درآمد میلیونی هکرها از طریق گزارش حفرههای امنیتی
«Shashank Kumar» مهندس اسبق سیسکو و متخصص امنیت شبکه، در سالهای نوجوانی با هک آشنا شد. او در ابتدا جهت سرگرمی و دیفیس «Deface» سایتها را هک میکرد. اما حالا پشیمان است، زیرا مطلع شده که در قبال کاری که انجام میداد، میتوانست با گزارش باگها و آسیبپذیریها درآمد داشته باشد. سپس او با فعالیت در «cyberboyindia» توانست ۳۰ هزار دلار درآمد داشته باشد، در واقع این مبلغ حداقل مخارج شهریهی او را جبران میکرد. این روزها مبحث امنیت طوری شده است که حتی دانشآموز ۱۹ ساله بدون توجه به امتحانات نهایی خود شبها بیدار مانده و به بررسی باگهای امنیتی میپردازد. سایتهای بزرگی مانند یاهو، توئیتر، پیپال و AT&T در تیررس این گونه افراد قرار گرفته و ممکن است حتی آسیبپذیریهای بزرگی از آنها یافت شود. شاشنک هم جزو افرادی است که در قبال گزارش باگها پاداشی از قبیل گوشیهمراه و چک ۱.۵۰۰ دلاری را دریافت کرده است.
او پس از یافتن باگ گوگل در اکانت توئیتر خود این موضوع را منتشر کرد:
شاشنک جزو افرادی است که مبحث امنیت و گزارش باگ را گسترش داد. گوگل هفتهی پیش اعلام کرد که برنامهی گزارش باگ خود را تغییر داده است. تاکنون کسانی که قصد شرکت در این کنفرانس گزارش باگ را داشتند، باید باگهای شناسایی شده را در ماه مارس ثبت میکردند، برای شرکت در کنفرانس ثبت نام میکردند و اگر همه چیز بر طبق روال پیش میرفت، پاداش خود را دریافت میکردند. اما گوگل بهتازگی امکان انجام تمامی این کارها به صورت از راه دور و در تمامی ماههای سال فراهم ساخته است. از این پس هریک از کارشناسان امنیتی که با ایرادی در سیستم عامل کروم رو برو میشود، میتواند با ثبت آن باگ در برنامهی پاداش برای حفره های گوگل یا VRP، بدون نیاز به هیچ کار اضافی دیگر، انتظار دریافت پاداش خود را داشته باشد.
برای ترغیب هرچه بیشتر کارشناسان امنیتی، گوگل مقدار حداکثر پاداش برای هر فرد را به بینهایت تغییر داده است.
به این معنی که دیگر سقفی برای این افراد وجود ندارد و هرکس میتواند برای هر یک از باگهایی که شناسایی کند پاداش دریافت کند. اما این برنامه کمی عجیب به نظر میرسد، شاید با این کار گوگل میخواهد خود را در عرصهی رقابت نگه دارد. معمولا برنامهی گزارش باگ با پاداشهای مختلفی همراه است؛ مانند چکهای چند میلیون دلاری یا حتی تیشرت! اما در طول پنج سال اخیر این برنامه بهتر شده است و شامل پاداشهای میلیونی است. تقریبا تمامی کمپانیهای فعال در زمینهی تکنولوژی یک نمونه از این برنامهها را دارند و حتی مقدار و مبلغ پاداشهای خود را نیز افزایش دادهاند. استارتاپهای جدیدی مانند Crowdcurity, Bugcrowd, Synack و HackerOne در زمینهی گزارش باگها به کمپانیهای بزرگ کمک کرده و بهطور قابل توجهی مبلغ پاداشی آسیبپذیریها را افزایش میدهند. برنامههای گزارش باگ فقط مختص کمپانیهای بزرگ نیست، امروزه با پیشرفت تکنولوژی امنیت هم زیر سؤال میرود. به همین دلیل کمپانی چه کوچک باشد و چه بزرگ دارای باگ است.
سلاح جدید در جنگ بیپایان
Andrew Pile مدیر ارشد تکنولوژی در Vimeo اخیرا یک برنامهی گزارش باگ را توسط استارتاپ HackerOne به اجرا گذاشته و گفت:
حال شرایط فرق کرده و ذهنیت دیگری از امنیت داریم و باید از چنین استارتاپهایی کمک بگیریم، زیرا برنامهریزی و شروع چنین برنامهای از صفر، بسیار سخت و دشوار است.
با رشد Vimeo در چند سال اخیر، تعدادی گزارش باگ هم دریافت کرده است، اما به نظر میرسد پیل نسبت به پرداخت گزارشهای باگها کمی ناراضی به نظر میرسد و گفت:
تنها راه تشکر از هکرها و گزارش دهندگان باگ فراهم کردن اکانت رایگان یا تیشرت بود، که این روش کارآمد نبوده و افراد متخصص را برای یافتن باگ تشویق و ترغیب نمیکرد.
همانند کمپانیهای بسیاری Vimeo در جلب توجه متخصصان امنیت مشکل دارد، به همین دلیل این مشکل باعث شد تا این شرکت به فکر افراد خبرهی دیگری باشد، شاید در این بین متخصصانی هم پیدا میشد که نه میشناختند و نه اعتمادی نسبت به آنها داشتند، زیرا اغلب این افراد گروهی ناشناس و نوجوان بودند. استارتاپهای فعال در زمینهی گزارش باگها به عنوان دلالهای بازار هستند، زیرا اعتمادی را بین کمپانیها و مشتریان جهت برقراری ارتباط و همکاری ایجاد میکنند. بنابراین شرکتهایی مثل Vimeo با مراحل اولیهی تعامل با هکر ارتباطی نداشته و فقط مقدار و نوع پاداش را تعیین میکنند. پیل با بیان اینکه پرداخت پول به این گونه افراد واقعا میتوانند زجرآور باشد، زیرا آنها در هر نقطهای از دنیا وجود دارند. استارتاپ HackerOne با مدیریت تمامی مراحل قانونی و منطقی، روشی آسان را به کمپانیها فراهم میکند.
استارتاپ HackerOne در قبال مدیریت و پشتیبانی از مراحل گزارش هر باگ، ۲۰ درصد از مبلغ پرداختی به هکر را دریافت میکند.
این سیستم روشی راحت و بیدردسر را برای کمپانیهای بزرگی از جمله یاهو و توئیتر ارائه میکند. این شرکتها از کمپانیهای شخص ثالث مانند استارتاپ HackerOne برای مدیریت برنامهی باگ خود استفاده میکنند. Bill Gurley یکی از افراد فعال در این استارتاپ با بیان اینکه راه کارهای قدیمی دیگر در گزارش باگهای نرمافزاری و سختافزاری کارساز نبوده گفته که باید از روشی نوین و کارآمد در این زمینه استفاده کرد. در واقع به جای تعامل مستقیم با هکرها، برنامهی گزارش باگ از طریق استارتاپها راه حل منطقی و بهتری به نظر میرسد.
مدیریت افراد سودجو
برای متخصصان امنیت بزرگترین ریسک، صرف کردن ساعات زیادی در یافتن آسیبپذیریها و سپس نوشتن گزارشی کامل در خصوص این باگ و تشریح چگونگی رفع و پچ آنها است. افراد حرفهای مانند شاشنک و همکاران او در این زمینه، آسیب پذیریهایی که مکررا و به صورت مداوم تکرار میشوند را پیدا کرده و درصدد رفع آنها برمیآیند؛ میتوان گفت این افراد زمینهی شناخت این گونه آسیبپذیریها و رفع آنها شناخته شدهاند.
پیل در خصوص این آسیبپذیریها میگوید:
اعتماد حرف اول را در این زمینه میزند، این گونه افراد ساعات زیادی از شبانهروز را صرف پیدا کردن و گزارش مشکلات امنیتی صرف میکنند و سپس گزارش آرشیو میشود. من تعداد قابل توجهی از گزارشها تکراری را جمع کردهام که متاسفانه فقط برای نفر اولی که باگ را گزارش میدهد، پاداش را پرداخت خواهیم کرد.
نکتهی قابل توجه این است که افراد بسیاری که در زمینهی امنیت مشغول هستند، کار یافتن و گزارش باگ را انجام میدهند. ماهیت ماجرا این است برخی مواقع این شرایط حتی بصورت ماهیانه هم برای متخصصان امنیت به صرفه نبوده و مشکل ساز میشود. بیشتر این افراد کار گزارش باگ را به صورت سرگرمی و فقط از روی علاقه و بصورت پاره وقت انجام میدهند. البته در نظرسنجی که انجام شده برخی از هکرها اعلام کردهاند که در قبال گزارش باگ مهمی، مبلغ هنگفتی را نیز دریافت کردهاند.
اندرو یکی از هکرهای معروف روسی در این خصوص گفت:
برنامهی باگ مانند بازی آنلاین پوکر است. ممکن است خوش شانس باشید و پاداش بزرگی را دریافت کنید، اما در مقابل شاید خوش شانس نبوده و زمان زیادی را صرف یافتن باگ کرده باشید و در نهایت هیچ پاداشی را دریافت نکنید.
