0

هکرهای کلاه سفید به سراغ ایرانسل و ارتباط فردا رفتند

دسته بندی ها : امنیت اطلاعات 6 مرداد 1399 کارشناس سایبرلا 418 بازدید
امنیت اطلاعات, افتا, امنیت شبکه

موضوع امنیت دستگاه‌ها و سازمان‌های مختلف این روزها با توجه به اخباری که از نفوذ به سایت های مختلف دولتی و غیر دولتی به گوش می‌رسد هر روز داغ‌تر می‌شود. اخبار مربوط به نفوذ به سایت‌های مختلف از یک سو و اخبار مربوط به فروش اطلاعات کاربران سایت‌های مختلف در شبکه‌های اجتماعی توسط هکرها از سوی دیگر موجب شده تا اهمیت حفظ امنیت سایت‌ها و سامانه‌های مختلف بیش از پیش احساس شود. در شرایطی که مسئولان سایت‌ها و سامانه‌های مختلف ترجیح می‌دهند که در سکوت کامل موضوع مربوط به امنیت اطلاعات خود را پیش برند، شرکت امنیتی باگدشت یکی از شرکت‌های فعال در حوزه باگ‌بانتی اقدام به برگزاری مسابقه یافتن باگ های امنیتی CTB (Capture The Bug) سایت‌ها و سامانه‌های مختلف کرده است. مدیرعامل این شرکت معتقد است برگزاری چنین مسابقه‌هایی و حضور سازمان‌ها و شرکت‌های مختلف در آن می‌تواند موجب افزایش سطح امنیت عمومی سامانه و سایت‌های مختلف شود.

شرکت‌های فعال در حوزه باگ‌بانتی با شناسایی باگ های امنیتی شرکت‌ها و سامانه‌ها توسط کارشناسان امنیتی‌اشان یا هکرهای کلاه‌سفید و اطلاع آن باگ‌ها به سازمان‌ها و سامانه‌های مختلف موجب افزایش سطح ایمنی سایت‌ها و سامانه‌های مختلف می‌شوند.

رویا دهبسته، مدیرعامل باگدشت در خصوص برگزاری مسابقه CTB یا مسابقه یافتن باگ امنیتی که دوم مرداد ماه برگزار شد گفت: «در این رویداد که به صورت مجازی از ۹ صبح تا ۸ شب ادامه داشت ۵۰ نفر از متخصصان امنیتی سراسر کشور دو شرکت ایرانسل و ارتباط فردا را به عنوان دو شرکتی که تحت ارزیابی امنیتی قرار می‌گرفتند را ارزیابی کردند.»

رویا دهبسته در خصوص اینکه چرا فقط دو شرکت را در ارزیابی امنیتی شرکت داده‌اند گفت: «رویکرد نوین و مزیت‌های موضوع باگ‌بانتی هنوز به صورت کامل برای تمامی شرکت‌ها و سازمان‌ها شناخته شده نیست و سازمان‌ها باید دارای بلوغ امنیتی نسبی برای شرکت در باگ بانتی باشند. بسیاری از شرکت‌ها از اینکه نامشان در لیستی قرار بگیرد که اعلام آمادگی کرده‌اند تا مورد ارزیابی امنیتی توسط تعداد بالایی از متخصصین امنیتی قرار بگیرند، می‌هراسند چرا که این تصور وجود دارد که در آینده شاید هکرهای بیشتری برای نفوذ به سایت‌ها یا سامانه‌های آنان تلاش کنند، در صورتیکه با توجه به رخدادهای نشت اطلاعات اخیر می‌توان به سادگی مشاهده کرد که در حال حاضر سازمان‌ها توسط مهاجمین در حال بررسی و سواستفاده هستند و باگ بانتی می‌تواند به سازمان کمک کند تا سریع‌تر به مشکل امنیتی خود آگاه شوند و در جهت رفع آن اقدام کنند.»

