درآمد میلیونی هکرها از طریق گزارش حفره‌های امنیتی

سه‌شنبه ۱۹ اسفند ۱۳۹۳ - ۲۲:۳۴
مطالعه 10 دقیقه
هر ساله کمپانی‌های بزرگ تکنولوژی با داشتن چندین باگ و آسیب‌پذیری مورد حمله هکرها قرار می‌گیرند. معمولا افشای آسیب‌پذیری‌ها قبل از گزارش آن به کمپانی مربوطه، خطرات جدی را به همراه دارد. در همین راستا استارتاپ‌های بزرگی به وجود آمده‌اند که در قبال گزارش باگ‌ و آسیب‌پذیری‌ها، مبلغی را به هکرها پرداخت می‌کنند.
تبلیغات

«Shashank Kumar» مهندس اسبق سیسکو و متخصص امنیت شبکه، در سال‌های نوجوانی با هک آشنا شد. او در ابتدا جهت سرگرمی و دیفیس «Deface» سایت‌ها را هک می‌کرد. اما حالا پشیمان است، زیرا مطلع شده که در قبال کاری که انجام می‌داد، می‌توانست با گزارش باگ‌ها و آسیب‌پذیری‌ها درآمد داشته باشد. سپس او با فعالیت در «cyberboyindia» توانست ۳۰ هزار دلار درآمد داشته باشد، در واقع این مبلغ حداقل مخارج شهریه‌ی او را جبران می‌کرد. این روزها مبحث امنیت طوری شده است که حتی دانش‌آموز ۱۹ ساله بدون توجه به امتحانات نهایی خود شب‌ها بیدار مانده و به بررسی باگ‌های امنیتی می‌پردازد. سایت‌های بزرگی مانند یاهو، توئیتر، پی‌پال و AT&T در تیررس این گونه افراد قرار گرفته و ممکن است حتی آسیب‌پذیری‌های بزرگی از آن‌ها یافت شود. شاشنک هم جزو افرادی است که در قبال گزارش باگ‌ها پاداشی از قبیل گوشی‌همراه و چک ۱.۵۰۰ دلاری را دریافت کرده است.

او پس از یافتن باگ گوگل در اکانت توئیتر خود این موضوع را منتشر کرد:

t1

شاشنک جزو افرادی است که مبحث امنیت و گزارش باگ را گسترش داد. گوگل هفته‌ی پیش اعلام کرد که برنامه‌ی گزارش باگ خود را تغییر داده است. تاکنون کسانی که قصد شرکت در این کنفرانس گزارش باگ را داشتند، باید باگ‌های شناسایی شده را در ماه مارس ثبت می‌کردند، برای شرکت در کنفرانس ثبت نام می‌کردند و اگر همه چیز بر طبق روال پیش می‌رفت، پاداش خود را دریافت می‌کردند. اما گوگل به‌تازگی امکان انجام تمامی این کارها به صورت از راه دور و در تمامی ماه‌های سال فراهم ساخته است. از این پس هریک از کارشناسان امنیتی که با ایرادی در سیستم عامل کروم رو برو می‌شود، می‌تواند با ثبت آن باگ در برنامه‌ی پاداش برای حفره های گوگل یا VRP، بدون نیاز به هیچ کار اضافی دیگر، انتظار دریافت پاداش خود را داشته باشد.

برای ترغیب هرچه بیشتر کارشناسان امنیتی، گوگل مقدار حداکثر پاداش برای هر فرد را به بی‌نهایت تغییر داده است.

به این معنی که دیگر سقفی برای این افراد وجود ندارد و هرکس می‌تواند برای هر یک از باگ‌هایی که شناسایی کند پاداش دریافت کند. اما این برنامه کمی عجیب به نظر می‌رسد، شاید با این کار گوگل می‌خواهد خود را در عرصه‌ی رقابت نگه دارد. معمولا برنامه‌ی گزارش باگ با پاداش‌های مختلفی همراه است؛ مانند چک‌های چند میلیون دلاری یا حتی تی‌شرت! اما در طول پنج سال اخیر این برنامه بهتر شده است و شامل پاداش‌های میلیونی است. تقریبا تمامی کمپانی‌های فعال در زمینه‌ی تکنولوژی یک نمونه از این برنامه‌ها را دارند و حتی مقدار و مبلغ پاداش‌های خود را نیز افزایش داده‌اند. استارتاپ‌های جدیدی مانند Crowdcurity, Bugcrowd, Synack و HackerOne در زمینه‌ی گزارش باگ‌ها به کمپانی‌های بزرگ کمک کرده و به‌طور قابل توجهی مبلغ پاداشی آسیب‌پذیری‌ها را افزایش می‌دهند. برنامه‌های گزارش باگ فقط مختص کمپانی‌های بزرگ نیست، امروزه با پیشرفت تکنولوژی امنیت هم زیر سؤال می‌رود. به همین دلیل کمپانی چه کوچک باشد و چه بزرگ دارای باگ است.

کپی لینک

سلاح جدید در جنگ بی‌پایان

Andrew Pile مدیر ارشد تکنولوژی در Vimeo اخیرا یک برنامه‌ی گزارش باگ را توسط استارتاپ HackerOne به اجرا گذاشته و گفت:

حال شرایط فرق کرده و ذهنیت دیگری از امنیت داریم و باید از چنین استارتاپ‌هایی کمک بگیریم، زیرا برنامه‌ریزی و شروع چنین برنامه‌ای از صفر، بسیار سخت و دشوار است.

با رشد Vimeo در چند سال اخیر، تعدادی گزارش باگ هم دریافت کرده است، اما به نظر می‌رسد پیل نسبت به پرداخت گزارش‌های باگ‌ها کمی ناراضی به نظر می‌رسد و گفت:

تنها راه تشکر از هکرها و گزارش دهندگان باگ فراهم کردن اکانت رایگان یا تی‌شرت بود، که این روش کارآمد نبوده و افراد متخصص را برای یافتن باگ تشویق و ترغیب نمی‌کرد.

همانند کمپانی‌های بسیاری Vimeo در جلب توجه متخصصان امنیت مشکل دارد، به همین دلیل این مشکل باعث شد تا این شرکت به فکر افراد خبره‌ی دیگری باشد، شاید در این بین متخصصانی هم پیدا می‌شد که نه می‌شناختند و نه اعتمادی نسبت به آن‌ها داشتند، زیرا اغلب این افراد گروهی ناشناس و نوجوان بودند. استارتاپ‌های فعال در زمینه‌ی گزارش باگ‌ها به عنوان دلال‌های بازار هستند، زیرا اعتمادی را بین کمپانی‌ها و مشتریان جهت برقراری ارتباط و همکاری ایجاد می‌کنند. بنابراین شرکت‌هایی مثل Vimeo با مراحل اولیه‌ی تعامل با هکر ارتباطی نداشته و فقط مقدار و نوع پاداش را تعیین می‌کنند. پیل با بیان اینکه پرداخت پول به این گونه افراد واقعا می‌توانند زجرآور باشد، زیرا آن‌ها در هر نقطه‌ای از دنیا وجود دارند. استارتاپ HackerOne با مدیریت تمامی مراحل قانونی و منطقی، روشی آسان را به کمپانی‌ها فراهم می‌کند.

استارتاپ HackerOne در قبال مدیریت و پشتیبانی از مراحل گزارش هر باگ، ۲۰ درصد از مبلغ پرداختی به هکر را دریافت می‌کند.

این سیستم روشی راحت و بی‌دردسر را برای کمپانی‌های بزرگی از جمله یاهو و توئیتر ارائه می‌کند. این شرکت‌ها از کمپانی‌های شخص ثالث مانند استارتاپ HackerOne برای مدیریت برنامه‌ی باگ خود استفاده می‌کنند. Bill Gurley یکی از افراد فعال در این استارتاپ با بیان اینکه راه‌ کارهای قدیمی دیگر در گزارش باگ‌های نرم‌افزاری و سخت‌افزاری کارساز نبوده گفته که باید از روشی نوین و کارآمد در این زمینه استفاده کرد. در واقع به جای تعامل مستقیم با هکرها، برنامه‌ی گزارش باگ از طریق استارتاپ‌ها راه حل منطقی و بهتری به نظر می‌رسد.

کپی لینک

مدیریت افراد سودجو

برای متخصصان امنیت بزرگ‌‌ترین ریسک، صرف کردن ساعات زیادی در یافتن آسیب‌پذیری‌ها و سپس نوشتن گزارشی کامل در خصوص این باگ و تشریح چگونگی رفع و پچ آن‌ها است. افراد حرفه‌ای مانند شاشنک و همکاران او در این زمینه، آسیب پذیری‌هایی که مکررا و به صورت مداوم تکرار می‌شوند را پیدا کرده و درصدد رفع آن‌ها برمی‌آیند؛ می‌توان گفت این افراد زمینه‌ی شناخت این گونه آسیب‌پذیری‌ها و رفع آن‌ها شناخته شده‌اند.

پیل در خصوص این آسیب‌پذیری‌ها می‌گوید:

اعتماد حرف اول را در این زمینه می‌زند، این گونه افراد ساعات زیادی از شبانه‌روز را صرف پیدا کردن و گزارش مشکلات امنیتی صرف می‌کنند و سپس گزارش آرشیو می‌شود. من تعداد قابل توجهی از گزارش‌ها تکراری را جمع کرده‌ام که متاسفانه فقط برای نفر اولی که باگ را گزارش می‌دهد، پاداش را پرداخت خواهیم کرد.

نکته‌ی قابل توجه این است که افراد بسیاری که در زمینه‌ی امنیت مشغول هستند، کار یافتن و گزارش باگ را انجام می‌دهند. ماهیت ماجرا این است برخی مواقع این شرایط حتی بصورت ماهیانه هم برای متخصصان امنیت به صرفه نبوده و مشکل ساز می‌شود. بیشتر این افراد کار گزارش باگ را به صورت سرگرمی و فقط از روی علاقه و بصورت پاره وقت انجام می‌دهند. البته در نظرسنجی که انجام شده برخی از هکرها اعلام کرده‌اند که در قبال گزارش باگ مهمی، مبلغ هنگفتی را نیز دریافت کرده‌اند.

اندرو یکی از هکرهای معروف روسی در این خصوص گفت:

برنامه‌ی باگ مانند بازی آنلاین پوکر است. ممکن است خوش شانس باشید و پاداش بزرگی را دریافت کنید، اما در مقابل شاید خوش شانس نبوده و زمان زیادی را صرف یافتن باگ کرده باشید و در نهایت هیچ پاداشی را دریافت نکنید.

در کشورهایی مانند هند و پاکستان افراد نوجوان بسیاری وجود دارند که در زمینه‌ی امنیت فعال هستند، در واقع می‌توان از انرژی و استعداد این گونه افراد در برنامه‌ی گزارش باگ استفاده کرد. شاید در بین افرادی نیز باشد که سودجو بوده و صرفا از گزارش‌ها متخصصان امنیت دیگری سوءاستفاده می‌کنند.

دنیل لوشمینان یکی از افرادی است که باگ اپلیکیشن Trello را پیدا کرده، می‌گوید:

با بررسی گزارش‌ها باگ‌های این سایت، برخی افراد سودجو هم مشاهده شده‌اند، این دسته افراد با فریب متخصصان امنیت درصدد به دست آوردن گزارش آسیب‌پذیری‌های آن‌ها هستند و ادعا می‌کنند که در مقابل ارائه‌ی آسیب‌پذیری‌های سایت‌های بزرگ پاداش بزرگ نیز دریافت خواهید کرد. در هفته‌ی اول انتشار برنامه‌باگ Trello، تعداد ۲۰۰ گزارش را دریافت کردیم که تنها ۱۰ مورد آن‌ها واقعی بودند.

به دلیل این دسته از مشکلات، استارتاپ Synack از یک مدل متفاوت و بسته استفاده می‌کند؛ در واقع این استارتاپ از بهترین روش ممکن استفاده می‌کند. Synack توسط تعدادی از افراد فعال در NSA به وجود آمده که سال‌هایی طولانی را صرف یافتن و گزارش آسیب‌پذیری‌های مراکز دولتی کرده‌اند. جی کاپلان بنیانگذار این استارتاپ گفته که از رویکردی متفاوت برای ارائه دهندگان برنامه‌ی گزارش باگ استفاده می‌کنند. او همچنین گفت که ممکن است برخی افراد حتی با ۵۰ دلار افراد متخصص در این زمینه را فریب دهند. کمپانی‌هایی که از استارتاپ Synack استفاده می‌کنند، مبلغی را به هکرها پرداخت نمی‌کنند، اما در عوض خدمات رایگان دیگری را برای این گونه افراد فراهم می‌کنند. این استارتاپ در ابتدا امتحانی را از هکرها می‌گیرد و اگر در این تست مورد قبول واقع شوند، به فهرستی مجزا و خاص اضافه خواهند شد. سپس این افراد را در برنامه‌ی گزارش باگ ثبت‌نام می‌کند و بعدها از آن‌ها برای گزارش آسیب‌پذیری‌های کمپانی‌های غیر تکنولو‌‌ژی استفاده می‌کند.

کپی لینک

اجتناب از مقاومت

الکس رایس مدیر سابق برنامه‌ی امنیت فیسبوک و مدیر ارشد فنی در استارتاپ HackerOne گفت:

بیشتر هکرها راه رسمی و قانونی را در بازار سیاه برای فعالیت در زمینه‌ی گزارش باگ انتخاب می‌کنند، حتی اگر مبالغ کم باشند. برای فروش محصولی در بازار سیاهُ حتما باید آن را ایمن کنید. به همین دلیل ممکن است این کار ماه‌ها طول بکشد اما در نهایت به آن محصول قدرت و توانایی خواهید بخشید. بیشتر افراد مهارت‌های نرم‌افزاری را دارند اما به قصد خرابکاری کاری را انجام نمی‌دهند.

برخی کارشناسان فعال در زمینه فناوری، امنیت و ایمنی کار و برنامه‌ی باگ را در اولویت اول می‌دانند. به عقیده‌ی Ilia Kolochenko بنیانگذار شرکت امنیتی High-Tech Bridge، برخی کمپانی‌ها تصور می‌کنند اگر برنامه‌ی گزارش باگ خود را به صورت عمومی منتشر کنند، بازخوردهای خوبی را هم دریافت خواهند کرد؛ اما شرایط کمی فرق می‌کند. زیرا این کار به ضرر خود کمپانی تمام خواهد شد. او از مثال هکری استفاده کرد که باگ تکراری را گزارش کرده است. در این مثال هکر سودجود بوده و در گزارش خود اعلام می‌کند که اگر گزارش باگ مورد قبول واقع نشود، روال کار را تغییر داده و از باگ‌ها بهره‌برداری خواهد کرد یا این آسیب‌پذیری را به افراد متخصص، مدیر ارشد که مبالغ بیشتری پرداخت کنند خواهند داد.

گاس آنانیوس یکی از افراد فعالی بود که در برنامه‌ی گزارش باگ پی‌پال کمک کرده و حال در استارتاپ Synack مشغول است. به عقیده‌ی وی باید به هکرهایی که مبالغ کمی را در قبال گزارش باگ دریافت می‌کنند، توجه بیشتری شود. زیرا ترغیب و تشویق بیشتر آن‌ها باعث می‌شود علم هکینگ خود را گسترش داده و به برنامه‌ی گزارش باگ کمپانی‌های بزرگ کمک کنند. در غیر این صورت ممکن است باگ‌های مهم را انتشار کرده و امنیت کمپانی‌ها را به خظر بیندازند. به همین دلیل شرکت‌هایی که تهدیداتی را از سوی هکرها دریافت می‌کنند، زمان بسیاری را نیز برای سر و کله زدن با آسیب‌پذیری‌ها صرف خواهند کرد، در نتیجه نه‌تنها وصله‌ی امنیتی برای باگ‌ها ارائه نخواهد شد، بلکه آسیب‌پذیری‌های مهم سیستم در معرض حملات سایبری نیز قرار خواهند گرفت. باید کمپانی‌ها در ازای دریافت گزارش جدیدی که تکراری نیست، پاداش خاص و بزرگی را برای هکرها در نظر بگیرند. در این صورت رقابت نیز بیشتر شده و آسیب‌پذیری‌های زیادی نیز از سیستم پیدا خواهند شد. با رفع این باگ‌ها سیستم به‌طور کامل ایمن خواهد شد. اگر این چرخه به‌طور مکرر انجام شود، می‌توان گفت تمامی کمپانی‌های بزرگ امنیت خود را به نوعی افزایش خواهند داد. البته در این بین ممکن است باگ‌هایی آشکار شوند که خصوصی بوده و شاید هکر قصد گزارش آن را ندارد؛ در این حالت چندین احتمال وجود دارد. این باگ‌ به یک کمپانی دیگری که در زمینه‌ی امنیت فعال است گزارش خواهد شد و آن‌ها در ازای ارائه‌ی آن به برنامه‌ی گزارش باگ پول هنگفتی را در یافت خواهند کرد، یا اینکه خود هکر در قالب فردی ناشناس به بهره‌برداری این آسیب‌پذیری مشغول خواهد شد.

