عوامل مشوق محققان امنیتی برای شرکت در برنامه های باگ بانتی

چگونه محققان امنیتی را به سمت شرکت در برنامه های باگ بانتی سوق دهیم؟

همانطورکه سایر پژوهش هایی که درباره محققان امنیتی نیزعیان کرده بود، هیچ انگیزه و اخلاق ثابتی وجود ندارد که بتوان به محققان امنیتی یا کل کارهای امنیتی ربط داد. محققان امنیتی یک جامعه واحد قابل شناسایی نیستند، بلکه ترکیبی از گروه های کوچک و بزرگ مرتبط ومتداخلی که درعین حال متمایز و مستقل هستند.

برای گردآوری این مقاله با محققان امنیتی تمام وقت گرفته تا محققان امنیتی که جدیدا در برنامه های باگ بانتی شرکت می‌کنند و همچنین افرادی که مابین این دو گروه قرار دارند، صحبت کردیم. اکثر مصاحبه شوندگان اذعان داشتند که نوع مشارکت آن ها در برنامه های باگ بانتی در زمان های مختلف متفاوت بوده است : این افراد با توجه به معیارهای خودشان در برخی از برنامه ها به صورت تمام وقت یا پاره وقت کار می‌کنند، و یا در سایر برنامه ها به صورت تفریحی شرکت می‌کنند. جس کینسر از کار خود به عنوان “پول سرگرم کننده” یاد می‌کند، و درادامه می‌گوید “درآمد کار تمام وقتم برای پرداخت قبض ها و روشن نگه داشتن چراغ های خانه ام کافیست، اما پولی که از باگ بانتی درمی‌آوردم را برای خرید چیزهای جالب خرج می‌کنم. من با این پول کامپیوتر جدید خریدم. یا مثلا با پول پاداش بانتی برای خرید تسلا پیش قسط پرداخت کردم، آره همونطور که گفتم این پول صرف سرگرمی هام می‌کنم.”

باگ بانتی به عنوان منبع درآمد یا منبع اعتبار

بااین حال باگ بانتی برای بیشتر افراد یک منبع درآمد لاکچری و اضافه نیست، بلکه باگ بانتی منبع درآمد اصلی آن هاست و یک فرصت شغلی مهم برای آن ها به حساب می‌آید. درواقع بیشتر محققان امنیتی که با آن ها مصاحبه شده بود بیشتر روی ساختن اعتبار تاکید داشتند و به باگ بانتی به عنوان یک فرصت ساز شغلی نگاه می‌کردند. عده ای دیگر برنامه های باگ بانتی را به عنوان یک سکوی پرتاب برای شروع بکاردر یک شغل مرتبط با امنیت اطلاعات یا سایر زمینه های مرتبط با آن می دانند که از طریق آن می توانند هم پولی بدست بیاورند و هم قبل ازاینکه یک شغل غیرپاداشی مثل انجام دادن کارهای امنیتی داخلی یک شرکت یا انجام مشاوره های امنیتی، بدست بیاورند شبکه انسانی مناسب با کارشان را دراین برنامه ها بسازند. یکی از محققان امنیتی که با او مصاحبه شده است، باگ بانتی را به چشم یک راه برای “شناخته شدن” در میان جمعیت انبوه محققان امنیتی می‌دید. این محقق امنیتی که در هند کار کرده بود، مشاهده کرده بود که انجام دادن کار تمام وقت در فضای به شدت رقابتی هند بسیار سخت بود. شناخته شدن در این جمعیت انبوه بسیار سخت بود. ازاین رو، برنامه های باگ بانتی برای این فرد یک فرصت طلایی بود تا رزومه کاری او مورد توجه قرار بگیرد.