او با اشاره به اینکه در گذشته این روش از سوی پلیس فتا و مرکز افتای ریاست جمهوری شناخته شده نبود و باگ بانتی را به رسمیت نمی‌شناختند گفت: «اما طی یک سال گذشته باتوجه به اینکه مشخص شده هکرهای کلاه سفید نه تنها موجب افزایش پرونده‌های قضایی نمی‌شوند بلکه به آنان برای کاهش پرونده‌ها کمک می‌کنند نگاه مثبتی نسبت به این فرایند ایجاد شده است به همین خاطر حتی برای اولین بار پلیس فتا و معاونت نوآوری ریاست جمهوری نیز به عنوان حامیان این مسابقه، در CTB حضور داشتند و همچنین مرکز افتای ریاست جمهوری همکاری مناسبی در به رسمیت شناخته شدن این فرآیند در کشور کرده است.»

دهبسته با تاکید بر اینکه در دنیا این فرایند بسیار شناخته شده است گفت: «بسیاری از اپراتورهای بزرگ جهان به صورت مستمر با شرکت‌های باگ‌بانتی قرارداد همکاری دارند و مورد ارزیابی هکرهای کلاه سفید قرار می گیرند Verizon، AT&T و MTN از جمله این اپراتورها هستند که از سوی هکروان که یک شرکت باگ‌بانتی بین‌المللی است به صورت مرتب مورد ارزیابی امنیتی قرار می‌گیرند.»

او افزود: «همچنین بسیاری از شرکت‌های پرداختی بین‌المللی همچون PayPal، MasterCard، Coin Base و غیره نیز درهمین فرایند قرار دارند و به صورت مرتب از سوی شرکت‌های باگ بانتی مورد تست و ارزیابی قرار می‌گیرند.»

دهبسته تاکید کرد که ارزیابی‌های صورت گرفته از سوی شرکت های باگ بانتی در اصل تکمیل کننده فرایند کاری تیم‌های امنیتی شرکت‌هاست؛ بسیاری از شرکت‌ها با این تصور که خودشان تیم امنیتی در اختیار دارند و دیگر نیازی به سرویس‌دهی این شرکت‌ها نیست از پذیرفتن سرویس آنها امتناع می‌کنند اما واقعیت این است که تیم‌های باگ‌بانتی به دلیل تعدد خلاقیت و نوع نگاه متخصصان خود، به بخش‌هایی برخورد می‌کنند که از چشم تیم‌های امنیتی شرکت‌ها دور مانده باشد.

او با اشاره به نتیجه مسابقه‌ای که از سوی این شرکت برگزار شده بود گفت: «با توجه به اینکه زمان رویداد بسیار کوتاه بود این احتمال وجود داشت که باگی از سوی کارشناسان امنیتی ما یافت نشود اما پس از پایان روز و پایان مدت مسابقه باگهای امنیتی مناسبی از سوی کارشناسان شناسایی شد.»

مدیرعامل شرکت باگدشت تاکید کرد که اکثر قراردادهایی که برای یافتن باگ‌های امنیتی منعقد می‌شود حداقل دوره‌های ۳ ماهه دارند در این دوره زمانی مدیران سازمان‌ها و شرکت‌ها به پنلی دسترسی دارند و کارشناسان امنیتی یا هکرهای کلاه سفید فعال نیز با یافتن باگ‌های امنیتی آن باگ‌ها را به اطلاع مدیران سامانه‌ها می‌رسانند تا آنان در جهت رفع آن اقدام کنند و در نتیجه سازمان و متخصص امنیتی بدون حواشی حقوقی و قضایی روی محتوای فنی گزارشات باگ متمرکز شده و سازمان را برای ارتقا سطح امنیتی یاری می‌دهیم.

منبع: پیوست

عباسی - کارشناس سایبرلا
کارشناس سایبرلا

سلام. من عباسی هستم! یکی از همکاران بخش تولید محتوای سایبرلا. علاقمند به حوزه حقوق فناوری اطلاعات هستم و علاوه بر فعالیت در حوزه مسائل حقوقی, به مباحث حوزه امنیت اطلاعات و فناوری های نوین هم علاقه دارم.

برای مشاهده مطالب سایت از طریق کانال تلگرام می توانید عضو کانال سایبرلا شوید! عضویت در کانال تلگرام

مطالب زیر را حتما بخوانید:

قوانین ارسال دیدگاه در سایت

چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد. چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد. چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد. چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد. چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    15 − 3 =

    لینک کوتاه :

    عضویت در خبرنامه ویژه مشتریان سیگما پلاس

    با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!