برنامه های باگ بانتی چگونه کار می‌کنند؟

برنامه های باگ بانتی چگونه کار می‌کنند؟

برنامه های باگ بانتی چگونه کار می‌کنند

برنامه باگ بانتی شکل دیگری از افشای آسیب پذیری است که به شکل های مختلفی به مشتری های خود خدمات ارائه می‌دهد. برخی از این برنامه های باگ بانتی توسط پلتفرم های بزرگ بانتی و تعدادی از آن ها توسط خود شرکت ها که به دنبال کشف باگ های نرم افزارهای تولیدی شان هستند، به صورت داخلی برگزار می‌شود. اغلب این برنامه ها برای محققین امنیتی اخلاقی که در سراسر دنیا فعالیت می‌کنند قابل دسترسی است، اما تعدادی دیگر تنها باگ هایی که توسط محققین کلاه سفید که توسط خود شرکت دعوت شده‌اند، کشف و گزارش می‌شوند را قبول دارند؛ اما در تمام برنامه های باگ بانتی برای محققین مستقلی که باگ ها را کشف و گزارش می‌کنند پاداش هایی درنظر گرفته می‌شود. ساده ترین تعریف برای برنامه باگ بانتی این است که دربرنامه های باگ بانتی محقق امنیتی برای کشف هر نقص و آسیب‌پذیری امنیتی پاداش دریافت می‌کنند.

برنامه های باگ بانتی موضوع تامین امنیت سایبری را به شکل یک “کارراحت و دم دستی (gig work)” سازماندهی می‌کنند. با نگاهی عمیق در دنیای باگ بانتی، شرایط سخت و پرزحمتی را می‌بینیم که تا حدودی بااین شرایط آشنا هستیم: محققین کلاه سفیدی که دراین برنامه ها شرکت می‌کنند، از جهتی شبیه به رانندگان اوبر، خریداران اینستاگرامی و سایر افراد فعال در دنیای سایبری هستند که کارهایشان از طریق قول و قرارها، تضادها، لذت ها و اختلافات موجود در نظام اقتصادی گیگ1  انجام می‌شود. اما دراین میان یک تفاوت بزرگی بین تمام این کارها وجود دارد، اینکه همه این کارهای گیگ به صورت یکسان ایجاد نمی‌شوند.

محققین کلاه سفید فعال در زمینه شکارجایزه آسیب‌پذیری، مهارت و دانش بسیار بالایی در زمینه امنیت کامپیوتر دارند. این محققان امنیتی با شرکت در برنامه های باگ بانتی امیدوارهستند که بتوانند پاداش های پرسود و منفعتی بدست بیاورند و همچنین از این طریق برای خود اشتغال ایجاد کنند، که اکثرا موفق به برآورده کردن این خواسته هایشان می‌شوند. اما درست مثل بقیه افراد فعال دردنیای گیگ، محققین امنیتی که در برنامه های باگ بانتی شرکت می‌کنند، کارشان وابسته به چیزی است و درآمد مستقلی نمی توانند داشته باشند. آسیب‌پذیری ها عوامل حساس به زمان هستند(time-sensitive)؛ افراد فعال در این زمینه هم زمانی پاداش دریافت می‌کنند که بدون درنظرگرفتن زمان سپری شده  یک باگ یا آسیب‌پذیری معتبر و کاملا بررسی شده را قبل از دیگران کشف و افشا کنند. با برقرار شدن این شرایط فعالیت تامین امنیت سایبری به شکل یک کار تکنولوژیکی پیشرفته درآمده است. درست مانند سایر بخش های نظام اقتصادی گیگ، محققین کلاه سفید فعال در زمینه شکار جایزه آسیب‌پذیری، مستقیما از سمت برنامه های باگ بانتی استخدام نمی‌شوند، ولیکن در اکثر مواقع در دسته شغلی کرفرمایان مستقل دسته بندی می‌شوند. به همین خاطر، این افراد اغلب نمی توانند از حقوق قانونی و مزایا و تسهیلات قانونی که به افراد شاغل و استخدام شده تعلق می‌گیرد، استفاده کنند.

دراین سری مقالات به بررسی کلی و کامل از برنامه های باگ بانتی پرداخته ایم، و به سوالات پایه ای و کلی ای مثل: به چه برنامه هایی برنامه باگ بانتی گفته می‌شود؟ برنامه های باگ بانتی چگونه کار می‌کنند؟ مدل مالی که زیربنای پرداختی ها و دریافتی های این بازار را تشکیل داده است به چه صورت است؟ و محققین کلاه سفید فعال در این زمینه چه کسانی هستند؟ پرداخته ایم.

برنامه های باگ بانتی پرداخت پاداش درازای افشای باگ توسط محققین امنیتی برای جبران خسارت، را عادی سازی کرده است. این برنامه ها یک نمونه برای افشای آسیب‌پذیری هماهنگ شده هستند که فرایند کشف و افشای آسیب پذیری امنیتی برای کاهش میزان خسارت احتمالی آن آسیب پذیری را دربرمی‌گیرد. علاوه براین، این برنامه ها بخشی از “بازار امنیت” هستند که درآن باگ ها به منظور رفع مشکلات امنیتی افشا می‌شوند. اما برنامه های باگ بانتی تنها راه کشف و افشای باگ نیستند، بازارها و راه های دیگری نیز برای این منظور وجود دارند2. اول اینکه، باگ ها در زمان توسعه نرم افزار توسط خود توسعه دهنده نرم افزار قابل کشف هستند. همچنین درطول اجرای برنامه تست نفوذ (“pentesting”)، برنامه ای که طی آن بررسی های امنیتی توسط تیم امنیتی قراردادی با شبیه سازی حملات سایبری در دنیای واقعی و جستجوی شکاف های امنیتی محافظت نشده انجام می‌شوند، نیز باگ ها کشف می‌شوند. روش دیگر افشای باگ، افشای باگ توسط محققین کلاه سفید در طول برنامه های افشای آسیب‌پذیری است که دراین روش برخلاف باگ بانتی، محقق امنیتی پاداشی برای کشف و افشای نقص ایمنی دریافت نمی‌کند.

علاوه براین، برخی از این نقص های ایمنی کشف شده خارج از برنامه های باگ بانتی با عنوان “بازار تهاجمی” به دولتها فروخته می‌شوند. در بازار تهاجمی، باگ ها به منظور رفع مشکل امنیتی خرید و فروش نمی‌شوند، بلکه از آن ها برای بهره برداری و حملات استفاده می‌شود. منظور ما از بکار بردن کلمه بازار “بازار باگ بانتی” است و نه “بازار تهاجمی”.

  1. اقتصاد گیگ اصطلاح گسترده‌ای است که اکنون به سازماندهی مجدد نیروی کار از طریق ترتیبات کاری موقت و قراردادهای مستقل که توسط پورتال‌ها یا پلتفرم‌های دیجیتال ردیابی و مدیریت می‌شوند، اشاره دارد. (jamie Woodcock and Mark Graham, The Gig Economy: A Critical Introduction (Medford, MA:
    Polity, 2020).)
  2. خرید نقص های امنیتی از شرکت‌هایی که خدمات امنیتی مدیریت شده را ارائه می‌دهند، کمی متفاوت تر از خرید ازبازار تهاجمی است. اینجا، نقص ها از محققین امنیتی به منظور توسعه و پشتیبانی از سیستم های تشخیص نفوذ و پیشگیری خریداری می شوند.

منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *