آفتابنیوز : اساسا هکر کلاه سفید به متخصص امنیت کامپیوتر گفته می شود که به منظور تست و ارزیابی امنیت یک شبکه و سیستم محافظت شده تلاش در هک آن می کند. این نوع هکرها از مهارت های خود برای برقراری بیشتر امنیت و مبارزه با هکرهای کلاه سیاه استفاده می کند. هدف آن ها حفظ امنیت است.
شاهین زاده جوان 29 ساله ای است که در رشته مهندسی اپتیک و لیزر تحصیل کرده است و در توئیتر خود، یک آسیب پذیری امنیتی را با رونوشت به وزیر ارتباطات افشا کرد: « شرکت مخابرات ایران، مثل بسیاری از سازمان های دیگر آسیب پذیر بوده و استخراج اطلاعات میلیون ها کاربر به راحتی امکان پذیر است. شما با این کد وریفای کن ....» و ادامه ماجرا. وزیر ارتباطات دقایقی بعد برای او نوشت: «تلاش شما برای ارتقای سطح امنیت خدمات قابل تقدیره. برای رسیدگی به این گزارش با شما تماس خواهند گرفت.»
**باگ را رایگان نمی دهند
این سرآغاز افشای باگی بود که در سیستم مخابرات کشف شد. شاهین زاده در گفت و گو با خبرنگار گروه علمی ایرنا درباره کشف حفره های امنیتی گفت: زمانی که باگی در سیستم های مختلف کشف می شود، ما سعی می کنیم با مسئولان مربوطه ارتباط بگیریم تا باگ را رفع کنند. در خارج از کشور به ازای کشف باگ، سازوکاری برای پاداش به هکر وجود دارد. اما در کشور ما چنین امکانی نیست و به همین دلیل هکر کلاه سفید باید موضوع را از طریق شبکههای اجتماعی به گوش مسئولین برساند. هر چند سازمان ها معمولا برخورد مناسبی ندارند و بیشتر تمایل دارند که باگ به شکل رایگان به آن ها داده شود. در حالی که در سیستم شان بودجه قابل توجهی برای این مسئله در نظر گرفته شده است.
وی با این توضیحات ادامه داد: حدود یک ماه قبل در یکی از سرورهای اصلی یکی از اپراتورها یک آسیب پذیری جدی پیدا کردم. از طریق این سرویس کل شبکه مشخص بود. این آسیب پذیری70 میلیون رکورد داشت و راهی بود به کل شبکه آن اپراتور. من به واسطه یکی از دوستانم با مرکز ماهر ارتباط برقرار کردم. با این مرکز، یک جلسه حضوری گذاشتیم و شواهدی ارائه دادم تا ادعایم را ثابت کنم. آن ها قانع شدند، با آن اپراتور تماس گرفتند و یک جلسه با مدیران آن ترتیب دادند. البته اپراتور جلسه را لغو کرد و تا الان هم خبری از آن ها نیست. تا جایی که من می دانم و پیگیری کردم، مرکز ماهر نامه ای به سازمان تنظیم مقررات زده تا آن ها را جریمه کند.
**آسیب پذیری خطرناک
شاهین زاده که 13سال در این زمینه مشغول فعالیت است، درباره توئیتی که نوشت و نتیجه ای که افشای این باگ داشت، گفت: قصد خرید یک سرویس اینترنتی را داشتم. در کنار فرایند خرید سرویس مشغول نگاه کردن به بخشی از قسمت های سایت شدم و فهمیدم آن ها یک آسیب پذیری خطرناک دارند که در عرض نیم ساعت اجازه نفوذ به سرور را می دهد. به واقع، بیشتر از این عصبانی شدم که دیدم اطلاعات من هم مانند خیلی های دیگر در دسترس است و متوجه شدم چه سو استفاده های زیادی از این اطلاعات می توان انجام داد.
«بعد از آن یک توئیت درباره تمام باگ هایی که در این مدت از دو اپراتور و مخابرات به دست آورده بودم ، با سندی (دو رقم آخر پسوورد سرور) که ثابت می کرد حرف های من درست است، نوشتم و وزیر را منشن کردم. صبح زود همان روز به من ریپلای دادند، بابت کاری که کردم تشکر کردند و من را به معاون خودشان آقای جوانبخت ارجاع دادند. چند ساعت بعد آقای جوانبخت در دایرکت توئیتر از من شماره تماس گرفت . البته مدیر امنیت مخابرات هم با من تماس گرفت اما هنوز موفق نشدیم به شکل کامل با هم صحبت کنیم».
وی تاکید کرد: از نظر من سازمان های خیلی حساس باید روالی برای تست سرورهای شان داشته باشند و این امکان را فراهم کنند تا اگر کسی باگی در سازمان های مهم کشف کرد بتواند آن را مطرح کند و هزینه ای در قبال این سرویس دریافت کند تا وسوسه نشود که از اطلاعات به شکل دیگری استفاده کند. مانند چند سال قبل که اطلاعات کاربران یکی از اپراتورها روی سایت رفت و حسابی سر و صدا کرد.
**یک معضل جهانی
مجتبی مصطفوی، کارشناس امنیت سایبری نیز در گفت و گو با ایرنا در خصوص این شکل افشاگری در تمام دنیا، گفت: در کشورهای دنیا یا حداقل در کشورهای پیشرفته، فرهنگی به نام «باگ باونتی» جا افتاده است. به این معنا که شرکتی به عنوان واسطه وارد میدان می شود و سازمان های مختلف که احتمال وجود آسیب پذیری امنیتی یا نفوذ هکر در بدنه امنیتی شان می رود، در این شرکت ثبت نام می کنند. از آن سمت هکرهای کلاه سفید یا بچه های امنیت کار که با این شرکت ها همکاری دارند شروع می کنند به پیدا کردن «باگ» یا بهتر بگویم پیدا کردن آسیب پذیری امنیتی آن سازمان. آن ها بعد از پیدا کردن آسیب پذیری، مبلغی را به عنوان جایزه دریافت می کنند تا برای ادامه فعالیت های خود انگیزه داشته باشند.
این کارشناس در خصوص وجود چنین امکانی در کشورمان گفت : ما در ایران چنین چیزی را به صورت قوی نداریم چون سازمان هایی که مشتری اصلی آن هستند، از این سیستم استفاده نمی کنند. دلیل دیگری هم دارد. وقتی یک هکر کلاه سفید، باگی را شناسایی می کند که می تواند اطلاعاتی را افشا کرده یا سرویسی را از کار بیندازد هیچ راه قانونی برای اعلام این مشکل وجود ندارد. از طرفی اگر بخواهد از مجرای قانونی اقدام کند معمولا با این تهدید رو به رو می شود که «با چه اجازه ای چنین چیزی را چک کرده اید» و ممکن است کارشان به پلیس کشیده شود. در این شرایط برای کلاه سفیدها نه تنها جایزه ای در کار نیست، حتی ممکن است تنبیه هم بشوند.
وی در ادامه گفت: به دلایلی که گفتم هکرهای کلاه سفید به اجبار و برای معیشت خودشان با کشورهای خارجی کار می کنند و آسیب پذیری سیستم های آن کشورها را برطرف می کنند. به این صورت است که مشکلات در کشور خودمان باقی می ماند.
«اگر به هکرهای کلاه سفید بها ندهیم، در واقع ممکن است ناخودآگاه آن ها را به سمت سو استفاده از باگ ها سوق دهیم که این کار به زیان خود ماست. همین آسیب پذیری امنیتی جدید را که در یک اپراتور شناسایی شده است، در نظر بگیرید. این هکر سعی کرد آسیب پذیری را به مرکز خودش اعلام کند، اما حتی موفق نشد با آن ها ارتباط بگیرد. در نهایت هم مجبور شد آن را در توئیتر اعلام کند تا شاید کسی مطلع شود. حالا فکرش را بکنید که یک هکر کلاه سیاه قبل از آقای شاهین زاده، این آسیب پذیری را به دست آورده باشد؟ می دانید با اطلاعات 70 میلیون نفر چه کارهایی می توان انجام داد؟ در این باگ، اطلاعات تمامی خریداران سیم کارت آن اپراتور در دسترس است. این اطلاعات را هر هکری می تواند به دست بیاورد و از آن سو استفاده کند.»
مصطفوی یادآور شد: اساسا یکی از مشکلاتی که هکرهای کلاه سفید با آن درگیر هستند، مشکل درآمدی است. آن ها کارشان این است اما نمی توانند از این طریق کسب درآمد کنند. اگر حسن نیت داشته باشند معمولا با شرکت های خارجی کار می کنند و درآمدشان را از آن طریق به دست می آورند، اما ممکن است گاهی هکر به این فکر کند که من آسیب پذیری امنیتی را پیدا کردم، سازمان مورد نظر هم که آسیب پذیری را نمی پذیرد و بهتر است آن را به فروش برسانم. در کشور ما برای شناسایی یک آسیب پذیری بزرگ سطح بالا جایزه 200هزار تومانی مشخص می کنند، این مبلغ برای فردی که بیش از یک هفته زمان برای کشف آسیب پذیری گذاشته، واقعا شبیه شوخی است.
به گفته این کارشناس، در کشورهای دیگر برای یک آسیب پذیری با سطح مخاطره بالا به راحتی مبلغی معادل هزار دلار و برای آسیب پذیری مهم تر و بزرگ تر تا 10/20هزار دلار نیز جایزه تعیین می کنند. زمانی فاجعه رخ می دهد که یک کلاه سفید نا امید از همه جا، از باگی که کشف کرده، بدترین استفاده را کند و مثلا اطلاعات شخصی میلیون ها نفر را لو دهد.
حرکت های «باگ باونتی» حدود دو سال قبل در کشور ما آغاز شد. مصطفوی در این باره گفت: معتبرترین کاری که در این خصوص انجام شد، تشکیل سامانه کلاه سفید در مرکز آپا در دانشگاه امیرکبیر است. البته تا جایی که اطلاع دارم استقبال خوبی از آن صورت نگرفته است.البته برخی نهادهای دولتی نیز در حوزه کشف آسیب پذیری ها فعالیت می کنند، از جمله «مرکز ماهر» در سازمان فناوری اطلاعات ایران مشغول رسیدگی به امور این چنینی است. این نهادها به شکل جداگانه از یکدیگر کار می کنند و یکپارچه شدن شان می تواند کمک بزرگی در این عرصه باشد.
**وزیر یک نفر است
وزیر جوان ارتباطات تاکنون واکنش های خوبی نسبت به این مسائل نشان داده است. این اعتقاد مصطفوی است و درباره اش می گوید: «چند بار این اتفاق رخ داده و وزیر معمولا از فردی که آسیب پذیری امنیتی را افشا کرده تشکر کرده است. این کار بسیار خوب و ناشی از درک بالای ایشان است اما کافی نیست. کاری که کلاه سفیدها انجام می دهند تفریح نیست، آن ها باید بتوانند کارشان را به عنوان یک شغل ادامه دهند و از این راه درآمد کسب کنند.
وی با بیان این که آسیب پذیر بودن امنیت و به مخاطره افتادن آن، به قدری خطرناک است که می تواند باعث قطعی برق کل کشور شود و می تواند یک پالایشگاه را از کار بیندازد، افزود: باید این فرهنگ را جا بیندازیم که امنیت کالای لوکسی نیست که در گوشه ای پنهان کنیم.
افشای رخنه های امنیتی در سازمان ها، اتفاقی نیست که شاهد موارد تعددی از ان باشیم. عدم انتشار این واقعیت ها نیز دلایل مربوط به خودش را دارد. مصطفوی در این خصوص گفت: اولین دلیل اعلام نکردن آسیب پذیری امنیتی این است که مسئولان فکر می کنند با اعلام این خبر، اعتبار سازمان شان زیر سوال می رود. کارشناسان مجموعه نیز همین حس را دارند، فکر می کنند با اعلام این خبر، خود را بی اعتبار می کنند. به همین دلیل است که هر کاری می کنند تا آسیب پذیری امنیتی شان افشا نشوند.