مسابقات باگ باونتی چیست؟

دوشنبه 98/8/06، کرج , (اخبار رسمی): یک برنامه باگ باونتی به دلیل گزارش باگ‌ها، به خصوص باگ‌هایی که باعث سو استفاده و آسیب پذیری می‌شوند، و اینکه در ازای گزارش این باگ‌ها افراد پاداش دریافت می‌کنند و یا به رسمیت شناخته می‌شوند. مورد توجه بسیاری از وب سایت‌ها و توسعه دهندگان نرم‌افزاری قرار گرفته‌ است.

برخی از مهمترین سامانه های باگ بانتی Bughub.Net و Hackerone.Com و می‌باشد. که سازمان‌های بزرگی در آمریکا از خدمات Hackerone.Com بهره می‌برند که از بین آن‌ها می‌توان به وزارت دفاع آمریکا اشاره کرد

این برنامه‌ها به توسعه دهندگان اجازه می‌دهند که باگ‌ها را قبل از اینکه عموم مردم از آن‌ها مطلع شوند کشف کنند و مانع از حوادثی چون سو استفاده گسترده شوند. برنامه‌های باگ باونتی توسط تعداد زیادی از سازمان‌ها، از جمله Mozilla ،Facebook ،Yahoo ،Google ،Reddit ،BugHub ،Square و Microsoft اجرا شدند. شرکت‌های صنعتی که با تکنولوژی سر و کار چندانی ندارند، از جمله سازمان‌های محافظه کار سنتی مانند وزارت دفاع امریکا، استفاده از برنامه‌های باگ باونتی را آغاز کردند. استفاده پنتاگون از برنامه‌های باگ باونتی بخشی از برنامه تغییر دولت است و چندین آژانس دولتی آمریکا از این برنامه استفاده می‌کنند، بر طبق این برنامه از هکرهای کلاه سفید (در زمینه امنیت کامپیوتری) دعوت می‌شود تا در افشای آسیب پذیری‌های امنیتی مشارکت کنند.

باگ بانتی یا پاداش در ازاء  آسیب پذیری در ایران

در ایران معمولا بعد از کشف آسیب‌پذیری، مسیری بسیار بد طی می‌شود. ابتدا هکر کلاه‌سفید، در میان شبکه‌های اجتماعی و آشنایان به دنبال «آشنایی» می‌گردد تا بتواند باگ خود را به پول تبدیل کند. در بهترین حالت بعد از پیدا کردن لینک در داخل سازمان، بحث بر سر شدت آسیب‌پذیری به بدترین شکل ممکن صورت می‌گیرد. بدین ‌صورت که هکر کلاه‌سفید، اصرار بر خطرناک بودن آسیب‌پذیری خود دارد، در عین حال، سازمان، ادعای امن بودن کرده و تقاضای دیدن POC برای تخمین شدت آسیب‌پذیری را دارد. هکر کلاه‌سفید به دلیل ترس از «از دست دادن آسیب‌پذیری»، از دادن جزئیات امتنا می‌کند. در اکثر مواقع هم بعد از ارائه جزئیات توسط هکر کلاه‌ سفید، سازمان اظهار کم اهمیت بودن سامانه آسیب‌پذیر را می‌کند.

این روال بسیار غلط است، اصلا نیازی به کشف روال صحیح نیست، کافی است ببینیم سازمان‌ها و شرکت‌های بزرگ دنیا چه‌کار می‌کنند؟ تمامی شرکت‌ها، جدولی مربوط به قلمرو یا Scope مجاز برای گزارش آسیب‌پذیری را دارند. برای مثال، یک قلمرو مناسب برای شرکت ارتباطات سیار یا همراه‌اول، می‌تواند *.Mci.Ir باشد، و دامین‌های غیر مجاز و کم اهمیت از آن کاسته شود. قسمت بعدی، باید جدول پرداختی به ازا شدت‌های مختلف آسیب‌پذیری باشد. یک مثال بسیار عالی می‌توان به برنامه شرکت X در BugHub باگ هاب اشاره کرد. بدین ترتیب، بحث بی نتیجه بالا هیچ‌وقت پیش نمی‌آید. برای جمع‌بندی، می‌توان اشاره کرد که یک برنامه بانتی خوب نیاز به شاخص‌های زیر دارد:

قوانین برنامه

تعیین قلمرو

جوایز کشف آسیب‌پذیری

نحوه گزارش

آسیب‌پذیری‌های خارج از بانتی

با توجه به موارد بالا، بسیاری از سازمان‌ها و شرکت‌های ایرانی که ادعای داشتن برنامه باگ‌بانتی رو دارند، فاقد این امر هستند. در واقع این شرکت‌ها، فقط یک راه ارتباطی یک‌طرفه برای دریافت آسیب‌پذیری، بدون ارائه هیچ تضمینی برای همکاری با هکر کلاه‌سفید دارند.

تعریف سامانه باگ‌بانتی

این سامانه به عنوان یک واسطه بین هکرهای کلاه سفید و سازمان‌ها و شرکت‌های دولتی و خصوصی عمل می‌کند. این سامانه دو گروه مخاطب خواهد داشت،

گروه اول سازمان‌ها و شرکت‌هایی هستند که می‌خواهند بخشی یا تمام ابزارها و سرویس‌های خود را در معرض ارزیابی متخصصان قرار دهند.

گروه دوم هکرهای کلاه سفید که با اهداف مختلفی از جمله کسب درآمد مناسب، به چالش کشیدن تخصص خود، کسب شهرت و غیره در سامانه ثبت نام خواهند کرد.

در خصوص سامانه پیش‌روی، چند نمونه بسیار موفق ایرانی و خارجی وجود دارد که مهمترین آن‌ها Bughub.Net و Hackerone.Com و Bugcrowd.Com می‌باشد. در حال حاضر شرکت‌ها و سازمان‌های بزرگی در آمریکا از خدمات Hackerone.Com بهره می‌برند که از بین آن‌ها می‌توان به وزارت دفاع آمریکا، Yahoo و Twitter اشاره کرد.

### پایان خبر رسمی