شکارچیان حشرات باینری؛ با مهمترین هانترهای باگبانتی آشنا شوید
در دنیای پیچیده فناوری، برنامههای باگبانتی (Bug Bounty) بهعنوان یکی از کارآمدترین سازوکارهای دفاع سایبری ظهور کردهاند. این برنامهها با تشویق هکرهای اخلاقی (هکرهای کلاهسفید) به کشف و گزارش آسیبپذیریهای نرمافزاری، پلی مهم بین امنیت و نوآوری ایجاد میکنند. اهمیت این برنامهها فقط در پاداشهای مالی خلاصه نمیشود، بلکه آنها فرهنگ مسئولیتپذیری جمعی را رواج میدهند که در آن، هر کشف میتواند میلیونها کاربر را از مخاطرات سایبری نجات دهد.
نخستین جرقههای شکلگیری باگبانتی به سال ۱۹۸۳ برمیگردد که شرکت Hunter & Ready پیشنهاد جایزهای نمادین (خودرو فولکسواگن بیتل) برای کشف باگها در سیستمعامل خود مطرح کرد. هرچند این اقدام بیشتر جنبه تبلیغاتی داشت، سنگبنای مفهومی شد که بعدها جهان را متحول کرد.
سال ۱۹۹۵ نیز «نتاسکیپ» با راهاندازی اولین برنامه رسمی باگبانتی برای مرورگر Netscape Navigator 2.0 Beta، تحولی تاریخی ایجاد کرد. «جَرِت ریدینگهافر»، مهندس فنی این شرکت، با الهام از جامعه کاربران مشتاق، طرحی ارائه داد که به گزارشدهندگان باگ، هزار دلار و تیشرت اهدا شود. این اقدام نهفقط کیفیت محصول را افزایش داد، بلکه میلیونها دلار صرفهجویی اقتصادی برای شرکت به همراه داشت.
سالهای ۲۰۰۴ تا ۲۰۱۱ را میتوان عصر طلایی گسترش باگبانتی دانست.
موزیلا سال ۲۰۰۴ با برنامهای برای کشف آسیبپذیریهای فایرفاکس و جایزه ۵۰۰ دلاری، جامعه امنیتی را فعالتر کرد و گوگل سال ۲۰۱۰ با راهاندازی برنامه پاداش آسیبپذیری برای محصولات تحت وب خود، استانداردهای جدیدی تعریف کرد که به الگویی جهانی تبدیل شد. فیسبوک نیز در ۲۰۱۱ با پرداخت حداقل ۵۰۰ دلار برای هر گزارش و بدون سقف مالی، رکوردشکنی کرد. تا امروز، این شرکت بیش از 4 میلیون و 300 هزار دلار به محققان پرداخت کرده است.
اهمیت استراتژیک باگبانتی
شاید مهمترین دلیل اهمیت باگبانتی ضرورت پیشگیری از فاجعههای امنیتی است. اتفاقاً نمونه واضحی از این ضرورت مرداد ۲۰۱۳ رخ داد. آن سال، فیسبوک برای کشف خطایی امنیتی ۲۰ هزار دلار به کاربری پرداخت کرد. این کاربر که محقق امنیتی ۲۲ ساله به نام «جک ویتون» بود، باگی را کشف کرد که به هکرها امکان دسترسی به حساب هر کاربری را میداد اما گزارش بهموقع و اصلاح سریع این خطا از بحرانی جدی برای فیسبوک جلوگیری کرد؛ بنابراین میتوان جک ویتون را یکی از شکارچیان مهم باگ در تاریخ دانست.
صرفهجویی اقتصادی و افزایش اعتماد کاربران جنبه دیگر برنامههای باگبانتی و از دلایل اهمیت آن است. بررسیها نشان میدهد هزینه کشف هر آسیبپذیری تا ۱۰ برابر کمتر از روشهای سنتی مانند تست نفوذ اختصاصی است. همچنین شفافیت در پرداخت پاداشها اعتماد عمومی به برندها را تقویت میکند.
در کنار اینها، مواردی مانند کشف و جذب استعدادهای برتر در زمینه امنیت سایبری هم یکی از دلایل اهمیت این برنامهها ذکر میشود؛ برای مثال برنامههایی مانند HackerOne و Bugcrowd فرصتی برای محققان کشورهای درحالتوسعه، مانند هند و تونس، فراهم کردهاند تا از مهارتهایشان درآمدی عادلانه کسب کنند. یوسف صمودا از تونس یکی از آنهایی است در ادامه این مطلب معرفیاش میکنیم.
امروزه کسبوکارهای آنلاین در تمامی مقیاسها، با الهام از شرکتهایی مانند گوگل و فیسبوک، برنامههای مداوم باگبانتی را برای ایمنسازی برنامهها و پرهیز از هزینههای جرائم سایبری اجرا میکنند. حتی مایکروسافت هم اکنون برنامهای با پاداش ۱۰۰ هزار دلاری برای کشف آسیبپذیریهای حیاتی ارائه میدهد.
میزان پاداشها با افزایش محبوبیت و مشروعیت این برنامهها رشد چشمگیری کرده است؛ برای نمونه، پاداشهای گوگل امروز پنج برابر بیشتر از سال ۲۰۱۰ است.
داستان باگبانتیها هنوز در فصلهای نخستین خود قرار دارد. سال گذشته، مایکروسافت و فیسبوک با همکاری یکدیگر، اینترنت باگبانتی (Internet Bug Bounty) را راهاندازی کردند که برنامهای اختصاصی برای کشف آسیبپذیریها در چارچوبهای توسعه نرمافزار مانند Ruby on Rails یا Django است. گوگل نیز برنامه خود را به پروژههای متنباز متعدد گسترش داده است.
روند روبهرشد دیگر محبوبیت پلتفرمهای باگبانتی و تست نفوذ بهعنوان سرویس (PtaaS) است. این بازارهای آنلاین به کسبوکارها امکان میدهند بهراحتی برنامه باگبانتی خود را راهاندازی و مدیریت کنند و از قدرت جامعه امنیتی بهره ببرند.
آینده باگبانتی: از شرکتی تا ملی
هر روز ابعاد جدیدی از برنامههای باگبانتی آشکار میشود. امروزه این برنامهها از مرزهای بخش خصوصی فراتر رفتهاند و به سطح ملی و حاکمیتی رسیدهاند؛ برای مثال دولت فدرال آمریکا سال ۲۰۱۶ برنامه «هک پنتاگون» را معرفی کرد. تاکنون در قالب این برنامه بیش از ۷ هزار آسیبپذیری کشف شده است.
اتحادیه اروپا سال ۲۰۱۴ با طرح EU-FOSSA 2، قدم به این عرصه گذاشت. EU-FOSSA مخفف «بازرسی نرمافزارهای آزاد و متنباز» با هدف افزایش امنیت و یکپارچگی نرمافزارهای حیاتی متنباز به دستور مجلس اروپا پس از کشف حفره امنیتی Heartbleed در سال ۲۰۱۴ راهاندازی شد.
پس از موفقیت فاز آزمایشی اولیه، این پروژه برای دوره سهساله جدید تمدید شد و راهاندازی برنامههای باگبانتی، سازماندهی هکاتونها و کنفرانسها و تعامل فعال با انجمنهای توسعهدهندگان را دربرمیگرفت.
شکارچیان قلب تپنده برنامههای باگبانتی
شرکتهای بزرگ و دولتها از برنامههای باگبانتی بهعنوان ابزار راهبردی بهره میبرند، قلب تپنده این اکوسیستم را افرادی تشکیل میدهند که با دقت و دانش فنی آسیبپذیریها را شناسایی و گزارش میکنند؛ افرادی که به آنها «هانتر» یا شکارچی باگ گفته میشود. این هکرهای کلاهسفید ستونفقرات امنیت سایبری مدرن هستند؛ گاهی ناشناس و گاهی با نامهایی شناختهشده در جامعه جهانی امنیت اطلاعات. اکنون در ادامه، نگاهی به برخی از مهمترین هانترهای باگبانتی در جهان و ایران میاندازیم که با گزارشهایشان، نهفقط میلیونها دلار پاداش گرفتهاند، بلکه اعتبار و امنیت سازمانهای بزرگ را حفظ کردهاند.
میلیونرهای امنیت دیجیتال
در دنیای شکار باگ، برخی هانترها فراتر از شهرت، به درآمدهای بالایی نیز دست یافتهاند. دراینمیان، چهرههایی همچون یوسف صمودا، آناند پراکاش و فرانس روزن، از موفقترینها هستند. تعدادی از این افراد را در ادامه معرفی میکنیم.
شکارچیان ایرانی
کشورهای غربی و آسیای جنوب شرقی همواره در صدر آمار باگبانتی بودهاند اما در سالهای اخیر شکارچیان امنیتی ایرانی نیز رشد قابلتوجهی کردهاند و توانستهاند نام خود را در لیست پرداختها و افتخارات شرکتهای بینالمللی و داخلی ثبت کنند. در ادامه تعدادی از این شکارچیان را معرفی میکنیم.
نقشآفرینی شرکتهای ایرانی در توسعه باگبانتی
اکوسیستم باگبانتی در ایران هنوز در مراحل اولیه قرار دارد اما به لطف پلتفرمهای تخصصی و کنشگران پرتلاش، بهسرعت درحال رشد است. دراینمیان، برخی شرکتها و چهرهها نقشی اساسی در ترویج، نهادینهسازی و توسعه چارچوبهای بومی این سازوکار امنیتی ایفا کردهاند و شرکتهایی متعددی برنامههای باگبانتی خود را اجرا کردهاند. یکی از این شرکتها بلوبانک سامان است که اخیراً اولین رویداد رسمی باگبانتی خود را در حضور هکرهای کلاهسفید با عنوان blu Deep Dive برگزار کرد. در این رویداد متخصصان حوزه امنیت شیرجهای عمیق به زیرساختهای بلو زدند و فرصتی برای مشارکت با متخصصان داخلی بلو داشتند. در این رویداد که 8 و 9 خرداد 1404 برگزار شد، 60 هکر کلاهسفید در قالب 22 گروه یک تا پنجنفره روی زیرساختهای بلو کار کردند.
