جدی گرفته‌نشدن هکرهای کلاه‌سفید؛ تهدیدی بزرگ برای امنیت سرویس‌های ایرانی

امروزه، برنامه‌های باگ‌بانتی و استفاده از ظرفیت هکرهای کلاه‌سفید جزئی جدایی‌ناپذیر از استراتژی امنیتی شرکت‌های داده‌محور است؛ اما بزرگ‌ترین شرکت‌ها و سازمان‌های داخلی نیز این سیاست را جز در موارد محدود جدی نمی‌گیرند.

اگر جزو علاقه‌مندان به اخبار دنیای فناوری باشید، احتمالا اصطلاح باگ‌بانتی (Bug Bounty) را شنیده‌اید. باگ‌بانتی به برنامه‌ای اطلاق می‌شود که شرکت‌های بزرگ با استفاده از آن سعی در برطرف‌کردن مشکلات امنیتی خود دارند. به‌بیان ساده‌تر، شرکت‌هایی نظیر گوگل، فیسبوک، آمازون، مایکروسافت و بسیاری دیگری از شرکت‌های فعال در حوزه‌‌ی فناوری ازقبیل شرکت‌های امنیتی نظیر توسعه‌دهندگان آنتی‌ویروس به این نتیجه رسیده‌اند که یکی از بهترین روش‌ها برای آگاهی از وجود مشکلات امنیتی در زیرساخت‌ها و سرویس‌های ارائه‌شده، استفاده از برنامه‌های باگ‌بانتی است. یک شرکت فناوری در هر برنامه‌ی باگ‌بانتی، پاداش‌هایی برای هکرهای کلاه‌سفید در نظر می‌گیرد که پس از یافتن هر نوع مشکل امنیتی، سازمان مدنظر را از آن آگاه و در ازای فعالیت مثبت خود برای نجات سازمان، مبلغی در قالب چهارچوب تعیین‌شده دریافت می‌کنند.

استفاده از برنامه‌های باگ‌بانتی بین شرکت‌ها و سازمان‌های مختلف به‌اندازه‌ای همه‌گیر شده که حتی سامانه‌هایی برای مدیریت فرایند‌ی گزارش‌دهی باگ و دریافت پاداش و سایر اقدامات در فرایند‌ی رفع باگ، نظیر اشاره به‌نام هکر کلاه‌سفید ایجاد شده‌اند. ازجمله‌ محبوب‌ترین و پرکاربردترین این سامانه‌ها باید به Bugcrowd و HackerOne اشاره کرد که این روزها هکرهای کلاه‌سفید با استفاده از آن‌ها می‌توانند باگ‌هایی که یافته‌اند، بدون نگرانی از نادیده‌گرفته‌شدن مطالباتشان گزارش کنند.

چرا برنامه‌های باگ‌بانتی اهمیت فراوانی دارند؟

شاید از خود بپرسید چرا استفاده از برنامه‌های باگ‌بانتی درکنار داشتن تیم امنیتی قوی، امری عاقلانه‌تر است؟ استفاده از برنامه‌های باگ‌بانتی مزایای متعددی دارند. برنامه‌ی باگ‌بانتی به‌ناگاه تعداد افرادی را افزایش می‌دهد که به‌صورت غیرمستقیم برای امنیت شرکت کار می‌کنند؛ چراکه هکر‌های کلاه‌سفید (هکرهای کلاه‌سفید به متخصصان امنیت و هکرهایی اطلاق می‌شود که با هدف بهبود امنیت زیرساخت‌های سازمان و رفع روزنه‌ یا باگ یا هر مشکل دیگر امنیتی، تخصص خود را به‌کار می‌گیرند) به‌منظور دریافت پاداش، وجود باگ را در سریع‌ترین زمان ممکن گزارش می‌کنند. شاید تصور کنید هکر می‌تواند در صورت یافتن باگ، مطالبات بیشتری داشته باشد و از طرق دیگری باگ کشف‌شده را گزارش کند یا در نقش هکر کلاه‌سیاه باگ را بفروشد؛ اما وجود برنامه‌ی باگ‌بانتی ناخواسته مانع چنین اتفاقی می‌شود؛ چراکه شاید هم‌زمان با هکر کلاه‌سیاه با نیت شوم، هکر کلاه‌سفید باگ مدنظر را بیابد و آن را دراختیار شرکت و سازمان آسیب‌پذیر قرار دهد. پس، به‌جرئت می‌توان گفت وجود برنامه‌های باگ‌بانتی، می‌تواند مانع اتفاقات ناگواری شود که در پی ضعف امنیتی می‌تواند شرکت را درگیر کند. درواقع، برنامه‌های باگ‌بانتی را باید مکمل وجود تیم‌های امنیتی در شرکت‌ها خواند. به‌‌حتم وابستگی بیش‌ازحد به برنامه‌های باگ‌بانتی یا نادیده‌گرفتن این موضوع و اکتفا به وجود تیم امنیتی می‌تواند به ضرر سازمان مدرن باشد.

برنامه‌های باگ‌بانتی را نیز باید جزو مسائلی خواند که هنوز جای خالی آن در فرهنگ سازمانی بسیاری از شرکت‌ها و نهادهای داخلی احساس می‌شود. با وجود اینکه اینترنت درکنار راهکارهای نوین مبتنی‌بر اینترنت و دنیای آنلاین به پایه‌های فعالیت شرکت‌های مختلف داخلی تبدیل شده، هنوز خبری از جدی گرفته‌شدن برنامه‌های باگ‌بانتی و هکرهای کلاه‌سفید برای بهبود امنیت نیست. شاید نگاه منفی به واژه‌ی هکر یکی از دلایلی است که باعث شده بسیاری از افراد تصمیم‌گیرنده در رأس تیم‌های امنیتی شرکت‌ها، توجهی به برنامه‌های باگ‌بانتی نکنند. البته، نمی‌توان کسب‌وکارها و سازمان‌ها را مقصر اصلی وضع موجود خواند؛ چراکه رفتار هکر‌ها و نبود مرز مشخص برای تفکیک‌ هکرهای کلاه‌سفید و کلاه‌خاکستری و کلاه‌سیاه باعث شده در برخی موارد سازمان‌ها نیز اعتماد چندانی نکنند و در تعامل با هکرهای داخلی دست‌به‌عصا باشند.

به‌طورحتم توجه به این موضوع می‌تواند علاوه‌بر تغییر نوع رفتار بسیاری از هکر‌های داخلی، به بهبود هرچه‌بیشتر امنیت سازمان‌ها و نهادهای داخلی کمک کند. یاشار شاهین‌زاده، هکری است که اخیرا با مشکلی از همین جنس رو‌به‌رو شده است. شاهین‌زاده در گفت‌وگو با زومیت علاوه‌بر اشاره به خلأ وجود برنامه‌های باگ‌بانتی، نبود اطمینان و جدی‌نگرفتن مطالبات هکر‌های کلاه‌سفید را عاملی دلسردکننده خوانده است. شاهین‌زاده برنامه‌های باگ‌بانتی را بسیار مهم می‌داند؛ به‌طوری‌که به‌گفته‌ی وی، این برنامه‌ها به‌اندازه‌ای مهم هستند که شرکت‌های واسط از وجود تحریم‌ها چشم‌پوشی و پاداش هکرهای ایرانی را برای دریافت اطلاعات بیشتر به‌صورت کامل پرداخت می‌کنند. شاهین‌زاده برای مثال به دریافت پاداش هزار دلاری از بیت‌دیفندر در پی کشف روزنه‌لی امنیتی اشاره کرد.

یاشار شاهین‌زاده هکر کلاه‌سفیدی است که باگ‌هایی در اپراتور‌های داخلی یافته است

شاهین‌زاده ازجمله‌ هکرهایی است که در پی گزارش باگی بسیار خطرناک به اپراتور‌های داخلی با مشکل رو‌به‌رو شده است؛ به‌طوری‌که تا امروز نیز موفق نشده مطالبات خود را دریافت کند. وی چند ماه پیش به‌صورت اتفاقی، زمانی‌که درحال‌شارژ حساب‌کاربری ازطریق اپلیکشن MyIrancell بوده، به فرایند‌ خرید مشکوک شده و پس از بررسی‌های فراوان، به وجود باگی خطرناک پی‌ می‌برد. وی پس از کشف این باگ خیلی مهم‌ و باتوجه‌به ماهیت فعالیت خود که هکری کلاه‌سفید است، در پی گزارش این موضوع به ایرانسل برآمده است. وی در خلال گزارش باگ مدنظر به ایرانسل که ازطریق مرکز ماهر در‌حال‌انجام بوده، باگ‌های خطرناک دیگری در سامانه‌ی مخابرات و همراه‌اول نیز پیدا کرده است؛ اما نبود سازوکاری مدون برای گزارش باگ و انفعال ایرانسل و مرکز ماهر در پاسخ‌گویی باعث شده شاهین‌زاده در انتظار سرنوشت باگ گزارش‌شده به ایرانسل باشد تا برای سرنوشت دو باگ دیگر تصمیم بگیرد.

پس از آنکه شاهین‌زاده درباره‌ی ایرانسل به نتیجه‌ی مشخصی دست نیافته، به توییتر متوسل شده و اقدام به انتشار توییتی کرده که در آن محمدجواد آذری‌جهرمی، وزیر ارتباطات، نیز منشن شده است. شاهین‌زاده با اشاره به وجود باگ‌های بسیار خطرناک در مخابرات، ایرانسل و همراه‌اول، در مورد تهدید‌های موجود برای افشای اطلاعات گسترده ی کاربران هشدار داده است.

البته باتوجه‌به عادت وزیر ارتباطات برای حضور فعال در دنیای مجازی، این توییت کارگشا بوده و آذری‌جهرمی ساعاتی پس از انتشار آن، در پاسخ، مجتبی جوانبخت، دستیار خود در وزارت ارتباطات را مسئول رسیدگی و بررسی مشکلات امنیتی گزارش‌شده کرده است. باوجوداین، برقراری ارتباط و معرفی به‌وسیله‌ی جوانبخت نیز باعث نشده مخابرات و ایرانسل به تعهدات خود عمل کند و فقط همراه‌اول موضوع را پیگیری و با شاهین‌زاده تعامل کرده است.

هم‌زمان با پیگیری ازطریق وزارت ارتباطات برای دو باگ مخابرات و همراه‌اول، شاهین‌زاده با ناامیدشدن از مرکز ماهر برای پیگیری مطالبات خود از ایرانسل، مستقیما به‌سراغ این اپراتور رفته و با جواب منفی ایرانسل درباره‌ی اعطای تقدیرنامه و انعقاد قرارداد مشاوره رو‌به‌رو شده است. البته ایرانسلی‌ها با اعطای مودم و بسته‌ی اینترنتی سعی در جبران زحمات این هکر کلاه‌سفید برآمده‌اند. این در حالی است که ایرانسل پس از آگاه‌شدن از این باگ خطرناک، سریعا آن را برطرف کرده است. با وجود تماس‌های مکرر با ایرانسل برای دریافت پاسخی در‌این‌زمینه، موفق نشدیم پاسخ صریحی دریافت کنیم.

شاهین‌زاده رفتار همراه‌اول را کاملا برعکس ایرانسل خوانده است. البته، این هکر کلاه‌سفید دخالت مجتبی جوانبخت، معاون وزیر ارتباطات، را در نوع برخورد همراه‌اول بی‌تأثیر نمی‌داند. این در حالی است که از دیدگاه شاهین‌زاده، اصرار ماهر برای پیگیری مسئله‌ی ایرانسل اصلی‌ترین دلیل برای رویکرد متفاوت ایرانسل به این هکر کلاه‌سفید است. به‌گفته‌ی شاهین‌زاده، همراه‌اول علاوه‌بر تشکیل جلسه و دریافت اطلاعات مشکل امنیتی، آن باگ را برطرف و از وی تقدیر کرده است.

شاهین‌زاده چنین برخوردهایی را عاملی برای هکرهای کلاه‌سفید داخلی می‌داند. از دیدگاه شاهین‌زاده، در‌صورتی‌که شرکت‌ها و نهادهای داخلی به برنامه‌های باگ‌بانتی توجهی نشان ندهند، با مشکلات عدیده‌ای رو‌به‌رو می‌شوند و اطلاعات کاربرانشان درخطر خواهد بود. وی وجود باگ در اپراتور‌های ایرانسل و همراه‌اول و مخابرات را مشتی نمونه‌ی خروار خوانده و معتقد است باگ‌های فراوانی در سامانه‌های بسیاری از شرکت‌ها و مخصوصا استارتاپ‌های ایرانی وجود دارد که اطلاعات کاربران را تهدید می‌کند. شاهین‌زاده معتقد است نبود برنامه‌های باگ‌بانتی و رفتار نامناسب و غیرحرفه‌ای شرکت‌های ایرانی باعث شده هکر‌های کلاه‌سفید توانایی و زمان و دانش خود را دراختیار کسب‌وکارهای ایرانی قرار ندهند.

منبع زومیت

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید