فناوری در کنار مزیتهای بسیاری که دارد، ریسکهای مختلفی را هم بهوجود میآورد و بخشی از این ریسکها از امنیت نرمافزارها نشئت میگیرد. ازاینرو، شرکتهای بزرگ دنیا برنامههای مختلفی را تحت گفتن «شکار باگ» یا «باگ بانتی» (Bug Bounty) درنظر میگیرند تا با پشتیبانی متخصصان امنیت جدا گانه از سراسر دنیا مشکلات نرمافزارهای خود را کشف و آنها را رفع کنند. بااینحال، بهنظر میرسد که کسبوکارها در ایران آنطور که بایدوشاید به این کار اهمیت نمیدهند.
این مقاله به قلم «ایمان صاحبی» و «مجتبی اغاز» نوشته شده است.
امروزه تقریباً همه شرکتهای بزرگ برنامههایی برای باگ بانتی دارند که طی آن با پشتیبانی هزاران کارشناس امنیتی از همه کشورها میتوانند مشکلات امنیتی نرمافزارهای خود را اشکار کنند. برخی از متخصصان امنیت از شکار این باگها درآمد خوبی دارند و از این همکاریها استقبال میکنند. اما برنامههای Bug Bounty چه برنامههایی می باشند؟
باگ بانتی چیست؟
برنامه باگ بانتی برنامهای است که توسط شرکتها برای دعوت از کارشناسان و محققان امنیتی جدا گانه بهمنظور کشف و گزارش صدمهپذیریهای امنیتی نرمافزارها درنظر گرفته میبشود. متخصصانی که در این برنامهها شرکت میکنند و با گفتن هکر کلاه سفید شناخته خواهد شد، کارمند این شرکتها نیستند و به همین خاطر دراِزای کشف باگها طبق معمولً از آنها پاداش دریافت میکنند.
طی برنامههای شکار باگ، هنگامی یک محقق یک صدمهپذیری را اشکار میکند و آن را به شرکت خبر میدهد، این قضیه توسط شرکت موردنظر بازدید میبشود و با دقت به سطح صدمهپذیری، پاداشی برای آن معین میگردد. با دقت به این که کشف باگهای حاد میتواند برای شرکتهای بزرگ اهمیت تعداد بسیاری داشته باشد، برخی از آنها حاضر به پرداخت دهها و صدها هزار دلار جایزه به این محققان جدا گانه می باشند. در ادامه مثالهایی از این برنامههای باگ بانتی بزرگ را بازدید میکنیم.
برترین برنامههای باگ بانتی دنیا
گوگل
گوگل بهگفتن بزرگترین موتور جستجوی دنیا و گسترشدهنده تعداد بسیاری از نرمافزارهای محبوب، مطمئناً با باگهای بسیاری در پروژههای خود مواجه است و نمیتواند به دقت مهندسانش برای کشف این صدمهپذیریها اکتفا کند. به همین منظور، این شرکت برنامهای برای شکار باگ دارد که بین ۱۰۰ تا ۳۱,۳۳۷ دلار به محققان پاداش میپردازد.
مایکروسافت
گسترشدهنده ویندوز و یکی از بزرگترین تولیدکنندگان نرمافزار در دنیا از محققان میخواهد تا صدمهپذیریهای امنیتی را در سیستمهای آنها کشف و گزارش کنند. این شرکت حاضر است برای کشف این باگها تا ۳۰۰ هزار دلار جایزه پرداخت کند.
اینتل
اینتل در سالهای تازه صدمهپذیریهای بسیاری داشته و با مشکلات امنیتی بسیاری روبه رو شده است. به همین علت، آنها برنامهای برای شکار باگ دارند که به متخصصان امنیتی بابت گزارش این صدمهپذیریها تا حداکثر ۱۰۰ هزار دلار پاداش اراعه میکند.
اپل
ارزشمندترین شرکت دنیا مجموعهای از نرمافزارها را گسترش داده است که طبق معمولً از نظر ایمنی در جهان شهرت دارند. بااینحال، حتی ایمنترین نرمافزارها هم میتوانند صدمهپذیر باشند و اپل هم به این قضیه واقف است. به همین علت، کوپرتینوییها نیز برنامهای برای شکار باگ دارند که سقف پاداشی ندارد و جایزه کشف و گزارش صدمهپذیریها را بر پایه سطح اهمیت باگها تعیین میکنند.
