درآمد ميليوني هكرها از طريق گزارش حفرههاي امنيتي
«Shashank Kumar» مهندس اسبق سيسكو و متخصص امنيت شبكه، در سالهاي نوجواني با هك آشنا شد. او در ابتدا جهت سرگرمي و ديفيس «Deface» سايتها را هك ميكرد. اما حالا پشيمان است، زيرا مطلع شده كه در قبال كاري كه انجام ميداد، ميتوانست با گزارش باگها و آسيبپذيريها درآمد داشته باشد. سپس او با فعاليت در «cyberboyindia» توانست ۳۰ هزار دلار درآمد داشته باشد، در واقع اين مبلغ حداقل مخارج شهريهي او را جبران ميكرد. اين روزها ممباحثه امنيت طوري شده است كه حتي دانشآموز ۱۹ ساله بدون توجه به امتحانات نهايي خود شبها بيدار مانده و به مطالعه باگهاي امنيتي ميپردازد. سايتهاي بزرگي مانند ياهو، توئيتر، پيپال و AT&T در تيررس اين گونه افراد قرار گرفته و ممكن است حتي آسيبپذيريهاي بزرگي از آنها يافت شود. شاشنك هم جزو افرادي است كه در قبال گزارش باگها پاداشي از قبيل موبايلهمراه و چك ۱.۵۰۰ دلاري را دريافت كرده است.
او پس از يافتن باگ گوگل در اكانت توئيتر خود اين موضوع را منتشر كرد:
شاشنك جزو افرادي است كه ممباحثه امنيت و گزارش باگ را گسترش داد. گوگل هفتهي پيش اعلام كرد كه برنامهي گزارش باگ خود را تغيير داده است. تاكنون كساني كه قصد شركت در اين كنفرانس گزارش باگ را داشتند، بايد باگهاي شناسايي شده را در ماه مارس ثبت ميكردند، براي شركت در كنفرانس نام نويسي ميكردند و اگر همه چيز بر طبق روال پيش ميرفت، پاداش خود را دريافت ميكردند. اما گوگل بهتازگي امكان انجام تمامي اين كارها به صورت از راه دور و در تمامي ماههاي سال فراهم ساخته است. از اين پس هريك از متخصص كارشناسان امنيتي كه با ايرادي در سيستم عامل كروم رو برو ميشود، ميتواند با ثبت آن باگ در برنامهي پاداش براي حفره هاي گوگل يا VRP، بدون نياز به هيچ كار اضافي ديگر، انتظار دريافت پاداش خود را داشته باشد.
براي ترغيب هرچه بيشتر متخصص كارشناسان امنيتي، گوگل مقدار حداكثر پاداش براي هر فرد را به بينهايت تغيير داده است.
به اين معني كه ديگر سقفي براي اين افراد وجود ندارد و هركس ميتواند براي هر يك از باگهايي كه شناسايي كند پاداش دريافت كند. اما اين برنامه كمي عجيب به انديشه متخصصين ميرسد، شايد با اين كار گوگل ميخواهد خود را در عرصهي رقابت نگه دارد. معمولا برنامهي گزارش باگ با پاداشهاي مختلفي همراه است؛ مانند چكهاي چند ميليون دلاري يا حتي تيشرت! اما در طول پنج سال اخير اين برنامه بهتر شده است و شامل پاداشهاي ميليوني است. تقريبا تمامي كمپانيهاي فعال در زمينهي تكنولوژي يك نمونه از اين برنامهها را دارند و حتي مقدار و مبلغ پاداشهاي خود را نيز افزايش دادهاند. استارتاپهاي جديدي مانند Crowdcurity, Bugcrowd, Synack و HackerOne در زمينهي گزارش باگها به كمپانيهاي بزرگ كمك كرده و بهطور قابل توجهي مبلغ پاداشي آسيبپذيريها را افزايش ميدهند. برنامههاي گزارش باگ فقط مختص كمپانيهاي بزرگ نيست، امروزه با پيشرفت تكنولوژي امنيت هم زير سؤال ميرود. به همين دليل كمپاني چه كوچك باشد و چه بزرگ داراي باگ است.
سلاح جديد در جنگ بيپايان
Andrew Pile مدير ارشد تكنولوژي در Vimeo اخيرا يك برنامهي گزارش باگ را توسط استارتاپ HackerOne به اجرا گذاشته و گفت:
حال شرايط فرق كرده و ذهنيت ديگري از امنيت داريم و بايد از چنين استارتاپهايي كمك بگيريم، زيرا برنامهريزي و شروع چنين برنامهاي از صفر، بسيار سخت و دشوار است.
با رشد Vimeo در چند سال اخير، تعدادي گزارش باگ هم دريافت كرده است، اما به انديشه متخصصين ميرسد پيل نسبت به پرداخت گزارشهاي باگها كمي ناراضي به انديشه متخصصين ميرسد و گفت:
تنها راه تشكر از هكرها و گزارش دهندگان باگ فراهم كردن اكانت رايگان يا تيشرت بود، كه اين روش كارآمد نبوده و افراد متخصص را براي يافتن باگ تشويق و ترغيب نميكرد.
همانند كمپانيهاي بسياري Vimeo در جلب توجه متخصصان امنيت اشكال دارد، به همين دليل اين اشكال باعث شد تا اين شركت به فكر افراد خبرهي ديگري باشد، شايد در اين بين متخصصاني هم پيدا ميشد كه نه ميشناختند و نه اعتمادي نسبت به آنها داشتند، زيرا اغلب اين افراد گروهي ناشناس و نوجوان بودند. استارتاپهاي فعال در زمينهي گزارش باگها به عنوان دلالهاي بازار هستند، زيرا اعتمادي را بين كمپانيها و مشتريان جهت برقراري ارتباط و همكاري ايجاد ميكنند. بنابراين شركتهايي مثل Vimeo با مراحل اوليهي تعامل با هكر ارتباطي نداشته و فقط مقدار و نوع پاداش را تعيين ميكنند. پيل با بيان اينكه پرداخت پول به اين گونه افراد واقعا ميتوانند زجرآور باشد، زيرا آنها در هر نقطهاي از دنيا وجود دارند. استارتاپ HackerOne با مديريت تمامي مراحل قانوني و منطقي، روشي آسان را به كمپانيها فراهم ميكند.
استارتاپ HackerOne در قبال مديريت و همراهي از مراحل گزارش هر باگ، ۲۰ درصد از مبلغ پرداختي به هكر را دريافت ميكند.
اين سيستم روشي راحت و بيدردسر را براي كمپانيهاي بزرگي از جمله ياهو و توئيتر ارائه ميكند. اين شركتها از كمپانيهاي شخص ثالث مانند استارتاپ HackerOne براي مديريت برنامهي باگ خود استفاده ميكنند. Bill Gurley يكي از افراد فعال در اين استارتاپ با بيان اينكه راه كارهاي قديمي ديگر در گزارش باگهاي نرمافزاري و سختافزاري كارساز نبوده گفته كه بايد از روشي نوين و كارآمد در اين زمينه استفاده كرد. در واقع به جاي تعامل مستقيم با هكرها، برنامهي گزارش باگ از طريق استارتاپها راه حل منطقي و بهتري به انديشه متخصصين ميرسد.
مديريت افراد سودجو
براي متخصصان امنيت بزرگترين ريسك، صرف كردن ساعات زيادي در يافتن آسيبپذيريها و سپس نوشتن گزارشي كامل در خصوص اين باگ و تشريح چگونگي رفع و پچ آنها است. افراد حرفهاي مانند شاشنك و همكاران او در اين زمينه، آسيب پذيريهايي كه مكررا و به صورت مداوم تكرار ميشوند را پيدا كرده و درصدد رفع آنها برميآيند؛ ميتوان گفت اين افراد زمينهي شناخت اين گونه آسيبپذيريها و رفع آنها شناخته شدهاند.
پيل در خصوص اين آسيبپذيريها ميگويد:
اعتماد حرف اول را در اين زمينه ميزند، اين گونه افراد ساعات زيادي از شبانهروز را صرف پيدا كردن و گزارش اشكالات امنيتي صرف ميكنند و سپس گزارش آرشيو ميشود. من تعداد قابل توجهي از گزارشها تكراري را جمع كردهام كه متاسفانه فقط براي نفر اولي كه باگ را گزارش ميدهد، پاداش را پرداخت خواهيم كرد.
نكتهي قابل توجه اين است كه افراد بسياري كه در زمينهي امنيت مشغول هستند، كار يافتن و گزارش باگ را انجام ميدهند. ماهيت ماجرا اين است برخي مواقع اين شرايط حتي بصورت ماهيانه هم براي متخصصان امنيت به صرفه نبوده و اشكال ساز ميشود. بيشتر اين افراد كار گزارش باگ را به صورت سرگرمي و فقط از روي علاقه و بصورت پاره وقت انجام ميدهند. البته در انديشه متخصصينسنجي كه انجام شده برخي از هكرها اعلام كردهاند كه در قبال گزارش باگ مهمي، مبلغ هنگفتي را نيز دريافت كردهاند.
اندرو يكي از هكرهاي معروف روسي در اين خصوص گفت:
برنامهي باگ مانند بازي الكترونيك پوكر است. ممكن است خوش شانس باشيد و پاداش بزرگي را دريافت كنيد، اما در مقابل شايد خوش شانس نبوده و زمان زيادي را صرف يافتن باگ كرده باشيد و در نهايت هيچ پاداشي را دريافت نكنيد.
در كشورهايي مانند هند و پاكستان افراد نوجوان بسياري وجود دارند كه در زمينهي امنيت فعال هستند، در واقع ميتوان از انرژي و استعداد اين گونه افراد در برنامهي گزارش باگ استفاده كرد. شايد در بين افرادي نيز باشد كه سودجو بوده و صرفا از گزارشها متخصصان امنيت ديگري سوءاستفاده ميكنند.
دنيل لوشمينان يكي از افرادي است كه باگ اپليكيشن Trello را پيدا كرده، ميگويد:
با مطالعه گزارشها باگهاي اين سايت، برخي افراد سودجو هم مشاهده شدهاند، اين دسته افراد با فريب متخصصان امنيت درصدد به دست آوردن گزارش آسيبپذيريهاي آنها هستند و ادعا ميكنند كه در مقابل ارائهي آسيبپذيريهاي سايتهاي بزرگ پاداش بزرگ نيز دريافت خواهيد كرد. در هفتهي اول انتشار برنامهباگ Trello، تعداد ۲۰۰ گزارش را دريافت كرديم كه تنها ۱۰ مورد آنها واقعي بودند.
به دليل اين دسته از اشكالات، استارتاپ Synack از يك مدل متفاوت و بسته استفاده ميكند؛ در واقع اين استارتاپ از بهترين روش ممكن استفاده ميكند. Synack توسط تعدادي از افراد فعال در NSA به وجود آمده كه سالهايي طولاني را صرف يافتن و گزارش آسيبپذيريهاي مراكز دولتي كردهاند. جي كاپلان بنيانگذار اين استارتاپ گفته كه از رويكردي متفاوت براي ارائه دهندگان برنامهي گزارش باگ استفاده ميكنند. او همچنين گفت كه ممكن است برخي افراد حتي با ۵۰ دلار افراد متخصص در اين زمينه را فريب دهند. كمپانيهايي كه از استارتاپ Synack استفاده ميكنند، مبلغي را به هكرها پرداخت نميكنند، اما در عوض خدمات رايگان ديگري را براي اين گونه افراد فراهم ميكنند. اين استارتاپ در ابتدا امتحاني را از هكرها ميگيرد و اگر در اين تست مورد قبول واقع شوند، به فهرستي مجزا و خاص اضافه خواهند شد. سپس اين افراد را در برنامهي گزارش باگ ثبتنام ميكند و بعدها از آنها براي گزارش آسيبپذيريهاي كمپانيهاي غير تكنولوژي استفاده ميكند.
