برای مشاهده لیست علاقه مندی ها وارد شوید!
مشاهده محصولات فروشگاههیچ محصولی در سبد خرید نیست.
یک برنامه باگ باونتی به دلیل گزارش باگها، به خصوص باگهایی که باعث سو استفاده و آسیب پذیری میشوند، و اینکه در ازای گزارش این باگها افراد پاداش دریافت میکنند و یا به رسمیت شناخته میشوند، مورد توجه بسیاری از وب سایتها و توسعه دهندگان نرمافزاری قرار گرفتهاست این برنامهها به توسعه دهندگان اجازه میدهند که باگها را قبل از اینکه عموم مردم از آنها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. برنامههای باگ باونتی توسط تعداد زیادی از سازمانها،از جمله Mozilla، Facebook، Yahoo، Google، Reddit، Square و Microsoft اجرا شدند. شرکتهای صنعتی که با تکنولوژی سر و کار چندانی ندارند، از جمله سازمانهای محافظه کار سنتی مانند وزارت دفاع امریکا، استفاده از برنامههای باگ باونتی را آغاز کردند. استفاده پنتاگون از برنامههای باگ باونتی بخشی از برنامه تغییر دولت است و چندین آژانس دولتی آمریکا از این برنامه استفاده میکنند، بر طبق این برنامه از هکرهای کلاه سفید (در زمینه امنیت کامپیوتری) دعوت میشود تا در افشای آسیب پذیریهای امنیتی مشارکت کنند.
باگ بانتی هانتیگ کشف و یافتن باگها در نرمافزارها، سایتها، وباپلیکیشنها و اعلام آن به به مالکان این نرمافزار و دریافت پول بر اساس میزان خطرناک و حساس بودن باگهای کشف شده است.اگر اخبار حوزه فناوریاطلاعات را پیگیری میکنید تاکنون حتما شاهد اخبار تعیین جایزه برای هککردن نرمافرازهای شرکتها و موسسات بودهاید.اما از سال ۲۰۱۲ سایت اروپایی هکروان راهاندازی شده است که به شرکتها این امکان را میدهد تا با پرداخت مبلغی پول به هکرها از حفرهها و باگهای سایت و اپلیکیشنهایشان که توسط آنها کشف میشوند، مطلع شوند و نسبت به رفع آنها اقدام کنند.
در ایران معمولا بعد از کشف آسیبپذیری، مسیری بسیار بد طی میشود. ابتدا هکر کلاهسفید، در میان شبکههای اجتماعی و آشنایان به دنبال «آشنایی» میگردد تا بتواند باگ خود را به پول تبدیل کند. در بهترین حالت بعد از پیدا کردن لینک در داخل سازمان، بحث بر سر شدت آسیبپذیری به بدترین شکل ممکن صورت میگیرد. بدین صورت که هکر کلاهسفید، اصرار بر خطرناک بودن آسیبپذیری خود دارد، در عین حال، سازمان، ادعای امن بودن کرده و تقاضای دیدن POC برای تخمین شدت آسیبپذیری را دارد. هکر کلاهسفید به دلیل ترس از «از دست دادن آسیبپذیری»، از دادن جزئیات امتنا میکند. در اکثر مواقع هم بعد از ارائه جزئیات توسط هکر کلاهسفید، سازمان اظهار کم اهمیت بودن سامانه آسیبپذیر را میکند.
این روال بسیار غلط است، اصلا نیازی به کشف روال صحیح نیست، کافی است ببینیم سازمانها و شرکتهای بزرگ دنیا چهکار میکنند؟ تمامی شرکتها، جدولی مربوط به قلمرو یا Scope مجاز برای گزارش آسیبپذیری را دارند. برای مثال، یک قلمرو مناسب برای شرکت ارتباطات سیار یا همراهاول، میتواند
*.mci.ir
باشد، و دامینهای غیر مجاز و کم اهمیت از آن کاسته شود. قسمت بعدی، باید جدول پرداختی به ازا شدتهای مختلف آسیبپذیری باشد. یک مثال بسیار عالی میتوان به برنامه شرکت X در BugHub (باگ هاب ) اشاره کرد. بدین ترتیب، بحث بی نتیجه بالا هیچوقت پیش نمیآید. برای جمعبندی، میتوان اشاره کرد که یک برنامه بانتی خوب نیاز به شاخصهای زیر دارد:
با توجه به موارد بالا، بسیاری از سازمانها و شرکتهای ایرانی که ادعای داشتن برنامه باگبانتی رو دارند، فاقد این امر هستند. در واقع این شرکتها، فقط یک راه ارتباطی یکطرفه برای دریافت آسیبپذیری، بدون ارائه هیچ تضمینی برای همکاری با هکر کلاهسفید دارند.
این سامانه به عنوان یک واسطه بین هکرهای کلاه سفید و سازمانها و شرکتهای دولتی و خصوصی عمل میکند. این سامانه دو گروه مخاطب خواهد داشت،
در خصوص سامانه پیشروی، چند نمونه بسیار موفق ایرانی و خارجی وجود دارد که مهمترین آنها bughub.net و hackerone.com و bugcrowd.com میباشد. در حال حاضر شرکتها و سازمانهای بزرگی در آمریکا از خدمات hackerone.com بهره میبرند که از بین آنها میتوان به وزارت دفاع آمریکا، Yahoo و Twitter اشاره کرد.
به دلیل تغییرات زیاد محصولات و خدمات در یک سازمان و همچنین کمبود نیروی انسانی در حوزه امنیت، بصورت معمول تست نفوذ بصورت دوره ای در سال و مطابق با چک لیست های امنیتی استاندارد انجام می شود تا اطمینان حاصل شود آن محصول در مقابل آسیب پذیری های شناخته شده و عمومی ایمن شده است. هزینه های بالا، زمانبر بودن، وابستگی به قراردادها و تفاهم نامه های پیمانکاری، محدود شدن به دانش ارزیابی کنندگان، کیفیت کم در صورت نزدیک شدن به خروجی های ابزارها از معایب ارزیابی امنیتی های سنتی می باشد.
در سالهای اخیر رویکرد استفاده از پتانسیل اجماع کاربران در حوزه های مختلف مورد توجه قرار گرفته است. از آن جمله می توان به ارایه اخبار تخصصی، اشتراک گذاری دانش و اطلاعات و یا اجرای انواع تستهای کاربری اشاره نمود. دسترسی به دانش کاربران متخصص در حوزه امنیت خدمات فناوری اطلاعات و ارتباطات در شناسایی آسیب پذیری های امنیتی این خدمات نیز به عنوان راهکاری تکمیلی و موثر با نام تجاری “باگ بانتی” یا ” مسابقات کشف آسیب پذیری ” در حال توسعه و گسترش می باشد.
تست محصولات سازمان بصورت مستمر، هزینه کمتر در قبال باگ های واقعی، دسترسی به گستردگی دانش استفاده کنندگان از محصول، تست در محیط عملیاتی و واقعی کاربران و محدود نبودن به پیچیدگی های قراردادی از جمله مزایای این نوع از راهکار مبتنی بر اجماع می باشد. در واقع لازم به ذکر است استفاده از خدمات باگ بانتی به معنای حذف ارزیابی امنیتی های دوره ای سازمان و یا پیش از ارایه نسخه های جدید نمی باشد زیرا کارکنان سازمان از عمق بیشتری از اطلاعات نسبت به منطق توسعه محصولات برخوردار هستند و همچنین ارزیابی برخی از آسیب پذیری های امنیتی نیازمند حقوق دسترسی داخلی سازمان و ممتاز می باشد.
بر اساس BlackHat سال 2018 “امنیت فیزیکی افراد در حال تبدیل شدن به امنیت دیجیتال میباشد و سازمانها میبایست دارای استراتژی کلان امنیتی باشند و تنها از فناوری های محدود به عنوان تاکتیک های فنی استفاده ننمایند”. “شفافیت اطلاعات” و “همکاری” دو عامل مهم در ارتقا سطح امنیت در خدمات الکترونیک محسوب می شود. همکاری بین تیمها و افراد متخصص امنیت سایبری را نوعی استراتژی دفاعی قلمداد می نمایند.
مدیر امنیت تیم Uber، ادعا می کند حتی با در اختیار داشتن بهترین نیروهای داخلی در سازمان همیشه می بایست به دنبال راههای ارتقا سطح امنیت خدمات خود بود و باگ بانتی می تواند یکی از منابع موثر در این زمینه باشد. از سوی دیگر مشارکت در این راهکار منجربه ارتقا سطح رضایت گروه کاربران متخصص و همچنین کاربران عادی خدمات سازمان و ارتقا سهم بازار می گردد. BugHub,Google Project Zero، HackerOne، BugCrowd، HackenProof، Ethereum Bounty و Synack از مهمترین پلتفرم های توسعه باگ بانتی می باشند.
