جدی گرفته‌نشدن هکرهای کلاه‌سفید؛ تهدیدی بزرگ برای امنیت سرویس‌های ایرانی

اگر جزو علاقه‌مندان به اخبار دنیای فناوری باشید، احتمالا اصطلاح باگ‌بانتی (Bug Bounty) را شنیده‌اید. باگ‌بانتی به برنامه‌ای اطلاق می‌شود که شرکت‌های بزرگ با استفاده از آن سعی در برطرف‌کردن مشکلات امنیتی خود دارند. به‌بیان ساده‌تر، شرکت‌هایی نظیر گوگل، فیسبوک، آمازون، مایکروسافت و بسیاری دیگری از شرکت‌های فعال در حوزه‌‌ی فناوری ازقبیل شرکت‌های امنیتی نظیر توسعه‌دهندگان آنتی‌ویروس به این نتیجه رسیده‌اند که یکی از بهترین روش‌ها برای آگاهی از وجود مشکلات امنیتی در زیرساخت‌ها و سرویس‌های ارائه‌شده، استفاده از برنامه‌های باگ‌بانتی است. یک شرکت فناوری در هر برنامه‌ی باگ‌بانتی، پاداش‌هایی برای هکرهای کلاه‌سفید در نظر می‌گیرد که پس از یافتن هر نوع مشکل امنیتی، سازمان مدنظر را از آن آگاه و در ازای فعالیت مثبت خود برای نجات سازمان، مبلغی در قالب چهارچوب تعیین‌شده دریافت می‌کنند.

استفاده از برنامه‌های باگ‌بانتی بین شرکت‌ها و سازمان‌های مختلف به‌اندازه‌ای همه‌گیر شده که حتی سامانه‌هایی برای مدیریت فرایند‌ی گزارش‌دهی باگ و دریافت پاداش و سایر اقدامات در فرایند‌ی رفع باگ، نظیر اشاره به‌نام هکر کلاه‌سفید ایجاد شده‌اند. ازجمله‌ محبوب‌ترین و پرکاربردترین این سامانه‌ها باید به Bugcrowd و HackerOne اشاره کرد که این روزها هکرهای کلاه‌سفید با استفاده از آن‌ها می‌توانند باگ‌هایی که یافته‌اند، بدون نگرانی از نادیده‌گرفته‌شدن مطالباتشان گزارش کنند.

برنامه‌های باگ‌بانتی را نیز باید جزو مسائلی خواند که هنوز جای خالی آن در فرهنگ سازمانی بسیاری از شرکت‌ها و نهادهای داخلی احساس می‌شود. با وجود اینکه اینترنت درکنار راهکارهای نوین مبتنی‌بر اینترنت و دنیای آنلاین به پایه‌های فعالیت شرکت‌های مختلف داخلی تبدیل شده، هنوز خبری از جدی گرفته‌شدن برنامه‌های باگ‌بانتی و هکرهای کلاه‌سفید برای بهبود امنیت نیست. شاید نگاه منفی به واژه‌ی هکر یکی از دلایلی است که باعث شده بسیاری از افراد تصمیم‌گیرنده در رأس تیم‌های امنیتی شرکت‌ها، توجهی به برنامه‌های باگ‌بانتی نکنند. البته، نمی‌توان کسب‌وکارها و سازمان‌ها را مقصر اصلی وضع موجود خواند؛ چراکه رفتار هکر‌ها و نبود مرز مشخص برای تفکیک‌ هکرهای کلاه‌سفید و کلاه‌خاکستری و کلاه‌سیاه باعث شده در برخی موارد سازمان‌ها نیز اعتماد چندانی نکنند و در تعامل با هکرهای داخلی دست‌به‌عصا باشند.

به‌طورحتم توجه به این موضوع می‌تواند علاوه‌بر تغییر نوع رفتار بسیاری از هکر‌های داخلی، به بهبود هرچه‌بیشتر امنیت سازمان‌ها و نهادهای داخلی کمک کند. یاشار شاهین‌زاده، هکری است که اخیرا با مشکلی از همین جنس رو‌به‌رو شده است. شاهین‌زاده در گفت‌وگو با زومیت علاوه‌بر اشاره به خلأ وجود برنامه‌های باگ‌بانتی، نبود اطمینان و جدی‌نگرفتن مطالبات هکر‌های کلاه‌سفید را عاملی دلسردکننده خوانده است. شاهین‌زاده برنامه‌های باگ‌بانتی را بسیار مهم می‌داند؛ به‌طوری‌که به‌گفته‌ی وی، این برنامه‌ها به‌اندازه‌ای مهم هستند که شرکت‌های واسط از وجود تحریم‌ها چشم‌پوشی و پاداش هکرهای ایرانی را برای دریافت اطلاعات بیشتر به‌صورت کامل پرداخت می‌کنند. شاهین‌زاده برای مثال به دریافت پاداش هزار دلاری از بیت‌دیفندر در پی کشف روزنه‌لی امنیتی اشاره کرد.

پس از آنکه شاهین‌زاده درباره‌ی ایرانسل به نتیجه‌ی مشخصی دست نیافته، به توییتر متوسل شده و اقدام به انتشار توییتی کرده که در آن محمدجواد آذری‌جهرمی، وزیر ارتباطات، نیز منشن شده است. شاهین‌زاده با اشاره به وجود باگ‌های بسیار خطرناک در مخابرات، ایرانسل و همراه‌اول، در مورد تهدید‌های موجود برای افشای اطلاعات گسترده ی کاربران هشدار داده است.

رونوشت به: @azarijahromi شرکت مخابرات ایران مثل بسیاری از سازمان‌های دیگه پر آسیب‌پذیری خطرناک هست، میلیون‌ها کاربر اطلاعاتشون به‌راحتی قابل استخراج هست. #ایرنسل و #همراه_اول و... هم به‌همین‌ترتیب. شما با این کد وریفای کن: سرور 172.16.25.80:1433 آخر پسوردش اینه: 51857 pic.twitter.com/ucYbx2sB4W— YS (@YShahinzadeh) December 15, 2018

البته باتوجه‌به عادت وزیر ارتباطات برای حضور فعال در دنیای مجازی، این توییت کارگشا بوده و آذری‌جهرمی ساعاتی پس از انتشار آن، در پاسخ، مجتبی جوانبخت، دستیار خود در وزارت ارتباطات را مسئول رسیدگی و بررسی مشکلات امنیتی گزارش‌شده کرده است. باوجوداین، برقراری ارتباط و معرفی به‌وسیله‌ی جوانبخت نیز باعث نشده مخابرات و ایرانسل به تعهدات خود عمل کند و فقط همراه‌اول موضوع را پیگیری و با شاهین‌زاده تعامل کرده است.

هم‌زمان با پیگیری ازطریق وزارت ارتباطات برای دو باگ مخابرات و همراه‌اول، شاهین‌زاده با ناامیدشدن از مرکز ماهر برای پیگیری مطالبات خود از ایرانسل، مستقیما به‌سراغ این اپراتور رفته و با جواب منفی ایرانسل درباره‌ی اعطای تقدیرنامه و انعقاد قرارداد مشاوره رو‌به‌رو شده است. البته ایرانسلی‌ها با اعطای مودم و بسته‌ی اینترنتی سعی در جبران زحمات این هکر کلاه‌سفید برآمده‌اند. این در حالی است که ایرانسل پس از آگاه‌شدن از این باگ خطرناک، سریعا آن را برطرف کرده است. با وجود تماس‌های مکرر با ایرانسل برای دریافت پاسخی در‌این‌زمینه، موفق نشدیم پاسخ صریحی دریافت کنیم.

شاهین‌زاده رفتار همراه‌اول را کاملا برعکس ایرانسل خوانده است. البته، این هکر کلاه‌سفید دخالت مجتبی جوانبخت، معاون وزیر ارتباطات، را در نوع برخورد همراه‌اول بی‌تأثیر نمی‌داند. این در حالی است که از دیدگاه شاهین‌زاده، اصرار ماهر برای پیگیری مسئله‌ی ایرانسل اصلی‌ترین دلیل برای رویکرد متفاوت ایرانسل به این هکر کلاه‌سفید است. به‌گفته‌ی شاهین‌زاده، همراه‌اول علاوه‌بر تشکیل جلسه و دریافت اطلاعات مشکل امنیتی، آن باگ را برطرف و از وی تقدیر کرده است.

شاهین‌زاده چنین برخوردهایی را عاملی برای هکرهای کلاه‌سفید داخلی می‌داند. از دیدگاه شاهین‌زاده، در‌صورتی‌که شرکت‌ها و نهادهای داخلی به برنامه‌های باگ‌بانتی توجهی نشان ندهند، با مشکلات عدیده‌ای رو‌به‌رو می‌شوند و اطلاعات کاربرانشان درخطر خواهد بود. وی وجود باگ در اپراتور‌های ایرانسل و همراه‌اول و مخابرات را مشتی نمونه‌ی خروار خوانده و معتقد است باگ‌های فراوانی در سامانه‌های بسیاری از شرکت‌ها و مخصوصا استارتاپ‌های ایرانی وجود دارد که اطلاعات کاربران را تهدید می‌کند. شاهین‌زاده معتقد است نبود برنامه‌های باگ‌بانتی و رفتار نامناسب و غیرحرفه‌ای شرکت‌های ایرانی باعث شده هکر‌های کلاه‌سفید توانایی و زمان و دانش خود را دراختیار کسب‌وکارهای ایرانی قرار ندهند.