مصاحبه با محقق امنیتی OrwaGodfather سرآشپز باگ هانتر

مصاحبه با محقق امنیتی OrwaGodfather

اوروا آتیات (Orwa Atiyat) (OrwaGodfather) پس از شروع به کار درزمینه باگ بانتی هانتینگ در عرض 3 سال پله های موفقیت محقق امنیت سایبری شدن را طی کرد. از آن زمان، او هم برای MVP و P1 Warrior پاداش دریافت کرده، در سال 2022به عنوان برترین هانتینگچی باگ: جایزه قهرمانی LevelUpX معرفی شده و به تازگی در مسابقه Hacker Cup  سال 2022-23 به عنوان کاپیتان تیم برنده Tess’s Squad انتخاب شده است. اوروا با تلاش بی‌وقفه و تعهد به افزایش امنیت در سطح جهانی، نه تنها الهام‌بخش است بلکه دیدگاه جذابی هم دارد. برای مصاحبه‌ای پر جنب‌وجوش در این ماه با او، آماده شوید!

 

چگونه وارد حوزه امنیت سایبری شدید؟

“مسیر ورود به امنیت سایبری برای هر کسی کمی متفاوت است. من هیچ‌وقت در عمل تست نفوذ خوب نبودم و هیچ مدرک علمی یا گواهینامه‌ای در این زمینه به دست نیاورده بودم. ویدیویی از th3g3nt3lman را در کانال یوتیوب BC در مورد یک موضوع مربوط به گیت‌هاب دیدم. این ویدیو برای من واقعا جالب و قابل فهم بود، پس شروع کردم به پیدا کردن نقص‌هایی که باعث نشت اطلاعات می‌شدند و در اولین ماه فعالیتم 6 پاداش برای باگ هایی که پیدا کرده بودم دریافت کردم. در سه ماهه اول، من حتی معنی زیر دامنه یا دامنه یا پورت‌ها یا هر چیز دیگری را درک نمی‌کردم اما بعد از آن شروع به خواندن و تماشای هر چیزی که با موضوعات مرتبط با باگ بانتی کردم.”

چه چیز /یا چه کسی اولین بار علاقه شما را نسبت به تست نفوذ برانگیخت؟

“من تمام عمرم می‌خواستم در این حوزه کار کنم، اما شخصی که اولین بار علاقه‌مندی من به این حوزه را برانگیخت برادرمth3g3nt3lman  بود. با خودم گفتم: ‘آره، هیچ چیز غیرممکن نیست؛ من هم می‌توانم یک کارهایی در این زمینه انجام دهم…”

یک طرزفکر درست برای دستیابی به اهدافتان: “من می‌توانم”.

 

چند وقت است که باگ هانتینگ می‌کنید؟

“من از سال 2020 (3 سال پیش) شروع کردم و همزمان با یادگیری هانتینگ می‌کنم.”

در مورد هانتینگ، یادگیری یک پروسه مداوم است. همیشه بیاموزید و رشد کنید.

جوایز باگ بانتی چه تاثیری روی زندگی شما داشت؟

“در واقع، جوایز باگ زندگی من را کاملا تغییر داد. قبل از هانتینگ باگ، من در بدهی غرق شده بودم، اما در 3 سال توانستم این بدهی‌ها را پرداخت کنم، به چندین مسافرت تفریحی بروم، خانه خودم را داشته باشم و به خانواده‌ام کمک کنم.”

اگر این حرفها برای شما الهام بخش نیست، ما دیگر نمی‌دانیم چه چیز دیگری می‌تواند الهام بخش باشد.

شما یک باگ بانتی هانتر نیمه‌وقت یا تمام‌وقت هستید؟ هر هفته چقدر وقت صرف تست نفوذ می‌کنید؟

“من به صورت تمام‌وقت هانتینگ می‌کنم، اما در عین حال خودم را خسته نمی‌کنم. پس من حدود 5-6 ساعت در روز هانتینگ می‌کنم و بقیه‌ی وقتم را با خانواده و دوستان سپری می‌کنم.”

در تست نفوذ با چه چالش های بزرگی روبه رو شدید و چگونه آن‌ها را بر طرف کردید؟

“دراین مسیر چالش‌های زیادی وجود دارد اما بیشتر آن‌ها مربوط به احساس سردرگمی ناشی از تعداد زیاد برنامه‌ها در دسترس است، زیرا رقابت همه جا وجود دارد. من موفق شدم این چالش را با تمرکز بر برخی از انواع برنامه‌ها و همکاری با دوستان برای تقسیم وظایف برطرف کنم. هرچند به یاد داشته باشید که با کار کردن روی برنامه‌ها و پلتفرم‌های مختلف به طور همزمان، تمرکز خودتان را از دست ندهید. جایی را انتخاب کنید که در آن می‌توانید به‌راحتی کار کنید.”

آیا ابزار یا منابع مورد علاقه‌ای برای یادگیری دارید؟این منابع و ابزارها کدام‌ها هستند؟

“من همیشه فقط در بخش شمارش زیردامنه‌ها در ریکان، اسکن پورت و غیره، از ابزارهای متعدد و متنوعی استفاده می‌کنم. اما برای تست، از جستجوی گوگل (dorking on google)/گیت‌هاب/بینگ، برنامه Burp Suite و nuclei با قالب‌های خاص استفاده می‌کنم. برای هر آسیب‌پذیری که کشف کرده‌اید، یک قالب خاص ایجاد کنید و این قالب را بر روی همه برنامه‌ها در nuclei اجرا کنید. در نهایت، بهترین مکان برای یادگیری مشاهده پست‌های توییتر کامیونیتی است. اینجا می‌توانید تمام ابزارهای مفید هانتینگ را پیدا کنید و به آن‌ها دسترسی داشته باشید.”

این صفحه در بوکمارک ذخیره کنید تا از آن به عنوان منبعی کاربردی استفاده کنید. 👆

آیا پیشنهادی برای محققان امنیتی تازه‌کار یا افراد در حال گذر به حوزه‌ی باگ بانتی‌هانتینگ دارید؟

“1: روی باگ‌های افشای اطلاعات تمرکز کنید، 2: بر روی باگ‌های IDOR تمرکز کنید، 3: اگر سابقه‌ای در زبان JS ندارید، شروع به یادگیری JS کنید. هیچ کس به عنوان یک محقق امنیتی برتر به دنیا نیامده است، پس هرگز تسلیم نشوید. توماس ادیسون 1000 آزمایش ناموفق انجام داد. آزمایش 1001م، لامپ بود. شما در نقطه‌ای با گزارش‌های N/A و تکراری روبرو خواهید شد. آن‌ها را بپذیرید، زیرا هر گزارش N/A و تکراری شمارا یک قدم به موفقیت نزدیک‌تر می‌کند.”

چه درس مهمی هست که دوست داشتید در ابتدای کارتان دراین حوزه یاد بگیرید؟

“یادگیری زبان‌های وب و چگونگی نوشتن گزارش‌های عالی.”

چگونه از خستگی و فرسودگی شغلی جلوگیری می‌کنید؟ چگونه از خودتان و سلامت روان‌تان مراقبت می‌کنید؟

“خوب بخوابید، ورزش کنید و مهم‌تر از همه، منزوی نباشید! – با خانواده و دوستان صحبت کنید. اگر درحال جستجوی یک باگ هستم و احساس کسالت یا خستگی می‌کنم، بلافاصله کارم را متوقف می‌کنم، یا استراحت کنم یا تلویزیون تماشا می‌کنم. همچنین، پس از کشف یک باگ، بلافاصله آن را گزارش نمی‌کنم، کمی استراحت می‌کنم، بعد از استراحت، شروع به ارسال گزارش می‌کنم.”

از اینجا به بعد، مسیر زندگی‌تان شما را به کجا می‌برد؟ امسال چه اهدافی دارید؟

“خودم را در حال پیدا کردن باگ‌ها و 0days بیشتر و فردی متمایز، محبوب و مفید برای هانترهای جدید و قدیمی می‌بینم. دوست دارم همه برنده شوند. هدف دیگری که دارم ازدواج است، اما هنوز به دنبال همسر مناسب هستم 😊.”

چرا با Bugcrowd هانتینگ می‌کنید؟

“پاسخ من به این سوال کمی طولانی خواهد بود که به همه توصیه می‌کنم آن را بخوانند.

می‌خواهم به این نکته اشاره کنم که من در پلتفرم‌های بسیاری کار کرده‌ام، اما به دلایل متعددی پلتفرم Bugcrowd قطعاً برای من بهترین است، در ادامه برخی از این دلایل را بیان می‌کنم:

  1. فرم گزارش آن بسیار واضح و کاربردی است و VRT واقعا شگفت‌انگیز است
  2. مرتب‌سازی و نمایش برنامه‌ها بسیار جالب و تاثیرگذار است
  3. می‌توانید به راحتی به گزارش قبلی برگردید و گزارش‌های مجزا را برای هر برنامه به‌صورت جداگانه تعریف کنید
  4. تیم تریاژ بسیار سریع، باهوش هستند، مهم‌تر از همه همکاری خوبی با محققان امنیتی دارند که در سایر پلتفرم‌ها اینگونه نیست
  5. می‌توانید فوری و به بیش از یک روش با تیم پشتیبانی ارتباط برقرار کنید و آن‌ها نیز یک تیم عالی و پاسخگو هستند
  6. چالش‌ها، رویدادها و پاداش‌های غیرنقدی شگفت‌انگیز هستند
  7. ساده‌ترین چیز زمانی است که در مورد باگ یا جایزه بر روی Bugcrowd توییت می‌کنید و تیم Bugcrowd اولین کسی است که به شما برای این دستاورد شگفت‌انگیز تبریک می‌گوید
  8. ارزیابی ریسک این گروه عالی است. به عنوان مثال، اگر گزارش تکراری ارسال کردم، اما تاثیر زیادی نشان می‌دهد، به عنوان یک گزارش تکراری بسته می‌شود، اما گاهی اوقات یک مسدودکننده برای تیم ویژه‌ای قرار داده می‌شود تا به این گزارش نگاه کند.