وجود یک سامانه Bug Bounty مزایای بسیاری نسبت به آزمون نفوذ سنتی دارد. مهمترین ویژگی آن تبدیل هکرهای کلاه خاکستری و حتی در برخی موارد هکرهای کلاه سیاه به هکرهای کلاه سفید یا به عبارت دیگر ورود هکرها به یک چرخه مولد است. به عنوان نمونه برخی از ویژگیهای این سامانه به شرح زیر است:
مورد ۱) هزینه در روش سنتی آزمون نفوذ نسبت به برنامه بانتی بسیار بالا میباشد، قراردادهای آزمون نفوذ عموما مشروط به کشف آسیبپذیری نمیباشد، درصورتی که در برنامه بانتی، به ازای هر آسیبپذیری، بعد از تائید کارفرما و صدور وصله امنیتی، وجه توافقی پرداخت میشود.
مورد ۲) دانش در پروژه آزمون نفوذ، محدود به سقف دانش اعضای پروژه میباشد. در صورتی که در برنامه بانتی، طیف وسیعی از هکرها با دانشهای مختلف، بر روی سامانه مورد آزمون، از دانش خود برای کشف آسیبپذیری بهرهمند میشوند.
مورد ۳) منابع انسانی در پروژه آزمون سنتی، محدود به افراد خاص، مشخص شده در قرارداد و وابسته به مبلغ آن میباشد. در صورتی که در برنامه بانتی، منابع انسانی نامحدود میباشد، البته این امر در کنترل سازمان مورد آزمون قرار گرفته میباشد.
مورد ۴) سرعت کشف آسیبپذیری در پروژه آزمون نفوذ سنتی، به سرعت افراد، میزان درگیری زمانی/ذهنی آنها در پروژههای موازی وابسته است، به همین دلیل آسیبپذیریها همیشه با انجام اولین آزمون نفوذ کشف نمیگردند. بسیاری از سامانهها، بعد از چندید بار آزمون نفوذ سنتی، آسیبپذیری جدید کشف میگردد که گواه سرعت پایین کشف آسیبپذیری در روش سنتی میباشد. در برنامه بانتی، به دلیل شرکت منابع انسانی نامحدود، این مورد به شدت تسریع میگردد.
مورد ۵) در پروژه تست نفوذ سنتی، نظارت بر پیمانکار کاری بسیار دشوار و غیر قابل انجام میباشد. عموما مستندات آزمون نفوذ، معیار اصلی برای تخمین کیفیت کار پیمانکار میباشد. در سامانه بانتی، به دلیل خودجوش بودن هکرها و عدم صرف هزینه اولیه از سوی کارفرما، دلیلی بر نظارت وجود ندارد.
مورد ۶) در آزمون نفوذ سنتی، به دلیل وجود منابع مالی/انسانی محدود، معمولا تمام سامانهها مورد آزمون قرار نمیگیرند، تنها سامانههای حساس در اولویت میباشند، این خود ضعف در سازمانهای مختلف حساب میشود، زیرا در مقوله نفوذ به یک سازمان، حساسی سامانه اولویتی برای یک هکر نداشته، و بسیاری از سازمانها، از سامانههای غیر حساس و فراموششده خود آسیب میبینند. در سامانه بانتی، یک سازمان میتواند تمام سامانههای خود را در معرض آزمون گذاشته و فقط برای سامانههای حساس مبلغ جایزه در نظر بگیرد. اینکه چرا هکر بر روی سامانههای غیرپولی وقت میگذارد، به چرخه سیستم سامانه برمیگردد.
مورد ۷) مدت در قراردادهای سنتی، محدود میباشد و معمولا بسیاری از سازمانها به صورت ادواری قراردادهای خود را با پیمانکاران تمدید میکنند. در صورت وجود آسیبپذیری در میان فاصله زمانی بین انعقاد دوقرارداد، ضرر متوجه سازمان میگردد. در برنامه بانتی، زمان آزمون بهصورت خیلی آسان قابل تمدید میباشد.
مورد ۸) در آزمون نفوذ سنتی، کارشناسان میتوانند آسیبپذیری کشف شده را گزارش نکنند. زیرا هیچ سازوکار بازدارنده برای آنها وجود ندارد (اصولا امکان نظارت این بخش وجود ندارد). زیرا کارشناس در نهایت اظهار در عدم توانایی در کشف آسیبپذیری را دارد. در سامانه بانتی، هکر بدون فوت وقت، آسیبپذیری را گزارش میکند، زیرا اولا انگیزه مالی برای انجام این امر دارد، ثانیا ممکن است هکری دیگر این آسیبپذیری را گزارش کند، و علاوه بر رفع شدن آسیبپذیری، امتیازی به ایشان نرسد.
مورد ۹) در آزمون نفوذ سنتی، انگیزه کارشناسان قابل اندازهگیری نمیباشد. بسیاری از کارشناسان ممکن است برای رفع تکلیف آزمون را انجام دهند و تلاشی برای کشف آسیبپذیری نکنند. در سامانه بانتی، هکر برای پیشرفت مالی/کاربری در سامانه، حداکثر تلاش خود را برای انجام آزمون انجام میدهد.
سوال) آیا هکران آسیبپذیری را گزارش میکنند؟ اگر آسیبپذیری کشف شده را گزارش نکرده و با آن به سامانه نفوذ کنند چه میشود؟ این یک نگرش غلط جا افتاده میباشد، اتفاقا در سامانه بانتی در قیاس با آزمون نفوذ سنتی، این اتفاق به ندرت میافتد. در آزمون نفوذ سنتی، یک کارشناس به راحتی میتواند یک آسیبپذیری را گزارش نداده، و در وقتی دیگر، از آن بهصورت ناشناس سو استفاده کند. دلایل:
سوال) آیا با در معرض گذاشتن سامانه خود، این پیغام را به هکران نمیدهیم که سامانه ما مهم است؟ یا به عبارتی دیگر، وقتی مورد آزمون قرار بگیریم، هکران کلاه سیاه به دنبال می نمیآیند؟ در جواب این سوال باید گفت، سازمانهایی که چنین دغدغهای دارند، میتوانند برنامه خود را بهصورت خصوصی برگزار کنند، هرچند که جواب خیر است، در واقع برعکس نگرانی پیش آمده، سازمان میتواند به مشتریهای خود این اطمینان را بدهد که برای اطلاعات آنها ارزش قائل است.
سوال) نحوه محاسبه قیمت برای سازمانها چگونه است؟
اما در خصوص شیوه محاسبه قیمت پیشنهادی آسیبپذیریها هر سازمان مختار است تا برای سطوح مختلف آسیبپذیری یا حتی برای هر نوع از آسیبپذیری کشف شده بر روی سامانه پیشنهادی متناسب با بودجه خود مبلغی را پیشنهاد دهد. به این ترتیب:
شرکت آمریکایی سیتریکس که در حوزه ارایه خدمات رایانه ای و شبکه فعالیت می کند، از مشتریان خود درخواست کرده هر چه سریعتر نسبت به دانلود و نصب بهروزرسانی های منتشر شده برای دستگاههای ADC (که از آنها برای تبدیل...
حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این کشور را با تهدیدات جدی و بزرگترین نشت اطلاعاتی تاریخ...
(Zero rust Network (ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمانهای فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و...
رمزنگاری سراسری، یک سیستم ارتباطی امن است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام ها هستند و هیچ فرد و سیستمی از جمله ارایه دهندگان خدمات اینترنتی و مخابراتی امکان شنود کلیدهایی که برای رمزنگاری استفاده می...
یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne (ارایهدهنده پلتفرم برنامههای عیبیابی) فعالیت میکند، حدود یک سال پیش...
Naked Security (اتاق خبر شرکت امنیتی سوفوس) ایمیلی را دریافت کرده که در آن چنین وانمود شده بود از وب سایت “WordPress.com” ارسال شده است. در این ایمیل، به گیرنده اطلاع داده شده که وب سایت او مشمول دریافت به...
با نزدیک شدن به تعطیلات سال نو میلادی و مراجعه مردم برای خریدهای آخر سال که امسال با شیوع بیماری کرونا نیز همزمان شده است، دولتها دائماً به شهروندان گوشزد میکنند که اهمیت ماسک زدن، رعایت فاصله اجتماعی و شستشوی...
بیشتر کارمندانی که با شیوع بیماری کرونا مجبور به دورکاری شده اند، همچنان مایل به ادامه این شرایط هستند؛ زیرا در هنگام دورکاری بیش از قبل از تجهیزات و امکانات سازمانی برای انجام کارهای شخصی شان استفاده میکنند. در این...
جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستمهای اطلاعاتی (ISSA) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد امنیتی اعتماد صفر شرکت وی گرفته تا پیادهسازی ابر با...
تست نفوذ – فروشگاه ابزار های هک و امنیت | باگ بانتی
© کليه حقوق محصولات و محتوا متعلق به شرکت تیم سار ” تست نفوذ ” می باشد و هر گونه کپی برداری از محتوا و محصولات سایت پیگرد قانونی دارد.