هکرهای کلاه سفید به سراغ ایرانسل و ارتباط فردا رفتند
موضوع امنیت دستگاهها و سازمانهای مختلف این روزها با توجه به اخباری که از نفوذ به سایتهای مختلف دولتی و غیر دولتی به گوش میرسد هر روز داغتر میشود. اخبار مربوط به نفوذ به سایتهای مختلف از یک سو و اخبار مربوط به فروش اطلاعات کاربران سایتهای مختلف در شبکههای اجتماعی توسط هکرها از سوی دیگر موجب شده تا اهمیت حفظ امنیت سایتها و سامانههای مختلف بیش از پیش احساس شود. در شرایطی که مسئولان سایتها و سامانههای مختلف ترجیح میدهند که در سکوت کامل موضوع مربوط به امنیت اطلاعات خود را پیش برند، شرکت امنیتی باگدشت یکی از شرکتهای فعال در حوزه باگبانتی اقدام به برگزاری مسابقه یافتن باگهای امنیتی CTB (Capture The Bug) سایتها و سامانههای مختلف کرده است. مدیرعامل این شرکت معتقد است برگزاری چنین مسابقههایی و حضور سازمانها و شرکتهای مختلف در آن میتواند موجب افزایش سطح امنیت عمومی سامانه و سایتهای مختلف شود.
شرکتهای فعال در حوزه باگبانتی با شناسایی باگهای امنیتی شرکتها و سامانهها توسط کارشناسان امنیتیاشان یا هکرهای کلاهسفید و اطلاع آن باگها به سازمانها و سامانههای مختلف موجب افزایش سطح ایمنی سایتها و سامانههای مختلف میشوند.
رویا دهبسته، مدیرعامل باگدشت در خصوص برگزاری مسابقه CTB یا مسابقه یافتن باگ امنیتی که دوم مرداد ماه برگزار شد به پیوست گفت: «در این رویداد که به صورت مجازی از ۹ صبح تا ۸ شب ادامه داشت ۵۰ نفر از متخصصان امنیتی سراسر کشور دو شرکت ایرانسل و ارتباط فردا را به عنوان دو شرکتی که تحت ارزیابی امنیتی قرار میگرفتند را ارزیابی کردند.»
رویا دهبسته، مدیرعامل شرکت باگدشت معتقد است ارزیابیهای صورت گرفته از سوی شرکتهای باگبانتی در اصل تکمیل کننده فرایند کاری تیمهای امنیتی شرکتهاست
رویا دهبسته در خصوص اینکه چرا فقط دو شرکت را در ارزیابی امنیتی شرکت دادهاند گفت: «رویکرد نوین و مزیتهای موضوع باگبانتی هنوز به صورت کامل برای تمامی شرکتها و سازمانها شناخته شده نیست و سازمانها باید دارای بلوغ امنیتی نسبی برای شرکت در باگ بانتی باشند. بسیاری از شرکتها از اینکه نامشان در لیستی قرار بگیرد که اعلام آمادگی کردهاند تا مورد ارزیابی امنیتی توسط تعداد بالایی از متخصصین امنیتی قرار بگیرند، میهراسند چرا که این تصور وجود دارد که در آینده شاید هکرهای بیشتری برای نفوذ به سایتها یا سامانههای آنان تلاش کنند، در صورتیکه با توجه به رخدادهای نشت اطلاعات اخیر میتوان به سادگی مشاهده کرد که در حال حاضر سازمانها توسط مهاجمین در حال بررسی و سواستفاده هستند و باگ بانتی میتواند به سازمان کمک کند تا سریعتر به مشکل امنیتی خود آگاه شوند و در جهت رفع آن اقدام کنند.»
او با اشاره به اینکه در گذشته این روش از سوی پلیس فتا و مرکز افتای ریاست جمهوری شناخته شده نبود و باگ بانتی را به رسمیت نمیشناختند گفت: «اما طی یک سال گذشته باتوجه به اینکه مشخص شده هکرهای کلاه سفید نه تنها موجب افزایش پروندههای قضایی نمیشوند بلکه به آنان برای کاهش پروندهها کمک میکنند نگاه مثبتی نسبت به این فرایند ایجاد شده است به همین خاطر حتی برای اولین بار پلیس فتا و معاونت نوآوری ریاست جمهوری نیز به عنوان حامیان این مسابقه، در CTB حضور داشتند و همچنین مرکز افتای ریاست جمهوری همکاری مناسبی در به رسمیت شناخته شدن این فرآیند در کشور کرده است.»
دهبسته با تاکید بر اینکه در دنیا این فرایند بسیار شناخته شده است گفت: «بسیاری از اپراتورهای بزرگ جهان به صورت مستمر با شرکتهای باگبانتی قرارداد همکاری دارند و مورد ارزیابی هکرهای کلاه سفید قرار می گیرند Verizon، AT&T و MTN از جمله این اپراتورها هستند که از سوی هکروان که یک شرکت باگبانتی بینالمللی است به صورت مرتب مورد ارزیابی امنیتی قرار میگیرند.»
او افزود: «همچنین بسیاری از شرکتهای پرداختی بینالمللی همچون PayPal، MasterCard، Coin Base و غیره نیز درهمین فرایند قرار دارند و به صورت مرتب از سوی شرکتهای باگ بانتی مورد تست و ارزیابی قرار میگیرند.»
دهبسته تاکید کرد که ارزیابیهای صورت گرفته از سوی شرکتهای باگبانتی در اصل تکمیل کننده فرایند کاری تیمهای امنیتی شرکتهاست؛ بسیاری از شرکتها با این تصور که خودشان تیم امنیتی در اختیار دارند و دیگر نیازی به سرویسدهی این شرکتها نیست از پذیرفتن سرویس آنها امتناع میکنند اما واقعیت این است که تیمهای باگبانتی به دلیل تعدد خلاقیت و نوع نگاه متخصصان خود، به بخشهایی برخورد میکنند که از چشم تیمهای امنیتی شرکتها دور مانده باشد.
او با اشاره به نتیجه مسابقهای که از سوی این شرکت برگزار شده بود گفت: «با توجه به اینکه زمان رویداد بسیار کوتاه بود این احتمال وجودداشت که باگی از سوی کارشناسان امنیتی ما یافت نشود اما پس از پایان روز و پایان مدت مسابقه باگهای امنیتی مناسبی از سوی کارشناسان شناسایی شد.»
مدیرعامل شرکت باگدشت تاکید کرد که اکثر قراردادهایی که برای یافتن باگهای امنیتی منعقد میشود حداقل دورههای ۳ ماهه دارند در این دوره زمانی مدیران سازمانها و شرکتها به پنلی دسترسی دارند و کارشناسان امنیتی یا هکرهای کلاه سفید فعال نیز با یافتن باگهای امنیتی آن باگها را به اطلاع مدیران سامانهها میرسانند تا آنان در جهت رفع آن اقدام کنند و در نتیجه سازمان و متخصص امنیتی بدون حواشی حقوقی و قضایی روی محتوای فنی گزارشات باگ متمرکز شده و سازمان را برای ارتقا سطح امنیتی یاری میدهیم.