کلاهسفیدهای ایرانی جان میگیرند
هکرهای کلاه سفید قرار است در یک سایت ویژه باگهای امنیتی را بررسی کنند
هکرهای کلاهسفید، نفوذگرهای امنیتی مفیدی که عموما در کشور نایدیده گرفته شده و یک «مشکل امنیتی» تلقی میشدند، حالا با اقبال جدیدی مواجه شدهاند؛ سامانه اینترنتی «کلاه سفید» که نخستین سامانه کشف باگ و آسیبپذیری آیتی در ایران است و قرار شده کلاهسفیدها را به شکل قانونی و نظاممند دور هم جمع کند.
طرح سامانه کلاهسفیدها با همکاری مرکز پژوهشی «آپای» دانشگاه صنعتی امیرکبیر راهاندازی شده و هکرهای کلاهسفید میتوانند با نامنویسی در آن، به بررسی باگهایی که در سامانه معرفی شده، بپردازند.
داورهایی در این سیستم وجود دارند که کیفیت کار هکرها را بررسی کرده و مبلغی را بهعنوان جایزه به آنها پرداخت میکنند. سامانه کلاه سفید دارای مجوز فعالیت رسمی از مرکز افتای ریاستجمهوری است و داوران سامانه کلاهسفید، کارشناسان مرکز پژوهشی آپا دانشگاه صنعتی امیرکبیر (https://apa.aut.ac.ir) هستند. هکرهای کلاهسفید چه کار میکنند؟ چرا تا به حال مورد توجه نبودهاند و چطور میشود از حضورشان استفاده کرد؟
کلاهسفید مخرب نداریم!
هکرهای کلاهسفید کاملا بیخطر هستند. آنها در یک مسابقه یا ساختار نظامیافته به استخدام شرکتها در آمده یا طی یک قرارداد با کمپانیهای بزرگ و کوچک همکاری میکنند. هدفشان، پیدا کردن باگهای سیستم است و بابت آن حقوق میگیرند. باگ یعنی راه نفوذی که هکرهای دیگر میتوانند با پیدا کردن آنها به سیستم نفوذ کنند. هکرهای کلاهسفید با پیدا کردن مشکلهای سیستمی ارتزاق میکنند. در نتیجه به فکر حمله کردن به سایت نیستند چون با اینکار منبع درآمد خودشان را از بین میبرند.
استارتاپها جدی میگیرند، دولتیها نه
در ادارهها و شرکتهای خصوصی، بهخصوص استارتاپها نیاز به هکرهای کلاهسفید بسیار جدی گرفته میشود اما در ادارههای دولتی وضع به این منوال نیست. ایلیا وکیلی، مدیر فنی یکی از استارتاپها به همشهری میگوید: «در شرکت ما اگر کسی باگ سیستم و مشکلات موجود در برنامه، اعم از امنیتی و... را گزارش کند، برایش جایزه درنظر میگیریم اما اینطور که شنیدهام در ادارههای دولتی به جای جایزه دادن به این افراد از آنها شکایت میکنند چون بهنظر بعضی مدیران، هک کلاهسفید یک کار ضدامنیتی و مخرب است.»
شرکتهای کوچک مراقب باشند
بعضی از ادارهها و شرکتهای کوچکتر به اینکه هک بشوند یا نه، اهمیتی نمیدهند. هرچند ممکن است سیستمشان باگهای زیادی هم داشته باشد اما به این مشکلات اهمیتی نمیدهند. سیدمجتبی مصطفوی در اینباره میگوید: «حتی شرکتهای کوچک هم باید هک را جدی بگیرند چون از بین رفتن اطلاعات یا باجخواهی بهطور بالقوه در کمین همه هست. حتی اگر سرقت اطلاعات را درنظر نگیریم، امکان دارد حملهای مثل آنچه اخیرا برای نمایشگرهای چند فرودگاه کشور اتفاق افتاد، رخ بدهد.»
شرکتهای بزرگ در خطر هستند
اینکه عدهای فکر میکنند، چون شرکتشان بزرگ است یا سیستمهای امنیتی و کارشناسان زیادی را استخدام کردهاند، هک شدنشان منتفی است، کاملا طرز فکر اشتباهی است. اینطور که مجتبی مصطفوی میگوید؛ «بسیاری از استانداردها و اصول هکری در آمریکا تدوین و تعیین میشود اما بارها شنیدهایم که، سازمانهای بزرگی مثل FBI و CIA هک شده و اطلاعاتشان به بیرون درز کردهاست. هک شدن این سازمانهای حساس، با وجود سامانههای امنیتی قدرتمند و کارشناسان خیلی خوبی که دارند، نشان میدهد خطر هک در کمین همه هست و باید در مقابل آن ایمن شد.»
سازمانی برای کلاهسفیدها
کسانی که توانایی پیدا کردن باگهای سیستم را داشته باشند، بهصورت بالقوه آدمهای خطرناکی نیز محسوب میشوند. به این دلیل که میتوانند در پوشش یک نام مستعار یا با کمک یک تیم هکری، از طریق همان باگها به سیستم نفوذ کنند. با این حساب، بابت شناسایی باگ سیستم دستمزد بهدست آورده و در عین حال، با هک کردن سیستم باجخواهی میکنند. برای اجتناب از چنین حملههایی، در آمریکا ساختارهایی شبیه اتحادیه بهوجود آمده که هکرها در آن عضو میشوند و شرکتهای خدماتگیرنده از آنها سرویس میگیرند. مصطفوی دراین باره میگوید: «این سازمانها تأیید شده هستند و بهصورت قانونی در کشورشان کار میکنند. یک سری عضو دارند اما چند نفر از اعضایشان بهصورت ویژهای تأیید شدهاند. سازمانهای حساس و مهم، کار شناسایی باگهایشان را به این افراد میسپارند و میتوانند مطمئن باشند مشکلی پیش نمیآید.»
سختافزار و کارشناس؛ 2 نیاز امنیتی مهم
سختافزارهای پیشرفته و کارشناسان خبره برای جلوگیری از نفوذ به سیستم، بهصورت توامان مورد نیاز هستند. اگر یکی از آنها نباشد امنیت سایت دچار مشکلات جدی میشود. مصطفوی میگوید: «قدم اول این است که تا جایی که میتوانید و بودجهتان اجازه میدهد، سختافزار ایمن تهیه کنید. بعد از این، باید یک هکر کلاهسفید را بهکار گرفت تا جاهایی که باگهایی که از نگاهتان جا مانده را کشف کرده و به شما گزارش کند.»