تسلا
هیچکس نمیتواند نقش تسلا را در تشکیل تحول در بازار خودروهای برقی کتمان کند. این شرکت با سیستمهای پیشرفته و نرمافزارهای متعدد محصولات خود را روانه بازار میکند که صدمهپذیریهای جدی در آنها میتواند زیاد خطرناک باشد. به همین خاطر، تسلا به هکرهای کلاه سفیدی که باگهای سیستمهای این شرکت را کشف کنند، تا ۱۵ هزار دلار پاداش میدهد.
بزرگترین پاداشهای پرداختشده برای باگ بانتی
با وجود رقمی که برای سقف پاداش کشف باگها توسط شرکتها اظهار شده است، غولهای فناوری بابت کشف صدمهپذیریهای جدیتر مبالغ زیاد بزرگتری هم پاداش دادهاند. برای مثال، گوگل در سال ۲۰۲۲ به یک محقق بابت کشف باگی در سیستمعامل اندروید ۶۰۵ هزار دلار پاداش داد. بهعلاوه، این شرکت درمجموع در سال ۲۰۲۲ نزدیک به ۱۲ میلیون دلار برای برنامه باگ بانتی خود هزینه کرده می بود.
مایکروسافت نیز در سال ۲۰۲۱، مجموعاً ۱۳.۷ میلیون دلار بابت گزارش صدمهپذیریها به شکارچیان باگ پاداش داده می بود و بیشترین مبلغ با یک جایزه ۲۰۰ هزار دلاری به یک محقق رسید.
درمجموع شرکتهای بزرگ میدانند که با اندکی هزینه درزمینه باگ بانتی نهتنها میتوانند امنیت سیستمهای خود را ارتقا دهند، بلکه میتوانند از ریسک افشای صدمهپذیریها نیز جلوگیری کنند.
حالت باگ بانتی در ایران چطور است؟
شرکتهای مختلفی در ایران به او گفت و گو باگ بانتی دقت دارند، اما رقم های اظهارشده از سوی آنها چندان قابلدقت نیست. هرازچندگاهی نیز پستهایی در شبکههای اجتماعی مبنی بر گله های فعالین حوزه امنیت از برخورد بد شرکتهای ایرانی و بدقولی آنها انتشار میبشود.
اسنپ یکی از شرکتهایی است که برنامه باگ بانتی دارد و از متخصصین نفوذ دعوت کرده است تا آنها را از وجود صدمهپذیریها آگاه کنند. اسنپ برای قسمت ماشین و اسنپباکس تا ۱۵۰ میلیون تومان و بر پایه سطح اهمیت صدمهپذیری، باگ بانتی تعیین کرده است. یقیناً فعالین حوزه امنیت باور دارند همین عبارت «تا» در مقدار جایزه جهت شده است تا این شرکت بعضاً مبالغ زیاد کمتری را بابت کشف صدمهپذیری اراعه کند.
حداقل سقف باگ بانتی برای اسنپفود، اسنپمارکت، اسنپلاین، اسنپپی، اسنپشاپ و اسنپاکسپرس نیز ۷.۵ میلیون تومان گفتن شده است. اشکار نیست چرا اسم سرویسهای دیگر اسنپ همانند اسنپ دکتر در این فهرست نیست.
ابر آروان از دیگر شرکتهای ایرانی است که مسابقه کشف باگ دارد. سقف جوایز تعیینشده توسط این شرکت نیز تا ۳۰۰ میلیون تومان است.
برخی از کسبوکارها نیز بهصورت غیرمستقیم برنامههایی برای پرداخت پاداش دراِزای کشف و گزارش باگ دارند. پلتفرم باگ بانتی راورو، کلاه سفید و باگدشت پلی بین متخصصین امنیت و کسبوکارها می باشند. شرکتها هرازگاهی یا بهطور دائمی از طریق این پلتفرمها، امنیت سیستمهای خود را به معرض آزمایش میگذارند و دراِزای کشف باگ، جوایزی را پرداخت میکنند.
بهطور مثال، تپسی تا ۳۰ میلیون تومان جایزه برای کشف صدمهپذیری از طریق این پلتفرمها تعیین کرده است. علی بابا، مایکت، جاباما، اتاقک، همراه کارت، ایرانسل، فلایتیو، شاتل، ایوند، رایتل، نماوا، مایکت و چند سازمان دولتی ایران ازجمله شرکتهایی می باشند که با همکاری با پلتفرمهای واسط، باگ بانتی تعیین کردهاند. برخی از شرکتها نیز در این پلتفرمهای واسط می باشند، اما ترجیح دادهاند تا نامشان محفوظ بماند و مسابقه کشف باگ آنها بدون ذکر عمومی نام نمایش داده میبشود.
باگ بانتی در ایران پذیرفته شده است؟
«یاشار شاهینزاده»، مشاور امنیت، در جواب به این سوال دیجیاتو که باگ بانتی چه مقدار برای شرکتهای ایرانی پذیرفته شده است، او گفت: «اگر بهصورت عام نگاه کنیم، این نوشته پذیرفتهشده نیست. نسبت پذیرفتن باگ بانتی از سوی استارتاپها به کل استارتاپها به سمت صفر میل میکند. هیچ تفاوتی نیز بین مجموعههای دولتی و استارتاپی نیست و حتی دولتیها وضع بدتری در این عرصه دارند.»
به حرف های وی، او گفت و گو باگ بانتی در بین شرکتهای بزرگ همانند کافه بازار، اسنپ، تپسی و آروان پذیرفتهشدهتر است؛ اگرچه فاصله معناداری بین آنچه که در دنیا هست با ایران وجود دارد: «مقصد باگ بانتی در دنیا این است که هکرها با شما دوست شوند و صدمهپذیریها را گزارش بدهند و این تعریف در دنیا با ایران فاصله بسیاری دارد. حس میکنم این او گفت و گو در ایران زیاد تر به این خاطر نقل است که فردا روزی بگویند در این عرصه کوتاهی نکردهاند.»
شاهینزاده در جواب به این سوال که چرا باگ بانتی شرکتهای ایرانی چندان برای هکرها دلنشین نیست، دو علت را گفت:
«علت اول این است که [شرکتها] پول زیاد کمتری خواهند داد. برای مثالً یک صدمهپذیری بحرانی اشکار میکنی و حداکثر ۵۰۰ دلار پرداخت میکنند درحالیکه اگر همین صدمهپذیری را در یک برنامه خارجی اشکار کنی، ۱۰ هزار دلار دریافت خواهید کرد. به همین خاطر افراد کمتر رغبت میکنند تا روی باگ بانتی ایرانیها کار کنند. علت دوم نیز تنوع و تعداد اندک شرکتهای فعال در این حوزه است، این درحالی است که در دنیا به کلمه اقیانوسی پر از ماهی وجود دارد. در پی این دو عامل، هکر با کیفیت روی موضوعات داخلی کار نمیکند و به سراغ موارد بینالمللی میرود.»
این باور وجود دارد که او گفت و گو باگ بانتی برای ترقی امنیت کافی است، موضوعی که این متخصص امنیت کاملاً با آن ناموافق است. او با پافشاری بر این که باگ بانتی در اغاز فعالیت نباید اصلاً نقل بشود، اظهار داشت اول بایستی یک تیم امنیت در سازمان راه اندازی بشود تا وقتی که گسترشدهندگان درحال کدزدن می باشند، تیم امنیت بر آنها نظارت کند: «سپس این تیم رشد میکند و تستهای امنیتی سامانهها را باید انجام دهد، سپس شبکه را امن کند. برتری هم به شکل نفوذ است، هکر وب زیاد و هکر شبکه کم است، بعد اول وب را ایمن میکنند سپس به سراغ شبکه میروال.»
به حرف های وی این مرحله های اول باید گذرانده بشود، سپس باگ بانتی از سوی شرکت تعیین بشود: «این طور نیست از اول ماجرا باگ بانتی بگذارند؛ چرا که ضمانت امنبودن نیست.»
شاهینزاده معتقد است باگ بانتی همانند به ویترینی است که مشخص می کند کسبوکار به او گفت و گو امنیت اهمیت میدهد و تنها در این عرصه ادعا نمیکند: «با باگ بانتی علاوه بر این که امنیت افزایش مییابد، یک وجهه هم از کسبوکار به نمایش گذاشته میبشود که برای امنیت اهمیت قائل است.»
