برنامه باگ باونتی چیست ؟

برنامه یا مسابقات باگ باونتی

یک برنامه باگ باونتی به دلیل گزارش باگ‌ها، به خصوص باگ‌هایی که باعث سو استفاده و آسیب پذیری می‌شوند، و اینکه در ازای گزارش این باگ‌ها افراد پاداش دریافت می‌کنند و یا به رسمیت شناخته می‌شوند، مورد توجه بسیاری از وب سایت‌ها و توسعه دهندگان نرم‌افزاری قرار گرفته‌است این برنامه‌ها به توسعه دهندگان اجازه می‌دهند که باگ‌ها را قبل از اینکه عموم مردم از آن‌ها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. برنامه‌های باگ باونتی توسط تعداد زیادی از سازمان‌ها،از جمله Mozilla، Facebook، Yahoo، Google، Reddit، Square و Microsoft اجرا شدند. شرکت‌های صنعتی که با تکنولوژی سر و کار چندانی ندارند، از جمله سازمان‌های محافظه کار سنتی مانند وزارت دفاع امریکا، استفاده از برنامه‌های باگ باونتی را آغاز کردند. استفاده پنتاگون از برنامه‌های باگ باونتی بخشی از برنامه تغییر دولت است و چندین آژانس دولتی آمریکا از این برنامه استفاده می‌کنند، بر طبق این برنامه از هکرهای کلاه سفید (در زمینه امنیت کامپیوتری) دعوت می‌شود تا در افشای آسیب پذیری‌های امنیتی مشارکت کنند.

شکارچی باگ  ( Bug Bounty Hunter )

باگ بانتی هانتیگ کشف و یافتن باگ‌ها در نرم‌افزارها، سایت‌ها، وب‌اپلیکیشن‌ها و اعلام آن به به مالکان این نرم‌افزار و دریافت پول بر اساس میزان خطرناک و حساس بودن باگ‌های کشف شده است.اگر اخبار حوزه فناوری‌اطلاعات را پیگیری می‌کنید تاکنون حتما شاهد اخبار تعیین جایزه برای هک‌کردن نرم‌افراز‌های شرکت‌ها و موسسات بوده‌اید.اما از سال ۲۰۱۲ سایت اروپایی هکروان راه‌اندازی شده است که به شرکت‌ها این امکان را می‌دهد تا با پرداخت مبلغی پول به هکرها از حفر‌ه‌‌ها و باگ‌‌های سایت و اپلیکیشن‌هایشان که توسط آنها کشف می‌شوند، مطلع شوند و نسبت به رفع آنها اقدام کنند.

باگ بانتی یا پاداش در ازاء  آسیب پذیری در ایران

در ایران معمولا بعد از کشف آسیب‌پذیری، مسیری بسیار بد طی می‌شود. ابتدا هکر کلاه‌سفید، در میان شبکه‌های اجتماعی و آشنایان به دنبال «آشنایی» می‌گردد تا بتواند باگ خود را به پول تبدیل کند. در بهترین حالت بعد از پیدا کردن لینک در داخل سازمان، بحث بر سر شدت آسیب‌پذیری به بدترین شکل ممکن صورت می‌گیرد. بدین ‌صورت که هکر کلاه‌سفید، اصرار بر خطرناک بودن آسیب‌پذیری خود دارد، در عین حال، سازمان، ادعای امن بودن کرده و تقاضای دیدن POC برای تخمین شدت آسیب‌پذیری را دارد. هکر کلاه‌سفید به دلیل ترس از «از دست دادن آسیب‌پذیری»، از دادن جزئیات امتنا می‌کند. در اکثر مواقع هم بعد از ارائه جزئیات توسط هکر کلاه‌سفید، سازمان اظهار کم اهمیت بودن سامانه آسیب‌پذیر را می‌کند.

این روال بسیار غلط است، اصلا نیازی به کشف روال صحیح نیست، کافی است ببینیم سازمان‌ها و شرکت‌های بزرگ دنیا چه‌کار می‌کنند؟ تمامی شرکت‌ها، جدولی مربوط به قلمرو یا Scope مجاز برای گزارش آسیب‌پذیری را دارند. برای مثال، یک قلمرو مناسب برای شرکت ارتباطات سیار یا همراه‌اول، می‌تواند

*.mci.ir

باشد، و دامین‌های غیر مجاز و کم اهمیت از آن کاسته شود. قسمت بعدی، باید جدول پرداختی به ازا شدت‌های مختلف آسیب‌پذیری باشد. یک مثال بسیار عالی می‌توان به برنامه شرکت X در BugHub (باگ هاب ) اشاره کرد. بدین ترتیب، بحث بی نتیجه بالا هیچ‌وقت پیش نمی‌آید. برای جمع‌بندی، می‌توان اشاره کرد که یک برنامه بانتی خوب نیاز به شاخص‌های زیر دارد:

• قوانین برنامه
• تعیین قلمرو
• جوایز کشف آسیب‌پذیری
• نحوه گزارش
• آسیب‌پذیری‌های خارج از بانتی

با توجه به موارد بالا، بسیاری از سازمان‌ها و شرکت‌های ایرانی که ادعای داشتن برنامه باگ‌بانتی رو دارند، فاقد این امر هستند. در واقع این شرکت‌ها، فقط یک راه ارتباطی یک‌طرفه برای دریافت آسیب‌پذیری، بدون ارائه هیچ تضمینی برای همکاری با هکر کلاه‌سفید دارند.

تعریف سامانه باگ‌بانتی

این سامانه به عنوان یک واسطه بین هکرهای کلاه سفید و سازمان‌ها و شرکت‌های دولتی و خصوصی عمل می‌کند. این سامانه دو گروه مخاطب خواهد داشت،

• گروه اول سازمان‌ها و شرکت‌هایی هستند که می‌خواهند بخشی یا تمام ابزارها و سرویس‌های خود را در معرض ارزیابی متخصصین قرار دهند.
• گروه دوم هکرهای کلاه سفید که با اهداف مختلفی از جمله کسب درآمد مناسب، به چالش کشیدن تخصص خود، کسب شهرت و غیره در سامانه ثبت نام خواهند کرد.

در خصوص سامانه پیش‌روی، چند نمونه بسیار موفق ایرانی و خارجی وجود دارد که مهمترین آن‌ها bughub.net و hackerone.com و bugcrowd.com می‌باشد. در حال حاضر شرکت‌ها و سازمان‌های بزرگی در آمریکا از خدمات hackerone.com بهره می‌برند که از بین آن‌ها می‌توان به وزارت دفاع آمریکا، Yahoo و Twitter اشاره کرد.

چرا مسابقات باگ بانتی؟

به دلیل تغییرات زیاد محصولات و خدمات در یک سازمان و همچنین کمبود نیروی انسانی در حوزه امنیت، بصورت معمول تست نفوذ بصورت دوره ای در سال و مطابق با چک لیست های امنیتی استاندارد انجام می شود تا اطمینان حاصل شود آن محصول در مقابل آسیب پذیری های شناخته شده و عمومی ایمن شده است. هزینه های بالا، زمانبر بودن، وابستگی به قراردادها و تفاهم نامه های پیمانکاری، محدود شدن به دانش ارزیابی کنندگان، کیفیت کم در صورت نزدیک شدن به خروجی های ابزارها از معایب ارزیابی امنیتی های سنتی می باشد.

در سالهای اخیر رویکرد استفاده از پتانسیل اجماع کاربران در حوزه های مختلف مورد توجه قرار گرفته است. از آن جمله می توان به ارایه اخبار تخصصی، اشتراک گذاری دانش و اطلاعات و یا اجرای انواع تستهای کاربری اشاره نمود. دسترسی به دانش کاربران متخصص در حوزه امنیت خدمات فناوری اطلاعات و ارتباطات در شناسایی آسیب پذیری های امنیتی این خدمات نیز به عنوان راهکاری تکمیلی و موثر با نام تجاری “باگ بانتی” یا ” مسابقات کشف آسیب پذیری ” در حال توسعه و گسترش می باشد.

تست محصولات سازمان بصورت مستمر، هزینه کمتر در قبال باگ های واقعی، دسترسی به گستردگی دانش استفاده کنندگان از محصول، تست در محیط عملیاتی و واقعی کاربران و محدود نبودن به پیچیدگی های قراردادی از جمله مزایای این نوع از راهکار مبتنی بر اجماع می باشد. در واقع لازم به ذکر است استفاده از خدمات باگ بانتی به معنای حذف ارزیابی امنیتی های دوره ای سازمان و یا پیش از ارایه نسخه های جدید نمی باشد زیرا کارکنان سازمان از عمق بیشتری از اطلاعات نسبت به منطق توسعه محصولات برخوردار هستند و همچنین ارزیابی برخی از آسیب پذیری های امنیتی نیازمند حقوق دسترسی داخلی سازمان و ممتاز می باشد.

بر اساس BlackHat سال 2018 “امنیت فیزیکی افراد در حال تبدیل شدن به امنیت دیجیتال میباشد و سازمانها می‌‌‌‌بایست دارای استراتژی کلان امنیتی باشند و تنها از فناوری های محدود به عنوان تاکتیک های فنی استفاده ننمایند”. “شفافیت اطلاعات” و “همکاری” دو عامل مهم در ارتقا سطح امنیت در خدمات الکترونیک محسوب می‌‌‌ شود. همکاری بین تیمها و افراد متخصص امنیت سایبری را نوعی استراتژی دفاعی قلمداد می‌‌ نمایند.

مدیر امنیت تیم Uber، ادعا می کند حتی با در اختیار داشتن بهترین نیروهای داخلی در سازمان همیشه می بایست به دنبال راههای ارتقا سطح امنیت خدمات خود بود و باگ بانتی می تواند یکی از منابع موثر در این زمینه باشد. از سوی دیگر مشارکت در این راهکار منجربه ارتقا سطح رضایت گروه کاربران متخصص و همچنین کاربران عادی خدمات سازمان و ارتقا سهم بازار می گردد. BugHub,Google Project Zero، HackerOne، BugCrowd، HackenProof، Ethereum Bounty و Synack از مهمترین پلتفرم های توسعه باگ بانتی می باشند.

مزایا برنامه و مسابقات باگ بانتی نسبت به روش های سنتی آزمون نفوذ

وجود یک سامانه‌ Bug Bounty مزایای بسیاری نسبت به آزمون نفوذ سنتی دارد. مهم‌ترین ویژگی آن‌ تبدیل هکرهای کلاه خاکستری و حتی در برخی موارد هکرهای کلاه سیاه به هکرهای کلاه سفید یا به عبارت دیگر ورود هکرها به یک چرخه مولد است. به عنوان نمونه برخی از ویژگی‌های این سامانه به شرح زیر است:

مورد ۱) هزینه در روش سنتی آزمون نفوذ نسبت به برنامه بانتی بسیار بالا می‌باشد، قراردادهای آزمون نفوذ عموما مشروط به کشف آسیب‌پذیری نمی‌باشد، درصورتی که در برنامه بانتی، به ازای هر آسیب‌پذیری، بعد از تائید کارفرما و صدور وصله امنیتی، وجه توافقی پرداخت می‌شود.

مورد ۲) دانش در پروژه آزمون نفوذ، محدود به سقف دانش اعضای پروژه می‌باشد. در صورتی که در برنامه بانتی، طیف وسیعی از هکرها با دانش‌های مختلف، بر روی سامانه مورد آزمون، از دانش خود برای کشف آسیب‌پذیری بهره‌مند می‌شوند.

مورد ۳) منابع انسانی در پروژه آزمون سنتی، محدود به افراد خاص، مشخص شده در قرارداد و وابسته به مبلغ آن می‌باشد. در صورتی که در برنامه بانتی، منابع انسانی نامحدود می‌باشد، البته این امر در کنترل سازمان مورد آزمون قرار گرفته می‌باشد.

