، نقاط ضعف و قوت خودتون رو بشناسید، نقاط ضعفتون رو رفع کنید و نقاط قوتتون رو تقویت کنید.

- زمانی که باگی رو کشف می‌کنی، چه احساسی پیدا می‌کنی؟

سوال سختیه. چون از نظر من شیرینی هک به مسیری هست که طی می‌کنی، وگرنه لذت رسیدن به نتیجه، ثبات زیادی نداره و سریع از بین می‌ره. حداقل برای من این‌طوریه که اون خوشی پایدار نیست و همواره مسیری که طی کردم منو علاقه‌مند و مشتاق نگه می‌داره. این‌که درگیر چالش بشم؛ خودمو جای برنامه نویس بذارم، حدس بزنم و منطق پشت برنامه رو بخونم، بعد طبق اون تست‌های خودمو پیاده سازی کنم و این‌کار رو اون‌قدر تکرار کنم تا به هدفی که مد نظرم هست، برسم. هر بار هم این مسیر برام پر از تجربه‌های لذت‌بخش جدیده. رسیدن به باگ برام شیرینی خودشو داره ولی خب اون طور نیست که بپرم بالا و شادی کنم. یه مقدار به مانیتور خیره می‌شم و به خودم می‌گم:" جالب بود! ". بعدم خیلی ساده از کنارش رد می‌شم. مثل یک مسابقه‌ی CTF، که چالش رو حل می‌کنید، به flag می‌رسید و بعد از ثبت فلگ، بدون فوت وقت، می‌رید سراغ چالش بعدی ؛)

- در مسیر هک و امنیت، لحظه‌هایی پیش اومده که با خودت بگی: "آره. این اون چیزی بود که می‌خواستم بهش برسم. در مسیر درستی قرار گرفتم."؟

بله خیلی زیاد پیش اومده. به عنوان CTF Player که فعالیت می‌کنم، هربار این تجربه و حس تکرار می‌شه؛ یعنی هر بار اون چالش‌ها و یادگرفتن‌ها محکم‌ترم می‌کنه، دلمو قرص و محکم می‌کنه که این انتخاب درست بوده و اشتباه نکردم. توی باگ‌بانتی هم، همین که کمک می‌کنم یک سری سایت امن‌تر بشن، سایتی که ممکنه فرداروز من یا اعضای خانوادم عضوش بشیم، برام لذت‌بخشه. امن‌تر کردن اون محیط، برای خانواده‌ی من هم محیط امن‌تری رو فراهم می‌کنه، برای جامعه‌ای که عضوی ازش هستیم هم همین‌طور.

- نگرش جالبی داری و جذاب بود. ابزار محبوبت چیه؟

هر ابزاری که بتونه پول بیش‌تری بیاره :))) شوخی کردم. ابزار محبوب افرادی که توی حوزه پن‌تست وب کار می‌کنند، Burpsuite هست. من اسکنر استفاده نمی‌کنم و یادم نمیاد آخرین باری که Acunetix نصب و اجرا کردم، کی بود! بیش‌تر همون Burpsuite هست که بهش علاقه دارم و می‌شه ازش در موقعیت‌های مختلف استفاده کرد. توی بحث Post-Exploitation و توسعه‌س اکسپلویت هم فریمورک Metasploit رو دوس دارم. در زمینه‌ی مهندسی معکوس هم IDA طبعا ابزار فوق‌العاده‌ای هست.

- آسیب‌پذیری‌ای که رضا در کشف‌کردن و اکسپلویتش حرفه‌ایه، کدوم آسیب‌پذیریه؟

هر کدوم جایگاه خودشونو دارن و می‌تونن در جایگاه خودشون مورداستفاده قرار بگیرند. مواردی که بیش‌تر نتیجه گرفتم SQL Injection ، XSS و RCE بوده.

- خاطره‌ای راجع به این آسیب‌پذیری‌ها داری که برامون بگی؟

درباره‌ی RCE خاطره‌ی جالبی دارم. یکی از دوستان یک اپلیکیشنی آورد و گفت برای یک شرکت استارتاپی هست که گفتند اگر کسی بتونه یه باگ امنیتی واقعی بگیره، ما حاضریم حتی بانتی هم بدیم. من هم تصور خودمو از میزان بانتی داشتم. برای همین اپلیکیشن رو روی یک شبیه‌ساز اجرا کردم، ترافیکشو Intercept کردم و اتفاقا خیلی سریع یک باگ RCE جالب از تابع Eval در اومد. بعد از این که این باگ رو پیدا کردم به دوستم گفتم:" مطمئنی بانتی میدن؟" گفت که آره ، این هم آیدیشونه و بهشون پیام بده. من هم ارتباط گرفتم و پرسیدم:" درسته که شما گفتید امن هستید و اگه کسی باگی پیدا کنه بهش بانتی می‌دید؟" گفتند:" بله همین‌طوره." بعد پرسیدم:" جسارتا مبلغ بانتی‌تون چه‌قدر هست؟" جواب دادند:" بلیط سفر به قم."! پرسیدم:" معادلش رو نقدا هم پرداخت می‌کنید؟" گفتند:" بله، 14 هزار تومن."

- :))) این اتفاق مال چه سالیه؟

برای امساله :) من هم بهشون گفتم چون استارتاپ هستید این باگ خدمت شما و این راه رفعش هست و Patch کنید اما حداقل دیگه این جمله رو به کس دیگه‌ای نگید، چون 14 هزار تومن یه جورایی به توهین نزدیک‌تره تا بانتی :)) این عجیب‌ترین بانتی‌ای بود که بهم پیشنهاد شده بود! وقتی شنیدم خشکم زد!

- تجربه‌ی مثبت یا منفی دیگه‌ای هم در گزارش باگ داشتی؟

چند سال پیش یه برنامه‌ی تلویزیونی بود که از شبکه‌ی ۲ پخش می‌شد. اون‌جا یه باگ File Upload زدم، Shell ریختم و گزارش دادم به صاحب سایت. در قدم اول تشکر کرد و مشکل رو برطرف کردند . من هم مشتاق شدم و یک باگ XSS دیگه‌ از نوع Stored پیدا کردم و گزارش دادم. اما دفعه‌ی دوم رفتارشون ۱۸۰ درجه عوض شد! گفتند: "شما به چه حقی روی سایت ما کار کردین؟ دفعه‌ی بعدی اگر تکرار بشه، ما ازتون شکایت می‌کنیم. و ... " جاهای دیگه‌ای هم بوده که باگ کشف کردم، اما به دلیل فضای بسته‌ی فکری‌ای که وجود داره، به هیچ عنوان جرات نکردم پیش‌قدم بشم و این پیشنهاد رو بهشون بدم که این باگ رو کشف کردم و شما می‌تونید استفاده کنید و این باگ رو رفع کنید. چون اصلا قابل پیش‌بینی نیستند.

- آره، این اتفاقات و رفتارهای قهری یک مدتی زیاد بود، اما الان بهتر شده. درکل حال جامعه و کسب‌وکارهای ایرانی رو از نظر "امنیت سایبری" چطور می‌بینی؟ نگاه کسب‌وکارها به باگ‌بانتی چطوره؟

خیلی از افراد درک درستی از امنیت ندارند و اهمیتی هم به این مسئله نمیدن. بسیاری از کسب‌وکارها نگرش درستی ندارند. لازمه که این فرهنگ رو در جامعه‌ی مون جا بندازیم تا این طرز نگاه اصلاح بشه. این کاری هست که زمان‌بر هست و به ناچار باید افرادی از چرخه‌ی سیستم خارج بشن تا این دست نگرش‌ها به روز و این مشکلات هم برطرف بشه. ارگان‌های دولتی قراردادهای سنگینی با شرکت های مختلف امضا می‌کنند تا فرایند پن‌تست براشون انجام بشه، در صورتی که با یک بار انجام فرایند پن‌تست و حضور مستمر توی برنامه های باگ‌بانتی، می تونن به مقدار زیادی توی هزینه‌هاشون صرفه‌جویی کنند.

- اگر انتقادی از عملکرد پلتفرم راورو داری هم، خوش‌حال می‌شیم که بگی.

قرار نیست که همیشه در نقد نقاط ضعف رو بگی و باید نقاط قوت رو هم مطرح کنی. من هم از شما تشکر می‌کنم بابت زحمتی که می‌کشید تا نگاه افراد جامعه و مخصوصا مدیران رو نسبت به حوزه‌ی هک و امنیت بهبود بدید. به عنوان نکته‌ی منفی هم، می‌شه به مبالغ درنظرگرفته‌شده برای باگ‌های مختلف اشاره کرد. مخصوصا این‌که اکثرا بعد از واریزی، اختلاف زیادی وجود داره بین مبلغ اعلام‌شده در بخش قوانین میدان و مبلغ وصول‌شده پس از مرحله‌ی بررسی میدان.

- آره، ما متوجه مشکل شدیم و شیوه‌ی ارزش‌گذاری رو تغییر دادیم امیدواریم که این مشکل رفع بشه از این پس. راستی رضاجان، چرا CheckMate؟ چرا این اسم رو به عنوان نام کاربریت انتخاب کردی؟

به دلیل علاقه خاصی که نسبت به شطرنج داشتم این اسم رو انتخاب کردم. بازی‌ای که مجموعه‌ای از احتمالات و انتخاباته و خوب فکرکردن رو بهمون یاد می‌ده.

- از علاقه‌ت به شطرنج گفتی، چه قدر شطرنج بازی می‌کنی؟ حرفه‌ای؟

حرفه‌ای حرفه‌ای نه، بیشتر برای تفریح بازی می‌کنم. با یکی از دوستان بعضی شب‌ها که بی‌کار می‌شیم، شطرنج بازی می‌کنیم.

- به نظرت این درسته که می‌گن : "هکرها حتما باید برنامه‌نویس هم باشند؟" به نظر تو همه‌ی همه‌ی هکرها باید برنامه‌نویسی بلد باشند؟

در این رابطه بذارید من یکی از دوستانم رو مثال بزنم؛ در حقیقت یکی از اساتید بنده که در سایت آشیانه باهاشون آشنا شدم. اون موقع برنامه‌نویسی رو تخصصی دنبال نمی کرد، اما هک رو خیلی خوب انجام می‌داد. به صورت تجربی یاد گرفته بود که چطور نقطه‌ضعف‌ها رو شناسایی و شکار کنه. نمی‌شه گفت که برای هکر بودن، حتما باید برنامه‌نویس باشی. اول مسیر رو همه با کنجکاوی شروع می‌کنند و تا جاهایی پیش ‌می‌رن. اما برای مقاطع حرفه‌ای اگر بخوایم در نظر بگیریم، صددرصد باید برنامه‌نویس باشیم، چون در ساده ترین حالت، نیاز پیدا می‌کنیم که حداقل یک برنامه رو به صورت Local راه اندازی و تست کنیم. مثلا اگر با Docker آشنایی نداشته باشیم و یا نتونیم برنامه‌ای رو از Github بگیریم، و روی سیستم خودمون بالا بیاریم، کارمون لنگ می‌زنه و نمی‌تونیم قدرت خودمون رو نشون بدیم. زمانی که شما علم برنامه‌نویسی داشته باشید و در کنارش خلاقیت رو چاشنی کار بکنید، قطعا می‌تونید به نقطه‌‌ی خوبی برسید. چون هم شناخت دارید و می‌دونید که "پشت برنامه چه اتفاقاتی داره می‌افته؟" و هم این‌که با استفاده از خلاقیت خودتون، می‌تونید راهی پیدا کنید که از طریق نقاط ضعف احتمالی به اهدافتون برسید.

- به "دوست" اشاره کردی. بذار ازت بپرسیم در مسیری که اومدی دوست یا همکاری بوده که ازش درباره امنیت یاد گرفته باشی یا تاثیر گذاشته باشه در مسیرت؟

همراه خوب برای کسایی که می‌خوان تازه شروع کنن، خیلی مسیر رو شیرین تر می‌کنه و باعث می‌شه که بهتر در اون مسیر بمونن. مسیر کاملا فرسایشیه و یه جاهایی ممکنه مجبورت کنه تسلیم بشی. پیدا کردن فرد یا افرادی که بتونند مکمل شما باشند پراهمیت و البته یه مقدار مشکله، اما پیمودن این مسیر رو خیلی آسون تر می‌کنه. منم بالطبع بعد از فعالیت توی انجمن آشیانه، دوستان ارزشمندی پیدا کردم که همه‌جوره حمایت کردند و سعی کردیم پابه‌پای هم پیشرفت کنیم. بنابراین جا داره ازشون تشکر کنم.

- راستی شما امنیت پیج اینستاگرام هم کار می‌کنی؟ جیمیل خانومارو هک می‌کنی؟ :) عجب :)) البته که این سوال از اون موقعیت‌هایی هست که باید برای جواب دادنش خودتو بالاتر از بقیه فرض کنی که به نظرم دید نادرستیه. دوست ندارم نگاه بالا به پایین داشته باشم نسبت به کسی. ولی خارج از شوخی، برای این مسائل به نظرم افراد باید خودشون تا حدی وارد مباحث امنیت بشن و بتونن یه سری نیازهای ساده رو رفع کنن. نمی‌گم که هر فردی یک آنتی‌ویروس قدرتمند باشه، اما انتظار داریم که هر فرد حداقل بتونه اعتبارسنجی دو مرحله‌ای رو فعال کنه، یه پسورد خوب بذاره و ملاحظات ساده امنیتی رو رعایت کنه! این کارها جزو بدیهیات هستند و با فرهنگ‌سازی و آموزش درست می‌شه جا انداخت.

- به عنوان یک آموزگار و متخصص امنیت، پارسال که بحث مومو پیش اومد، شما درباره‌ی مومو چی به دانش‌آموزانت می‌گفتی؟ بچه‌ها ترس خیلی عجیبی داشتند و هنوزم که سر کلاس می‌ریم گاهی بهش اشاره می‌کنند. بعضی دانش‌آموزها به شدت ازش می‌ترسیدند و می‌گفتند: "نمی‌تونیم تنها تو اتاق خوابمون بخوابیم." چنین ترسی رو به بچه‌ها تلقین کرده بود! اما خب سعی کردم بگم که شما انیمیشن‌های مختلف می‌بینید و داخلش شخصیت‌های هیولا و چیزایی که نمی‌شناسید هست و زیاد نمی‌ترسید چون می‌دونید که اینا قرار نیست در جهان واقعی ظاهر بشن و اذیتتون کنن. کسی اینارو به این شکل طراحی کرده. سعی کردم اینجوری بهشون توضیح بدم که پشت این قضیه هم شخصی هست که متاسفانه اهداف خوبی نداشته و این کار رو انجام داده. شما نباید بترسید، فقط سعی کنید اپلیکیشن‌ها رو از جای مطمئن دانلود و نصب کنید، اپلیکیشن‌هایی که داخل گروه ها و کانال های تلگرام براتون می‌فرستند رو نصب نکنید و از این دست توصیه های مقدماتی.

- تصور کن سوار تاکسی شدی و راننده تاکسی ازت می‌پرسه:" چی‌کاره ای؟ شغلت چیه؟" چی جوابشو می‌دی؟ به "هکر"بودنت اشاره می‌کنی؟

می‌گم: "هیچ‌کاره ام" :) باور کنید ساده‌ترین پاسخیه که باهاش می‌شه بحث رو تموم کرد. توی فامیل هم همین‌طوره و خیلی رو نمی‌کنم که دارم چی‌کار می‌کنم. وقتی هم کسی ازم می‌پرسه سعی می‌کنم بحث رو زود خاتمه بدم، چون تجربه بهم نشون داده که ما نمی‌تونیم در یک گفت‌وگوی کوتاه، ذهنیت یه فرد بالغ رو نسبت به موضوعی تغییر بدیم. البته بعضی افراد هستند که واقعا دنبال یادگیری هستند که باید مسئله براشون توضیح داده بشه ولی اکثریت مردم به نظرم این‌طوری نیستند.

- با خانواده‌ات هم به چالش خوردی؟ در نگاهشون به هک؟

درباره‌ی این موارد باهاشون صحبت کردم. اوایل خیلی می‌ترسیدن و اسم هک که میومد فکر می‌کردند کار غیرقانونی‌ای هست و جرمه. بعد که فهمیدن که مثلا من در پلتفرمی مثل راورو که به طور رسمی در این زمینه‌ کار می‌کنه، مشغول هستم، راحت‌تر شد. یا مثلا زمانی که براشون توضیح می‌دادم و می‌گفتم:" من این نقطه‌ضعف رو تونستم از این سایت کشف بکنم. گزارش دادم و اون سایت حالا ایمن‌تر شده. یه مبلغی هم به عنوان تشکر برام واریز کردند. " کمک می‌کرد که اون فرهنگ و نگاه مرسوم عوض بشه و اون دید نادرست که به هکر و هک وجود داره، تغییر کنه و از بین بره. دیگه نگاه به هکر با تصور کسی که چهره‌ش توی تلویزیون شطرنجی شده، همراه نباشه. اما با افراد دورتر، اصلا در این باره صحبت نمی‌کنم و ترجیح می‌دم براشون برنامه‌نویس بمونم چون براشون قابل‌درک‌تره.

- نزدیکان رضا که می‌دونن رضا در کامپیوتر، برنامه‌نویسی و هک واردتره، درخواست‌هایی از رضا ندارن؟ هک دوستاشون؟ ...؟

دارند، اما جوابم صد درصد منفیه. در همون قدم اول می‌گم "خیر، انجام نمی‌دم." درسته که من علمی دارم که باهاش خیلی کارا می‌شه کرد، اما درست نمی‌دونم که سوءاستفاده کنم و حریم شخصی کسی رو نقض کنم. همون‌طور که خودمون خوشمون نمیاد کسی وارد حریم خصوصی ما بشه... این درباره‌ی بقیه هم صدق می‌کنه و تا جایی که بتونم سعی می‌کنم منصرفشون کنم.

- اوقات فراغتت رو چطور می‌گذرونی؟

برای تفریح و اوقات فراغت گه‌گاه چالشی رو از Root-me حل می‌کنم تا از فضا فاصله‌ نگیرم و مطالب رو فراموش نکنم، چون جزئیات مطالب به شدت فرار هست. اگه یک فاصله‌ی شش ماهه بینش بیفته، زمان و انرژی زیادی لازمه تا دوباره خودتو به سطحی که بودی، برسونی و بتونی ادامه بدی. برای همین سعی می‌کنم آمادگیمو حفظ کنم؛ هر چند خیلی کم اما در حال حرکت باشم. اینطور نشه که کامل بایستم و بگذارمش کنار.

- اهل گیم هستی؟

خیلی کم. در حدی که جمع دوستانه باشه PES بزنیم. سال کنکور کانتر هم بازی می کردم. :)) ولی الان نه.

- فیلم و کتاب چطور؟

بیش‌تر توی حوزه‌ی کاری خودم و مباحث اعتقادی و فلسفی مطالعه دارم. فیلم هم بعضی اوقات به توصیه‌ی دوستان نگاه می‌کنم. بعضی اوقات شما انرژی کافی برای ادامه‌ی مسیر ندارین و این‌جور مواقع فرصت خوبی هست که به کارهای غیرضروری بپردازین. کارهایی که باعث می‌شه اون بُعد انسان‌بودن خودمون رو فراموش نکنیم و زیاد از اجتماع فاصله نگیریم.

- درسته که می‌گن "هکرها شب‌ها کار می‌کنند."؟ در مورد شما صدق می‌کنه؟

من early birdام. مثلا یکی از میدان‌هایی که توی راورو بود NOA Games بود که هدفش بازی منچیکو بود. اون میدان رو یادمه ساعت ۴ صبح نشستم تا ظهر سه یا چهار باگ SQL Injection و بایپس خرید فروشگاه، ازش گزارش کردم.

- به نظرت هر کی وارد حوزه‌ی هک و امنیت شد، باید بره لینوکس نصب کنه؟

نه، لینوکس رو همه ی کسانی که وارد حوزه هک می شن باید بشناسند و یاد بگیرند. اما از هر سیستم‌عاملی که سرعت کارشون رو افزایش می‌ده و راحت تر هستند می‌تونند استفاده کنند. به‌شخصه سعی می کنم تا جایی که میشه نیازم رو توی محیط ویندوز برطرف کنم. اما مواردی هم هست که لینوکس رو ترجیح می‌دم و ازش استفاده می‌کنم. بیش‌تر هم از توزیع Kali و Ubuntu استفاده می‌کنم.

- اگر بخوای به یک رضای 16 ساله‌ای که می‌خواد مسیر یادگیری رو در پیش بگیره، راهنمایی‌ای بکنی، چی می‌گی؟

بهتره این رو به دو قسمت تقسیم کنیم؛ یکی تا قبل از این‌که علاقشو پیدا کنه و یکی هم بعد از این‌که علاقشو پیدا کرد. تا قبل این‌که علاقشو پیدا کنه، می‌تونه مسیر رو مثل یک ماراتن فرض کنه. شما باید توی این مسیر بدوی و حرکت بکنی، فرقی نمی‌کنه چه‌جوری. مهم اینه که نایستی. همین که داری به سمت علاقه‌ت پیش می‌ری، موفقت می‌کنه. کار به جایی می‌رسه که چشم باز می‌کنی و می‌بینی با مسائل مختلف آشنایی پیدا کردی و به یه دید کلی از این حوزه رسیدی. در این‌جا یه حسی بهت می‌گه که به کدوم بیش‌تر علاقه داری یا اینکه توی کدوم می‌تونی بیش‌تر موفق باشی. بعد از این‌که علاقه رو پیدا کردی، باید اصولی‌تر ادامه بدی؛ دیگه شلخته درو کردن و جلو رفتن فایده نداره. باید مطالعه کنی و دیسیپلین رو در کار خودت رعایت کنی. منابع رو از منابع دست اول و انگلیسی مطالعه کنی. باید خودتو با این شرایط وفق بدی که همیشه باید به‌روز بمونی در این مسیر. من خودم توی حوزه وب زیاد اهل مطالعه کتاب نبودم. ولی کمبودها و جای خالی‌ها رو با تجربه‌ای که از پروژه‌های مختلف به دست آوردم، CTF هایی که شرکت کردم و بلاگ هایی که مطالعه کردم تونستم پر کنم. گام‌هایی که آقا یاشار هم در موردشون صحبت کردن، رودمپی که گذاشتن و کتاب‌هایی که معرفی می‌کنند، خوب هستند. می‌تونن اون‌ها رو نگاه بکنن و به تجربه‌ی دیگران تکیه بکنن. اما این راه، راه من نبود. شاید اگه این راه رو می‌رفتم، زودتر به این نقطه فعلی می‌رسیدم و این راهی که رفتم این‌قدر طول نمی‌کشید. ولی خب، من می‌خواستم بر اساس تجربه و علاقه راهم و تک‌تک قدم‌هام رو انتخاب کنم.

- چه‌طور خودتو به‌روز نگه می‌داری؟ روشی که خودت استفاده می‌کنی و توصیه می‌کنی چطوریه؟

به نظرم اولین کاری که باید افرادی که تازه وارد فیلد امنیت می‌شن، انجام بدن "ساخت یک اکانت توییتر" و "دنبال‌کردن افراد شاخص توی این حوزه" هست. tip ها و trick هایی که می‌ذارن رو یادداشت کنن. توی پلتفرم‌هایی که چالش دارند، مثل root-me و HackTheBox عضو بشن و خودشونو درگیر این چالش‌ها بکنند. من پیشرفت اصلیم رو زمانی متوجه شدم که وارد root-me شدم. تا قبل از اون فکر می‌کردم وب رو کامل بلدم! وقتی وارد root-me شدم چون چالش‌ها یه مقدار سخت طراحی شدند، فهمیدم علاوه بر این‌که باید از نظر فنی بدونی، باید خلاقیت رو هم چاشنی کار کنی تا بتونی از سد اون چالش عبور کنی. این‌طور نیست که بتونی به‌راحتی متدی رو با SQLmap پیاده کنی و به جواب دلخواهت برسی. در کنارش HTB می‌تونه کمک‌کننده باشه چون علاوه بر آسیب‌پذیری‌های معمول، بخش Post-Exploitation رو هم پوشش می‌ده و اگرچه ما توی باگ‌بانتی وارد این فاز نمی‌شیم، ولی دانشش به عنوان توانمندی هکر محسوب می‌شه و ارزشمند هست. پس حتما در این پلتفرم‌ها عضو بشن و روی چالش‌ها وقت بذارند و رایتاپ‌ها رو مطالعه کنند. کانال‌های تلگرامی خوبی هم هستند که گزارش‌های منتشرشده از برنامه های باگ‌بانتی رو می‌ذارن. می‌تونن در این کانال‌ها عضو بشن و گزارش‌های جدیدی که میاد و در سطح یک دنیا پابلیش می‌شه رو بخونن. چون مسلما چیزی که شما در هکروان می‌بینی توی پلتفرم داخلی هم خواهید دید.

- توصیه‌ی دیگه‌ای برای افرادی که می‌خوان تازه این مسیر رو شروع کنن، داری؟ چه کارهایی بکنند و چه کارهایی نکنند؟

توصیه می کنم که موقع ورود به این حوزه علاقه‌ی شخصی رو اولویت بدند. اگر دنبال علاقه باشید، می تونید به موفقیت برسید و حتی درآمد کسب کنید. اما اگر توی قدم اول به کسب درآمد فکر کردید، تضمینی برای رسیدن شما به نقطه‌ی مطلوب وجود نداره. همچنین توصیه می‌کنم که بین جنبه‌ها و ابعاد مختلف زندگیشون تعادل رو رعایت کنند.

- ممنون که زمانت رو در اختیار ما گذاشتی رضا جان. امیدواریم به روش خودت از مسیر CTFها و کشف باگ‌ها لذت ببری و با شکارهات باعث امن‌تر شدن دنیا بشی ؛)

مطالب دیگر:

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)