تلفن همراه

هکرهای کلاه سفید به سراغ ایرانسل و ارتباط فردا رفتند

منبع: پیوست
موضوع امنیت دستگاه‌ها و سازمان‌های مختلف این روزها با توجه به اخباری که از نفوذ به سایت‌های مختلف دولتی و غیر دولتی به گوش می‌رسد هر روز داغ‌تر می‌شود. اخبار مربوط به نفوذ به سایت‌های مختلف از یک سو و اخبار مربوط به فروش اطلاعات کاربران سایت‌های مختلف در شبکه‌های اجتماعی توسط هکرها از سوی دیگر موجب شده تا اهمیت حفظ امنیت سایت‌ها و سامانه‌های مختلف بیش از پیش احساس شود. در شرایطی که مسئولان سایت‌ها و سامانه‌های مختلف ترجیح می‌دهند که در سکوت کامل موضوع مربوط به امنیت اطلاعات خود را پیش برند، شرکت امنیتی باگدشت یکی از شرکت‌های فعال در حوزه باگ‌بانتی اقدام به برگزاری مسابقه یافتن باگ‌های امنیتی CTB (Capture The Bug) سایت‌ها و سامانه‌های مختلف کرده است. مدیرعامل این شرکت معتقد است برگزاری چنین مسابقه‌هایی و حضور سازمان‌ها و شرکت‌های مختلف در آن می‌تواند موجب افزایش سطح امنیت عمومی سامانه و سایت‌های مختلف شود.
 
 شرکت‌های فعال در حوزه باگ‌بانتی با شناسایی باگ‌های امنیتی شرکت‌ها و سامانه‌ها توسط کارشناسان امنیتی‌اشان یا هکرهای کلاه‌سفید و اطلاع آن باگ‌ها به سازمان‌ها و سامانه‌های مختلف موجب افزایش سطح ایمنی سایت‌ها و سامانه‌های مختلف می‌شوند.
 
رویا دهبسته، مدیرعامل باگدشت در خصوص برگزاری مسابقه CTB یا مسابقه یافتن باگ امنیتی که دوم مرداد ماه برگزار شد به پیوست گفت: «در این رویداد که به صورت مجازی از ۹ صبح تا ۸ شب ادامه داشت ۵۰ نفر از متخصصان امنیتی سراسر کشور دو شرکت ایرانسل و ارتباط فردا را به عنوان دو شرکتی که تحت ارزیابی امنیتی قرار می‌گرفتند را ارزیابی کردند.»
 
 
رویا دهبسته، مدیرعامل شرکت باگدشت معتقد است ارزیابی‌های صورت گرفته از سوی شرکت‌های باگ‌بانتی در اصل تکمیل کننده فرایند کاری تیم‌های امنیتی شرکت‌هاست
 
رویا دهبسته در خصوص اینکه چرا فقط دو شرکت را در ارزیابی امنیتی شرکت داده‌اند گفت: «رویکرد نوین و مزیت‌های موضوع باگ‌بانتی هنوز به صورت کامل برای تمامی شرکت‌ها و سازمان‌ها شناخته شده نیست و سازمان‌ها باید دارای بلوغ امنیتی نسبی برای شرکت در باگ بانتی باشند. بسیاری از شرکت‌ها از اینکه نامشان در لیستی قرار بگیرد که اعلام آمادگی کرده‌اند تا مورد ارزیابی امنیتی توسط تعداد بالایی از متخصصین امنیتی قرار بگیرند، می‌هراسند چرا که این تصور وجود دارد که در آینده شاید هکرهای بیشتری برای نفوذ به سایت‌ها یا سامانه‌های آنان تلاش کنند، در صورتیکه با توجه به رخدادهای نشت اطلاعات اخیر می‌توان به سادگی مشاهده کرد که در حال حاضر سازمان‌ها توسط مهاجمین در حال بررسی و سواستفاده هستند و باگ بانتی می‌تواند به سازمان کمک کند تا سریع‌تر به مشکل امنیتی خود آگاه شوند و در جهت رفع آن اقدام کنند.»
 
او با اشاره به اینکه در گذشته این روش از سوی پلیس فتا و مرکز افتای ریاست جمهوری شناخته شده نبود و باگ بانتی را به رسمیت نمی‌شناختند گفت: «اما طی یک سال گذشته باتوجه به اینکه مشخص شده هکرهای کلاه سفید نه تنها موجب افزایش پرونده‌های قضایی نمی‌شوند بلکه به آنان برای کاهش پرونده‌ها کمک می‌کنند نگاه مثبتی نسبت به این فرایند ایجاد شده است به همین خاطر حتی برای اولین بار پلیس فتا و معاونت نوآوری ریاست جمهوری نیز به عنوان حامیان این مسابقه، در CTB حضور داشتند و همچنین مرکز افتای ریاست جمهوری همکاری مناسبی در به رسمیت شناخته شدن این فرآیند در کشور کرده است.»
 
دهبسته با تاکید بر اینکه در دنیا این فرایند بسیار شناخته شده است گفت: «بسیاری از اپراتورهای بزرگ جهان به صورت مستمر با شرکت‌های باگ‌بانتی قرارداد همکاری دارند و مورد ارزیابی هکرهای کلاه سفید قرار می گیرند Verizon، AT&T و MTN از جمله این اپراتورها هستند که از سوی هکروان که یک شرکت باگ‌بانتی بین‌المللی است به صورت مرتب مورد ارزیابی امنیتی قرار می‌گیرند.»
 
او افزود: «همچنین بسیاری از شرکت‌های پرداختی بین‌المللی همچون PayPal، MasterCard، Coin Base و غیره نیز درهمین فرایند قرار دارند و به صورت مرتب از سوی شرکت‌های باگ بانتی مورد تست و ارزیابی قرار می‌گیرند.»
 
دهبسته تاکید کرد که ارزیابی‌های صورت گرفته از سوی شرکت‌های باگ‌بانتی در اصل تکمیل کننده فرایند کاری تیم‌های امنیتی شرکت‌هاست؛ بسیاری از شرکت‌ها با این تصور که خودشان تیم امنیتی در اختیار دارند و دیگر نیازی به سرویس‌دهی این شرکت‌ها نیست از پذیرفتن سرویس آنها امتناع می‌کنند اما واقعیت این است که تیم‌های باگ‌بانتی به دلیل تعدد خلاقیت و نوع نگاه متخصصان خود، به بخش‌هایی برخورد می‌کنند که از چشم تیم‌های امنیتی شرکت‌ها دور مانده باشد.
 
او با اشاره به نتیجه مسابقه‌ای که از سوی این شرکت برگزار شده بود گفت: «با توجه به اینکه زمان رویداد بسیار کوتاه بود این احتمال وجودداشت که باگی از سوی کارشناسان امنیتی ما یافت نشود اما پس از پایان روز و پایان مدت مسابقه باگهای امنیتی مناسبی از سوی کارشناسان شناسایی شد.»
 
مدیرعامل شرکت باگدشت تاکید کرد که اکثر قراردادهایی که برای یافتن باگ‌های امنیتی منعقد می‌شود حداقل دوره‌های ۳ ماهه دارند در این دوره زمانی مدیران سازمان‌ها و شرکت‌ها به پنلی دسترسی دارند و کارشناسان امنیتی یا هکرهای کلاه سفید فعال نیز با یافتن باگ‌های امنیتی آن باگ‌ها را به اطلاع مدیران سامانه‌ها می‌رسانند تا آنان در جهت رفع آن اقدام کنند و در نتیجه سازمان و متخصص امنیتی بدون حواشی حقوقی و قضایی روی محتوای فنی گزارشات باگ متمرکز شده و سازمان را برای ارتقا سطح امنیتی یاری می‌دهیم.

​​