امنیت؛ الفبای اصلی هر حرکت و اقدام در فضای مجازی است. اصلیترین و ضروریترین نیاز و انتظار هر کاربر از برنامه کاربردی یا وبسایت یا هر پلتفرمی که از آن استفاده میکند.
به گزارش گرداب، امروزه تمرکز و سرمایهگذاری بر امنیت محصولات در حوزه فناوری اطلاعات بهقدری افزایشیافته که یکی از اصلیترین و بزرگترین واحدهای توسعه برنامهها و اپلیکیشنها در هر شرکت و کمپانی به این امر اختصاص داده میشود. ازاینرو شرکتها و واحدهای فناوری قبل از عرضه محصولات خود بر بستر مجازی در یک محیط آزمایشگاهی تستهای امنیتی را انجام میدهند که از بابت نفوذ هکرها و نشت اطلاعات و خارج ساختن کنترل اپلیکیشن جلوگیری به عمل آورند.
در این ویدئو به انواع خطرات و حملات سایبری گوناگون به کسبوکارها و شرکتهایی که بر بستر مجازی عمل میکنند اشاره شده است.
ابتدای امر قصد داریم با نگاهی آماری به حوزه امنیت سایبری بپردازیم. گردش مالی بازار تست امنیتی نرمافزارها در سال ۲۰۲۰ چیزی در حدود ۶.۱ میلیارد دلار است و باتوجهبه گسترش و توسعه روزافزون تمامی پلتفرم های نرمافزاری و بهتبع آن امنیت این نرمافزارها، اینچنین برآورد میشود که در سال ۲۰۲۵ حجم این بازار به ۱۶.۹ میلیارد دلار برسد.
جالب است بدانید در مقابل هزینه کرد سالی ۶.۱ میلیارد دلار برای تأمین امنیت پلتفرم های نرمافزاری، صدمهای حدود ۶ تریلیون دلاری در اثر جرائم سایبری شامل هک و نفوذ و ... به صنعت فناوری اطلاعات تحمیل میشود[2]. بخش اعظمی از این جرائم سایبری به طور ویژه در حوزه نرمافزاری (حوزه سختافزاری و زیرساخت به دلیل شرایط حفاظت فیزیکی کمتر مورد حملات نسبت به حوزه نرمافزاری قرار میگیرد) توسط هکرهای کلاهسیاه یا Black Hat Hackers انجام میشود. هکرهای کلاهسیاه در اصطلاح به هکرهایی گفته میشود که افعال مجرمانه و غیرقانونی مرتکب میشوند. جرایم آنها شامل سرقت اطلاعات سازمانها، ورود به حریم شخصی افراد، صدمه زدن به سیستمهای اطلاعاتی، قطع و اختلال در شبکههای ارتباطی و غیره میشود.
در مقابل این دسته از نفوذگران یا هکرها، دستهای به نام هکرهای کلاهسفید وجود دارند که به آنها هکرهای اخلاقی یا هکر دوست نیز گفته میشود و دارای نیت بد نیستند و قصد ایجاد مشکل برای سیستمها را ندارند. هکرهای کلاهسفید با مشخص نمودن آسیبپذیریهای سیستم یا شبکه، سعی در کشف نقایص در جریان فعالیتهایی نظیر تست نفوذپذیری و یا ارزیابی امنیتی را دارند. بدین ترتیب این متخصصین خود را در جایگاه هکرهای بدخواه میگذارند و سعی میکنند قبل از آنکه سیستم بهصورت واقعی مورد مخاطره قرار بگیرد، آسیبپذیریها را یافته و به سازمان اعلام نمایند. هک اخلاقی غیرقانونی نمیباشد و بهعنوان یکی از صدها عنوان شغلی موجود در صنعت فناوری اطلاعات محسوب میشود. بسیاری از افراد و شرکتها خدمات مربوط به هک اخلاقی را در قالب تست نفوذپذیری و یا ارزیابی امنیتی ارائه میدهند.
این ویدئو پیرامون انواع هکرها توضیحاتی را ارائه میدهد.
طبق یک رویه مرسوم در میان شرکتهای ارائهدهنده خدمات و محصولات نرمافزاری بزرگ مانند گوگل، اپل، مایکروسافت و ... چنانچه هر یک از هکرهای کلاهسفید بتواند ایراد و اشکالی و در اصطلاح تخصصی آن، یک باگ (Bug) را پیدا و به شرکت مربوطه اطلاع دهند، بهازای آن پاداشی را دریافت میکنند. در این باره آمارها نشان میدهد که هکرهای کلاهسفید در سال ۲۰۱۸ و ۲۰۱۹ به ترتیب چیزی حدود [3]۱۹ و [4]۴۰ میلیون دلار درآمد از این پاداشها (Bounty) داشتهاند.
حال که آمارها نشان از درآمد نسبتاً بالا در عیبیابی و اخذ پاداشِ آن از شرکت مربوطه دارد، باید گفت که متخصصین امور امنیت سایبری که در ارگان یا سرویسهای دولتی و قانونیای به خدمت گرفته نشدهاند، عیبیابی و دریافت پاداش را بهنوعی تنها راه برای کسب درآمد از حرفه و تخصص خود میدانند. ازاینرو اصطلاح باگ باونتی (Bug Bounty) اصطلاحی رایج در فضای امنیت سایبری و نرمافزاری شده که هم روش درآمد هکرها است و هم روشی بسیار ارزان و مناسب برای کمپانیها برای ارزیابی و عیبیابی محصولاتشان. گزارشهای جدید خبر از رشد و ثبات درآمدی و عملکردی باگ باونتی دارد بهنحویکه در ژوئن ۲۰۲۰ رشد ۶۹ درصدی باگ باونتی را نسبت به بازه مشابه در سال ۲۰۱۹ شاهد بودهایم.
طرحهای تشویقی باگ باونتی به دلیل گزارش باگها، بهخصوص باگهایی که باعث سو استفاده و آسیبپذیری میشوند، موردتوجه بسیاری از وب سایتها و توسعه دهندگان نرمافزاری قرار گرفته است. این طرحها به توسعه دهندگان اجازه میدهند که باگها را قبل از اینکه عموم مردم از آنها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. طرحهای باگ باونتی توسط تعداد زیادی از سازمانها، از جمله Mozilla، Facebook، Yahoo، Google، Reddit، Square و Microsoft اجرا میشوند؛ حتی شرکتهای صنعتی که با تکنولوژی سروکار چندانی ندارند. از جمله سازمانهایی که برای اولینبار استفاده از باگ باونتی را آغاز کرد، وزارت دفاع امریکا است.
پنتاگون و چندین آژانس دولتی آمریکا از طرحهای تشویقی باگ باونتی استفاده میکنند که در این طرحها از هکرهای کلاهسفید (در زمینه امنیت کامپیوتری) دعوت میشود تا در افشای آسیبپذیریهای امنیتی مشارکت کنند.
در سال ۲۰۱۲ اولین و بزرگترین سرویس ارائهدهنده خدمات امنیتی بهصورت باگ باونتی به نام هکروان به آدرس اینترنتی www.hackerone.com تأسیس شد. هکر وان در کنار ارائه سرویسهای امنیتی و دورههای آموزشی به دانشگاهها از جمله دانشگاه UC Berkeley بستری را برای شرکتها و سازمانها فراهم کرده که سیستمها و سامانههای اینترنتی خود را بدون محدودیتهای جغرافیایی در معرض مسابقات کشف باگ و تست بهترین متخصصین نفوذ از سراسر دنیا قرار دهند. دراینبین هکروان به طور سالانه گزارشهای جامعی را در بخشهای مختلف تهیه مینماید که حاوی مطالب بسیار مفید و آموزندهای است که آگاهی از آنها برای هر فعال امنیت سایبری مفید خواهد بود و گستردگی و ابعاد مختلف این مسابقات را تبیین میکند.
در واقع امروزه هکروان به علت ارائه خدمات صفر تا صدی به هکرها و متخصصینی که در آن عضو هستند، تبدیل به دروازه ورود هکرها به زمینه باگ باونتی شده است. از نگاه مجله FastCompany، هکروان بهعنوان پنجمین شرکت نوآوری جهان انتخاب شده است. این مجله در این باره میگوید:
«وقتی شرکت Capital One از کشف نقص داده در جولای ۲۰۱۹ باخبر شد که میتوانست منجر به افشای اطلاعات بیش از ۱۰۰ میلیون کارت اعتباری و حساب کاربری این شرکت شود، یکی از هکرهای شرکت هکروان این نقض و باگ را کشف کرد. هکروان شرکتی است که به آژانسهای تجاری و دولتی دسترسی داشته و شبکهای متشکل از ۶۰۰ هزار هکر دارد. وظیفه اصلی این هکرها ارزیابی و آزمایش سیستمهای این شرکتها و ارگانها (دولتی و خصوصی و بعضاً نظامی) است و در ازای یافتن نقصها و رسوخهای امنیتی، مبالغی را دریافت میکنند، مبالغی که گاهاً برخی از هکرها را میلیونر میکند.»
علاوه بر این، هکروان به طور سالیانه گزارشهای و راهنماییهایی پیرامون جوانب مختلف امنیت سایبری و ... منتشر میکند که برای همه متخصصین امنیتی بهعنوان یک مرجع و پایگاه استنادی معتبر و کاربردی شناخته میشود. راهنماییهایی شامل معرفی مراحل عضو شدن و آشنا شدن با باگ باونتی که برای تازه کاران این مسیر بسیار مفید است.
طبق آخرین گزارش سالیانه هکروان:
نتیجه گیری
البته امروزه سرویس دهندگان دیگری در حوزه باگ باونتی وجود دارند که بهصورت تخصصی به پلتفرم ها میپردازند؛ مانند پلتفرم های گوشیهای تلفن همراه، اینترنت و غیره که ما در نوشتار به معروفترین و پرکاربردترین آن پرداختیم.
دانش ورود به این حیطه از امنیت سایبری که همانطور که گفته شد تبدیل به یک شغل تثبیت شده و پردرآمد شده، حول آشنایی و فراگیری زبانهای تحت وب نظیر java script و HTML و ... است. همچنین تسلط به اصول امنیت شبکه شامل زیرساختها و پروتکلها و حملات امنیتی و مکانیسمهای آنها مثل حملات فیشینگ (Phishing)، انکار سرویس (DoS) و ... از مقدمات و پایههای ورود به این زمینه است. بعد از فراگیری این دانشهای پایه نیاز به فراگیری ابزارهای این زمینه است که غالباً نرمافزارهای رایگان و متنباز (Open Source) هستند، نرمافزارهایی نظیر BurpSuite، OWASP ZAP، Aqua Tone. اما مسئله بسیار مهم ایجاد، رشد و توسعه این رویکرد خاص از تأمین امنیت سایبری است؛ هکروان نام این سیستم تأمین امنیت را رویکرد Hacker-Powerd میگذارد و در توصیف آن میگوید: «تمام تکنیکهای منحصربهفردی که جامعه هکرهای خارج از آن سیستم برای یافتن آسیبپذیریهای امنیتی ناشناخته بهمنظور کاهش خطرات سایبری انجام میدهند.»
این نوع از امنیت که مبتنی بر هکرها است بهوضوح نشان داده که بسیار کاراتر و هزینههای آن بهمراتب بسیار کمتر است و علاوه بر افزایش امنیت و کاهش خطرات سایبری، منجر به ایجاد اشتغال در جامعه مهندسان امنیت سایبری و جلوگیری از سوق دادن آنها به ارتکاب اعمال مجرمانه میشود. ازاینرو لازم است مسئولان حوزه فناوری اطلاعات و امنیت سایبری کشور نسبت به ایجاد ساختار تأمین امنیت سایبری مردم پایه اقدام کنند؛ مقولهای که اگر چنانچه کوتاهی و قصوری در آن صورت بپذیرد، آسیبهای جبرانناپذیری به کشور وارد میشود.
______________________________
منابع:
https://www.marketsandmarkets.com/Market-Reports/security-testing-market-۱۵۰۴۰۷۲۶۱.html
https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-۲۰۱۶/
https://hostingtribunal.com/blog/hacking-statistics/
https://thenextweb.com/security/۲۰۲۰/۰۲/۲۵/hacker-bug-bounty/
https://www.scmagazine.com/home/security-news/vulnerabilities/new-report-suggests-the-bug-bounty-business-is-recession-proof/
https://www.hackerone.com/
http://www.securityweek.com/mozilla-revamps-bug-bounty-program
https://www.google.com/about/appsecurity/reward-program/
https://www.xda-developers.com/microsoft-windows-bug-bounty/
https://www.wired.com/story/hack-the-pentagon-bug-bounty-results/
https://www.justice.gov/criminal-ccips
https://b۲n.ir/۱۹۶۸۳۳
https://www.fastcompany.com/۹۰۴۵۷۵۲۸/hacker-one-most-innovative-companies-۲۰۲۰