او در همین رابطه تیم امنیتی گوگل را مثال زد که از افراد حرفهای راه اندازی شده است، بااینوجود این شرکت در سال قبل بیشتر از یک میلیون دلار بانتی پرداخت کرده است. به باور این متخصص امنیت او گفت و گو باگ بانتی و تیم امنیت یک شرکت در تقابل با یکدیگر نیستند، بلکه همدیگر را کامل میکنند: «بعد اول باید شاکله امنیت شکل بگیرد، سپس باگ بانتی نقل بشود.»
«هکرهای کلاه سفید ایرانی انگیزهای برای فعالیت روی مثالهای داخلی ندارند»
«وحید فرید»، فعال حوزه تکنولوژی، در او مباحثه با دیجیاتو اظهار داشت در حوزه امنیت موارد بسیاری وجود دارد که نیاز است روی آنها کار بشود. او پافشاری کرد فردی که نرمافزار را مینویسد باید با مفاهیم امنیتی آشنایی داشته باشد و اپ به دید فرد نفوذی تست گرفته بشود و صدمههای شناختهشده در کل فرآیند شناسایی شوند و برای آن راهحل اشکار بشود:
«سپس از این به مفهوم باگ بانتی میرسیم؛ به این ترتیب که یک هکر کلاه سفید کاری را که یک هکر کلاه سیاه، پیشبینی میبشود انجام دهد را انجام میدهد و جایزه میگیرد. این هکر تصمیم سرقت اطلاعات را ندارد بلکه در انتهای فرآیند جایزه میگیرد.»
فرید با اشاره به این که او گفت و گو باگ بانتی یک نوشته جهانی است و هکرهای ایرانی میتوانند روی مثالهای خارجی زمان بگذارند و کسب درآمد بیشتری داشته باشند، اظهار داشت اختلاف مبلغ جایزه برای هکرهای کلاه سفید در داخل و خارج به حدی زیاد است که هکر کلاه سفید ایرانی اصلاً انگیزهای برای فعالیت روی مثالهای داخلی ندارد.
او در این باره مثال زد که پرداختی برای یک صدمه بحرانی روی یک پلتفرم متوسط بینالمللی در رنج ده هزار تا بیست هزار دلار است، درحالیکه تپسی مبلغ هفت میلیون برای این نوشته تعیین کرده است: « یقیناً باز این مبلغ هم خوب است. در برخی موارد نوع برخورد به شکلی است که جامعه هکری ایران به این نتیجه رسیده که برای مثالهای ایرانی زمان نگذارند چون درنهایت بهجای پولدادن، تهدید هم میکنند و نوشته را به باجگیری متصل میکنند. درحالیکه حق هکر است که جایزه بگیرد و ماموریت پلتفرم است که این مشکلات را شناسایی کند.»
این فعال حوزه تکنولوژی معتقد است یک هکر امکان پذیر هفتهها برای صدمهشناسی زمان بگذارد، اما این مبلغهای داخلی چیزی نیستند که قیمت زمانگذاشتن را داشته باشند:
«در کل جامعه IT تصمیم بر این است که برای پلتفرمهای داخلی زمان نگذارند و دچار شکایت و مسائل این چنینی نشوند چون پول که نمیدهند و اسم هکر هم در لیستی قرار میگیرد که درنهایت نهادهای امنیتی روی فرد حساس میبشود و بهخاطر شکایت پلتفرم، اسم او به پلیس فتا میرود. بعد هکرها روی سایتها خارجی زمان میگذارند و درنهایت پول دلاری هم میگیرند.»
به باور او وقتی که هکر کلاه سفید روی سایت زمان نگذارد امکان نادرست و صدمهپذیری وجود دارد که زیاد هم تقصیر برنامهنویس نیست: «بالاخره امکان پذیر جایی از افزونهای یا فریمورکی منفعت گیری کرده باشد که یک صدمهپذیری داشته است. اما بالاخره فهمیدن این نقطه صدمهپذیری هزینه دارد.»
وقتی که قانونی برای حفاظت از دادههای مردم وجود نداشته باشد و کسبوکارها دلواپس هزینههای احتمالی هک نباشند، به جز مسائل اخلاقی و برندینگ، علت چندانی نیز وجود ندارد که برای امنیت خود مبلغ باگ بانتی بالاتری پرداخت کنند. از نظر دیگر فیلترینگ، تحریمها، تورم و شرایط بد اقتصادی سختی مضاعفی روی کسبوکارهای ایرانی میآورد تا نتوانند در پرداخت دلاری بابت صدمهپذیریهای امنیتی با شرکتهای بینالمللی رقابت کنند.
منبع