فرق بین برنامه باگ بانتی مرسوم و برنامه های بانتی رمزگذاری شده (Crypto)

فرق بین برنامه باگ بانتی مرسوم و برنامه های بانتی رمزگذاری شده (Crypto)

برنامه باگ بانتی مرسوم و برنامه های رمزگزاری شده (Crypto)

هربرنامه باگ بانتی متشکل از گروهی از برنامه نویسان اخلاقی است که در تقویت امنیت پلتفرم ها و تشخیص آسیب پذیری ها قبل ازاینکه به دست افراد مجرم بهره برداری شوند، کار می‌کنند.

خلاصه

امروزه تکنولوژی به یک بخش اساسی در زندگی ما تبدیل شده است، و دراین میان اطلاعات شخصی ما به یک دارایی بسیار ارزشمند تبدیل شده است که شرکت های مختلفی به دنبال این هستند که درمورد مشتری های خود اطلاعات زیادی بدست آورند. متاسفانه این اطلاعات هدف اصلی مجرمان سایبری هستند که از این اطلاعات برای اهداف و کارهای مجرمانه خود سواستفاده می‌کنند. برای اینکه همیشه یک قدم جلوتر از این هکرهای کلاه سیاه باشیم بایستی درزمینه امنیت سایبری به میزان قابل توجهی سرمایه گذاری کنیم، که برنامه باگ بانتی درنوع خود کمک بسیار زیادی می‌کنند. برنامه های باگ بانتی مرسوم اغلب از یک مدل جمع سپاری که از هکرهای کلاه سفید یا توسعه دهندگانی که به‌طور پیشگیرانه آسیب پذیری های پلتفرم ها را آزمایش می‌کنند، تشکیل می‌شوند. برنامه های بانتی کریپتو هم براین اساس برگزار می‌شوند، بااین تفاوت که دراین برنامه ها از تکنولوژی بلاگ چین به منظور گسترش دسترسی برنامه، خودکارسازی پرداخت ها، ایجاد علایق بیشتر و حتی انتشار سکه ها و توکن های محلی استفاده می‌شود.

برنامه باگ بانتی هانتینگ یا شکار جایزه آسیب پذیری چیست؟

باتوجه به اینکه تکنولوژی های نوین به یکی از ملزومات زندگی روزمره ما تبدیل شده‌اند، خطرات این تکنولوژی ها همراه با رشد سریع این موارد نیز در حال رشد است. با تسریع جمع‌آوری اطلاعات شخصی، سرورهای مرکزی و مخازن ذخیره اطلاعات به هدف اصلی مجرمان سایبری تبدیل شده‌اند. به صورتیکه ماهانه، شرکت های بزرگ و سازمانهای دولتی بسیاری از مورد بهره برداری قرار گرفتن اطلاعات شخصی شان خبر می‌دهند.

درپاسخ به این نگرانی‌ها، امنیت اطلاعات بایستی درمرکز توجه فرایندهای کسب و کاری قرار بگیرد،  واینجا دقیقا جاییست که برنامه های باگ بانتی وارد میدان می‌شوند. این برنامه ها باهدف به کارگیری استعدادهای هکرهای کلاه سفید که به صورت اخلاقی به افزایش امنیت پلتفرم ها کمک می‌کند به وجود امده‌اند. این افراد در نقطه مقابل هکرهای کلاه سیاه که هدفشان بهره برداری از آسیب‌پذیری هاست قرار دارند.

علی‌رغم بار منفی واژه “هکر”، اکثر شرکت ها با مزایای همکاری با هکرهای کلاه سفید آَشنا شده‌اند. این افراد ماهر و مستعد درکشف ضعف های بالقوه و تهدیدات امنیتی منابع انسانی بسیار ارزشمندی هستند. تحرک اکوسیستم امنیت سایبری پیچیده نوین بسیار سریع است، که باعث شده تا برنامه های باگ بانتی (BBPs) اهمیت بیشتری نسبت به قبل پیدا کنند.

برنامه های باگ بانتی مرسوم

اگرچه شرکت های زیادی از برنامه های باگ بانتی داخل سازمانی استفاده می‌کنند، پلتفرمهای امنیتی جمع سپاری بازار اصلی باگ بانتی را در دست خود گرفته‌اند. این پلتفرم ها به شرکت ها امکان دسترسی به مجموعه ای از توسعه دهندگان و هکرهای اخلاقی ای که از قبل توسط پلتفرم تایید شده‌اند، و به آن ها امکان برون سپاری تسک جستجوی آسیب‌پذیری‌های اپلیکیشن ها و اصلاح اشکالات آن ها را از این طریق می‌دهد. درنتیجه، تیم پروژه با تمرکز برروی توسعه پروژه، در صرف زمان و هزینه صرفه جویی کنند.

  • HackerOne به مشتریان خود یک برنامه افشا آسیب‌پذیری (VDP) و یک برنامه باگ بانتی پیشنهاد می‌کند. این برنامه ها با “هکرهای اخلاقی” که به عنوان توسعه دهنده نرم‌افزار کار می‌کنند، همکاری می‌کنند. مشتریان می‌توانند افرادیکه می‌خواهند با آنها همکاری کنند را خودشان از میان هکرها انتخاب کنند و درزمان اجرای برنامه خصوصی یا عمومی این افراد را بیشتر مورد بررسی قرار دهند. دراین میان HackerOne نیز به عنوان واسط، مسئولیت استخدام، تایید مهارت و مدیریت بقیه کارها را برعهده دارد.
  • Bugcrowd یک پلتفرم باگ بانتی جمع سپاری است که تست نفوذ، باگ بانتی، افشای آسیب‌پذیری و سرویس‌های مدیریت سرویس حمله را برای مشتری فراهم آورده‌است. مثل پلتفرم HackerOne، پلتفرم Bugcrowd هم به مشتری های خود امکان استفاده از برنامه های خصوصی و عمومی را به صورت مداوم یا براساس نیاز مشتری بدون اینکه نیازی به بررسی نمایندگان متخصصین امنیتی را داشته باشند، می‌دهند.

برنامه باگ بانتی کریپتو چیست؟

درراستای ازمیان برداشتن فرهنگ مرکزگرایی، کمپین های بانتی کریپتو با حداقل میزان دخالت عامل واسطه برگزار می‌شوند. پلتفرم هایی مانند Gitcoin و Bounty0x شرکت ها و متخصصان امنیتی را دریک محیطی که قراردادهای کاری درشان به صورت هوشمند برقرار شده است با یکدیگر آشنا می‌کند، که پرداخت ها به صورت رمزارز صورت می‌گیرند.

  • Gitcoin برپایه اتریوم و با الویت توسعه منبع باز ساخته شده است. فرایند یافتن متخصص امنیت ازطریق Gitcoin روی بلاک چین اتریوم اتفاق می‌افتد، جاییکه بانتی سرمایه‌گذار تا زمانیکه گزارش ارائه شده از طرف هکرکلاه سفید تایید نشده، این مبلغ در سپرده تضمین پلتفرم امانت است. پس از تایید شدن گزارش، مبلغ سرمایه گذاری شده (به شکل رمزارز) به صورت خودکار آزاد می‌شود.
  • Bounty0x هم مثل Gitcoin، یک پلتفرمی است که در بلاک چین اتریوم ساخته شده‌است. اما این پلتفرم به جای تمرکز برروی توسعه متن باز، به شرکت ها اجازه می‌دهد تا بانتی ها را برای کارهای بازاریابی، توسعه نرم افزار و سایر تسک های خلاقانه منتشر کنند. برخلاف Gitcoin، این پلتفرم از توکن محلی خودش (BTNY) برای تسهیل کارهای شبکه ای استفاده می‌کند. شکارچیان بانتی برای کاهش هزینه‌های پلتفرم و درخواست تجدید نظر برای گزارش های رد شده زمانیکه داوران بانتی توکن های BNTY آن ها را برای اعتبارسنجی گزارش شکارچیان جایزه بانتی  نگه داشته‌اند، گرو می‌گذارد. پلتفرم Bounty0x به بلاک چین زیاد وابسته نیست، و پرداخت های آن با هر توکنی که ازپرداخت های بلاک چین های Stellar، EOSIO، Ethereum، Waves، TRON یا NEO پشتیبانی کند سازگار است.

مزایای برنامه بانتی کریپتو

درمقایسه با پلتفرم های بانتی مرسوم و ستنی که از واسطه ها استفاده می‌کنند، برنامه های بانتی کریپتوشفافیتی ، بهبود دسترسی بیشتری دارند و توزیع کریپتو را تقویت می‌کنند.

  • شفافیت: برنامه های باگ بانتی کریپتو ازطریق کانال‌هایی مانند تل‌گرام و توییتر، علاقمندان زیادی را به خود می توانند جلب کنند. افرادیکه در اکوسیستم کریپتو کار می‌کنند اهمیت ساختن کامیونیتی در حریم محصولشان را بیشتر درک می‎‌کنند که کمپین های بانتی کریپتو مسئولیت این کار را برعهده می‌گیرد.
  • دسترسی پذیری: کمپین های بانتی کریپتو در دسترس تر از برنامه های بانتی معمولی هستند چراکه دراین کمپین ها هیچ مرجع مرکزی وجود ندارد که بر شرکت کنندگان در برنامه نظارت داشته باشد. درعوض، مکانیزم‌های اعتبارسنجی و عملکردهای قراردادی هوشمند افراد شرکت کننده را ملزم به تعهد و مسئولیت پذیری می‌کند و بدین صورت به شرکت ها این اطمینان خاطر را می‌دهد که قبل از اینکه هزینه ای پرداخت کنند، کار باکیفیتی تحویل خواهند گرفت. همچنین فرایند پرداخت در بانتی کریپتو بسیار راحت تر و ازلحاظ جهانی دردسترس تر است، که باعث حذف موانعی چون ضعف زیرساختهای محلی یا مساول سیاسی می‌شود.
  • توزیع توکن محلی: کمپین های کریپتوئی می توانند از برنامه های باگ بانتیبرای توزیع سکه یا توکن جهانی استفاده کنند. برنامه های بانتی مرسومی که توسط HackerOne  و Bugcrowd مدیریت می‌شوند، امکان پرداخت کریپتوئی برای متخصصان امنیت خود ندارند.

معایب برنامه بانتی کریپتو

درست است که برنامه های بانتی کریپتو مزایای زیادی دارد، ولیکن درصورت اجرای برنامه باگ بانتی درغیاب یک مرجع متمرکز، برنامه با چالش هایی مواجه می‌شود.

  • تخلیه توکن (Token dumping): اگرچه برنامه های بانتی کریپتو می توانند برای مکانیسم توزیع توکن موثر باشند، ولیکن اینجا ریسک تخلیه توکن را هم نیز باید درنظربگیریم، که اینجا امکان دارد برخی از شکارچیان بانتی توکن های خودشات را برای حکم ارز یا توکن های جایگزین با نقدینگی بیشتر عوض کنند. این حرکت می تواند روی ارزش توکن های پلتفرم فشار منفی ایجاد کند.
  • کار بی کیفیت: اگرچه پلتفرم هایی مثل Gitcoin و Bounty0x مکانیسمی مخصوصی برای مقابله با کارهای بی کیفیت دارند، سایر برنامه های جایگزین چنین گزینه ای را به شما پیشنهاد نمی‌کنند. درنتیجه، ممکن است افرادیکه کار برنامه بانتی را انجام می دهند قبل ازاینکه میزان کیفیت کارشان مشخص شود، پول خود را گرفته باشند.
  • تجربه کاربری ضعیف: بدون زیرساخت تیم پشتیبانی مناسب، یا استاندارد شناخت مشتری (Know-Your-Customer(KYC)) و پرتکل های بررسی، برنامه های باگ بانتی کریپتوممکن است تجربه کاربری بسیار ضعیفی را ارائه دهند. برای مثال، ممکن است مشخصات بانتی شفاف نباشد، و پرداخت ها و زمان پاسخگویی به گزارش ها در صورت بروز اختلاف نامنظم باشد.

سیرتکاملی کمپین های بانتی کریپتو

چه برنامه های بانتی مرسوم یا مبتنی بر کریپتو، هردو گروه سابقه درخشانی در به وجود آوردن ارزش ایمنی برای شرکت هایی بوده اند که تصمیم به اجرای هریک از این برنامه ها گرفته بودند. مجموعه مهارت های تخصصی هکرهای کلاه سفید و اخلاقی به یک اساسی درچالش های امنیت سایبری نوین تبدیل شده است. از مارس 2020 به اینطرف شکارچیان جایزه آسیب پذیری در HackerOne 40میلیون دلار آمریکا دریافت کرده اند، این درحالیست که تعداد گزارش های ثبت شده توسط کاربران 63% نسبت به سال های قبل افزایش داشته است.

از مارس 2021، پلتفرم Gitcoin برای یک کامیونیتی متشکل از 73000 توسعه دهنده و هکرکلاه سفید مبلغی حدود 13.5 میلیون $ خرج کرده است. درهمین زمان Bounty0x 5.3 میلیون دلار بین 1.1 میلیون گزارش باگ ثبت شده در بانتی های کریپتو پول خرج کرد. با ادامه رشد تکنولوژی، تلاش های جمعی هکرهای کلاه سفید برای حفظ و نگهداری امنیت سایبری جهانی بسیار مهم خواهد بود. دراین اثنی شرکت ها باید قبل ازاینکه آسیب پذیری های احتمالی و بالقوه شان توسط هکرهای کلاه سیاه مورد سواستفاده قراربگیرند، این آسیب پذیری ها را به کمک برنامه های باگ بانتی یا هر روش اخلاقی دیگری افشا کنند.

منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *