به گزارش
گرداب، قوه قضائیه ایران از برگزاری مسابقه برای هکرهای کلاهسفید برای یافتن نقاط ضعف شبکههای کامپیوتری خبر داده و از این افراد برای ثبت نام در سایت کلاهسفید دعوت کرده است.
«حمید شهریاری» معاون رییس قوه قضاییه و رییس مرکز آمار و فناوری اطلاعات این قوه تاکید کرد که جوانان مستعد در این سایت ثبت نام کننده و در مسابقات کشف باگ شرکت کرده تا همکاریهایی در آینده با این افراد صورت بگیرد، وی افزود: «مدیران ایرانی توصیه کرده که به منظور جلوگیری از هک شدن، از امنیت شبکههای خود اطمینان خاطر حاصل کنند. سایت کلاه سفید، برای جوانان با استعدادی طراحی شده تا آنها با ثبت نام در آن، دست به کشف ایرادهای امنیتی در شبکهها بزنند.»
شهریاری تاکید کرده است داوران، به افرادی که مهمترین اشکالهای امنیتی را بیابند، جایزه خواهند داد.
داوران سامانه کلاه سفید، از متخصصین مرکز آپا دانشگاه صنعتی امیرکبیر هستند که به عنوان متخصصان بی طرف، موارد امنیتی را بررسی میکنند. در صورتی که صحت این موارد احراز گردد، هزینه به فرد تست کننده پرداخت میشود. در این سامانه شما پس از برگزاری یک مسابقه امنیتی، تنها در صورتی هزینه پرداخت می نمایید که آسیبپذیری کشف گردد. با این ساختار، شما حداقل هزینه را با بیشترین کیفیت خواهید داشت.
در ایران از زمان پیدایش اینترنت و پس از آن با افزایش فرهنگ امنیت اطلاعات، تستهای امنیتی نیز در بین شرکتها رواج یافتهاند، اما همواره این موضوع با یک مشکل بزرگ روبرو بوده است و در برخی مواقع مشکلاتی برای شرکتهای بزرگ ایرانی صورت گرفته است و مرکز ماهر هم بارها در این باره هشدارهای لازم را داده است.
چالش کارایی در قبال هزینههای پرداختی. مشکل از آن جا پیدا میشود که پس از انعقاد قرارداد تست امنیتی، به هر صورت درصد زیادی و یا همه هزینه میبایست در قبال تست پرداخت شود و این درحالی است که ممکن است هیچگونه آسیبپذیری کشف نشود و یا اصلا تست مناسبی صورت نگرفته باشد.
کارشناسان این حوزه باور دارند که اعلام کردن عمومی این تستها باعث میشود که مدیران مجموعهها چندان تمایلی به اجرایی شدن و علنی شدن این موضوع نداشته باشند. «علی» که یک هکر به شمار میرود و اصرار دارد که هکرهایی که کلاهبرداری میکنند و آسیب میزنند را باید کِرَکِر به معنای تخریب کننده نامید، میگوید:
«اجباری شدن این قضیه برای برخی شرکتها خیلی مهم است ولی متاسفانه در حال حاضر فقط به هشدارهای مرکز ماهر بسنده میشود، مرکزی که تواناییها و کارکرد خودش نیز جای تامل دارد و در طول فعالیتش با مشکلاتی هم روبرو بوده.»
او نگاه چندان خوش بینانهای با موضوع ندارد و این جریان را یک شبه bug bounty معرفی میکند که متاسفانه در ایران اعرابی از معنا ندارد:
«شرکتهای بزرگ و غول فناوری در دنیا مبالغ هنگفتی برای هکرها جایزه میدهند و از آنها استقبال میکنند ولی در ایران بیشتر با این افراد برخورد میشود. حال شاید چون قوه قضاییه پشت این ماجرا قرار گرفته کمی امنیت بیشتری برای هکرها تامین شود ولی بازهم عدم اعتمادی در این میان وجود دارد که برای تمایل همکاری این دسته با گروهها و ادارات دولتی مانع میتراشد.»
او باور دارد که کمتر سازمان دولتی ممکن است در این مسابقات شرکت کند ولی امیدوار است که تعابیرش اشتباه از آب در بیاید و این روند در کشور جا افتاده و بتوان از ردتیم و بلوتیم هم در شرکتها استفاده کرد، گروههایی که در هر شرکت مهمی در سطح بینالمللی حضور دارند و کارهای تست و امنیت سنجی آن شرکت را انجام میدهند.