کلاه‌سیاه‌ها در پی باج، کلاه‌سفیدها به دنبال پاداش باگ‌بانتی؛ کدام یک موفق می‌‌شوند

به گزارش پیوست، یک هکر ۱۰ دی‌ماه ۱۴۰۲ خبر هک داده‌های کاربران اسنپ فود را رسانه‌ای کرد. این گروه یا فرد همان کسی است که شهریورماه نیز تپسی را هک کرد اما تقاضای باجش بی‌نتیجه ماند برای همین این بار با اسنپ مذاکره نکرد و از همان ابتدا، داده‌ها را با قیمت ۳۰ هزار دلار یعنی حدوداً یک میلیارد و ۵۰۰ میلیون تومان به فروش گذاشت.

باج دادن به هکرها کار رایجی نیست. حدود یک ماه پیش بود که هکری به سیستم‌های استودیو بازی‌سازی Insomniac Games متعلق به PlayStation Studio نفوذ کرد و برای ۱.۳ میلیون فایل با حجم ۱.۶۷ ترابایت تقاضای ۵۰ بیت‌کوین کرد؛ Insomniac نپذیرفت این باج را پرداخت کند و متحمل رسوایی بزرگی شد.

پس اگر راه‌حل مقابله با نفوذ هکرهای کلاه سیاه پذیرفتن باج‌خواهی‌شان نیست، چاره کجاست؟ اینجاست که باگ‌بانتی اهمیت پیدا می‌کند.

باگ‌بانتی چیست؟

باگ‌بانتی به برنامه‌ای می‌گویند که شرکت‌ها، نهادهای دولتی و هر مجموعه‌ای که برای امنیت داده‌هایش اهمیت قائل است طراحی می‌کنند تا هکرهای کلاه سفید را تحریک کند آسیب‌پذیری (Vulnerability) و باگ‌های امنیتی را پیش از آنکه دیر شود کشف کنند و گزارش دهند. انگیزه‌ای هم که محرک آنها برای شناسایی باگ‌هاست ساده است: پول.

هکر کلاه‌سفید گزارش باگ امنیتی را به مجموعه ارسال می‌کند و در صورت تایید گزارش و با توجه به سطح اهمیت نفوذ‌پذیری کشف‌شده، هکر پاداش می‌گیرد. شرکت‌ها و نهادها معمولاً برنامه‌های باگ‌بانتی خود را در صفحه‌ای اختصاصی روی سایت خود قرار می‌دهند. در این برنامه‌ها جزئیات برنامه شرح داده می‌شود، از جمله اینکه کشف هر سطحی از آسیب‌پذیری مشمول چه پاداشی می‌شود. سطوح آسیب‌پذیری نیز تعاریف مشخصی دارد.

طبق یکی از استانداردهای دسته‌بندی آسیب‌پذیری به نام CVSSv3  سطوح آسیب‌پذیری به ترتیب از کم‌اهمیت به مهم به ضعیف (Low)، متوسط (Medium)، بالا (High)، بحرانی (Critical) و حیاتی (Vital) شناخته می‌شوند. آسیب‌پذیری‌های حیاتی آن نوعی هستند که تمامی داده‌های مجموعه را در معرض تهدید قرار می‌دهند. البته ممکن است برنامه‌های باگ‌بانتی مجموعه‌های مختلف، سطح‌بندی‌ها را به دلخواه خود انجام دهند.

باگ‌بانتی در ایران

همان زمان که اسنپ‌فود هک شد، یکی از هکرهای کلاه‌سفید در شبکه اجتماعی اکس (توییتر) گلایه کرده بود که از اسنپ برای کشف یک آسیب‌‌پذیری تنها پنج میلیون تومان گرفته است. احتمالاً او طبق آنچه در صفحه برنامه بانگ‌بانتی اسنپ تعیین شده پاداش گرفته است اما مساله این است آیا ارقامی در این حد می‌تواند هکرهای کلا‌ه‌سفید را برای کشف باگ ترغیب کند.

اواخر شهریورماه امسال اسنپ برنامه باگ‌بانتی خود را توسعه داد و پاداش‌های جدید را تا ۱۵۰ میلیون تومان افزایش داد. پاداش‌های اسنپ برای سرویس‌های مختلفش به دو دسته تقسیم می‌شود: اسنپ‌کب و اسنپ‌باکس و بقیه سرویس‌ها.

حداکثر پاداش ۱۵۰ میلیون تومان برای دسته اول است. هکرهای کلاه‌سفید بسته به سطح آسیب‌پذیری‌ای که در اسنپ‌کب و اسنپ‌باکس شناسایی می‌کنند می‌توانند ۵، ۱۵، ۲۵ یا ۱۵۰ میلیون تومان پاداش دریافت کنند، اما در مورد سرویس‌های دیگر پاداش‌ها به‌مراتب کمتر است و پاداش‌ها در سه سطح ۲.۵، ۵ و ۷.۵ میلیون تومانی تعیین شده است.

ابرآروان نیز یکی دیگر از شرکت‌هایی است که برنامه باگ‌بانتی جذاب‌تری دارد و برای آسیب‌پذیری‌های حیاتی (vital) تا ۳۰۰ میلیون تومان پاداش پرداخت می‌کند و برای سطوح دیگر نیز پاداش‌های یک، ۳۰، ۴۰ و ۵۰ میلیون تومانی در نظر گرفته است.

پلتفرم‌های باگ‌بانتی

علاوه بر برنامه‌های باگ‌بانتی که مجموعه‌ها طراحی و اعلام عمومی می‌کنند پلتفرم‌هایی وجود دارند که شکارچیان باگ (‌Bug Hunter) را به مجموعه‌ها وصل می‌کنند. حتی مجموعه‌های دارای برنامه باگ‌بانتی نیز می‌توانند از این خدمات استفاده کنند. به عنوان مثال باگدشت یکی از این پلتفرم‌هاست که مشتریانی از جمله اسنپ، اسنپ‌فود، ایرانسل، ارتباط فردا، بیمه سامان، قوه قضائیه، بانک ملت، شاپرک، شرکت مخابرات ایران، سازمان امور مالیاتی، مبین‌نت و علی‌بابا دارد.

حتی برخی مجموعه‌ها ممکن است با چندین پلتفرم قرارداد امضا کنند. مثلا قوه قضائیه مشتری پلتفرم کلاه سفید نیز است. دانشگاه امیرکبیر، شب و چاپار از مشتریان دیگر کلاه سفید هستند.

راورو نیز پلتفرم دیگری است که هکرهای کلاه‌سفید را به پلتفرم‌ها متصل و در صورت تایید گزارش آسیب‌پذیری پاداش آنها را تضمین می‌کند. مایکت، اتاقک، تپسی، مستر بلیط، ۳۰نما، ابر آروان، ایرانسل و شاتل از مشتریان راورو هستند.

امنیت یک کالای لوکس است

محمدامین کریمان مدیرعامل راورو یکی از پلتفرم‌های باگ‌بانتی است که باور دارد امنیت در ایران کالای لوکسی است که حتی گاهی به رسمیت هم شناخته نمی‌شود. او به پاداش‌های پایین باگ‌‌بانتی اشاره می‌کند و به پیوست می‌گوید: «در بحث باگ‌بانتی اسنپ ارزش‌گذاری درستی نشده و رقم پرداختی پایین بوده است. این باعث شد هکرها از طریق باگ‌بانتی اقدام نکنند. در سال‌های اخیر دیده‌ایم تیم‌های امنیت داخلی سازمان‌ها، مشارکت متخصصان را به‌نوعی زیر سوال بردن کار خودشان می‌دانند.»

از او می‌پرسم بهتر نیست سازمان‌های هک‌شده، دیتا را از هکر بخرند؟‌ می‌گوید:‌ «در نهایت نباید باج بدهند و کار درستی است. اگر یک بار باج بدهید شخص را تشویق کرده‌اید که این کار را دوباره بکند. حتی ممکن است پول را بگیرد و دیتا را هم منتشر کند.»

پس چه باید کرد؟ مدیرعامل راورو به این سوال پاسخ می‌دهد: «از قبل باید کارهایی انجام شود. متاسفانه در ایران امنیت را به رسمیت نمی‌شناسند و اگر هم به رسمیت بشناسند به عنوان یک کالای لوکس به آن نگاه می‌کنند. باید برای امنیت مجموعه به طور مداوم هزینه شود و تنها هزینه‌ای که با رشد سازمان باید زیاد شود، هزینه امنیت است.»

این متخصص امنیت توضیح می‌دهد: «مشکل اینجاست ابزار قانونی برای این مساله وجود ندارد. اگر همین اتفاق در اتحادیه اروپا می‌افتاد قانون GDPR پلتفرم را ملزم به پرداخت جریمه می‌کرد اما در ایران مجموعه‌ها تنها یک بیانیه می‌دهند و می‌گویند مسئولیت را می‌پذیرند. در این زمینه باید مطالبه عمومی هم شکل بگیرد تا قانون‌گذاری انجام شود اما اکنون که این حجم از دیتای کاربران در اینترنت پخش شده شاید برای قانون‌گذاری دیر باشد.»

او می‌گوید باگ‌بانتی با کمک گرفتن از خرد جمعی ریسک نفوذ را پایین می‌آورد اما باز هم تضمینی وجود ندارد که هکرهای کلاه‌سیاه موفق به هک نشوند. برای مقابله با هکرهای کلاه‌سیاه علاوه بر باگ‌بانتی، روش‌هایی مانند red team وجود دارد.

وظیفه تیم قرمز (Red Team) اجرای حملات‌ شبیه‌سازی و کنترل‌شده به سازمان است تا توانایی‌های سازمان در برابر حملات واقعی هکرهای کلاه‌سیاه سنجیده شود. در مقابل تیم قرمز، تیم آبی قرار می‌گیرد که باید با حملات آنها مقابله کند.

قانون از داده‌های شخصی ما محافظت می‌کند؟

لایحه حفاظت از داده‌های شخصی افراد یکی از پرقدمت‌ترین لایحه‌هایی است که هنوز تبدیل به قانون نشده است و هر وقت سر از مجلس درآورده، بدون نتیجه رها شده است. خرداد ۸۳، حدود ۱۹ سال پیش، لایحه حریم خصوصی در کمیسیون لوایح دولت تصویب شد. با توجه به سطح تکنولوژی در آن زمان، بخش‌های کمی از این لایحه مربوط به ارتباطات الکترونیکی بود اما مجلس حتی همین لایحه را هم در سال ۸۴ کنار گذاشت.

دی‌ماه ۱۳۹۶، وزارت ارتباطات با همکاری تعدادی از پژوهشگران اقدام به تهیه پیش‌نویسی از لایحه حمایت از داده‌ها و حریم خصوصی در فضای مجازی کرد و پس از انتشار آن از صاحب‌نظران درخواست شد نظرات خود را درباره آن بیان کنند.

مرداد ۹۷ آذری جهرمی در مراسمی به همراه رئیس مرکز پژوهش‌های مجلس و تعدادی از نمایندگان، از لایحه حفاظت از داده‌های شخصی رونمایی کرد اما با وجود دولت و مجلس همسو در آن زمان باز هم کار به سرانجام نرسید.

این آخرین تلاش ناموفق نبود. اردیبهشت ۱۴۰۰، رضا باقری اصل، دبیر وقت شورای اجرایی فناوری اطلاعات، اعلام کرد لایحه مقررات عمومی حفاظت از داده در مراحل پایانی تصویب در هیات وزیران است. چند ماه بعد، مهر ۱۴۰۰، طرح حفاظت از داده‌ها در مجلس اعلام وصول شد اما باز هم حاصلی نداشت.

حال به‌تازگی عیسی زارع‌پور، وزیر ارتباطات، اعلام کرده کار تصویب کلیات لایحه حفاظت از داده‌های شخصی در کمیسیون راهبری اقتصاد دیجیتال تمام شده است و با نهایی شدن در دولت، به‌زودی به مجلس می‌رود. معلوم نیست این بار این لایحه به قانون تبدیل می‌شود یا خیر اما با وجود هک‌های متعدد در سال‌های اخیر، حتی اگر این قانون تصویب شود، آب رفته هیچ‌گاه به جوی بازنمی‌گردد.