بایگانی برچسب: s

درباره یک باگ بانتی داخلی

اینکه مدیر پیام رسان آی گپ، پیشقدم شده و بخشی از امنیت محصول خود را در معرض قضاوت و تحلیل عمومی قرار داده، فی نفسه و مستقلا قابل تقدیر و ارزشمند است. حرکت ایشان به خصوص در روزهایی که بحث بر سر پیام رسان ها در اوج قرار دارد، به گسترش فرهنگ باگ بانتی (Bug Bounty) یا جایزه باگ، و آشنا شدن عموم و به خصوص صاحبان محصولات نرم افزاری کمک می کند.

برنامه های جایزه باگ، در بسیاری از شرکت های مطرح دنیا و حتی توسط دولتها به طور معمول اجرا می شود. شرکتهایی مثل Hackerone و Bugcrowd هم به طور تخصصی این سرویس را ارائه می کنند. معمولا برگزار کننده به طور مشخص اعلام می کند که جایزه به چه حمله ها یا آسیب پذیری هایی تعلق نمی گیرد، تا افراد وقت خود را صرف آن حمله ها نکرده و بعداً مدعی نشوند.

نکته ای که در جایزه یک میلیارد تومانی هک پیام رسان آی گپ نیاز به شفاف سازی و توضیح بیشتر دارد، بحث استفاده از الگوریتم رمزنگاری AES جهت رمزنگاری پیام های تبادلی بین کلاینت و سرور است. با توجه به اینکه AES یک الگوریتم استاندارد و امن (تا به امروز) است، بدیهی است که هیچ فردی در ایران نمی تواند به نحوی که خواسته شده، پیام های رمز شده با AES را رمزگشایی و به وسیله ابزاری مثل وایرشارک آن را اثبات کند. حتی هیچ فردی در دنیا هم قادر به این کار نیست (اگر هم NSA یا دیگر سازمان های اطلاعاتی قادر به این کار باشند، برای حفظ این برتری استراتژیک، آن را اعلام نخواهد کرد).

اشتراک گذاری

باگ باونتی و حواشی آن: مصائب هکرهای قانونمند!

برنامه باگ باونتی (Bug Bounty) به طرحی گفته می شه که در اون یک سازمان که میتونه شرکتی خصوصی یا نهادی دولتی باشه طبق شرایطی مشخص، از هکرها و محققین امنیت درخواست می کنه تا آسیب پذیری های امنیتی سیستم های سازمان رو در ازای دریافت پاداش، به اون گزارش کنن. از این طریق، هکرهای قانونمند به اون سازمان کمک می کنن که باگ های امنیتی خودش رو که از اونها بی اطلاع هست، کشف کنه و قبل از اینکه به هر طریقی مورد سوء استفاده قرار بگیره، اونها رو رفع کنه. این کار اولین بار توسط شرکت Netscape در دهه ۹۰ انجام شده و الان شرکت های بزرگ مثل مایکروسافت، فیسبوک، گوگل و حتی پنتاگون به طور معمول این برنامه رو اجرا می کنن. مثلاً برنامه باگ باونتی مایکروسافت برای محصولات مختلفش در اینجا اعلام شده و گفته شده که تاریخ شروع و پایان هر برنامه و حداکثر میزان پاداش برای گزارش باگ از محصولات مختلف چقدر هست. همچنین در برنامه VRP از مجموعه برنامه های موسوم به Security Reward گوگل، به طور دقیق مشخص شده که چه آسیب پذیری هایی مورد پذیرش هست، کدام سایت ها و اپلیکیشن ها مستثنا هستند و به خصوص، چه گزارش هایی از دید گوگل ارزش شرکت در این رقابت رو ندارن.
در ایران اما وضعیت به کلی متفاوت هست. همونطور که جادی در این یادداشت اشاره کرده، موارد زیادی از گزارش آسیب پذیری ها به سازمان ها مورد توجه خاصی قرار نمی گیره. نه تنها برنامه هایی که بشه به اونها باگ باونتی گفت وجود نداره (خب گوگل و مایکروسافت هم در ایران نداریم!)، اساساً در خیلی از سازمان ها برنامه مشخصی برای مواجهه با یک گزارش آسیب پذیری وجود نداره. اینکه اگر کسی ادعای وجود یک آسیب پذیری رو داشت، چه برخوردی در اون سازمان میشه و اساساً به چه کسی باید گزارش داد، اصلاً مشخص و قابل پیش بینی نیست. همین موضوع باعث می شه که برخورد با این گزارش ها کاملاً موردی و وابسته به سلیقه مدیران مربوطه باشه. باید توجه داشته باشیم که اگر سازمانی برنامه باگ باونتی اعلام نکرده باشه، و شما هم قرارداد تست نفوذ با اون سازمان نداشته باشید، اونوقت شما طبق ماده ۱ قانون جرائم رایانه ای مجرم هستید. البته نظر شخصی من این نیست، اما قانون به نظر شخصی من و شما یا اونچه که احتمالاً در بعضی کشورهای دنیا به عنوان عرف پذیرفته شده، کاری نداره!
البته تمام تقصیر رو هم بهتره به گردن سازمان ها نندازیم. بعضی از سازمان ها تجربه جذابی از مواجهه با افرادی که باگ گزارش می دن، ندارن. با این حال، تعداد افرادی که به صورت متمدنانه و قانونمند می تونن به سازمان ها کمک کنن، کم نیست و بهتره که فرهنگ باگ باونتی، یا چیزی شبیه به اون، زودتر در سازمان ها جا بیافته. حالا اگر هم برنامه ای رسمی برای جایزه دادن به هکرهای قانونمند اعلام نمی کنن، حداقل بتونن گزارش های معتبر و خیرخواهانه رو از بقیه گزارش ها تشخیص داده و برخورد مناسبی با گزارش دهنده داشته باشن.

اشتراک گذاری

پرونده آسیب پذیری های امنیتی محصول Fireeye

اختلاف بین شرکت دو شرکت امنیتی Fireeye و ERNW بر سر افشای چند آسیب پذیری از محصولات امنیتی Fireeye توسط محقق شرکت آلمانی ERNW به شدت مورد توجه گروه ها و افراد امنیتی قرار گرفته و بحث بر سر آن ادامه دارد.موضوع از این قرار است که شرکت Fireeye برای جلوگیری از افشای این آسیب پذیری ها از دادگاهی در آلمان حکم گرفته و این مسأله به مذاق فعالان امنیت خوش نیامده است.

شاید برای ما در ایران، اقدام از طریق دادگاه خیلی طبیعی به نظر برسد، اما بر عکس در کشورهای پیشرفته، افشای مسئولانه (Responsible Disclosure) آسیب پذیری های محصولات تجاری امنیتی و غیر امنیتی، تا جایی که نقض قوانین مالکیت معنوی، حریم شخصی و حقوق تجاری به حساب نیاید، یک عرف و رسم پذیرفته شده است. با توجه به فضای به شدت رقابتی و دید مثبتی که نسبت به هکرهای قانونمند در دنیا وجود دارد، معمولاً شرکت ها تلاش می کنند ارتباط مثبتی با آنها داشته باشندو در نتیجه مواردی مثل پرونده اخیر fireeye ، یا موردی که در سال ۲۰۰۵ برای سیسکو پیش آمد، با برخورد تند فعالان امنیت مواجه می شود.

شرکت fireeye سعی کرده اتفاقات رخ داده در این مورد خاص را توضیح دهد و نشان دهد که به عنوان یک شرکت امنیتی (که بعضاً محققان خودش هم در موارد افشای مسئولانه آسیب پذیری های دیگر شرکت ها حضور دارند)، رابطه خوبی با اجتماعات هکرها و محققان امنیت دارد. این شرکت توضیح داده که در چند ماه اخیر جلسات متعددی با ERNW داشته و بر سر کلیه جزئیات فنی گزارش هایی که قرار بوده توسط ERNW از این آسیب پذیری ها افشا شود، توافق کرده اما این توافق در مراحل پایانی با شکست مواجه شده چون محقق مورد اشاره نپذیرفته که برخی جزئیات داخلی، کدها و معماری محصول مورد بحث را افشا نکند.

اینکه دو طرف این دعوا، هر دو شرکت های امنیتی هستند از دیگر ویژگی هایی است که این پرونده را از موارد مشابه قبلی متمایز کرده است.

گزارش مفصلی از این پرونده در اینجا.

و در پایان این پرسش که چه زمانی قابلیت های درونی و کیفیت مناسبات بازیگران فناوری اطلاعات و امنیت در ایران به حدی از بلوغ خواهد رسید که شاهد اینگونه بحث ها بین محققان ایرانی و تولیدکنندگان محصولات داخلی (چه امنیتی و چه غیر امنیتی) باشیم؟

اشتراک گذاری