کپی لینک

ساختن بهترین راه در بدترین شرایط

برخی متخصصان امنیت که سال‌ها در زمینه‌ی برنامه‌ی گزارش باگ مشغول بودند، راه خود را تغییر داده‌اند.

دن کامینسکی یکی از متخصصان امنیت در این خصوص می‌گوید:

من همیشه نگران بودم که چنین برنامه‌های گزارش باگ به وجود خواهد آمد و افراد سودجوی بسیاری باگ‌های خطرناکی را بدون اینکه گزارش کنند از آن‌ها سوءاستفاده خواهند کرد یا اینکه بدون گزارش کردن تقاضای پول هنگفتی را از کمپانی‌ها داشته باشند. ای کمپانی‌‌ها هم در عوض زمان زیادی را برای این نوع باگ‌ها و با این افراد تلف خواهد کرد؛ در آخر این باگ‌ها بدون اینکه وصله‌ی امنیتی برای آن‌ها ارائه شود بهره‌برداری خواهند شد.

اما در حال حاضر افراد متخصصی هم وجود دارد که استعدادهای بسیاری در گزارش باگ دارند. در مقابل افرادی هم وجود دارند که گزارش باگ را در زمینه ی امنیت سیستم‌ها بسیار مهم نمی‌داند. این دسته از افراد راه‌های دیگری را برای افزایش سیستم دارند. به عنوان مثال تیمی که کمپانی سونی را هک کردند، جزو این دسته از گروه قرار دارند. در واقع کمپانی سونی در هیچ برنامه‌ی گزارش باگ شرکت نکرده بود، اما چون در شرایط بدی قرار داشت افراد مخصص و البته سودجویی این شرکت را هک کردند. به همین دلیل لزوما بیشتر هک‌ها بر مبنای آسیب‌پذیری نیست و از طریق مهندسی اجتماعی صورت می‌پذیرد. حتی ممکن است در این روش برنامه و نرم‌افزارهای مخربی به کمپانی و کاربران داده شوند، در نتیجه سیستم آسیب‌پذیر شده و در معرض حمله قرار می‌گیرد. حتی بنیانگذاران این استارتاپ‌ها نیز از آن‌ها به عنوان جادوی حل مشکلات امنیتی یاد نمی‌کنند. با اینکه می‌توان آن‌ها را راه‌حل مناسب و قانونی برای رفع آسیب‌پذیری‌ها دانست.

جیکوب هانسن بنیانگذار و مدیرعامل Crowdcurity گفت:

نمی‌توان گفت زمانی که برنامه‌ی گزارش باگ اجرا می‌شود پس حتما امنیت سیستم نیز برقرار شده است؛ این تنها یک گزینه برای شروع رفع آسیب‌پذیری‌ها است. شما نیاز به بررسی و مرور کد، منایع سخت‌افزاری و آموش کارکنان خواهید داشت.

با مطالعات انجام شده در مرورگرهای کروم و فایرفاکس، این نتیجه به دست آمد که برنامه‌ی گزارش باگ اجرا شده روی این مرورگرها بسیار ارزان‌تر از استخدام یک متخصص امنیت است. امروزه بیشتر مؤسسه و سازمان‌ها به این نتیجه رسیده‌اند که راه‌های دیگری نیز برای برقراری امنیت سیستم وجود دارد. استارتاپ‌ها فقط یکی از این راه‌کارها است. در غیر اینصورت باید از تیمی متخصص و کامل برای برقراری امنیت و ارائه‌ی وصله‌های امنیتی استفاده شود.

مقاله رو دوست داشتی؟
نظرت چیه؟
داغ‌ترین مطالب روز
تبلیغات

نظرات