شکارچیان حشرات باینری؛ با با اهمیت ترین هانترهای باگ‌‌بانتی آشنا شوید_آیندگان

در دنیای پیچیده‌ فناوری، برنامه‌های باگ‌‌بانتی (Bug Bounty) به‌گفتن یکی از کارآمدترین سازوکارهای دفاع سایبری ظهور کرده‌اند. این برنامه‌ها با تشویق هکرهای اخلاقی (هکرهای کلاه‌سفید) به کشف و گزارش صدمه‌پذیری‌های نرم‌افزاری، پلی مهم بین امنیت و نوآوری تشکیل می‌کنند. اهمیت این برنامه‌ها فقط در پاداش‌های مالی خلاصه نمی‌شود، بلکه آنها فرهنگ مسئولیت‌پذیری جمعی را ترویج خواهند داد که در آن، هر کشف می‌تواند میلیون‌ها کاربر را از مخاطرات سایبری نجات دهد.

نخستین جرقه‌های شکل‌گیری باگ‌‌بانتی به سال ۱۹۸۳ برمی‌گردد که شرکت Hunter &  Ready نظر جایزه‌ای نمادین (ماشین فولکس‌واگن بیتل) برای کشف باگ‌ها در سیستم‌عامل خود نقل کرد. هرچند این عمل زیاد تر جنبه‌ تبلیغاتی داشت، سنگ‌بنای مفهومی شد که بعدها جهان را منقلب کرد.

سال ۱۹۹۵ نیز «نت‌اسکیپ» با راه‌اندازی اولین برنامه‌ رسمی باگ‌‌بانتی برای مرورگر Netscape Navigator 2.0 Beta، تحولی تاریخی تشکیل کرد. «جَرِت ریدینگهافر»، مهندس فنی این شرکت، با الهام از جامعه‌ کاربران مشتاق، طرحی اراعه داد که به گزارش‌دهندگان باگ، هزار دلار و تی‌شرت اهدا شود. این عمل نه‌فقط کیفیت محصول را افزایش داد، بلکه میلیون‌ها دلار صرفه‌جویی اقتصادی برای شرکت به همراه داشت. 

سال‌های ۲۰۰۴ تا ۲۰۱۱ را می‌توان عصر طلایی گسترش باگ‌‌بانتی دانست.

موزیلا سال ۲۰۰۴ با برنامه‌ای برای کشف صدمه‌پذیری‌های فایرفاکس و جایزه‌ ۵۰۰ دلاری، جامعه‌ امنیتی را فعال‌تر کرد و گوگل سال ۲۰۱۰ با راه‌اندازی برنامه‌ پاداش صدمه‌پذیری برای محصولات تحت وب خود، استانداردهای جدیدی تعریف کرد که به الگویی جهانی تبدیل شد. فیس‌بوک نیز در ۲۰۱۱ با پرداخت حداقل ۵۰۰ دلار برای هر گزارش و بدون سقف مالی، رکوردشکنی کرد. تا امروز، این شرکت بیشتر از ۴ میلیون و ۳۰۰ هزار دلار به محققان پرداخت کرده است.

اهمیت استراتژیک باگ‌‌بانتی

احتمالا با اهمیت ترین علت اهمیت باگ‌بانتی الزام پیشگیری از فاجعه‌های امنیتی است. اتفاقاً نمونه راحتی از این الزام مرداد ۲۰۱۳ رقم خورد. آن سال، فیس‌بوک برای کشف خطایی امنیتی ۲۰ هزار دلار به کاربری پرداخت کرد. این کاربر که محقق امنیتی ۲۲‌ ساله به نام «جک ویتون» می بود، باگی را کشف کرد که به هکرها امکان دسترسی به حساب هر کاربری را می‌داد اما گزارش به‌موقع و اصلاح سریع این اشتباه از بحرانی جدی برای فیس‌بوک جلوگیری کرد؛ به این علت می‌توان جک‌ ویتون را یکی از شکارچیان مهم باگ در تاریخ دانست.

صرفه‌جویی اقتصادی و افزایش مطمعن کاربران جنبه دیگر برنامه‌های باگ‌بانتی و از دلایل اهمیت آن است. بازدید‌ها مشخص می کند هزینه کشف هر صدمه‌پذیری تا ۱۰ برابر کمتر از راه حلهای سنتی همانند تست نفوذ اختصاصی است. این چنین شفافیت در پرداخت پاداش‌ها مطمعن عمومی به برندها را تحکیم می‌کند.

در کنار اینها، مواردی همانند کشف و جذب توانایی های برتر در عرصه امنیت سایبری هم یکی از دلایل اهمیت این برنامه‌ها ذکر می‌شود؛ برای مثال برنامه‌هایی همانند HackerOne  و Bugcrowd فرصتی برای محققان کشورهای درحال‌گسترش، همانند هند و تونس، فراهم کرده‌اند تا از توانایی‌هایشان درآمدی عادلانه کسب کنند. یوسف صمودا از تونس یکی از آنهایی است در ادامه این نوشته معارفه‌اش می‌کنیم.

امروزه کسب‌وکارهای آنلاین در همه مقیاس‌ها، با الهام از شرکت‌هایی همانند گوگل و فیسبوک، برنامه‌های مداوم باگ‌بانتی را برای ایمن‌سازی برنامه‌ها و پرهیز از هزینه‌های جرائم سایبری اجرا می‌کنند. حتی مایکروسافت هم اکنون برنامه‌ای با پاداش ۱۰۰ هزار دلاری برای کشف صدمه‌پذیری‌های حیاتی اراعه می‌دهد.
مقدار پاداش‌ها با افزایش محبوبیت و مشروعیت این برنامه‌ها رشد چشمگیری کرده است؛ برای نمونه، پاداش‌های گوگل امروز پنج برابر زیاد تر از سال ۲۰۱۰ است.

داستان باگ‌بانتی‌ها تا این مدت در فصل‌های نخستین خود قرار دارد. سال قبل، مایکروسافت و فیسبوک با همکاری یکدیگر، اینترنت باگ‌بانتی (Internet Bug Bounty)  را راه‌اندازی کردند که برنامه‌ای اختصاصی برای کشف صدمه‌پذیری‌ها در چارچوب‌های گسترش نرم‌افزار همانند Ruby on Rails یا Django  است. گوگل نیز برنامه خود را به پروژه‌های متن‌باز متعدد گسترش داده است.

روال رو‌به‌رشد دیگر محبوبیت پلتفرم‌های باگ‌بانتی و تست نفوذ به‌گفتن سرویس (PtaaS) است. این بازارهای آنلاین به کسب‌وکارها امکان خواهند داد به‌راحتی برنامه باگ‌بانتی خود را راه‌اندازی و مدیریت کنند و از قوت جامعه امنیتی منفعت ببرند.

آینده‌ باگ‌بانتی: از شرکتی تا ملی

هر روز ابعاد جدیدی از برنامه‌های باگ‌بانتی آشکار می‌شود. امروزه این برنامه‌ها از مرزهای قسمت خصوصی فراتر رفته‌اند و به سطح ملی و حاکمیتی رسیده‌اند؛ برای مثال دولت فدرال آمریکا سال ۲۰۱۶ برنامه «هک پنتاگون» را معارفه کرد. تا بحال در قالب این برنامه بیشتر از ۷ هزار صدمه‌پذیری کشف شده است.

اتحادیه اروپا سال ۲۰۱۴ با مطرح EU-FOSSA 2، قدم به این عرصه گذاشت. EU-FOSSA مخفف «بازرسی نرم‌افزارهای آزاد و متن‌باز» با مقصد افزایش امنیت و یکپارچگی نرم‌افزارهای حیاتی متن‌باز به دستور مجلس اروپا بعد از کشف حفره امنیتی Heartbleed در سال ۲۰۱۴ راه‌اندازی شد.

بعد از پیروزی فاز آزمایشی اولیه، این پروژه برای دوره سه‌ساله تازه تمدید شد و راه‌اندازی برنامه‌های باگ‌بانتی، سازماندهی هکاتون‌ها و کنفرانس‌ها و تعامل فعال با انجمن‌های گسترش‌دهندگان را دربرمی‌گرفت.