این ویژگی سکوی پرتاب بودن باگ بانتی در مشاغل امنیتی داده‌ای، تاحدودی الهام‌بخش Rohit Guatam  و Shifa Cyclewala برای خلق Hackfy Security  در سال 2016 شد. هکی‌فای یک موسسه آموزشی است که در شهر بمبئی هند قرار دارد و برای محققان امنیتی که علاقمند به یادگیری هرچه بیشتر هستند، دوره های آموزشی کاربردی شکار جایزه آسیب پذیری برگزار می‌کند. گواتام قبل از پایه‌گذاری هکی‌فای به عنوان تحلیلگر امنیت کار می‌کرد که در ادامه به عنوان مشاور امنیتی به ارزیابی آسیب پذیری ها و تست های نفوذ انجام شده پرداخت. بااین حال او ارزش و مزایای زیادی در برنامه های باگ بانتی مشاهده کرد. از نظر گواتام شرکت در برنامه های باگ بانتی پراهمیت ترین قسمت پیشرفت حرفه ای او است. این مشارکت به او اجازه داد تا مهارت هایی که به او در پیشرفت شغلی اش مفید بود را تقویت کند. در هکی‌فای ابزارها و روش های رایج مورد استفاده در کشف آسیب پذیری وب اپلیکیشن ها را معرفی می‌کند و آموزش می‌دهد. این مرکز آموزشی روی جنبه های غیرفنی برنامه های باگ بانتی هم تمرکز دارد و به دانشجویان علاقه‌مند در نوشتن گزارش های باگ فنی و حرفه ای یاری می‌رساند. این حرکت پیشگامانه، بخشی از یک صنعتی است که به سرعت درحال گسترش است و به افراد مشتاق ورود به امنیت سایبری هستند آموزش داده و گواهینامه های معتبر ارائه می‌دهند. گواتام و سایکلوا برنامه های باگ بانتی را هدف دانشجویان خود نمی بینند، بلکه آن را نقطه شروع آن ها می‌دانند. ورود به دنیای کاری واقعی و کسب تجربیات عملی در ثبت گزارش های باگ به دانشجویان هکی‌فای کمک می‌کند تا به صورت تمام وقت موقعیت خودشان را در زمینه امنیت کامپیوتر تثبیت کنند.

حل معماها در باگ بانتی

ازطرف دیگر برخی از افراد شاغل دراین زمینه اذعان داشتند که عامل مشوق آن ها منابع غیر پولی بوده است که باعث شده تا به سوی باگ بانتی کشیده شوند، و اینکه گاها مسائل مالی چگونه دربرابر سختی ها یا علایق فنی آن ها قرار می‌گیرند، صحبت کردند. برخی دیگراعمال نفوذ امنیتی را به چشم یک چالش فکری می‌بینند، معمایی که باید حل شود. محقق امنیتی Amat Cama درپاسخ به این سوال که چرا در برنامه های باگ بانتی شرکت می‌کنند، گفت : “بحث سر ارضای فکری است، می دانید چه می‌گویم؟!اینکه یک باگ کشف کنید، و از برنامه بهره‌برداری کنید و کاری غیر از کاری که برنامه برای آن ساخته شده‌است با آن انجام دهید. جنبه حل معمای این کار، واقعا رضایت بخش است “. برای محقق امنیتی دیگری نیز مشارکت در برنامه های باگ بانتی به او اجازه داد تا فنون نفوذ امنیتی خود را در “محیط دنیای واقعی” تقویت کند. “او با مشارکت در دراین برنامه ها مهارت های خود را تقویت کرد و همچنین درحین کار مهارت های بسیار دیگری را نیز یادگرفت”.

سایر افراد نیز شرکت در کارهای امنیتی را هیجان‌انگیز و پرشور و شعف می‌دانند. جک کابل که یک محقق امنیتی و دانشجوی کالج است می‌گوید: “فکر می‌کنم چیزی که در ابتدا من را تشویق به انجام این کار کرد، چالش ها و هیجان کشف آسیب‌پذیری ها بود” . کابل یک خاطره هیجان انگیز از کشف یک نقص بسیار جدی را به‌یاد می‌آورد: “در ابتدا این هیجان کار بود که مرا وادار به انجام دادن آن کرد، نه پول زیاد، چراکه این مساله برای من بسیار جالب بود که مردم درقبال انجام دادن چنین کار پول پرداخت می‌کردند، و این واقعا بسیار جالب و هیجان انگیز بود”. اما فقط هیجان نیست که افراد را به سمت چنین کارهایی سوق می‌دهد. محققان امنیتی زیادی وجود دارند که این کار به چشم یک مشارکت اجتماعی ارزشمند می‌بینند.  یکی از محققان امنیتی توضیح داد که :”کاری که شما در برنامه باگ بانتی انجام می‌دهید یک کار مفید است”. آلیسا هررا، یک محقق امنیتی دیگر نیز درباره حس رضایت کاری که برای حفاظت از اطلاعات حساس خیل عظیمی از مردم انجام می‌دهد می‌گوید. مشوق او برای انجام کار باگ بانتی ” کمک هرچه بیشتر به حفاظت از اطلاعات کاربران و کمک هرچه بیشتر در استانداردسازی امنیت “است.

محققان امنیتی انسان دوست برنامه های باگ بانتی

و درنهایت افرادی هستند که انجام دادن کار باگ بانتی را از این جهت ارزشمند می دانند که به آن ها حس بودن در یک کامیونیتی، حس تعلق خاطر و شناخته شده بودن در یک جامعه کوچک و گاها در جوامع بزرگتر را می‌دهد. یکی از این محققان امنیتی می‌گوید: “می دانید، در پایان روز و در آخر کار عامل مهمی که به چشم من می‌آید، شبکه سازی انسانی است که در طی یک برنامه برای خودم ساخته ام‌، و خب این به خودی خود کار کوچکی نیست، من می خواهم مردم با مردم در ارتباط باشم و آن ها مرا بشناسندیدآ”. بسیاری از افرادی که در این مقاله با آن‌ها گفتگو شده است، از بلاگ ها یا رسانه های اجتماعی برای به اشتراک گذاشتن کارهای باگ بانتی خود استفاده کرده بودند. هدف یک محقق امنیتیِ از راه اندازی بلاگ، انتشار دانش و اطلاعات در فضای اینترنت است که به او کمک می‌کند تا معروف شود و از این طریق به افراد مشتاق یادگیری نیز کمک کرده است.

جمع بندی

عوامل زیادی وجود دارد که باعث ترغیب محققان امنیتی به مشارکت در برنامه های باگ بانتی است. برخی باگ بانتی را به عنوان یک کار جانبی در کنار شغل اصلی خودشان می‌بینند، برخی دیگر آن را به عنوان کار تمام وقت خودشان انتخاب کرده‌اند. برای برخی از محققان امنیتی پول عامل مشوق است و برای برخی دیگر، اعتبار و شهرت. برخی از افراد به باگ بانتی به عنوان راهی برای ملحق شدن به کامیونیتی و شرکت در کارهای چالش‌برانگیز ، پرمعنا و فکری و مهیج نگاه می‌کنند. گاها ترکیبی از این عوامل انگیزه دهنده، احساسات محقق امنیتی را برای ارزشمند دانستن کاری که انجام می‌دهد، تحت تاثیر قرار می‌دهد. از این رو محققان امنیتی که در برنامه های باگ بانتی شرکت می‌کنند با سایرشرکت کنندگان که جمعیت کارکنان پروژه های متن باز و آزاد (F/OSS) بزرگ  یا سایر پروژه های جمع سپاری شده را تشکیل می‌دهند، قابل مقایسه نیستند، آن ها افرادی با تجارب، انتظارات و انگیزه های بسیار متفاوتی هستند. سازمان هایی که برنامه های باگ بانتی برگزار می‌کنند، روی این مجموعه انسانی متنوع سرمایه گذاری می‌کنند، برای کشف باگ، دریافت پاداش و اعتبار، محققان امنیتی مختلف را در رقابت در مقابل هم قرار می‌دهند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *