تاب آوری پلتفرم‌های رمزارزی و طلا زیر حمله سایبری بررسی شد در رویداد باگ پارتی راورو، ۵۰ هکر از ۶ پلتفرم تست امنیتی گرفتند

به گزارش پیوست، رویداد باگ‌بانتی راورو به نام «باگ‌پارتی» برای بررسی امنیت سایبری پلتفرم‌های تبادل رمزارز و طلای آنلاین برگزار شد. معاونت علمی ریاست جمهوری، پلیس فتا و صندوق نوآوری و شکوفایی حامیان این رویداد بودند.

بلوغ امنیتی و اهمیت به داده کاربران

محمدامین کریمان، راهبر اجرایی راورو در مورد این رویداد گفت: پلتفرم باگ‌بانتی راورو، ۹ و ۱۰ اسفند ماه میزبان ۵۰ متخصص امنیتی از سراسر کشور بود. در رویداد باگ‌پارتی ۶ پلتفرم تبادل رمزارز و طلای آنلاین شرکت کردند. مجموع تعهد پلتفرم‌ها ۳ میلیارد و ۵۰۰ میلیون تومان بوده. مبنای انتخاب برندگان امتیازهای کسب شده بود که این امتیازها توسط تیم داوری پلتفرم راورو محاسبه شد.

کریمان در مورد سهم زنان در باگ‌پارتی گفت: متاسفانه در زمینه امینت سایبری زنان در ایران و جهان سهم کمی دارند. با این حال سعی داریم از زنان برای فعالیت در این حوزه حمایت کنیم. در باگ‌پارتی میزان ۸ زن به عنوان باگ‌هانتر یا متخصص امنیت بودیم.

او در مورد آسیب‌پذیری‌های شناسایی شده در رویداد گفت: یکی از اتفاقات خوب این رویداد، شناسایی آسیب‌پذیری بود که می‌توانست دسترسی به حساب کاربران داشته باشد. تکنیکی که بسیار کم مورد استفاده قرار می‌گیرد اما این آسیب‌پذیری شناسایی و مورد قبول قرار گرفت.

به گفته کریمان: به صورت کلی وضعیت امنیتی پلتفرم‌های رمزارزی و طلایی شرکت کننده خوب بود. پلتفرم‌های شرکت کننده جزو مجوعه‌های پیشرو محسوب می‌شوند و در معرض تست امنیتی ۵۰ متخصص قرار گرفتن نشان دهنده بلوغ امنیتی این پلتفرم‌ها و اهمیت به داده‌های کاربران است.

او در ادامه گفت: این رویداد با حمایت معاونت علمی ریاست جمهوری، پلیس فتا و صندوق نوآوری و شکوفایی برگزار و حمایت خوبی برای شکل دادن اکوسیستم و افزایش امنیتی سامانه‌ها انجام شد.

کریمان در مورد مشکلات خارج از پلتفرم‌ها گفت: مشکلات زیرساخت، تحریم‌ها و فرار نیروی انسانی از جمله مشکلات این حوزه است. اما موضوعاتی مانند نوسانات ارزی، تحریم یا اختلال اینترنت روی متخصصان این حوزه تاثیرگذار هستند. البته در مقابل استعدادهایی هم داریم و در رویداد باگ‌پارتی یکی از متخصصان کلاس دهم بود یا دانشجویان و متخصصانی از شهرها و روستاهای مختلف کشور حضور داشتند. افرادی که می‌توانند وضعیت تیم‌های امنیتی شرکت‌های بزرگ را به چالش بکشند و اگر در بستر خوبی قرار بگیرند می‌توانند شکوفا شوند.

رفتار حرفه‌ای پلتفرم‌ها با استقبال از باگ‌بانتی

سرهنگ رضایی معاون اجتماعی فتا فراجا در مورد ماموریت‌های این نهاد گفت: ما در پلیس فتا ماموریت داریم که امنیت سایبری کسب و کارهای داخلی را رصد و برای ارتقا آن، تلاش کنیم. تاکید ما و سخت گیری ما در امنیت این کسب و کارها، متوجه حریم خصوصی و حفظ سرمایه های مردم است.

او در مورد اقدامات پلیس فتا گفت: تشکیل تیم‌های واکنش سریع به حملات سایبری، مشاوره، بازدید و ممیزی کسب و کارهای مجازی از جمله اقدامات فتا است. همچنین یکی از مهمترین برنامه هایمان، حمایت و تقویت از متخصصین امنیتی که می خواهند از طریق سالم، حلال و اخلاقی کسب و درآمد کنند.

رضایی در مورد اهمیت برنامه‌های باگ بانتی: در سالهای نچندان دور، متاسفانه از سمت هانترها گزارش‌هایی دریافت می‌کردیم که اعلام باگ به کسب و کارهای داخلی، با بی توجهی مواجه می‌شد. مواردی مانند کم ارزش جلوه دادن کار، بانتی مناسب ندادن، یا حتی برخورد قضایی. اما امروزه پلتفرم‌های داخلی، رفتاری حرفه‌ای‌تر نشان می‌دهند و این شجاعت رو دارند که از طریق سایت و برنامه باگ بانتی یا از طریق پلتفرم‌های تخصصی باگ بانتی، سامانه‌های خود را در معرض برنامه باگ بانتی قرار دهند و این یک پیام مهم برای کاربران آنها دارد که امنیت و بلوغ امنیت، متناسب با رشد کسب و کار در برنامه‌های آنها تعریف شده است.

او در مورد اهداف این رویداد گفت: کسب‌وکارهای فین‌تکی حوزه طلا و رمزارز، به دلیل فعالیت مالی و نگهداری سرمایه‌های مردم، از اهمیت ویژه‌ای برخوردارند.

مهاجرت مهم‌ترین عامل از دست دادن نیروی متخصص

ابوذر پروان مدیر ارشد امنیت نوبیتکس گفت: رویداد اتفاق مثبتی است. شرکت‌ها متوجه سطح امنیتی خود می‌شوند و هانترها هم با محیط و شرکت‌ها آشنا می‌شوند. امیدواریم این رویدادها ادامه پیدا کند. از سمت نوبیتکس برنامه باگ‌بانتی حدود یک سالی است که وجود دارد. باگ‌بانتی قرار نیست جایگزین Incident Response، Blue team‌ یا security monitoring شود. به همین دلیل باگ‌بانتی تنها یک قدم در کنار دیگر موارد امنیتی است که باید رعایت شود.

او در مورد مشکلات خارج از پلتفرم گفت: خارج از پلتفرم در دو بخش چالش‌هایی وجود دارد. یکی سرویس‌هایی که می‌توانیم دریافت کنیم اما باتوجه به تحریم‌ها چالش‌هایی وجود دارد. از طرفی مواردی مانند تاثیر قطعی برق روی مراکز داده هم وجود دارد که باعث می‌شود بجای تمرکز روی موارد مورد نیاز به این چالش‌ها بپردازیم. اینترنت و دیتاسنتر پایدار حداقل نیاز این حوزه است.

به گفته پروان: همچنین در بخش فنی جای نهادهایی که باید از حقوق مردم دفاع کنند هم خالی است و جایی نیست که توان فنی و دانش تخصصی را داشته باشد و بتواند با رعایت حقوق مردم استانداردها رو مشخص کند و استانداردهای امنیتی از سمت پلتفرم رعایت شده است.

همچنین به گفته او: از نظر منابع انسانی در چندسال اخیر استخدام نیروی انسانی با کیفیت و نگهداشتن آنها بسیار دشوار شده است. به همین دلیل سعی کردیم بیشتر زمان خود را برای توسعه نیروی انسانی متخصص صرف کنیم هر چند که همچنان مهاجرت مهم‌ترین عامل از دست دادن نیروی متخصص است.

چالش‌های استفاده از خدمات بین‌المللی

بهمن حبیبی، مدیر ارشد بازاریابی صرافی اتراکس گفت: وضعیت امنیتی اترکس مانند انتظار خوب بود و در جریان رویداد متوجه شدیم محصول اتراکس از نظر امنیتی به نسبت ذهنیت خودمان و حتی رقبا بهتر است. البته مواردی هم وجود داشت که متوجه اطلاعات کاربران نبود و این موارد رسیدگی خواهد شد. امیدواریم این رویدادها ادامه پیدا کند. در تیم اتراکس علاوه‌بر وجود یک تیم امنیت، تیم مشاوره وجود دارد که هرچه سریع‌تر آسیب‌ها برطرف شوند.

به گفته او: بازار رمزارزها جهانی است محصولات این بازار هم از همین جنس است. از داخل مشکلاتی وجود دارد اما عمده مشکلات زمانی ایجاد می‌شود که با استفاده از API می‌خواهیم از سرویس‌های خارجی استفاده کنیم و همواره برای استفاده از این خدمات نگرانی‌های امنیتی داریم. البته در مقابل همین موضوع باعث شده محصولاتی به صورت داخلی در حوزه کسب‌وکارهای اینترنتی توسعه پیدا کند که با رشد خوبی هم همراه بوده است.

اهمیت امنیتی دیجیتالی برای حوزه فین‌تک

محمد حمزه‌ای، مدیر فنی میلی گلد گفت: پلتفرم میلی گلد گزارش امنیتی تاکنون داشته است. روی وب‌سایت صفحه‌ای تحت عنوان باگ‌جوی میلی داریم و تشویق می‌کنیم شکارچیان یا هانترها روی پلتفرم فعالیت و بعد از بررسی پاداش دریافت کنند. تاکنون مواردی از همین طریق دریافت شده که از بین آنها ۳ مورد پذیرفته شده و آسیب‌پذیری برطرف شده است. هرچند تاکنون آسیب‌پذیری جدی که کاربران را تحت تاثیر قرار دهد نداشتیم.

به گفته او: در اپلیکیشن‌های فین‌تکی و موضوعات مالی، امنیت اعتماد را برای کاربر فراهم می‌کند. به همین دلیل از ابتدا در کنار توسعه نرم‌افزار موضوعات امنیتی را دنبال می‌کردیم.

حمزه‌ای در ادامه گفت: به صورت مستقیم مواردی مانند قطعی‌های ناشی از ناترازی یا آلودگی‌های شبکه اینترنت ایران قرار نگرفته‌ایم و به صورت دائمی تیم SOC روی ترافیک ورودی و خروجی نظارت می‌کنند تا درصورت مشاهده موارد غیرطبیعی، مشکلات امنیتی که کاربر را تحت تاثیر قرار بدهد ایجاد نشود.