مورد ۴) سرعت کشف ‌آسیب‌پذیری در پروژه آزمون نفوذ سنتی، به سرعت افراد، میزان درگیری زمانی/ذهنی آن‌ها در پروژه‌های موازی وابسته است، به همین دلیل آسیب‌پذیری‌ها همیشه با انجام اولین آزمون نفوذ کشف نمی‌گردند. بسیاری از سامانه‌ها، بعد از چندید بار آزمون نفوذ سنتی،‌ آسیب‌پذیری جدید کشف می‌گردد که گواه سرعت پایین کشف آسیب‌پذیری در روش سنتی می‌باشد. در برنامه بانتی، به دلیل شرکت منابع انسانی نامحدود، این مورد به شدت تسریع می‌گردد.

مورد ۵) در پروژه تست نفوذ سنتی،‌ نظارت بر پیمان‌کار کاری بسیار دشوار و غیر قابل انجام می‌باشد. عموما مستندات آزمون نفوذ، معیار اصلی برای تخمین کیفیت کار پیمان‌کار می‌باشد. در سامانه بانتی، به دلیل خودجوش بودن هکرها و عدم صرف هزینه اولیه از سوی کارفرما، دلیلی بر نظارت وجود ندارد.

مورد ۶) در آزمون نفوذ سنتی، به دلیل وجود منابع مالی/انسانی محدود، معمولا تمام سامانه‌ها مورد آزمون قرار نمی‌گیرند، تنها سامانه‌های حساس در اولویت می‌باشند، این خود ضعف در سازمان‌های مختلف حساب می‌شود،‌ زیرا در مقوله نفوذ به یک سازمان، حساسی سامانه اولویتی برای یک هکر نداشته، و بسیاری از سازمان‌ها، از سامانه‌های غیر حساس و فراموش‌شده خود آسیب می‌بینند. در سامانه بانتی، یک سازمان می‌تواند تمام سامانه‌های خود را در معرض آزمون گذاشته و فقط برای سامانه‌های حساس مبلغ جایزه در نظر بگیرد. اینکه چرا هکر بر روی سامانه‌های غیرپولی وقت می‌گذارد، به چرخه سیستم سامانه برمی‌گردد.

مورد ۷) مدت در قراردادهای سنتی، محدود می‌باشد و معمولا بسیاری از سازمان‌ها به صورت ادواری قراردادهای خود را با پیمان‌کاران تمدید می‌کنند. در صورت وجود آسیب‌پذیری در میان فاصله زمانی بین انعقاد دوقرارداد، ضرر متوجه سازمان می‌گردد. در برنامه بانتی، زمان آزمون به‌صورت خیلی آسان قابل تمدید می‌باشد.

مورد ۸) در آزمون نفوذ سنتی، کارشناسان می‌توانند آسیب‌پذیری کشف شده را گزارش نکنند. زیرا هیچ سازوکار بازدارنده برای آن‌ها وجود ندارد (اصولا امکان نظارت این بخش وجود ندارد). زیرا کارشناس در نهایت اظهار در عدم توانایی در کشف آسیب‌پذیری را دارد. در سامانه بانتی، هکر بدون فوت وقت، آسیب‌پذیری را گزارش می‌کند، زیرا اولا انگیزه مالی برای انجام این امر دارد، ثانیا ممکن است هکری دیگر این آسیب‌پذیری را گزارش کند، و علاوه بر رفع شدن آسیب‌پذیری، امتیازی به ایشان نرسد.

مورد ۹) در آزمون نفوذ سنتی، انگیزه کارشناسان قابل اندازه‌گیری نمی‌باشد. بسیاری از کارشناسان ممکن است برای رفع تکلیف آزمون را انجام دهند و تلاشی برای کشف آسیب‌پذیری نکنند. در سامانه بانتی، هکر برای پیشرفت مالی/کاربری در سامانه، حداکثر تلاش خود را برای انجام آزمون انجام می‌دهد.

پیش‌بینی دغدغه و نگرانی احتمالی سازمان‌ها و شرکت‌ها

سوال) آیا هکران آسیب‌پذیری را گزارش می‌کنند؟ اگر آسیب‌پذیری کشف شده را گزارش نکرده و با آن به سامانه نفوذ کنند چه می‌شود؟ این یک نگرش غلط جا افتاده می‌باشد، اتفاقا در سامانه بانتی در قیاس با آزمون نفوذ سنتی، این اتفاق به ندرت می‌افتد. در آزمون نفوذ سنتی، یک کارشناس به راحتی می‌تواند یک آسیب‌پذیری را گزارش نداده، و در وقتی دیگر، از آن به‌صورت ناشناس سو استفاده کند. دلایل:

• هکرهایی که آسیب‌پذیری را گزارش نمی‌دهند و به سو استفاده می‌پردازند، کلاه سیاه‌هایی هستند که هم اکنون هم فعالیت دارند و نیازی به وجود چنین سامانه‌هایی برای انجام فعالیت‌های مخرب خود ندارند.
• عدم گزارش آسیب‌پذیری توسط یک هکر ایشان را در معرض مخاطره رقابت قرار می‌دهد، چرا که ممکن است هکری دیگر همزمان با او به این آسیب‌پذیری رسیده باشد و آن را گزارش کرده و محبوبیت و وجه را از سازمان مربوطه دریافت کند. بنابراین طبق تجربه ما در همکاری با نمونه‌های Bug Bounty خارجی، هر هکر پس از کشف آسیب‌پذیری تمام تلاش خود را برای سریع‌تر گزارش کردن آن می‌کند.
• در جوامع هکری زیرزمینی یا اصطلاحاً در بازار سیاه هکرهای زیر زمینی، بسیاری از آسیب‌پذیری‌های کشف شده از سامانه‌های دولتی و بانک‌ها را می‌توان مشاهده کرد که هکرهای کلاه سیاه به دنبال فروش آن هستند، وجود یک سامانه‌ Bug Bounty قطعاً به حیات این بازارهای زیرزمینی ضربه خواهد زد.

سوال) آیا با در معرض گذاشتن سامانه خود، این پیغام را به هکران نمی‌دهیم که سامانه ما مهم است؟ یا به عبارتی دیگر، وقتی مورد آزمون قرار بگیریم، هکران کلاه سیاه به دنبال می نمی‌آیند؟ در جواب این سوال باید گفت‌، سازمان‌هایی که چنین دغدغه‌ای دارند، می‌توانند برنامه خود را به‌صورت خصوصی برگزار کنند، هرچند که جواب خیر است، در واقع برعکس نگرانی پیش آمده، سازمان می‌تواند به مشتری‌های خود این اطمینان را بدهد که برای اطلاعات آنها ارزش قائل است.

سوال) نحوه محاسبه قیمت برای سازمان‌ها چگونه است؟

اما در خصوص شیوه محاسبه قیمت پیشنهادی آسیب‌پذیری‌ها هر سازمان مختار است تا برای سطوح مختلف آسیب‌پذیری یا حتی برای هر نوع از آسیب‌پذیری کشف شده بر روی سامانه پیشنهادی متناسب با بودجه خود مبلغی را پیشنهاد دهد. به این ترتیب:

• سازمان‌هایی که پول بیشتری بابت هر آسیب‌پذیری پرداخت کنند مورد توجه تعداد بیشتری از هکرها بوده و آسیب‌پذیری احتمالی آن‌ها قاعدتاً زودتر گزارش می‌شود.
• سازمان‌هایی که پول کمتری پرداخت کرده و یا حتی به صورت رایگان عضو شده‌اند نیز با توجه به عملکرد سامانه، مورد توجه هکرهای کم تجربه‌تر یا تازه واردتر قرار می‌گیرند.
• سازمان‌ها تنها زمانی پول پرداخت خواهند کرد که آسیب‌پذیری‌هایی از انواع مورد نظر خودشان گزارش شود.