در کشورهایی مانند هند و پاکستان افراد نوجوان بسیاری وجود دارند که در زمینهی امنیت فعال هستند، در واقع میتوان از انرژی و استعداد این گونه افراد در برنامهی گزارش باگ استفاده کرد. شاید در بین افرادی نیز باشد که سودجو بوده و صرفا از گزارشها متخصصان امنیت دیگری سوءاستفاده میکنند.
دنیل لوشمینان یکی از افرادی است که باگ اپلیکیشن Trello را پیدا کرده، میگوید:
با بررسی گزارشها باگهای این سایت، برخی افراد سودجو هم مشاهده شدهاند، این دسته افراد با فریب متخصصان امنیت درصدد به دست آوردن گزارش آسیبپذیریهای آنها هستند و ادعا میکنند که در مقابل ارائهی آسیبپذیریهای سایتهای بزرگ پاداش بزرگ نیز دریافت خواهید کرد. در هفتهی اول انتشار برنامهباگ Trello، تعداد ۲۰۰ گزارش را دریافت کردیم که تنها ۱۰ مورد آنها واقعی بودند.
به دلیل این دسته از مشکلات، استارتاپ Synack از یک مدل متفاوت و بسته استفاده میکند؛ در واقع این استارتاپ از بهترین روش ممکن استفاده میکند. Synack توسط تعدادی از افراد فعال در NSA به وجود آمده که سالهایی طولانی را صرف یافتن و گزارش آسیبپذیریهای مراکز دولتی کردهاند. جی کاپلان بنیانگذار این استارتاپ گفته که از رویکردی متفاوت برای ارائه دهندگان برنامهی گزارش باگ استفاده میکنند. او همچنین گفت که ممکن است برخی افراد حتی با ۵۰ دلار افراد متخصص در این زمینه را فریب دهند. کمپانیهایی که از استارتاپ Synack استفاده میکنند، مبلغی را به هکرها پرداخت نمیکنند، اما در عوض خدمات رایگان دیگری را برای این گونه افراد فراهم میکنند. این استارتاپ در ابتدا امتحانی را از هکرها میگیرد و اگر در این تست مورد قبول واقع شوند، به فهرستی مجزا و خاص اضافه خواهند شد. سپس این افراد را در برنامهی گزارش باگ ثبتنام میکند و بعدها از آنها برای گزارش آسیبپذیریهای کمپانیهای غیر تکنولوژی استفاده میکند.
اجتناب از مقاومت
الکس رایس مدیر سابق برنامهی امنیت فیسبوک و مدیر ارشد فنی در استارتاپ HackerOne گفت:
بیشتر هکرها راه رسمی و قانونی را در بازار سیاه برای فعالیت در زمینهی گزارش باگ انتخاب میکنند، حتی اگر مبالغ کم باشند. برای فروش محصولی در بازار سیاهُ حتما باید آن را ایمن کنید. به همین دلیل ممکن است این کار ماهها طول بکشد اما در نهایت به آن محصول قدرت و توانایی خواهید بخشید. بیشتر افراد مهارتهای نرمافزاری را دارند اما به قصد خرابکاری کاری را انجام نمیدهند.
برخی کارشناسان فعال در زمینه فناوری، امنیت و ایمنی کار و برنامهی باگ را در اولویت اول میدانند. به عقیدهی Ilia Kolochenko بنیانگذار شرکت امنیتی High-Tech Bridge، برخی کمپانیها تصور میکنند اگر برنامهی گزارش باگ خود را به صورت عمومی منتشر کنند، بازخوردهای خوبی را هم دریافت خواهند کرد؛ اما شرایط کمی فرق میکند. زیرا این کار به ضرر خود کمپانی تمام خواهد شد. او از مثال هکری استفاده کرد که باگ تکراری را گزارش کرده است. در این مثال هکر سودجود بوده و در گزارش خود اعلام میکند که اگر گزارش باگ مورد قبول واقع نشود، روال کار را تغییر داده و از باگها بهرهبرداری خواهد کرد یا این آسیبپذیری را به افراد متخصص، مدیر ارشد که مبالغ بیشتری پرداخت کنند خواهند داد.
گاس آنانیوس یکی از افراد فعالی بود که در برنامهی گزارش باگ پیپال کمک کرده و حال در استارتاپ Synack مشغول است. به عقیدهی وی باید به هکرهایی که مبالغ کمی را در قبال گزارش باگ دریافت میکنند، توجه بیشتری شود. زیرا ترغیب و تشویق بیشتر آنها باعث میشود علم هکینگ خود را گسترش داده و به برنامهی گزارش باگ کمپانیهای بزرگ کمک کنند. در غیر این صورت ممکن است باگهای مهم را انتشار کرده و امنیت کمپانیها را به خظر بیندازند. به همین دلیل شرکتهایی که تهدیداتی را از سوی هکرها دریافت میکنند، زمان بسیاری را نیز برای سر و کله زدن با آسیبپذیریها صرف خواهند کرد، در نتیجه نهتنها وصلهی امنیتی برای باگها ارائه نخواهد شد، بلکه آسیبپذیریهای مهم سیستم در معرض حملات سایبری نیز قرار خواهند گرفت. باید کمپانیها در ازای دریافت گزارش جدیدی که تکراری نیست، پاداش خاص و بزرگی را برای هکرها در نظر بگیرند. در این صورت رقابت نیز بیشتر شده و آسیبپذیریهای زیادی نیز از سیستم پیدا خواهند شد. با رفع این باگها سیستم بهطور کامل ایمن خواهد شد. اگر این چرخه بهطور مکرر انجام شود، میتوان گفت تمامی کمپانیهای بزرگ امنیت خود را به نوعی افزایش خواهند داد. البته در این بین ممکن است باگهایی آشکار شوند که خصوصی بوده و شاید هکر قصد گزارش آن را ندارد؛ در این حالت چندین احتمال وجود دارد. این باگ به یک کمپانی دیگری که در زمینهی امنیت فعال است گزارش خواهد شد و آنها در ازای ارائهی آن به برنامهی گزارش باگ پول هنگفتی را در یافت خواهند کرد، یا اینکه خود هکر در قالب فردی ناشناس به بهرهبرداری این آسیبپذیری مشغول خواهد شد.
ساختن بهترین راه در بدترین شرایط
برخی متخصصان امنیت که سالها در زمینهی برنامهی گزارش باگ مشغول بودند، راه خود را تغییر دادهاند.
دن کامینسکی یکی از متخصصان امنیت در این خصوص میگوید:
من همیشه نگران بودم که چنین برنامههای گزارش باگ به وجود خواهد آمد و افراد سودجوی بسیاری باگهای خطرناکی را بدون اینکه گزارش کنند از آنها سوءاستفاده خواهند کرد یا اینکه بدون گزارش کردن تقاضای پول هنگفتی را از کمپانیها داشته باشند. ای کمپانیها هم در عوض زمان زیادی را برای این نوع باگها و با این افراد تلف خواهد کرد؛ در آخر این باگها بدون اینکه وصلهی امنیتی برای آنها ارائه شود بهرهبرداری خواهند شد.
اما در حال حاضر افراد متخصصی هم وجود دارد که استعدادهای بسیاری در گزارش باگ دارند. در مقابل افرادی هم وجود دارند که گزارش باگ را در زمینه ی امنیت سیستمها بسیار مهم نمیداند. این دسته از افراد راههای دیگری را برای افزایش سیستم دارند. به عنوان مثال تیمی که کمپانی سونی را هک کردند، جزو این دسته از گروه قرار دارند. در واقع کمپانی سونی در هیچ برنامهی گزارش باگ شرکت نکرده بود، اما چون در شرایط بدی قرار داشت افراد مخصص و البته سودجویی این شرکت را هک کردند. به همین دلیل لزوما بیشتر هکها بر مبنای آسیبپذیری نیست و از طریق مهندسی اجتماعی صورت میپذیرد. حتی ممکن است در این روش برنامه و نرمافزارهای مخربی به کمپانی و کاربران داده شوند، در نتیجه سیستم آسیبپذیر شده و در معرض حمله قرار میگیرد. حتی بنیانگذاران این استارتاپها نیز از آنها به عنوان جادوی حل مشکلات امنیتی یاد نمیکنند. با اینکه میتوان آنها را راهحل مناسب و قانونی برای رفع آسیبپذیریها دانست.
جیکوب هانسن بنیانگذار و مدیرعامل Crowdcurity گفت:
نمیتوان گفت زمانی که برنامهی گزارش باگ اجرا میشود پس حتما امنیت سیستم نیز برقرار شده است؛ این تنها یک گزینه برای شروع رفع آسیبپذیریها است. شما نیاز به بررسی و مرور کد، منایع سختافزاری و آموش کارکنان خواهید داشت.
با مطالعات انجام شده در مرورگرهای کروم و فایرفاکس، این نتیجه به دست آمد که برنامهی گزارش باگ اجرا شده روی این مرورگرها بسیار ارزانتر از استخدام یک متخصص امنیت است. امروزه بیشتر مؤسسه و سازمانها به این نتیجه رسیدهاند که راههای دیگری نیز برای برقراری امنیت سیستم وجود دارد. استارتاپها فقط یکی از این راهکارها است. در غیر اینصورت باید از تیمی متخصص و کامل برای برقراری امنیت و ارائهی وصلههای امنیتی استفاده شود.
نظرات