در این مطلب توضیح میدهیم که باگ بانتی دقیقاً به چه معناست و به نمونههای از برنامههای شکار باگ در شرکتهای بزرگ اشاره میکنیم.
فناوری در کنار مزیتهای فراوانی که دارد، ریسکهای مختلفی را هم بهوجود میآورد و بخشی از این ریسکها از امنیت نرمافزارها نشئت میگیرد. ازاینرو، شرکتهای بزرگ دنیا برنامههای مختلفی را تحت عنوان «شکار باگ» یا «باگ بانتی» (Bug Bounty) درنظر میگیرند تا با کمک متخصصان امنیت مستقل از سراسر دنیا مشکلات نرمافزارهای خود را کشف و آنها را برطرف کنند. بااینحال، بهنظر میرسد که کسبوکارها در ایران آنطور که بایدوشاید به این امر اهمیت نمیدهند.
این مقاله به قلم «ایمان صاحبی» و «مجتبی آستانه» نوشته شده است.
امروزه تقریباً تمام شرکتهای بزرگ برنامههایی برای باگ بانتی دارند که طی آن با کمک هزاران کارشناس امنیتی از تمامی کشورها میتوانند مشکلات امنیتی نرمافزارهای خود را پیدا کنند. برخی از متخصصان امنیت از شکار این باگها درآمد خوبی دارند و از این همکاریها استقبال میکنند. اما برنامههای Bug Bounty چه برنامههایی هستند؟
برنامه باگ بانتی برنامهای است که توسط شرکتها برای دعوت از کارشناسان و محققان امنیتی مستقل بهمنظور کشف و گزارش آسیبپذیریهای امنیتی نرمافزارها درنظر گرفته میشود. متخصصانی که در این برنامهها شرکت میکنند و با عنوان هکر کلاه سفید شناخته میشوند، کارمند این شرکتها نیستند و به همین خاطر دراِزای کشف باگها معمولاً از آنها پاداش دریافت میکنند.
طی برنامههای شکار باگ، وقتی یک محقق یک آسیبپذیری را پیدا میکند و آن را به شرکت اطلاع میدهد، این مسئله توسط شرکت موردنظر بررسی میشود و با توجه به سطح آسیبپذیری، پاداشی برای آن معین میگردد. با توجه به اینکه کشف باگهای حاد میتواند برای شرکتهای بزرگ اهمیت بسیاری داشته باشد، برخی از آنها حاضر به پرداخت دهها و صدها هزار دلار جایزه به این محققان مستقل هستند. در ادامه نمونههایی از این برنامههای باگ بانتی بزرگ را بررسی میکنیم.
گوگل بهعنوان بزرگترین موتور جستجوی دنیا و توسعهدهنده بسیاری از نرمافزارهای محبوب، مطمئناً با باگهای زیادی در پروژههای خود روبهرو است و نمیتواند به دقت مهندسانش برای کشف این آسیبپذیریها اکتفا کند. به همین منظور، این شرکت برنامهای برای شکار باگ دارد که بین 100 تا 31,337 دلار به محققان پاداش میپردازد.
توسعهدهنده ویندوز و یکی از بزرگترین تولیدکنندگان نرمافزار در دنیا از محققان میخواهد تا آسیبپذیریهای امنیتی را در سیستمهای آنها کشف و گزارش کنند. این شرکت حاضر است برای کشف این باگها تا 300 هزار دلار جایزه پرداخت کند.
اینتل در سالهای اخیر آسیبپذیریهای زیادی داشته و با مشکلات امنیتی متعددی مواجه شده است. به همین دلیل، آنها برنامهای برای شکار باگ دارند که به متخصصان امنیتی بابت گزارش این آسیبپذیریها تا حداکثر 100 هزار دلار پاداش ارائه میکند.
ارزشمندترین شرکت دنیا مجموعهای از نرمافزارها را توسعه داده است که معمولاً از نظر ایمنی در جهان شهرت دارند. بااینحال، حتی ایمنترین نرمافزارها هم میتوانند آسیبپذیر باشند و اپل هم به این مسئله واقف است. به همین دلیل، کوپرتینوییها نیز برنامهای برای شکار باگ دارند که سقف پاداشی ندارد و جایزه کشف و گزارش آسیبپذیریها را براساس سطح اهمیت باگها تعیین میکنند.
هیچکس نمیتواند نقش تسلا را در ایجاد تحول در بازار خودروهای برقی کتمان کند. این شرکت با سیستمهای پیشرفته و نرمافزارهای متعدد محصولات خود را روانه بازار میکند که آسیبپذیریهای جدی در آنها میتواند بسیار خطرناک باشد. به همین خاطر، تسلا به هکرهای کلاه سفیدی که باگهای سیستمهای این شرکت را کشف کنند، تا 15 هزار دلار پاداش میدهد.
با وجود رقمی که برای سقف پاداش کشف باگها توسط شرکتها اعلام شده است، غولهای فناوری بابت کشف آسیبپذیریهای جدیتر مبالغ بسیار بزرگتری هم پاداش دادهاند. برای مثال، گوگل در سال 2022 به یک محقق بابت کشف باگی در سیستمعامل اندروید 605 هزار دلار پاداش داد. بهعلاوه، این شرکت درمجموع در سال 2022 حدود 12 میلیون دلار برای برنامه باگ بانتی خود هزینه کرده بود.
مایکروسافت نیز در سال 2021، مجموعاً 13.7 میلیون دلار بابت گزارش آسیبپذیریها به شکارچیان باگ پاداش داده بود و بیشترین مبلغ با یک جایزه 200 هزار دلاری به یک محقق رسید.
درمجموع شرکتهای بزرگ میدانند که با اندکی هزینه درزمینه باگ بانتی نهتنها میتوانند امنیت سیستمهای خود را ارتقا دهند، بلکه میتوانند از ریسک افشای آسیبپذیریها نیز جلوگیری کنند.
شرکتهای مختلفی در ایران به بحث باگ بانتی توجه دارند، اما ارقام اعلامشده از سوی آنها چندان قابلتوجه نیست. هرازچندگاهی نیز پستهایی در شبکههای اجتماعی مبنی بر گلایه فعالین حوزه امنیت از برخورد بد شرکتهای ایرانی و بدقولی آنها منتشر میشود.
اسنپ یکی از شرکتهایی است که برنامه باگ بانتی دارد و از متخصصین نفوذ دعوت کرده است تا آنها را از وجود آسیبپذیریها آگاه کنند. اسنپ برای بخش خودرو و اسنپباکس تا 150 میلیون تومان و براساس سطح اهمیت آسیبپذیری، باگ بانتی تعیین کرده است. البته فعالین حوزه امنیت اعتقاد دارند همین عبارت «تا» در میزان جایزه موجب شده است تا این شرکت بعضاً مبالغ خیلی کمتری را بابت کشف آسیبپذیری ارائه کند.
حداقل سقف باگ بانتی برای اسنپفود، اسنپمارکت، اسنپلاین، اسنپپی، اسنپشاپ و اسنپاکسپرس نیز 7.5 میلیون تومان عنوان شده است. مشخص نیست چرا اسم سرویسهای دیگر اسنپ مثل اسنپ دکتر در این فهرست نیست.
ابر آروان از دیگر شرکتهای ایرانی است که مسابقه کشف باگ دارد. سقف جوایز تعیینشده توسط این شرکت نیز تا 300 میلیون تومان است.
برخی از کسبوکارها نیز بهصورت غیرمستقیم برنامههایی برای پرداخت پاداش دراِزای کشف و گزارش باگ دارند. پلتفرم باگ بانتی راورو، کلاه سفید و باگدشت پلی بین متخصصین امنیت و کسبوکارها هستند. شرکتها هرازگاهی یا بهطور دائمی از طریق این پلتفرمها، امنیت سیستمهای خود را به معرض آزمایش میگذارند و دراِزای کشف باگ، جوایزی را پرداخت میکنند.
بهطور مثال، تپسی تا 30 میلیون تومان جایزه برای کشف آسیبپذیری از طریق این پلتفرمها تعیین کرده است. علیبابا، مایکت، جاباما، اتاقک، همراه کارت، ایرانسل، فلایتیو، شاتل، ایوند، رایتل، نماوا، مایکت و چند سازمان دولتی ایران ازجمله شرکتهایی هستند که با همکاری با پلتفرمهای واسط، باگ بانتی تعیین کردهاند. برخی از شرکتها نیز در این پلتفرمهای واسط هستند، اما ترجیح دادهاند که نامشان محفوظ بماند و مسابقه کشف باگ آنها بدون ذکر عمومی نام نمایش داده میشود.
«یاشار شاهینزاده»، مشاور امنیت، در پاسخ به این سؤال دیجیاتو که باگ بانتی چقدر برای شرکتهای ایرانی پذیرفته شده است؟ گفت: «اگر بهصورت عام نگاه کنیم، این موضوع پذیرفتهشده نیست. نسبت پذیرش باگ بانتی از سوی استارتاپها به کل استارتاپها بهسمت صفر میل میکند. هیچ تفاوتی نیز بین مجموعههای دولتی و استارتاپی نیست و حتی دولتیها وضع بدتری در این زمینه دارند.»
به گفته وی، بحث باگ بانتی در میان شرکتهای بزرگ مثل کافه بازار، اسنپ، تپسی و آروان پذیرفتهشدهتر است؛ اگرچه فاصله معناداری بین آنچه که در دنیا مرسوم است، با ایران وجود دارد: «هدف باگ بانتی در دنیا این است که هکرها با شما دوست شوند و آسیبپذیریها را گزارش دهند و این تعریف در دنیا با ایران فاصله زیادی دارد. حس میکنم این بحث در ایران بیشتر به این خاطر مطرح است که فردا روزی بگویند در این زمینه کوتاهی نکردهاند.»
شاهینزاده در پاسخ به این سؤال که چرا باگ بانتی شرکتهای ایرانی چندان برای هکرها جذاب نیست، دو دلیل را عنوان کرد:
«دلیل اول این است که [شرکتها] پول خیلی کمتری میدهند. مثلاً یک آسیبپذیری بحرانی پیدا میکنید و حداکثر 500 دلار پرداخت میکنند، درحالیکه اگر همین آسیبپذیری را در یک برنامه خارجی پیدا کنید، 10 هزار دلار دریافت خواهید کرد. به همین خاطر افراد کمتر رغبت میکنند که روی باگ بانتی ایرانیها کار کنند. دلیل دوم نیز تنوع و تعداد اندک شرکتهای فعال در این حوزه است؛ این درحالی است که در دنیا بهاصطلاح اقیانوسی پر از ماهی وجود دارد. در پی این دو عامل، هکر باکیفیت روی موضوعات داخلی کار نمیکند و بهسراغ موارد بینالمللی میرود.»
این باور وجود دارد که بحث باگ بانتی برای ارتقای امنیت کافی است، موضوعی که این متخصص امنیت کاملاً با آن مخالف است. او با تأکید بر اینکه باگ بانتی در آغاز فعالیت نباید اصلاً مطرح شود، اظهار داشت اول بایستی یک تیم امنیت در سازمان تشکیل شود تا زمانی که توسعهدهندگان درحال کدزدن هستند، تیم امنیت بر آنها نظارت کند: «سپس این تیم رشد میکند و تستهای امنیتی سامانهها را باید انجام دهد، بعد شبکه را امن کند. اولویت هم به شکل نفوذ است، هکر وب زیاد و هکر شبکه کم است، پس اول وب را ایمن میکنند سپس به سراغ شبکه میروند.»
به گفته وی این مراحل اول باید گذرانده شود، سپس باگ بانتی از سوی شرکت تعیین شود: «این طور نیست از اول ماجرا باگ بانتی بگذارند؛ چرا که تضمین امنبودن نیست.»
شاهینزاده معتقد است باگ بانتی شبیه به ویترینی است که نشان میدهد کسبوکار به بحث امنیت اهمیت میدهد و تنها در این زمینه ادعا نمیکند: «با باگ بانتی علاوه بر اینکه امنیت افزایش مییابد، یک وجهه هم از کسبوکار به نمایش گذاشته میشود که برای امنیت اهمیت قائل است.»
او در همین رابطه تیم امنیتی گوگل را مثال زد که از افراد حرفهای تشکیل شده است، بااینوجود این شرکت در سال گذشته بیش از یک میلیون دلار بانتی پرداخت کرده است. به باور این متخصص امنیت بحث باگ بانتی و تیم امنیت یک شرکت در تقابل با یکدیگر نیستند، بلکه همدیگر را کامل میکنند: «پس اول باید شاکله امنیت شکل بگیرد، بعد باگ بانتی مطرح شود.»
«وحید فرید»، فعال حوزه تکنولوژی، در گفتوگو با دیجیاتو اظهار داشت در حوزه امنیت موارد زیادی وجود دارد که نیاز است روی آنها کار شود. او تأکید کرد فردی که نرمافزار را مینویسد باید با مفاهیم امنیتی آشنایی داشته باشد و اپ به دید فرد نفوذی تست گرفته شود و آسیبهای شناختهشده در کل فرآیند شناسایی شوند و برای آن راهحل پیدا شود:
«بعد از این به مفهوم باگ بانتی میرسیم؛ به این ترتیب که یک هکر کلاه سفید کاری را که یک هکر کلاه سیاه، پیشبینی میشود انجام دهد را انجام میدهد و جایزه میگیرد. این هکر قصد سرقت اطلاعات را ندارد بلکه در انتهای فرآیند جایزه میگیرد.»
فرید با اشاره به اینکه بحث باگ بانتی یک موضوع جهانی است و هکرهای ایرانی میتوانند روی نمونههای خارجی وقت بگذارند و کسب درآمد بیشتری داشته باشند، اظهار داشت اختلاف مبلغ جایزه برای هکرهای کلاه سفید در داخل و خارج به حدی زیاد است که هکر کلاه سفید ایرانی اصلاً انگیزهای برای فعالیت روی نمونههای داخلی ندارد.
او در این باره مثال زد که پرداختی برای یک آسیب بحرانی روی یک پلتفرم متوسط بینالمللی در رنج ده هزار تا بیست هزار دلار است، درحالیکه تپسی مبلغ هفت میلیون برای این موضوع تعیین کرده است: «البته باز این مبلغ هم خوب است. در بعضی موارد نوع برخورد به شکلی است که جامعه هکری ایران به این نتیجه رسیده که برای نمونههای ایرانی وقت نگذارند زیرا درنهایت بهجای پولدادن، تهدید هم میکنند و موضوع را به باجگیری متصل میکنند. درحالیکه حق هکر است که جایزه بگیرد و وظیفه پلتفرم است که این مشکلات را شناسایی کند.»
این فعال حوزه تکنولوژی معتقد است یک هکر ممکن است هفتهها برای آسیبشناسی زمان بگذارد، اما این مبلغهای داخلی چیزی نیستند که ارزش زمانگذاشتن را داشته باشند:
«در کل جامعه IT تصمیم بر این است که برای پلتفرمهای داخلی زمان نگذارند و درگیر شکایت و مسائل این چنینی نشوند چون پول که نمیدهند و اسم هکر هم در لیستی قرار میگیرد که درنهایت نهادهای امنیتی روی فرد حساس میشود و بهخاطر شکایت پلتفرم، اسم او به پلیس فتا میرود. پس هکرها روی سایتها خارجی وقت میگذارند و درنهایت پول دلاری هم میگیرند.»
به باور او زمانی که هکر کلاه سفید روی سایت وقت نگذارد امکان اشتباه و آسیبپذیری وجود دارد که خیلی هم تقصیر برنامهنویس نیست: «بالاخره ممکن است جایی از افزونهای یا فریمورکی استفاده کرده باشد که یک آسیبپذیری داشته است. اما بالاخره فهمیدن این نقطه آسیبپذیری هزینه دارد.»
زمانی که قانونی برای حفاظت از دادههای مردم وجود نداشته باشد و کسبوکارها نگران هزینههای احتمالی هک نباشند، به جز مسائل اخلاقی و برندینگ، دلیل چندانی نیز وجود ندارد که برای امنیت خود مبلغ باگ بانتی بالاتری پرداخت کنند. از سوی دیگر فیلترینگ، تحریمها، تورم و شرایط بد اقتصادی فشار مضاعفی روی کسبوکارهای ایرانی میآورد تا نتوانند در پرداخت دلاری بابت آسیبپذیریهای امنیتی با شرکتهای بینالمللی رقابت کنند.
پاسخ ها