و چیزهای شگفت‌انگیز بیشتر دیگری وجود دارد، اما برای بیان تمام آنها حداقل به 4 صفحه نیاز دارم. از اینجا، می‌خواهم از تمام تیم Bugcrowd به ویژه Tal, Timmy, Jordyn, Rami, Tatiana, Wilson تشکر کنم.”

به عنوان تیم Bugcrowd، ما از انعطاف پذیری شما در پیشبرد محدودیت‌ها برای رسیدن به اهدافتان قدردانی می‌کنیم.

به ما از کارهایی که برای امرار معاش انجام می‌دهید ، یا اهداف و آرمان‌های شغلی‌تان بگویید.

“من هیچ گواهینامه‌ای ندارم که من را برای کار در این حوزه واجد شرایط کند، بنابراین همچنان به هانتینگ باگ‌ها ادامه می‌دهم تا پاداش بیشتری بگیرم.”

 زندگی شما بیرون از حوزه تست نفوذ چگونه است؟

“زندگی طبیعی و شگفت‌انگیزی دارم. با خانواده می‌نشینم، با دوستانم به تفریح و مهمانی می‌روم، اما مهم‌ترین چیز این است که وقت زیادی را با بچه‌ها در خانه می‌گذرانم. من آن‌ها را خیلی دوست دارم.

من 20 درصد از هر پاداشی که دریافت می‌کنم را یه خیریه اهدا می‌کنم. در گذشته، از فقر رنج می‌بردم، بنابراین نتوانستم تحصیلاتم را به اتمام برسانم و گواهینامه‌ای بگیرم. نمیخواهم دیگران را هم در حال رنج کشیدن ببینم، بنابراین هر سال هزینه‌های دانشگاهی دو نفر که نمی‌توانند این هزینه‌ها را بپردازند را پرداخت می‌کنم. خدا را شکر، تاکنون در 3 سال، به 6 نفر کمک کرده‌ام تا تحصیلاتشان را در دانشگاه به اتمام برسانند.”

قهرمان شما کیست؟

“من 3 قهرمان دارم…

در زندگی: مادرم

در موفقیت: دنزل واشینگتن

در تست نفوذ: برادرم، مجد [th3g3nt3lman]”

به ما یک واقعیت جالب در مورد خودتان بگویید!

“شغل اصلی من آشپزی است. در ابتدای مسیر باگ بانتی هانتینگ، همزمان با پخت و پز و هانتینگ باگ از تلفن همراهم کار می‌کردم و به خاطر دو چیز خنده‌دار آن زمان را به خاطر می‌آورم. من در حال سرخ کردن مرغ در فر بودم و در همان زمان یک باگ بحرانی پیدا کردم و بلافاصله از تلفن همراهم شروع به ثبت گزارش کردم. وقتی گزارش را نوشته و ارسال کردم، متوجه شدم که مرغ سوخته است، اما مهم نیست، باز هم یک باگ بحرانی گزارش دادم، خنده دار است!”

“می‌خوام این نوشته رو با کلماتی که دوست دارم تمام کنم: وقتی از خدا قدرت می‌خوای، خدا بهت قدرت نمی‌ده، خدا بهت سختی‌ها رو می‌ده تا قوی بشی. وقتی از خدا خرد می‌خوای، خدا بهت مشکلات می‌ده تا حل کنی. وقتی از خدا شجاعت می‌خوای، خدا بهت خطرات می‌ده تا غلبه کنی. وقتی از خدا صبر می‌خوای، خدا بهت شرایطی می‌ده که مجبوری صبر کنی. وقتی از خدا کمک می‌خوای، خدا بهت فرصت‌های زیادی می‌ده. وقتی از خدا همه چیز رو می‌خوای تا از زندگی لذت ببری، خدا بهت زندگی می‌ده تا از همه چیز لذت ببری.

هیچوقت تسلیم نشو، هیچوقت به میدان نبرد پشت نکن. به خودت اعتماد کن و صبور باش. مرسی از همه!”

اوروا یک مثال عالی برای سخت تلاش کردن است. ما به تمام دستاوردهایی که تا به حال به دست آورده‌ای افتخار می‌کنیم و برای دیدن موفقیت های بعدی شما لحظه شماری می‌کنیم.

 

 

 

منبع وب سایت Bugcrowd

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *