هكری كه از سوی وزیر تقدیر شد

اساسا هكر كلاه سفید به متخصص امنیت كامپیوتر گفته می شود كه به منظور تست و ارزیابی امنیت یك شبكه و سیستم محافظت شده تلاش در هك آن می كند. این نوع هكرها از مهارت های خود برای برقراری بیشتر امنیت و مبارزه با هكرهای كلاه سیاه استفاده می كند. هدف آن ها حفظ امنیت است.
شاهین زاده جوان 29 ساله ای است كه در رشته مهندسی اپتیك و لیزر تحصیل كرده است و در توئیتر خود، یك آسیب پذیری امنیتی را با رونوشت به وزیر ارتباطات افشا كرد: « شركت مخابرات ایران، مثل بسیاری از سازمان های دیگر آسیب پذیر بوده و استخراج اطلاعات میلیون ها كاربر به راحتی امكان پذیر است. شما با این كد وریفای كن ....» و ادامه ماجرا. وزیر ارتباطات دقایقی بعد برای او نوشت: «تلاش شما برای ارتقای سطح امنیت خدمات قابل تقدیره. برای رسیدگی به این گزارش با شما تماس خواهند گرفت.»

**باگ را رایگان نمی دهند
این سرآغاز افشای باگی بود كه در سیستم مخابرات كشف شد. شاهین زاده در گفت و گو با خبرنگار گروه علمی ایرنا درباره كشف حفره های امنیتی گفت: زمانی كه باگی در سیستم های مختلف كشف می شود، ما سعی می كنیم با مسئولان مربوطه ارتباط بگیریم تا باگ را رفع كنند. در خارج از كشور به ازای كشف باگ، سازوكاری برای پاداش به هكر وجود دارد. اما در كشور ما چنین امكانی نیست و به همین دلیل هكر كلاه سفید باید موضوع را از طریق شبكه‌های اجتماعی به گوش مسئولین برساند. هر چند سازمان ها معمولا برخورد مناسبی ندارند و بیشتر تمایل دارند كه باگ به شكل رایگان به آن ها داده شود. در حالی كه در سیستم شان بودجه قابل توجهی برای این مسئله در نظر گرفته شده است.
وی با این توضیحات ادامه داد: حدود یك ماه قبل در یكی از سرورهای اصلی یكی از اپراتورها یك آسیب پذیری جدی پیدا كردم. از طریق این سرویس كل شبكه مشخص بود. این آسیب پذیری70 میلیون ركورد داشت و راهی بود به كل شبكه آن اپراتور. من به واسطه یكی از دوستانم با مركز ماهر ارتباط برقرار كردم. با این مركز، یك جلسه حضوری گذاشتیم و شواهدی ارائه دادم تا ادعایم را ثابت كنم. آن ها قانع شدند، با آن اپراتور تماس گرفتند و یك جلسه با مدیران آن ترتیب دادند. البته اپراتور جلسه را لغو كرد و تا الان هم خبری از آن ها نیست. تا جایی كه من می دانم و پیگیری كردم، مركز ماهر نامه ای به سازمان تنظیم مقررات زده تا آن ها را جریمه كند.

**آسیب پذیری خطرناك
شاهین زاده كه 13سال در این زمینه مشغول فعالیت است، درباره توئیتی كه نوشت و نتیجه ای كه افشای این باگ داشت، گفت: قصد خرید یك سرویس اینترنتی را داشتم. در كنار فرایند خرید سرویس مشغول نگاه كردن به بخشی از قسمت های سایت شدم و فهمیدم آن ها یك آسیب پذیری خطرناك دارند كه در عرض نیم ساعت اجازه نفوذ به سرور را می دهد. به واقع، بیشتر از این عصبانی شدم كه دیدم اطلاعات من هم مانند خیلی های دیگر در دسترس است و متوجه شدم چه سو استفاده های زیادی از این اطلاعات می توان انجام داد.
«بعد از آن یك توئیت درباره تمام باگ هایی كه در این مدت از دو اپراتور و مخابرات به دست آورده بودم ، با سندی (دو رقم آخر پسوورد سرور) كه ثابت می كرد حرف های من درست است، نوشتم و وزیر را منشن كردم. صبح زود همان روز به من ریپلای دادند، بابت كاری كه كردم تشكر كردند و من را به معاون خودشان آقای جوانبخت ارجاع دادند. چند ساعت بعد آقای جوانبخت در دایركت توئیتر از من شماره تماس گرفت . البته مدیر امنیت مخابرات هم با من تماس گرفت اما هنوز موفق نشدیم به شكل كامل با هم صحبت كنیم».
وی تاكید كرد: از نظر من سازمان های خیلی حساس باید روالی برای تست سرورهای شان داشته باشند و این امكان را فراهم كنند تا اگر كسی باگی در سازمان های مهم كشف كرد بتواند آن را مطرح كند و هزینه ای در قبال این سرویس دریافت كند تا وسوسه نشود كه از اطلاعات به شكل دیگری استفاده كند. مانند چند سال قبل كه اطلاعات كاربران یكی از اپراتورها روی سایت رفت و حسابی سر و صدا كرد.

**یك معضل جهانی
مجتبی مصطفوی، كارشناس امنیت سایبری نیز در گفت و گو با خبرنگار ایرنا در خصوص این شكل افشاگری در تمام دنیا، گفت: در كشورهای دنیا یا حداقل در كشورهای پیشرفته، فرهنگی به نام «باگ باونتی» جا افتاده است. به این معنا كه شركتی به عنوان واسطه وارد میدان می شود و سازمان های مختلف كه احتمال وجود آسیب پذیری امنیتی یا نفوذ هكر در بدنه امنیتی شان می رود، در این شركت ثبت نام می كنند. از آن سمت هكرهای كلاه سفید یا بچه های امنیت كار كه با این شركت ها همكاری دارند شروع می كنند به پیدا كردن «باگ» یا بهتر بگویم پیدا كردن آسیب پذیری امنیتی آن سازمان. آن ها بعد از پیدا كردن آسیب پذیری، مبلغی را به عنوان جایزه دریافت می كنند تا برای ادامه فعالیت های خود انگیزه داشته باشند.
این كارشناس در خصوص وجود چنین امكانی در كشورمان گفت : ما در ایران چنین چیزی را به صورت قوی نداریم چون سازمان هایی كه مشتری اصلی آن هستند، از این سیستم استفاده نمی كنند. دلیل دیگری هم دارد. وقتی یك هكر كلاه سفید، باگی را شناسایی می كند كه می تواند اطلاعاتی را افشا كرده یا سرویسی را از كار بیندازد هیچ راه قانونی برای اعلام این مشكل وجود ندارد. از طرفی اگر بخواهد از مجرای قانونی اقدام كند معمولا با این تهدید رو به رو می شود كه «با چه اجازه ای چنین چیزی را چك كرده اید» و ممكن است كارشان به پلیس كشیده شود. در این شرایط برای كلاه سفیدها نه تنها جایزه ای در كار نیست، حتی ممكن است تنبیه هم بشوند.
وی در ادامه گفت: به دلایلی كه گفتم هكرهای كلاه سفید به اجبار و برای معیشت خودشان با كشورهای خارجی كار می كنند و آسیب پذیری سیستم های آن كشورها را برطرف می كنند. به این صورت است كه مشكلات در كشور خودمان باقی می ماند.
«اگر به هكرهای كلاه سفید بها ندهیم، در واقع ممكن است ناخودآگاه آن ها را به سمت سو استفاده از باگ ها سوق دهیم كه این كار به زیان خود ماست. همین آسیب پذیری امنیتی جدید را كه در یك اپراتور شناسایی شده است، در نظر بگیرید. این هكر سعی كرد آسیب پذیری را به مركز خودش اعلام كند، اما حتی موفق نشد با آن ها ارتباط بگیرد. در نهایت هم مجبور شد آن را در توئیتر اعلام كند تا شاید كسی مطلع شود. حالا فكرش را بكنید كه یك هكر كلاه سیاه قبل از آقای شاهین زاده، این آسیب پذیری را به دست آورده باشد؟ می دانید با اطلاعات 70 میلیون نفر چه كارهایی می توان انجام داد؟ در این باگ، اطلاعات تمامی خریداران سیم كارت آن اپراتور در دسترس است. این اطلاعات را هر هكری می تواند به دست بیاورد و از آن سو استفاده كند.»
مصطفوی یادآور شد: اساسا یكی از مشكلاتی كه هكرهای كلاه سفید با آن درگیر هستند، مشكل درآمدی است. آن ها كارشان این است اما نمی توانند از این طریق كسب درآمد كنند. اگر حسن نیت داشته باشند معمولا با شركت های خارجی كار می كنند و درآمدشان را از آن طریق به دست می آورند، اما ممكن است گاهی هكر به این فكر كند كه من آسیب پذیری امنیتی را پیدا كردم، سازمان مورد نظر هم كه آسیب پذیری را نمی پذیرد و بهتر است آن را به فروش برسانم. در كشور ما برای شناسایی یك آسیب پذیری بزرگ سطح بالا جایزه 200هزار تومانی مشخص می كنند، این مبلغ برای فردی كه بیش از یك هفته زمان برای كشف آسیب پذیری گذاشته، واقعا شبیه شوخی است.
به گفته این كارشناس، در كشورهای دیگر برای یك آسیب پذیری با سطح مخاطره بالا به راحتی مبلغی معادل هزار دلار و برای آسیب پذیری مهم تر و بزرگ تر تا 10/20هزار دلار نیز جایزه تعیین می كنند. زمانی فاجعه رخ می دهد كه یك كلاه سفید نا امید از همه جا، از باگی كه كشف كرده، بدترین استفاده را كند و مثلا اطلاعات شخصی میلیون ها نفر را لو دهد.
حركت های «باگ باونتی» حدود دو سال قبل در كشور ما آغاز شد. مصطفوی در این باره گفت: معتبرترین كاری كه در این خصوص انجام شد، تشكیل سامانه كلاه سفید در مركز آپا در دانشگاه امیركبیر است. البته تا جایی كه اطلاع دارم استقبال خوبی از آن صورت نگرفته است.البته برخی نهادهای دولتی نیز در حوزه كشف آسیب پذیری ها فعالیت می كنند، از جمله «مركز ماهر» در سازمان فناوری اطلاعات ایران مشغول رسیدگی به امور این چنینی است. این نهادها به شكل جداگانه از یكدیگر كار می كنند و یكپارچه شدن شان می تواند كمك بزرگی در این عرصه باشد.

**وزیر یك نفر است
وزیر جوان ارتباطات تاكنون واكنش های خوبی نسبت به این مسائل نشان داده است. این اعتقاد مصطفوی است و درباره اش می گوید: «چند بار این اتفاق رخ داده و وزیر معمولا از فردی كه آسیب پذیری امنیتی را افشا كرده تشكر كرده است. این كار بسیار خوب و ناشی از درك بالای ایشان است اما كافی نیست. كاری كه كلاه سفیدها انجام می دهند تفریح نیست، آن ها باید بتوانند كارشان را به عنوان یك شغل ادامه دهند و از این راه درآمد كسب كنند.
وی با بیان این كه آسیب پذیر بودن امنیت و به مخاطره افتادن آن، به قدری خطرناك است كه می تواند باعث قطعی برق كل كشور شود و می تواند یك پالایشگاه را از كار بیندازد، افزود: باید این فرهنگ را جا بیندازیم كه امنیت كالای لوكسی نیست كه در گوشه ای پنهان كنیم.
افشای رخنه های امنیتی در سازمان ها، اتفاقی نیست كه شاهد موارد تعددی از ان باشیم. عدم انتشار این واقعیت ها نیز دلایل مربوط به خودش را دارد. مصطفوی در این خصوص گفت: اولین دلیل اعلام نكردن آسیب پذیری امنیتی این است كه مسئولان فكر می كنند با اعلام این خبر، اعتبار سازمان شان زیر سوال می رود. كارشناسان مجموعه نیز همین حس را دارند، فكر می كنند با اعلام این خبر، خود را بی اعتبار می كنند. به همین دلیل است كه هر كاری می كنند تا آسیب پذیری امنیتی شان افشا نشوند.
گزارش از میترا شكری
علمی*م.ش*2017