شکارچیان قلب‌ تپنده برنامه‌های باگ‌بانتی

شرکت‌های بزرگ و دولت‌ها از برنامه‌های باگ‌بانتی به‌گفتن ابزار راهبردی منفعت می‌برند، قلب تپنده این اکوسیستم را افرادی راه اندازی خواهند داد که با دقت و دانش فنی صدمه‌پذیری‌ها را شناسایی و گزارش می‌کنند؛ افرادی که به آنها «هانتر» یا شکارچی باگ حرف های می‌شود. این هکرهای کلاه‌سفید ستون‌فقرات امنیت سایبری مدرن می باشند؛ بعضی اوقات ناشناس و بعضی اوقات با نام‌هایی شناخته‌شده در جامعه‌ جهانی امنیت اطلاعات. اکنون در ادامه، نگاهی به برخی از با اهمیت ترین هانترهای باگ‌بانتی در جهان و ایران می‌اندازیم که با گزارش‌هایشان، نه‌فقط میلیون‌ها دلار پاداش گرفته‌اند، بلکه اعتبار و امنیت سازمان‌های بزرگ را نگه داری کرده‌اند.

• استفان شازلاس (Stéphane Chazelas)
  متخصص یونیکس و تلکام که با کشف صدمه‌پذیری تاریخی Shellshock در پوسته Bash نام خود را  در حافظه امنیت سایبری ماندگار کرد. او این باگ را از طریق HackerOne گزارش داد و ۲۰ هزار دلار پاداش دریافت کرد.

• رافای بلوچ (Rafay Baloch)
  پژوهشگر امنیتی جدا گانه از پاکستان با افشای صدمه‌پذیری اجرای کد در PayPal، هم جایزه‌ای ۱۰ هزار دلاری هم نظر همکاری گرفت که آن را رد کرد. او یکی از شناخته‌شده‌ترین چهره‌ها در برنامه‌های باگ‌بانتی Google، Facebook، Microsoft و Dropbox است.

• فرانس روزن (Frans Rosén)
  روزن بنیان‌گذار پلتفرم امنیتی Detectify و دومین شکارچی برتر HackerOne است. او با کشف صدمه‌پذیری XSS در Mega و تعداد بسیاری از گزارش‌های مهم دیگر اعتبار بالایی کسب کرده است.

•  جیسون هدیکس  (Jason Haddix)
  او هانتر برتر قبل Bugcrowd و مدیر ارشد عملیات فناوری جاری همین پلتفرم است. او این چنین در پروژه‌های OWASP نیز شراکت فعال دارد.

• نیر گلدشلاگر (Nir Goldshlager)
  گلدشلاگر مدیرعامل Break Security و نفر اول لیست Facebook White Hat سال ۲۰۱۲ است. تخصص او در دورزدن WAFها علتشده شهرت بین‌المللی اشکار کند.

•  روی کاستیلو (Roy Castillo)
  از پیشگامان فیلیپینی این حوزه که با کشف XSS در Gmail و فیسبوک سروصدای بسیاری کرد.

• امیلی استارک (Emily Stark)
  امیلی مهندس امنیت تیم Google Chrome و از معدود زنان موفق دنیای باگ‌بانتی است. فعالیت‌های او در HackerOne تحسین‌شده و مستند است.

• بیت‌کوارک (Bitquark)
  یکی از شکارچیان برتر قبل که با کشفیات در Google Sites بیشتر از ۱۳ هزار دلار پاداش گرفت. او مقالات ارزشمندی در وبلاگ شخصی‌اش انتشار کرده است.

• دان ای. بیلی (Don A. Bailey)
  متخصص امنیت و پژوهشگر بین‌المللی که در کنفرانس‌هایی همانند Black Hat و Hack in the Box سخنرانی کرده، در پلتفرم HackerOne نیز فعال بوده و پاداش‌هایی هگفتی گرفته کرده است.

• نیل پول (Neal Poole)
  مهندس امنیت فیس‌بوک که قبل از استخدام، چندین دفعه صدمه‌پذیری‌های مهمی این پلتفرم را کشف و در برنامه‌های گوگل و موزیلا هم شراکت کرده است.

• جونگ‌هون لی (JungHoon Lee)
  پژوهشگر اهل کره جنوبی که با بردن ۲۲۵ هزار دلار جایزه در مسابقه Pwn2Own، نام خود را در تاریخ امنیت سایبری ثبت کرد.

• مازین احمد (Mazin Ahmed)
  مازین احمد پژوهشگر امنیتی است که برای بهترین کشف ضعف امنیتی سمت کلاینت کاندیدای جایزه Pwnie شد. او در حوزه CSRF و XSS فعالیت‌های برجسته‌ای کرده است.

• شوبهام شاه (Shubham Shah)
  شوبهام شاه پژوهشگر امنیتی اهل سیدنی است که ۱۶ سالگی موفق به دورزدن سیستم احراز هویت دومرحله‌ای غول‌های فناوری شد. او سابقه همکاری با شرکت‌های امنیتی معتبر را دارد.

میلیونرهای امنیت دیجیتال

در دنیای شکار باگ، برخی هانترها فراتر از شهرت، به درآمدهای بالایی نیز دست یافته‌اند. دراین‌بین، چهره‌هایی همچون یوسف صمودا، آناند پراکاش و فرانس روزن، از موفق‌ترین‌ها می باشند. تعدادی از این افراد را در ادامه معارفه می‌کنیم.

•  یوسف صمودا (Youssef Sammouda)
  صمودای تونسی از تأثیرگذارترین شکارچیان امنیتی در پلتفرم فیس‌بوک است که سال‌های ۲۰۱۹ تا ۲۰۲۱ صدرنشین جدول Whitehat این شرکت می بود. فقط سال ۲۰۲۱، او نزدیک به ۹۰۰ هزار دلار درآمد داشت. تمرکز مهم صمودا بر صدمه‌پذیری‌های تصاحب حساب (Account Takeover) است؛ باگی که دسترسی به زیرساخت داخلی فیسبوک می‌داد و ۸۱ هزار دلار پاداش نصیب او کرد. او با تمرکز بر نقص‌های منطقی در زیرساخت‌های متا و گوگل، سالانه پاره‌زمان نزدیک به ۴۰۰ هزار دلار درآمد دارد.

•  آناند پراکاش (Anand Prakash)
  پراکاش هندی از شناخته‌شده‌ترین هکرهای کلاه‌سفید آسیایی است که نقطه‌عطف شهرتش کشف صدمه‌پذیری خطرناکی در فیس‌بوک می بود که امکان بازنشانی رمز عبور و دسترسی به بیشتر از یک‌میلیارد و ۶۰۰ میلیون حساب کاربری را فراهم می‌کرد. این کشف ۱۵ هزار دلار برایش به ارمغان آورد. او این چنین صدمه‌پذیری بحرانی سرویس تحویل غذای زوماتو (با ۶۲ میلیون و ۵۰۰ هزار کاربر) را شناسایی کرده است.
• فرانس روزن (Frans Rosén)
  علاوه‌بر جایگاه دوم در جدول برترین‌های HackerOne، یکی از هم‌بنیان‌گذاران پلتفرم امنیتی Detectify است. او به‌علت کشف‌های متعدد و باکیفیت در حوزه صدمه‌پذیری‌های XSS شهرت جهانی دارد. یکی از اکتشافات قابل‌دقت او کشف نقص امنیتی در Mega.nz می بود که هزار یورو پاداش نصیبش کرد.
• سانتیاگو لوپز، کارآفرین جوان و متخصص امنیت رایانه‌ای، جزو ۳ هکر اول لیست هکروان است. او در ۱۹ سالگی با‌دقت‌به توانمندیهایی امنیتی‌اش به جمع میلیونرها مدام و صدمه‌پذیری‌های بسیاری ازجمله در پی‌پال، ایکس و ایربی‌اند‌بی کشف و گزارش کرده است.

شکارچیان ایرانی

کشورهای غربی و آسیای جنوب شرقی مدام در صدر آمار باگ‌بانتی بوده‌اند اما در سال‌های تازه شکارچیان امنیتی ایرانی نیز رشد قابل‌توجهی کرده‌اند و توانسته‌اند نام خود را در لیست پرداخت‌ها و افتخارات شرکت‌های بین‌المللی و داخلی ثبت کنند. در ادامه تعدادی از این شکارچیان را معارفه می‌کنیم.

• سینا یگانه یکی از شکارچیان برجسته ایرانی است که تا بحال برای گزارش ده‌ها صدمه‌پذیری، به‌اختصاصی در پلتفرم‌ تیک‌تاک، جایزه گرفته است. او از هکرهای کلا‌ه‌سفید معروفی است که در مسابقات معتبر Ihe نیز شرکت کرده است.
• پارسا بابادی از هکرهای معروف و نامدار ایرانی است که به‌گفتن سفیر هکروان در ترکیه فعال می‌کند.
• پوریا دارابی نیز محقق امنیتی ایرانی است که به‌اختصاصی برای کشف صدمه‌پذیری در فیس‌بوک شهرت جهانی اشکار کرده است. او سال ۱۳۹۶ برای گزارش یکی از این باگ‌ها ۱۰‌هزار دلار از فیس‌بوک پاداش گرفت و پیش از آن نیز مبالغ قابل‌توجهی از این شرکت پاداش گرفته می بود.
•  نیما غلامی از جوان‌ترین شکارچیان صدمه‌پذیری در ایران است که فعالیت حرفه‌ای خود را از ۱۶ سالگی اغاز کرده است. او با کشف صدمه‌پذیری DOM-based XSS در یکی از پلتفرم‌های بین‌المللی، اولین جایزه خود را به مبلغ ۲هزار دلار گرفت. نیما ترجیح می‌دهد به‌جای تست نفوذ سازمانی، در حوزه باگ‌بانتی فعالیت کند؛ چون معتقد است آزادی عمل و درآمد آن زیاد تر است. او رمز پیروزی در این حوزه را «ذهن پرسشگر» و «کنجکاوی دائمی» می‌داند.
• بن صادقی‌پور از موفق‌ترین پژوهشگران امنیتی ایرانی در سطح جهانی است که سال ۲۰۲۴ با کشف صدمه‌پذیری بحرانی در زیرساخت تبلیغات فیس‌بوک (Meta)، جایزه‌ای ۱۰۰ هزار دلاری را از آن خود کرد. این صدمه‌پذیری امکان دسترسی غیرمجاز به سرورهای داخلی شرکت را فراهم می‌کرد و فقط یک ساعت بعد از گزارش، توسط تیم امنیت متا اصلاح شد.

 نقش‌آفرینی شرکت‌های ایرانی در گسترش باگ‌بانتی

اکوسیستم باگ‌بانتی در ایران تا این مدت در مرحله های اولیه قرار دارد اما به لطف پلتفرم‌های تخصصی و کنشگران پرتلاش، به‌شدت درحال رشد است. دراین‌بین، برخی شرکت‌ها و چهره‌ها نقشی اساسی در ترویج، نهادینه‌سازی و گسترش چارچوب‌های بومی این سازوکار امنیتی ایفا کرده‌اند و شرکت‌هایی بسیاری برنامه‌های باگ‌بانتی خود را اجرا کرده‌اند. یکی از این شرکت‌ها بلوبانک سامان است که اخیراً اولین اتفاقات رسمی باگ‌بانتی خود را در وجود هکرهای کلاه‌سفید با گفتن blu Deep Dive برگزار کرد. در این اتفاقات متخصصان حوزه امنیت شیرجه‌ای عمیق به زیرساخت‌های بلو زدند و فرصتی برای شراکت با متخصصان داخلی بلو داشتند. در این اتفاقات که ۸ و ۹ خرداد ۱۴۰۴ برگزار شد، ۶۰ هکر کلاه‌سفید در قالب ۲۲ گروه یک تا پنج‌نفره روی زیرساخت‌های بلو کار کردند.