شکارچیان آسیب پذیری بیشتر چه میدانهایی را برای شکار انتخاب میکنند؟
شکارچیان آسیب پذیری بیشتر چه میدانهایی را برای شکار انتخاب میکنند؟ در برنامههای باگ بانتی، معیارهای انتخاب آنها از میان اهداف موجود برای شکار چیست؟ چه عواملی باعث انتخابنکردن یک هدف برای آنها میشود؟
در این بلاگپست میخواهیم با نگاهی آماری و براساس پاسخهای شکارچیان آسیب پذیری، به این موضوع بپردازیم.
داخل پرانتز: دادهها و آمار ذکرشده در این بلاگپست براساس نتایج حاصل از یک پرسشنامهی آماری ست که شکارچیان آسیب پذیری و هکرها به آن پاسخ دادهاند. گفتههایی که از شکارچیان آسیبپذیری و اعضای راورو نقل شده، برگرفته از بلاگپستهایی ست که به گپوگفت با آنها اختصاص داشتهاند.
آنچه در این بلاگپست خواهید خواند:
شکارچیان برای کشف آسیب پذیری بیشتر چه بستری را انتخاب میکنند؟
چه مواردی باعث میشوند که شکارچیان آسیب پذیری یک میدان را برای هک انتخاب کنند؟
چه مواردی باعث میشوند که شکارچیان آسیب پذیری یک میدان را برای هک انتخاب نکنند؟
شکارچیان برای کشف آسیب پذیری بیشتر چه بستری را انتخاب میکنند؟
در این پرسشنامه از شکارچیان آسیب پذیری پرسیدیم: "برای کشف آسیب پذیری کدام بستر را انتخاب میکنید؟"
Web، API، Android، IOS، downloadable software، IoT/Firmware/Hardware، Blockchain، OS
چه مواردی باعث میشوند که شکارچیان آسیب پذیری یک میدان را برای هک انتخاب کنند؟
شکارچیان آسیب پذیری در برنامههای باگ بانتی، با لیستی از اهداف و میدانها برای شکار مواجه میشوند. اما برچه اساسی در میان هدفهای موجود، دست به انتخاب میزنند؟ در مواجهه با لیست هدفهای ممکن، چه عواملی باعث میشوند که شکارچیان، بیشتر مایل به شکار برروی بعضی اهداف شوند؟
ما در پرسشنامهی ذکرشده از شکارچیان آسیب پذیری و هکرها پرسیدیم:"کدام یک از موارد زیر در انتخاب یک میدان به عنوان هدف برای هککردن، به شما کمک میکند؟" علاقه به برند میدان؟ استفاده از محصولات میدان؟ زیادبودن محدودهی مجاز (Scope) میدان؟ معرفی توسط سایر متخصصان؟ آشنا بودن با تیم امنیتی میدان/ داشتن سابقهی همکاری؟ سرعت عمل بالای میدان در دریافت و پرداخت گزارش؟ مقدار بانتیهای پرداختی میدان؟ عدم علاقه به برند میدان؟
پیمان زینتی:
یک توصیهی من به کسبوکارها این است که با هکرها مدارا کنند. در برنامهی باگ بانتی خود، صفحهی اهداف و قوانین را واضح بنویسند. بهعنوان مثال؛ در بخش قوانین مینویسند که تمام آسیبپذیریهایی که به تعامل کاربر نیاز دارد، قابلقبول نیستند و خب این شامل XSS هم میشود. در حالی که وقتی XSS گزارش میدهید، گاهی قبول میکنند و گاهی قبول نمیکنند. هرچه شفافتر باشد، بهتر است.
پیشنهاد خواندنی: گپوگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)
مهدی مرادلو:
بعضی سازمانها و کسبوکارها دید امنیتی کمتری دارند. بعضی شرکتهای کوچک هم هستند، که خیلی حرفهای برخورد میکنند. من به کسبوکار کوچکی گزارش آسیب پذیری دادم، حتی چند ساعت هم طول نکشید که آسیب پذیریای که بهشان دادم را رفع کردند و بانتی هم پرداخت کردند. من لذت بردم از رفتار حرفهایشان. یا سایتی بود که وقتی من آسیب پذیری را بهشان اعلام کردم، همانجا رفعش کردند. با باگ بانتی آشنایی نداشتند، ولی وقتی برایشان توضیحی دادم، بانتی هم دادند.
