باگ بانتی چیست و کدام شرکت‌های بزرگ برنامه شکار باگ دارند؟


فناوری در کنار مزیت‌های بسیاری که دارد، ریسک‌های مختلفی را هم به‌وجود می‌آورد و بخشی از این ریسک‌ها از امنیت نرم‌افزارها نشئت می‌گیرد. ازاین‌رو، شرکت‌های بزرگ دنیا برنامه‌های مختلفی را تحت گفتن «شکار باگ» یا «باگ بانتی» (Bug Bounty) درنظر می‌گیرند تا با پشتیبانی متخصصان امنیت جدا گانه از سراسر دنیا مشکلات نرم‌افزارهای خود را کشف و آن‌ها را رفع کنند. بااین‌حال، به‌نظر می‌رسد که کسب‌وکارها در ایران آن‌طور که بایدوشاید به این کار اهمیت نمی‌دهند.

این مقاله به قلم «ایمان صاحبی» و «مجتبی اغاز» نوشته شده است.

امروزه تقریباً همه شرکت‌های بزرگ برنامه‌هایی برای باگ بانتی دارند که طی آن با پشتیبانی هزاران کارشناس امنیتی از همه کشورها می‌توانند مشکلات امنیتی نرم‌افزارهای خود را اشکار کنند. برخی از متخصصان امنیت از شکار این باگ‌ها درآمد خوبی دارند و از این همکاری‌ها استقبال می‌کنند. اما برنامه‌های Bug Bounty چه برنامه‌هایی می باشند؟

باگ بانتی چیست؟

برنامه باگ بانتی برنامه‌ای است که توسط شرکت‌ها برای دعوت از کارشناسان و محققان امنیتی جدا گانه به‌منظور کشف و گزارش صدمه‌پذیری‌های امنیتی نرم‌افزارها در‌نظر گرفته می‌بشود. متخصصانی که در این برنامه‌ها شرکت می‌کنند و با گفتن هکر کلاه سفید شناخته خواهد شد، کارمند این شرکت‌ها نیستند و به‌ همین‌ خاطر دراِزای کشف باگ‌ها طبق معمولً از آن‌ها پاداش دریافت می‌کنند.

طی برنامه‌های شکار باگ، هنگامی یک محقق یک صدمه‌پذیری را اشکار می‌کند و آن را به شرکت خبر می‌دهد، این قضیه توسط شرکت موردنظر بازدید می‌بشود و با دقت به سطح صدمه‌پذیری، پاداشی برای آن معین می‌گردد. با دقت به این که کشف باگ‌های حاد می‌تواند برای شرکت‌های بزرگ اهمیت تعداد بسیاری داشته باشد، برخی از آن‌ها حاضر به پرداخت ده‌ها و صدها هزار دلار جایزه به این محققان جدا گانه می باشند. در ادامه مثالهایی از این برنامه‌های باگ بانتی بزرگ را بازدید می‌کنیم.

برترین برنامه‌های باگ بانتی دنیا

گوگل

گوگل به‌گفتن بزرگ‌ترین موتور جستجوی دنیا و گسترش‌دهنده تعداد بسیاری از نرم‌افزارهای محبوب، مطمئناً با باگ‌های بسیاری در پروژه‌های خود مواجه است و نمی‌تواند به دقت مهندسانش برای کشف این صدمه‌پذیری‌ها اکتفا کند. به همین منظور، این شرکت برنامه‌ای برای شکار باگ دارد که بین ۱۰۰ تا ۳۱,۳۳۷ دلار به محققان پاداش می‌پردازد.

ادامه مطلب
فواره غول‌پیکر از ایستگاه فضایی بین‌المللی_روشنفکر

مایکروسافت

گسترش‌دهنده ویندوز و یکی از بزرگ‌ترین تولیدکنندگان نرم‌افزار در دنیا از محققان می‌خواهد تا صدمه‌پذیری‌های امنیتی را در سیستم‌های آن‌ها کشف و گزارش کنند. این شرکت حاضر است برای کشف این باگ‌ها تا ۳۰۰ هزار دلار جایزه پرداخت کند.

اینتل

اینتل در سال‌های تازه صدمه‌پذیری‌های بسیاری داشته و با مشکلات امنیتی بسیاری روبه رو شده است. به همین علت، آن‌ها برنامه‌ای برای شکار باگ دارند که به متخصصان امنیتی بابت گزارش این صدمه‌پذیری‌ها تا حداکثر ۱۰۰ هزار دلار پاداش اراعه می‌کند.

اپل

ارزشمندترین شرکت دنیا مجموعه‌ای از نرم‌افزارها را گسترش داده است که طبق معمولً از نظر ایمنی در جهان شهرت دارند. بااین‌حال، حتی ایمن‌ترین نرم‌افزارها هم می‌توانند صدمه‌پذیر باشند و اپل هم به این قضیه واقف است. به همین علت، کوپرتینویی‌ها نیز برنامه‌ای برای شکار باگ دارند که سقف پاداشی ندارد و جایزه کشف و گزارش صدمه‌پذیری‌ها را بر پایه سطح اهمیت باگ‌ها تعیین می‌کنند.

تازه‌ترین اخبار و تحلیل‌ها درباره انتخابات، سیاست، اقتصادی، ورزشی، حوادث، فرهنگ وهنر و گردشگری و تکنولوژی را در وب سایت خبری روشنفکر بخوانید.

تسلا

هیچ‌کس نمی‌تواند نقش تسلا را در تشکیل تحول در بازار خودروهای برقی کتمان کند. این شرکت با سیستم‌های پیشرفته و نرم‌افزارهای متعدد محصولات خود را روانه بازار می‌کند که صدمه‌پذیری‌های جدی در آن‌ها می‌تواند زیاد خطرناک باشد. به‌ همین خاطر، تسلا به هکرهای کلاه سفیدی که باگ‌های سیستم‌های این شرکت را کشف کنند، تا ۱۵ هزار دلار پاداش می‌دهد.

1704279248 891 باگ بانتی چیست و کدام شرکت‌های بزرگ برنامه شکار باگ

بزرگ‌ترین پاداش‌های پرداخت‌شده برای باگ بانتی

با وجود رقمی که برای سقف پاداش کشف باگ‌ها توسط شرکت‌ها اظهار شده است، غول‌های فناوری بابت کشف صدمه‌پذیری‌های جدی‌تر مبالغ زیاد بزرگ‌تری هم پاداش داده‌اند. برای مثال، گوگل در سال ۲۰۲۲ به یک محقق بابت کشف باگی در سیستم‌عامل اندروید ۶۰۵ هزار دلار پاداش داد. به‌علاوه، این شرکت درمجموع در سال ۲۰۲۲ نزدیک به ۱۲ میلیون دلار برای برنامه باگ بانتی خود هزینه کرده می بود.

مایکروسافت نیز در سال ۲۰۲۱، مجموعاً ۱۳.۷ میلیون دلار بابت گزارش صدمه‌پذیری‌ها به شکارچیان باگ پاداش داده می بود و بیشترین مبلغ با یک جایزه ۲۰۰ هزار دلاری به یک محقق رسید.

ادامه مطلب
یوتیوب درحال راه‌اندازی یک قابلیت نظارتی برای والدین است_روشنفکر

درمجموع شرکت‌های بزرگ می‌دانند که با اندکی هزینه درزمینه باگ بانتی نه‌تنها می‌توانند امنیت سیستم‌های خود را ارتقا دهند، بلکه می‌توانند از ریسک افشای صدمه‌پذیری‌ها نیز جلوگیری کنند.

حالت باگ بانتی در ایران چطور است؟

شرکت‌های مختلفی در ایران به او گفت و گو باگ بانتی دقت دارند، اما رقم های اظهار‌شده از سوی آن‌ها چندان قابل‌دقت نیست. هرازچندگاهی نیز پست‌هایی در شبکه‌های اجتماعی مبنی بر گله های فعالین حوزه امنیت از برخورد بد شرکت‌های ایرانی و بدقولی آن‌ها انتشار می‌بشود.