اجتناب از مقاومت
الكس رايس مدير سابق برنامهي امنيت فيسبوك و مدير ارشد متخصص در استارتاپ HackerOne گفت:
بيشتر هكرها راه رسمي و قانوني را در بازار سياه براي فعاليت در زمينهي گزارش باگ انتخاب ميكنند، حتي اگر مبالغ كم باشند. براي فروش محصولي در بازار سياهُ حتما بايد آن را ايمن كنيد. به همين دليل ممكن است اين كار ماهها طول بكشد اما در نهايت به آن محصول قدرت و توانايي خواهيد بخشيد. بيشتر افراد مهارتهاي نرمافزاري را دارند اما به قصد خرابكاري كاري را انجام نميدهند.
برخي متخصص كارشناسان فعال در زمينه فناوري، امنيت و ايمني كار و برنامهي باگ را در اولويت اول ميدانند. به عقيدهي Ilia Kolochenko بنيانگذار شركت امنيتي High-Tech Bridge، برخي كمپانيها تصور ميكنند اگر برنامهي گزارش باگ خود را به صورت عمومي منتشر كنند، بازخوردهاي خوبي را هم دريافت خواهند كرد؛ اما شرايط كمي فرق ميكند. زيرا اين كار به ضرر خود كمپاني تمام خواهد شد. او از مثال هكري استفاده كرد كه باگ تكراري را گزارش كرده است. در اين مثال هكر سودجود بوده و در گزارش خود اعلام ميكند كه اگر گزارش باگ مورد قبول واقع نشود، روال كار را تغيير داده و از باگها بهرهبرداري خواهد كرد يا اين آسيبپذيري را به افراد متخصص، مدير ارشد كه مبالغ بيشتري پرداخت كنند خواهند داد.
گاس آنانيوس يكي از افراد فعالي بود كه در برنامهي گزارش باگ پيپال كمك كرده و حال در استارتاپ Synack مشغول است. به عقيدهي وي بايد به هكرهايي كه مبالغ كمي را در قبال گزارش باگ دريافت ميكنند، توجه بيشتري شود. زيرا ترغيب و تشويق بيشتر آنها باعث ميشود علم هكينگ خود را گسترش داده و به برنامهي گزارش باگ كمپانيهاي بزرگ كمك كنند. در غير اين صورت ممكن است باگهاي مهم را انتشار كرده و امنيت كمپانيها را به خظر بيندازند. به همين دليل شركتهايي كه تهديداتي را از سوي هكرها دريافت ميكنند، زمان بسياري را نيز براي سر و كله زدن با آسيبپذيريها صرف خواهند كرد، در نتيجه نهتنها وصلهي امنيتي براي باگها ارائه نخواهد شد، بلكه آسيبپذيريهاي مهم سيستم در معرض حملات سايبري نيز قرار خواهند گرفت. بايد كمپانيها در ازاي دريافت گزارش جديدي كه تكراري نيست، پاداش خاص و بزرگي را براي هكرها در انديشه متخصصين بگيرند. در اين صورت رقابت نيز بيشتر شده و آسيبپذيريهاي زيادي نيز از سيستم پيدا خواهند شد. با رفع اين باگها سيستم بهطور كامل ايمن خواهد شد. اگر اين چرخه بهطور مكرر انجام شود، ميتوان گفت تمامي كمپانيهاي بزرگ امنيت خود را به نوعي افزايش خواهند داد. البته در اين بين ممكن است باگهايي آشكار شوند كه خصوصي بوده و شايد هكر قصد گزارش آن را ندارد؛ در اين حالت چندين احتمال وجود دارد. اين باگ به يك كمپاني ديگري كه در زمينهي امنيت فعال است گزارش خواهد شد و آنها در ازاي ارائهي آن به برنامهي گزارش باگ پول هنگفتي را در يافت خواهند كرد، يا اينكه خود هكر در قالب فردي ناشناس به بهرهبرداري اين آسيبپذيري مشغول خواهد شد.
ساختن بهترين راه در بدترين شرايط
برخي متخصصان امنيت كه سالها در زمينهي برنامهي گزارش باگ مشغول بودند، راه خود را تغيير دادهاند.
دن كامينسكي يكي از متخصصان امنيت در اين خصوص ميگويد:
من هميشه نگران بودم كه چنين برنامههاي گزارش باگ به وجود خواهد آمد و افراد سودجوي بسياري باگهاي خطرناكي را بدون اينكه گزارش كنند از آنها سوءاستفاده خواهند كرد يا اينكه بدون گزارش كردن تقاضاي پول هنگفتي را از كمپانيها داشته باشند. اي كمپانيها هم در عوض زمان زيادي را براي اين نوع باگها و با اين افراد تلف خواهد كرد؛ در آخر اين باگها بدون اينكه وصلهي امنيتي براي آنها ارائه شود بهرهبرداري خواهند شد.
اما در حال حاضر افراد متخصصي هم وجود دارد كه استعدادهاي بسياري در گزارش باگ دارند. در مقابل افرادي هم وجود دارند كه گزارش باگ را در زمينه ي امنيت سيستمها بسيار مهم نميداند. اين دسته از افراد راههاي ديگري را براي افزايش سيستم دارند. به عنوان مثال تيمي كه كمپاني سوني را هك كردند، جزو اين دسته از گروه قرار دارند. در واقع كمپاني سوني در هيچ برنامهي گزارش باگ شركت نكرده بود، اما چون در شرايط بدي قرار داشت افراد مخصص و البته سودجويي اين شركت را هك كردند. به همين دليل لاخبار تخصصيا بيشتر هكها بر مبناي آسيبپذيري نيست و از طريق مهندسي اجتماعي صورت ميپذيرد. حتي ممكن است در اين روش برنامه و نرمافزارهاي مخربي به كمپاني و متخصصان داده شوند، در نتيجه سيستم آسيبپذير شده و در معرض حمله قرار ميگيرد. حتي بنيانگذاران اين استارتاپها نيز از آنها به عنوان جادوي حل اشكالات امنيتي ياد نميكنند. با اينكه ميتوان آنها را راهحل مناسب و قانوني براي رفع آسيبپذيريها دانست.
جيكوب هانسن بنيانگذار و مديرعامل Crowdcurity گفت:
نميتوان گفت زماني كه برنامهي گزارش باگ اجرا ميشود پس حتما امنيت سيستم نيز برقرار شده است؛ اين تنها يك گزينه براي شروع رفع آسيبپذيريها است. شما نياز به مطالعه و مرور كد، منايع سختافزاري و آموش كاركنان خواهيد داشت.
با مطالعات انجام شده در مرورگرهاي كروم و فايرفاكس، اين نتيجه به دست آمد كه برنامهي گزارش باگ اجرا شده روي اين مرورگرها بسيار ارزانتر از استخدام يك متخصص امنيت است. امروزه بيشتر مؤسسه و سازمانها به اين نتيجه رسيدهاند كه راههاي ديگري نيز براي برقراري امنيت سيستم وجود دارد. استارتاپها فقط يكي از اين راهكارها است. در غير اينصورت بايد از تيمي متخصص و كامل براي برقراري امنيت و ارائهي وصلههاي امنيتي استفاده شود.
هم انديشي ها