پیشنهاد خواندنی: گپوگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)
چه مواردی باعث میشوند که شکارچیان آسیب پذیری یک میدان را برای هک انتخاب نکنند؟
در بررسی اهداف توسط شکارچیان برای شکار، عواملی سبب عدم تمایل و انتخاب توسط شکارچیان هم میشوند. اما چه عواملی؟
ما این سوال را از شکارچیان آسیب پذیری و هکرها پرسیدیم: "چه مواردی باعث میشوند که یک میدان را برای هک انتخاب نکنید؟" عدم علاقه به برند میدان؟ کوچکبودن محدودهی مجاز (Scope) میدان؟ مقدار کم بانتیهای پرداختی میدان؟ نظرات دیگران راجع به آن میدان؟ سرعتعمل پایین میدان در بررسی گزارش؟ تاخیر میدان در پرداخت بانتی؟ تجربهی بدی داشتن از ارزشگذاری و بررسی گزارش توسط میدان؟
نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو:
بزرگترین آرزوی من برای حوزهی امنیت سایبری، بلوغ امنیتی در سازمانهاست. من از جایگاهی که خودم در این شغل در آن ایستادهام، بزرگترین مشکلی که میبینم این است که وقتی شکارچیها باگی را پیدا میکنند، میدان در اکثر اوقات با چانهزنی بر سر گزارش یا حتی ردکردنش، شکارچی را دلسرد میکند. به نظرم یکی از دلایل این رفتار میدانها و کسبوکارها، نداشتن بلوغ امنیتی ست. بسیاری از سازمانها از این موضوع آگاه نیستند که امنیت چقدر برایشان اهمیت دارد، نمیدانند که اگر سایتشان هک شود چه اتفاقی برایشان میافتد. اینها چیزهایی هستند که اگر کسبوکارها بدانند، چانهزنیها بر سر گزارشها کمتر میشود. و بهالطبع آن شکارچیان نیز با انگیزه و اشتیاق بیشتر و راحتتر فعالیت میکنند و به بانتیهایشان هم میرسند.
پیشنهاد خواندنی: گپوگفتی با نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو
شقایق جوادی؛ راهبر سابق ارتباط با میدانهای راورو:
بخشی از میزان فعالیت شکارچیها، بستگی به رفتار خود میدان دارد. اگر که میدان واقعا، امنیت سایبری و باگ بانتی برایش اهمیت داشته باشد، مطمئنا در رفتارش و عملکردش مشاهده میشود و شکارچیان آسیب پذیری نیز بیشتر به فعالیت برروی آن میپردازند. میدانهایی که در زمان کوتاهتری گزارشهای خود را بررسی میکنند، بانتیهای شکارچیان آسیب پذیری را پرداخت میکنند و آسیب پذیریها را نیز رفع میکنند، از محبوبیت بیشتری در میان شکارچیان آسیب پذیری برخوردارند. با رفتار میدان، گویی نیروی محرکهای به شکارچیان آسیب پذیری داده میشود تا فعالیت بیشتری برروی اهداف آن میدان داشته باشند؛ چراکه آنها هم متوجه میزان اهمیتی که آن میدان به امنیتش میدهد و ارزشی که برای گزارشهای آسیب پذیری دریافتی قائل است، میشوند. به همین دلیل آنها نیز بیشتر مایل به کشف و گزارش آسیب پذیریهای آن میدان میشوند.
پیشنهاد خواندنی: گپوگفتی با شقایق جوادی؛ راهبر ارتباط با میدانهای راورو
سخن آخر:
همانطور که از آمار، گفتههای شکارچیان آسیبپذیری و تجربهی افراد این حوزه پیداست، رفتار هر کسبوکار تاثیر بسیار زیادی در برانگیختن اشتیاق و تمایل شکارچیان آسیب پذیری نسبت به شکار برروی آن هدف دارد.
هر چه در رفتار کسبوکار، نمود بیشتری از اهمیتدادن او به دریافت گزارشهای آسیبپذیری مشاهده شود، شکارچیان آسیب پذیری نیز بیشتر ترغیب به کشف آسیب پذیری و ارسال گزارش آن برای کسبوکار میشوند.
بلاگپستهای مرتبط:
رفتار کسبوکارها نسبت به دریافت گزارش آسیب پذیری
چه نقاطی از سامانهی کسبوکارها، پاتوق شکار شکارچیان آسیب پذیری ست؟