اسنپ یکی از شرکت‌هایی است که برنامه باگ بانتی دارد و از متخصصین نفوذ دعوت کرده است تا آن‌ها را از وجود صدمه‌پذیری‌ها آگاه کنند. اسنپ برای قسمت ماشین و اسنپ‌باکس تا ۱۵۰ میلیون تومان و بر پایه سطح اهمیت صدمه‌پذیری، باگ بانتی تعیین کرده است. یقیناً فعالین حوزه امنیت باور دارند همین عبارت «تا» در مقدار جایزه جهت شده است تا این شرکت بعضاً مبالغ زیاد کمتری را بابت کشف صدمه‌پذیری اراعه کند.

1704279248 788 باگ بانتی چیست و کدام شرکت‌های بزرگ برنامه شکار باگ

حداقل سقف باگ بانتی برای اسنپ‌فود، اسنپ‌مارکت، اسنپ‌لاین، اسنپ‌پی، اسنپ‌شاپ و اسنپ‌اکسپرس نیز ۷.۵ میلیون تومان گفتن شده است. اشکار نیست چرا اسم سرویس‌های دیگر اسنپ همانند اسنپ دکتر در این فهرست نیست.

ابر آروان از دیگر شرکت‌های ایرانی است که مسابقه کشف باگ دارد. سقف جوایز تعیین‌شده توسط این شرکت نیز تا ۳۰۰ میلیون تومان است.

باگ بانتی چیست و کدام شرکت‌های بزرگ برنامه شکار باگ

برخی از کسب‌وکارها نیز به‌صورت غیرمستقیم برنامه‌هایی برای پرداخت پاداش دراِزای کشف و گزارش باگ دارند. پلتفرم باگ بانتی راورو، کلاه سفید و باگدشت پلی بین متخصصین امنیت و کسب‌وکارها می باشند. شرکت‌ها هرازگاهی یا به‌طور دائمی از طریق این پلتفرم‌ها، امنیت سیستم‌های خود را به معرض آزمایش می‌گذارند و دراِزای کشف باگ، جوایزی را پرداخت می‌کنند.

به‌طور مثال، تپسی تا ۳۰ میلیون تومان جایزه برای کشف صدمه‌پذیری از طریق این پلتفرم‌ها تعیین کرده است. علی بابا، مایکت، جاباما، اتاقک، همراه کارت، ایرانسل، فلایتیو، شاتل، ایوند، رایتل، نماوا، مایکت و چند سازمان دولتی ایران ازجمله شرکت‌هایی می باشند که با همکاری با پلتفرم‌های واسط، باگ بانتی تعیین کرده‌اند. برخی از شرکت‌ها نیز در این پلتفرم‌های واسط می باشند، اما ترجیح داده‌اند تا نامشان محفوظ بماند و مسابقه کشف باگ آنها بدون ذکر عمومی نام نمایش داده می‌بشود.

ادامه مطلب
بازدید The Rogue Prince of Persia (نسخه دسترسی زودهنگام)_روشنفکر

باگ بانتی در ایران پذیرفته شده است؟

«یاشار شاهین‌زاده»، مشاور امنیت، در جواب به این سوال دیجیاتو که باگ بانتی چه مقدار برای شرکت‌های ایرانی پذیرفته شده است، او گفت: «اگر به‌صورت عام نگاه کنیم، این نوشته پذیرفته‌شده نیست. نسبت پذیرفتن باگ بانتی از سوی استارتاپ‌ها به کل استارتاپ‌ها به سمت صفر میل می‌کند. هیچ تفاوتی نیز بین مجموعه‌های دولتی و استارتاپی نیست و حتی دولتی‌ها وضع بدتری در این عرصه دارند.»

به حرف های وی، او گفت و گو باگ بانتی در بین شرکت‌های بزرگ همانند کافه بازار، اسنپ، تپسی و آروان پذیرفته‌شده‌تر است؛ اگرچه فاصله معناداری بین آنچه که در دنیا هست با ایران وجود دارد: «مقصد باگ بانتی در دنیا این است که هکرها با شما دوست شوند و صدمه‌پذیری‌ها را گزارش بدهند و این تعریف در دنیا با ایران فاصله بسیاری دارد. حس می‌کنم این او گفت و گو در ایران زیاد تر به این خاطر نقل است که فردا روزی بگویند در این عرصه کوتاهی نکرده‌اند.»

شاهین‌زاده در جواب به این سوال که چرا باگ بانتی شرکت‌های ایرانی چندان برای هکرها دلنشین نیست، دو علت را گفت:

«علت اول این است که [شرکت‌ها] پول زیاد کمتری خواهند داد. برای مثالً یک صدمه‌پذیری بحرانی اشکار می‌کنی و حداکثر ۵۰۰ دلار پرداخت می‌کنند درحالی‌که اگر همین صدمه‌پذیری را در یک برنامه خارجی اشکار کنی، ۱۰ هزار دلار دریافت خواهید کرد. به همین خاطر افراد کمتر رغبت می‌کنند تا روی باگ‌ بانتی ایرانی‌ها کار کنند. علت دوم نیز تنوع و تعداد اندک شرکت‌های فعال در این حوزه است، این درحالی است که در دنیا به کلمه اقیانوسی پر از ماهی وجود دارد. در پی این دو عامل، هکر با کیفیت روی موضوعات داخلی کار نمی‌کند و به سراغ موارد بین‌المللی می‌رود.»

1704279248 27 باگ بانتی چیست و کدام شرکت‌های بزرگ برنامه شکار باگ
یاشار شاهین‌زاده

این باور وجود دارد که او گفت و گو باگ بانتی برای ترقی امنیت کافی است، موضوعی که این متخصص امنیت کاملاً با آن ناموافق است. او با پافشاری بر این که باگ بانتی در اغاز فعالیت نباید اصلاً نقل بشود، اظهار داشت اول بایستی یک تیم امنیت در سازمان راه اندازی بشود تا وقتی که گسترش‌دهندگان درحال کدزدن می باشند، تیم امنیت بر آنها نظارت کند: «سپس این تیم رشد می‌کند و تست‌های امنیتی سامانه‌ها را باید انجام دهد، سپس شبکه را امن کند. برتری هم به شکل نفوذ است، هکر وب زیاد و هکر شبکه کم است، بعد اول وب را ایمن می‌کنند سپس به سراغ شبکه می‌روال.»

ادامه مطلب
بازی‌های PSP را روی آیفون توانایی کنید؛ امولاتور PPSSPP به اپ استور آمد_روشنفکر

به حرف های وی این مرحله های اول باید گذرانده بشود، سپس باگ بانتی از سوی شرکت تعیین بشود: «این طور نیست از اول ماجرا باگ بانتی بگذارند؛ چرا که ضمانت امن‌بودن نیست.»

شاهین‌زاده معتقد است باگ بانتی همانند به ویترینی است که مشخص می کند کسب‌وکار به او گفت و گو امنیت اهمیت می‌دهد و تنها در این عرصه ادعا نمی‌کند: «با باگ بانتی علاوه بر این که امنیت افزایش می‌یابد، یک وجهه هم از کسب‌وکار به نمایش گذاشته می‌بشود که برای امنیت اهمیت قائل است.»

او در همین رابطه تیم امنیتی گوگل را مثال زد که از افراد حرفه‌ای راه اندازی شده‌ است، بااین‌وجود این شرکت در سال قبل بیشتر از یک میلیون دلار بانتی پرداخت کرده است. به باور این متخصص امنیت او گفت و گو باگ بانتی و تیم امنیت یک شرکت در تقابل با یکدیگر نیستند، بلکه همدیگر را کامل می‌کنند: «بعد اول باید شاکله امنیت شکل بگیرد، سپس باگ بانتی نقل بشود.»

«هکرهای کلاه سفید ایرانی انگیزه‌ای برای فعالیت روی مثالهای داخلی ندارند»

«وحید فرید»، فعال حوزه تکنولوژی، در او مباحثه با دیجیاتو اظهار داشت در حوزه امنیت موارد بسیاری وجود دارد که نیاز است روی آن‌ها کار بشود. او پافشاری کرد فردی که نرم‌افزار را می‌نویسد باید با مفاهیم امنیتی آشنایی داشته باشد و اپ به دید فرد نفوذی تست گرفته بشود و صدمه‌های شناخته‌شده در کل فرآیند شناسایی شوند و برای آن راه‌حل اشکار بشود:

«سپس از این به مفهوم باگ بانتی می‌رسیم؛ به این ترتیب که یک هکر کلاه سفید کاری را که یک هکر کلاه سیاه، پیش‌بینی می‌بشود انجام دهد را انجام می‌دهد و جایزه می‌گیرد. این هکر تصمیم سرقت اطلاعات را ندارد بلکه در انتهای فرآیند جایزه می‌گیرد.»

فرید با اشاره به این که او گفت و گو باگ بانتی یک نوشته جهانی است و هکرهای ایرانی می‌توانند روی مثالهای خارجی زمان بگذارند و کسب درآمد بیشتری داشته باشند، اظهار داشت اختلاف مبلغ جایزه برای هکرهای کلاه سفید در داخل و خارج به حدی زیاد است که هکر کلاه سفید ایرانی اصلاً انگیزه‌ای برای فعالیت روی مثالهای داخلی ندارد.

ادامه مطلب
خودروهای داخلی محبوب و پرفروش با محصولات گران‌تر جانشین شدند!
1704279248 422 باگ بانتی چیست و کدام شرکت‌های بزرگ برنامه شکار باگ

او در این باره مثال زد که پرداختی برای یک صدمه بحرانی روی یک پلتفرم متوسط بین‌المللی در رنج ده هزار تا بیست هزار دلار است، درحالی‌که تپسی مبلغ هفت میلیون برای این نوشته تعیین کرده است: « یقیناً باز این مبلغ هم خوب است. در برخی موارد نوع برخورد به شکلی است که جامعه هکری ایران به این نتیجه رسیده که برای مثالهای ایرانی زمان نگذارند چون درنهایت به‌جای پول‌دادن، تهدید هم می‌کنند و نوشته را به باج‌گیری متصل می‌کنند. درحالی‌که حق هکر است که جایزه بگیرد و ماموریت پلتفرم است که این مشکلات را شناسایی کند.»

این فعال حوزه تکنولوژی معتقد است یک هکر امکان پذیر هفته‌ها برای صدمه‌شناسی زمان بگذارد، اما این مبلغ‌های داخلی چیزی نیستند که قیمت زمان‌گذاشتن را داشته باشند:

«در کل جامعه IT تصمیم بر این است که برای پلتفرم‌های داخلی زمان نگذارند و دچار شکایت و مسائل این چنینی نشوند چون پول که نمی‌دهند و اسم هکر هم در لیستی قرار می‌گیرد که درنهایت نهادهای امنیتی روی فرد حساس می‌بشود و به‌خاطر شکایت پلتفرم، اسم او به پلیس فتا می‌رود. بعد هکرها روی سایت‌ها خارجی زمان می‌گذارند و درنهایت پول دلاری هم می‌گیرند.»

به باور او وقتی که هکر کلاه سفید روی سایت زمان نگذارد امکان نادرست و صدمه‌پذیری وجود دارد که زیاد هم تقصیر برنامه‌نویس نیست: «بالاخره امکان پذیر جایی از افزونه‌ای یا فریمورکی منفعت گیری کرده باشد که یک صدمه‌پذیری داشته است. اما بالاخره فهمیدن این نقطه صدمه‌پذیری هزینه دارد.»


وقتی که قانونی برای حفاظت از داده‌های مردم وجود نداشته باشد و کسب‌وکارها دلواپس هزینه‌های احتمالی هک نباشند، به جز مسائل اخلاقی و برندینگ، علت چندانی نیز وجود ندارد که برای امنیت خود مبلغ باگ بانتی‌ بالاتری پرداخت کنند. از نظر دیگر فیلترینگ، تحریم‌ها، تورم و شرایط بد اقتصادی سختی مضاعفی روی کسب‌وکارهای ایرانی می‌آورد تا نتوانند در پرداخت دلاری بابت صدمه‌پذیری‌های امنیتی با شرکت‌های بین‌المللی رقابت کنند.



منبع