شکارچیان باگ دودویی؛ با مهمترین شکارچیان باگ آشنا شوید

هکرهای کلاه‌سفید، ستون فقرات امنیت سایبری مدرن هستند؛ گاهی ناشناس و گاهی با نام‌هایی شناخته‌شده در جامعه‌ جهانی امنیت اطلاعات.

در دنیای پیچیده‌ فناوری، برنامه‌های باگ‌‌بانتی (Bug Bounty) به‌عنوان یکی از کارآمدترین سازوکارهای دفاع سایبری ظهور کرده‌اند. این برنامه‌ها با تشویق هکرهای اخلاقی (هکرهای کلاه‌سفید) به کشف و گزارش آسیب‌پذیری‌های نرم‌افزاری، پلی مهم بین امنیت و نوآوری ایجاد می‌کنند. اهمیت این برنامه‌ها فقط در پاداش‌های مالی خلاصه نمی‌شود، بلکه آنها فرهنگ مسئولیت‌پذیری جمعی را رواج می‌دهند که در آن، هر کشف می‌تواند میلیون‌ها کاربر را از مخاطرات سایبری نجات دهد.

نخستین جرقه‌های شکل‌گیری باگ‌‌بانتی به سال ۱۹۸۳ برمی‌گردد که شرکت Hunter &  Ready پیشنهاد جایزه‌ای نمادین (خودرو فولکس‌واگن بیتل) برای کشف باگ‌ها در سیستم‌عامل خود مطرح کرد. هرچند این اقدام بیشتر جنبه‌ تبلیغاتی داشت، سنگ‌بنای مفهومی شد که بعدها جهان را متحول کرد.

سال ۱۹۹۵ نیز «نت‌اسکیپ» با راه‌اندازی اولین برنامه‌ رسمی باگ‌‌بانتی برای مرورگر Netscape Navigator 2.0 Beta، تحولی تاریخی ایجاد کرد. «جَرِت ریدینگهافر»، مهندس فنی این شرکت، با الهام از جامعه‌ کاربران مشتاق، طرحی ارائه داد که به گزارش‌دهندگان باگ، هزار دلار و تی‌شرت اهدا شود. این اقدام نه‌فقط کیفیت محصول را افزایش داد، بلکه میلیون‌ها دلار صرفه‌جویی اقتصادی برای شرکت به همراه داشت. 

سال‌های ۲۰۰۴ تا ۲۰۱۱ را می‌توان عصر طلایی گسترش باگ‌‌بانتی دانست.

موزیلا سال ۲۰۰۴ با برنامه‌ای برای کشف آسیب‌پذیری‌های فایرفاکس و جایزه‌ ۵۰۰ دلاری، جامعه‌ امنیتی را فعال‌تر کرد و گوگل سال ۲۰۱۰ با راه‌اندازی برنامه‌ پاداش آسیب‌پذیری برای محصولات تحت وب خود، استانداردهای جدیدی تعریف کرد که به الگویی جهانی تبدیل شد. فیس‌بوک نیز در ۲۰۱۱ با پرداخت حداقل ۵۰۰ دلار برای هر گزارش و بدون سقف مالی، رکوردشکنی کرد. تا امروز، این شرکت بیش از 4 میلیون و 300 هزار دلار به محققان پرداخت کرده است.

اهمیت استراتژیک باگ‌‌بانتی

شاید مهم‌ترین دلیل اهمیت باگ‌بانتی ضرورت پیشگیری از فاجعه‌های امنیتی است. اتفاقاً نمونه واضحی از این ضرورت مرداد ۲۰۱۳ رخ داد. آن سال، فیس‌بوک برای کشف خطایی امنیتی ۲۰ هزار دلار به کاربری پرداخت کرد. این کاربر که محقق امنیتی ۲۲‌ ساله به نام «جک ویتون» بود، باگی را کشف کرد که به هکرها امکان دسترسی به حساب هر کاربری را می‌داد اما گزارش به‌موقع و اصلاح سریع این خطا از بحرانی جدی برای فیس‌بوک جلوگیری کرد؛ بنابراین می‌توان جک‌ ویتون را یکی از شکارچیان مهم باگ در تاریخ دانست.

صرفه‌جویی اقتصادی و افزایش اعتماد کاربران جنبه دیگر برنامه‌های باگ‌بانتی و از دلایل اهمیت آن است. بررسی‌ها نشان می‌دهد هزینه کشف هر آسیب‌پذیری تا ۱۰ برابر کمتر از روش‌های سنتی مانند تست نفوذ اختصاصی است. همچنین شفافیت در پرداخت پاداش‌ها اعتماد عمومی به برندها را تقویت می‌کند.

در کنار اینها، مواردی مانند کشف و جذب استعدادهای برتر در زمینه امنیت سایبری هم یکی از دلایل اهمیت این برنامه‌ها ذکر می‌شود؛ برای مثال برنامه‌هایی مانند HackerOne  و Bugcrowd فرصتی برای محققان کشورهای درحال‌توسعه، مانند هند و تونس، فراهم کرده‌اند تا از مهارت‌هایشان درآمدی عادلانه کسب کنند. یوسف صمودا از تونس یکی از آنهایی است در ادامه این مطلب معرفی‌اش می‌کنیم.

امروزه کسب‌وکارهای آنلاین در تمامی مقیاس‌ها، با الهام از شرکت‌هایی مانند گوگل و فیسبوک، برنامه‌های مداوم باگ‌بانتی را برای ایمن‌سازی برنامه‌ها و پرهیز از هزینه‌های جرائم سایبری اجرا می‌کنند. حتی مایکروسافت هم اکنون برنامه‌ای با پاداش ۱۰۰ هزار دلاری برای کشف آسیب‌پذیری‌های حیاتی ارائه می‌دهد.
میزان پاداش‌ها با افزایش محبوبیت و مشروعیت این برنامه‌ها رشد چشمگیری کرده است؛ برای نمونه، پاداش‌های گوگل امروز پنج برابر بیشتر از سال ۲۰۱۰ است.

داستان باگ‌بانتی‌ها هنوز در فصل‌های نخستین خود قرار دارد. سال گذشته، مایکروسافت و فیسبوک با همکاری یکدیگر، اینترنت باگ‌بانتی (Internet Bug Bounty)  را راه‌اندازی کردند که برنامه‌ای اختصاصی برای کشف آسیب‌پذیری‌ها در چارچوب‌های توسعه نرم‌افزار مانند Ruby on Rails یا Django  است. گوگل نیز برنامه خود را به پروژه‌های متن‌باز متعدد گسترش داده است.

روند رو‌به‌رشد دیگر محبوبیت پلتفرم‌های باگ‌بانتی و تست نفوذ به‌عنوان سرویس (PtaaS) است. این بازارهای آنلاین به کسب‌وکارها امکان می‌دهند به‌راحتی برنامه باگ‌بانتی خود را راه‌اندازی و مدیریت کنند و از قدرت جامعه امنیتی بهره ببرند.

آینده‌ باگ‌بانتی: از شرکتی تا ملی

هر روز ابعاد جدیدی از برنامه‌های باگ‌بانتی آشکار می‌شود. امروزه این برنامه‌ها از مرزهای بخش خصوصی فراتر رفته‌اند و به سطح ملی و حاکمیتی رسیده‌اند؛ برای مثال دولت فدرال آمریکا سال ۲۰۱۶ برنامه «هک پنتاگون» را معرفی کرد. تاکنون در قالب این برنامه بیش از ۷ هزار آسیب‌پذیری کشف شده است.

اتحادیه اروپا سال ۲۰۱۴ با طرح EU-FOSSA 2، قدم به این عرصه گذاشت. EU-FOSSA مخفف «بازرسی نرم‌افزارهای آزاد و متن‌باز» با هدف افزایش امنیت و یکپارچگی نرم‌افزارهای حیاتی متن‌باز به دستور مجلس اروپا پس از کشف حفره امنیتی Heartbleed در سال ۲۰۱۴ راه‌اندازی شد.

پس از موفقیت فاز آزمایشی اولیه، این پروژه برای دوره سه‌ساله جدید تمدید شد و راه‌اندازی برنامه‌های باگ‌بانتی، سازماندهی هکاتون‌ها و کنفرانس‌ها و تعامل فعال با انجمن‌های توسعه‌دهندگان را دربرمی‌گرفت.

شکارچیان قلب‌ تپنده برنامه‌های باگ‌بانتی

شرکت‌های بزرگ و دولت‌ها از برنامه‌های باگ‌بانتی به‌عنوان ابزار راهبردی بهره می‌برند، قلب تپنده این اکوسیستم را افرادی تشکیل می‌دهند که با دقت و دانش فنی آسیب‌پذیری‌ها را شناسایی و گزارش می‌کنند؛ افرادی که به آنها «هانتر» یا شکارچی باگ گفته می‌شود. این هکرهای کلاه‌سفید ستون‌فقرات امنیت سایبری مدرن هستند؛ گاهی ناشناس و گاهی با نام‌هایی شناخته‌شده در جامعه‌ جهانی امنیت اطلاعات. اکنون در ادامه، نگاهی به برخی از مهم‌ترین هانترهای باگ‌بانتی در جهان و ایران می‌اندازیم که با گزارش‌هایشان، نه‌فقط میلیون‌ها دلار پاداش گرفته‌اند، بلکه اعتبار و امنیت سازمان‌های بزرگ را حفظ کرده‌اند.

• استفان شازلاس (Stéphane Chazelas)
  متخصص یونیکس و تلکام که با کشف آسیب‌پذیری تاریخی Shellshock در پوسته Bash نام خود را  در حافظه امنیت سایبری ماندگار کرد. او این باگ را از طریق HackerOne گزارش داد و ۲۰ هزار دلار پاداش دریافت کرد.

• رافای بلوچ (Rafay Baloch)
  پژوهشگر امنیتی مستقل از پاکستان با افشای آسیب‌پذیری اجرای کد در PayPal، هم جایزه‌ای ۱۰ هزار دلاری هم پیشنهاد همکاری گرفت که آن را رد کرد. او یکی از شناخته‌شده‌ترین چهره‌ها در برنامه‌های باگ‌بانتی Google، Facebook، Microsoft و Dropbox است.

• فرانس روزن (Frans Rosén)
  روزن بنیان‌گذار پلتفرم امنیتی Detectify و دومین شکارچی برتر HackerOne است. او با کشف آسیب‌پذیری XSS در Mega و بسیاری از گزارش‌های مهم دیگر اعتبار بالایی کسب کرده است.

•  جیسون هدیکس  (Jason Haddix)
  او هانتر برتر پیشین Bugcrowd و مدیر ارشد عملیات فناوری فعلی همین پلتفرم است. او همچنین در پروژه‌های OWASP نیز مشارکت فعال دارد.

• نیر گلدشلاگر (Nir Goldshlager)
  گلدشلاگر مدیرعامل Break Security و نفر اول لیست Facebook White Hat سال ۲۰۱۲ است. تخصص او در دورزدن WAFها باعث شده شهرت بین‌المللی پیدا کند.

•  روی کاستیلو (Roy Castillo)
  از پیشگامان فیلیپینی این حوزه که با کشف XSS در Gmail و فیسبوک سروصدای زیادی کرد.

• امیلی استارک (Emily Stark)
  امیلی مهندس امنیت تیم Google Chrome و از معدود زنان موفق دنیای باگ‌بانتی است. فعالیت‌های او در HackerOne تحسین‌شده و مستند است.

• بیت‌کوارک (Bitquark)
  یکی از شکارچیان برتر پیشین که با کشفیات در Google Sites بیش از ۱۳ هزار دلار پاداش گرفت. او مقالات ارزشمندی در وبلاگ شخصی‌اش منتشر کرده است.

• دان ای. بیلی (Don A. Bailey)
  متخصص امنیت و پژوهشگر بین‌المللی که در کنفرانس‌هایی مانند Black Hat و Hack in the Box سخنرانی کرده، در پلتفرم HackerOne نیز فعال بوده و پاداش‌هایی هگفتی گرفته کرده است.

• نیل پول (Neal Poole)
  مهندس امنیت فیس‌بوک که قبل از استخدام، بارها آسیب‌پذیری‌های مهمی این پلتفرم را کشف و در برنامه‌های گوگل و موزیلا هم مشارکت کرده است.

• جونگ‌هون لی (JungHoon Lee)
  پژوهشگر اهل کره جنوبی که با بردن ۲۲۵ هزار دلار جایزه در مسابقه Pwn2Own، نام خود را در تاریخ امنیت سایبری ثبت کرد.

• مازین احمد (Mazin Ahmed)
  مازین احمد پژوهشگر امنیتی است که برای بهترین کشف ضعف امنیتی سمت کلاینت کاندیدای جایزه Pwnie شد. او در حوزه CSRF و XSS فعالیت‌های برجسته‌ای کرده است.

• شوبهام شاه (Shubham Shah)
  شوبهام شاه پژوهشگر امنیتی اهل سیدنی است که ۱۶ سالگی موفق به دورزدن سیستم احراز هویت دومرحله‌ای غول‌های فناوری شد. او سابقه همکاری با شرکت‌های امنیتی معتبر را دارد.

میلیونرهای امنیت دیجیتال

در دنیای شکار باگ، برخی هانترها فراتر از شهرت، به درآمدهای بالایی نیز دست یافته‌اند. دراین‌میان، چهره‌هایی همچون یوسف صمودا، آناند پراکاش و فرانس روزن، از موفق‌ترین‌ها هستند. تعدادی از این افراد را در ادامه معرفی می‌کنیم.

•  یوسف صمودا (Youssef Sammouda)
  صمودای تونسی از تأثیرگذارترین شکارچیان امنیتی در پلتفرم فیس‌بوک است که سال‌های ۲۰۱۹ تا ۲۰۲۱ صدرنشین جدول Whitehat این شرکت بود. فقط سال ۲۰۲۱، او حدود ۹۰۰ هزار دلار درآمد داشت. تمرکز اصلی صمودا بر آسیب‌پذیری‌های تصاحب حساب (Account Takeover) است؛ باگی که دسترسی به زیرساخت داخلی فیسبوک می‌داد و ۸۱ هزار دلار پاداش نصیب او کرد. او با تمرکز بر نقص‌های منطقی در زیرساخت‌های متا و گوگل، سالانه پاره‌وقت حدود ۴۰۰ هزار دلار درآمد دارد.

•  آناند پراکاش (Anand Prakash)
  پراکاش هندی از شناخته‌شده‌ترین هکرهای کلاه‌سفید آسیایی است که نقطه‌عطف شهرتش کشف آسیب‌پذیری خطرناکی در فیس‌بوک بود که امکان بازنشانی رمز عبور و دسترسی به بیش از یک‌میلیارد و ۶۰۰ میلیون حساب کاربری را فراهم می‌کرد. این کشف ۱۵ هزار دلار برایش به ارمغان آورد. او همچنین آسیب‌پذیری بحرانی سرویس تحویل غذای زوماتو (با ۶۲ میلیون و ۵۰۰ هزار کاربر) را شناسایی کرده است.
• فرانس روزن (Frans Rosén)
  علاوه‌بر جایگاه دوم در جدول برترین‌های HackerOne، یکی از هم‌بنیان‌گذاران پلتفرم امنیتی Detectify است. او به‌دلیل کشف‌های متعدد و باکیفیت در حوزه آسیب‌پذیری‌های XSS شهرت جهانی دارد. یکی از اکتشافات قابل‌توجه او کشف نقص امنیتی در Mega.nz بود که هزار یورو پاداش نصیبش کرد.
• سانتیاگو لوپز، کارآفرین جوان و متخصص امنیت رایانه‌ای، جزو ۳ هکر اول لیست هکروان است. او در ۱۹ سالگی با‌توجه‌به توانایی‌هایی امنیتی‌اش به جمع میلیونرها پیوسته و آسیب‌پذیری‌های متعددی ازجمله در پی‌پال، ایکس و ایربی‌اند‌بی کشف و گزارش کرده است.

شکارچیان ایرانی

کشورهای غربی و آسیای جنوب شرقی همواره در صدر آمار باگ‌بانتی بوده‌اند اما در سال‌های اخیر شکارچیان امنیتی ایرانی نیز رشد قابل‌توجهی کرده‌اند و توانسته‌اند نام خود را در لیست پرداخت‌ها و افتخارات شرکت‌های بین‌المللی و داخلی ثبت کنند. در ادامه تعدادی از این شکارچیان را معرفی می‌کنیم.

• سینا یگانه یکی از شکارچیان برجسته ایرانی است که تاکنون برای گزارش ده‌ها آسیب‌پذیری، به‌ویژه در پلتفرم‌ تیک‌تاک، جایزه گرفته است. او از هکرهای کلا‌ه‌سفید معروفی است که در مسابقات معتبر Ihe نیز شرکت کرده است.
• پارسا بابادی از هکرهای معروف و نامدار ایرانی است که به‌عنوان سفیر هکروان در ترکیه فعال می‌کند.
• پوریا دارابی نیز محقق امنیتی ایرانی است که به‌ویژه برای کشف آسیب‌پذیری در فیس‌بوک شهرت جهانی پیدا کرده است. او سال ۱۳۹۶ برای گزارش یکی از این باگ‌ها ۱۰‌هزار دلار از فیس‌بوک پاداش گرفت و پیش از آن نیز مبالغ قابل‌توجهی از این شرکت پاداش گرفته بود.
•  نیما غلامی از جوان‌ترین شکارچیان آسیب‌پذیری در ایران است که فعالیت حرفه‌ای خود را از ۱۶ سالگی آغاز کرده است. او با کشف آسیب‌پذیری DOM-based XSS در یکی از پلتفرم‌های بین‌المللی، اولین جایزه خود را به مبلغ ۲هزار دلار گرفت. نیما ترجیح می‌دهد به‌جای تست نفوذ سازمانی، در حوزه باگ‌بانتی فعالیت کند؛ زیرا معتقد است آزادی عمل و درآمد آن بیشتر است. او رمز موفقیت در این حوزه را «ذهن پرسشگر» و «کنجکاوی دائمی» می‌داند.
• بن صادقی‌پور از موفق‌ترین پژوهشگران امنیتی ایرانی در سطح جهانی است که سال ۲۰۲۴ با کشف آسیب‌پذیری بحرانی در زیرساخت تبلیغات فیس‌بوک (Meta)، جایزه‌ای ۱۰۰ هزار دلاری را از آن خود کرد. این آسیب‌پذیری امکان دسترسی غیرمجاز به سرورهای داخلی شرکت را فراهم می‌کرد و فقط یک ساعت پس از گزارش، توسط تیم امنیت متا اصلاح شد.

 نقش‌آفرینی شرکت‌های ایرانی در توسعه باگ‌بانتی

اکوسیستم باگ‌بانتی در ایران هنوز در مراحل اولیه قرار دارد اما به لطف پلتفرم‌های تخصصی و کنشگران پرتلاش، به‌سرعت درحال رشد است. دراین‌میان، برخی شرکت‌ها و چهره‌ها نقشی اساسی در ترویج، نهادینه‌سازی و توسعه چارچوب‌های بومی این سازوکار امنیتی ایفا کرده‌اند و شرکت‌هایی متعددی برنامه‌های باگ‌بانتی خود را اجرا کرده‌اند. یکی از این شرکت‌ها بلوبانک سامان است که اخیراً اولین رویداد رسمی باگ‌بانتی خود را در حضور هکرهای کلاه‌سفید با عنوان blu Deep Dive برگزار کرد. در این رویداد متخصصان حوزه امنیت شیرجه‌ای عمیق به زیرساخت‌های بلو زدند و فرصتی برای مشارکت با متخصصان داخلی بلو داشتند. در این رویداد که 8 و 9 خرداد 1404 برگزار شد، 60 هکر کلاه‌سفید در قالب 22 گروه یک تا پنج‌نفره روی زیرساخت‌های بلو کار کردند.