باگ بانتی چیست؟

در گزارش رفع این خطا از عبارت “this bug was carefully removed and taped to the log book” استفاده شد. از آن زمان تا الان عبارت باگ به عنوان خطای نرم‌افزاری استفاده می‌شود. همچنین مسابقه باگ بانتی برای رفع باگ‌ها برگزار می‌شود.

۱. تاریخچه باگ بانتی :

عبارت مسابقه باگ بانتی (bug bounty) که معادل فارسی آن می‌شود ” انعام باگ ” اولین بار در سال ۱۸۵۱ به ازای باز نمودن یک قفل فیزیکی مطرح شد. شرکت تولید کننده معادل ۲۰۰ شمش طلا به متخصص امنیت پرداخت نمود. در سال ۱۹۸۳ شرکت Hunter & Ready اولین باگ بانتی دیجیتال را برگزار نمود. این شرکت بعدها با شرکت Microtec ادغام شد و این باگ بانتی برای سیستم عامل اختصاصی شرکت اجرا شد. به عنوان جایزه به کسی که باگ گزارش کرده بود ماشین فولکس‌واگن هدیه داد. دوازده سال بعد در سال ۱۹۹۵ مهندس پشتیبانی جارت ریدلینقفر(Jarrett Ridlinghafer) از شرکت نت‌اسکیپ عبارت باگ بانتی را مطرح کرد و روی نسخه دو این پلتفرم باگ بانتی اجرا شد.

۱.۲. مسابقات باگ بانتی و جوایز :

سال ۲۰۰۲ شرکت  IDefense به عنوان واسط فنی ، پرداخت  400 دلار برای مشکلات امنیتی نرم افزارهای مختلف را انجام داد. در  سال ۲۰۰۴ شرکت Mozilla این مسابقه را اجرا کرد و به ازای هر آسیب‌پذیری حدود ۵۰۰ دلار به متخصص امنیت پرداخت کرد. شرکت TippingPoint در سال ۲۰۰۵، به عنوان واسط فنی باگ بانتی ZDI را پایه گذاری نمود. در سال ۲۰۰۷، در کنفرانس  CanSecWest مسابقات Pwn2Own اعلام شد و حدود  10.000 دلار برای سیستم عامل‌های Mac ارایه شد.

در سال ۲۰۱۰ مهم‌ترین ترند در این حوزه مبتنی بر وب است و شرکت گوگل به همراه دو شرکت پستی فدرال آلمان و هلند و دو شرکت Baracuda و Mozilla پلتفرم باگ بانتی را ایجاد نمودند. مجموعه BugCrowd پلتفرم واسط در امریکا، در سال  2011 تاسیس شد. این پلتفرم برای ارایه خدمات واسط فنی و حقوقی به سازمان‌ها و متخصصین امنیتی شروع به فعالیت نمود. پلتفرم Synack بصورت رسمی در سال ۲۰۱۳ این نقش را در نهادهای نظامی امریکا بر عهده گرفت. پلتفرم مطرح دیگری مانند BugCrowd در سال ۲۰۱۵  با نام HackerOne تاسیس شد. این پلتفرم واسط فنی و حقوقی میان متخصص امنیت و شرکت‌ها فعالیت می‌کند.

۲. پلتفرم‌های باگ بانتی :

پلتفرم‌های باگ بانتی دسترسی وسیع‌تری به متخصصان امنیتی دارند و استعدادهای بیشتری را می‌توانند دورهم جمع کنند. مساله باگ بانتی شناسایی باگ یا آسیب‌پذیری نیست، مسئله اصلی تحلیل باآسیب‌پذیری و تسریع در ایمن سازی آن می باشد. سازمان‌های بین المللی پس از دریافت هر باگ امنیتی آن را نقطه آغاز می‌دانند. این سازمان‌ها باگ‌های جدید را یک سناریو تست جدید برای سامانه خود می‌دانند هرچه تعداد بیشتری باگ گزارش می‌شود، آن‌ها با تیم توسعه خود برای توسعه سناریوهای جدید تست هم‌گام می‌شوند و حتی تیم طراحی کنترل‌های جدید در معماری خود در نظر می‌گیرد. این مجموعه منجربه درس‌های یادگیری شده از هر باگ شده که برای هریک خط مشی‌ها، قوانین و نیازمندی‌های مختص به هر کدام در محصول تشریح شده است.

نکته مهم عمومی بودن مسابقات است. تمام افراد جامعه و متخصیصن امنیتی باگ بانتی دسترسی مشابه به سازمان‌های هدف دارند. بنابراین متخصص امنیت می‌تواند به عنوان کاربر معمولی به بررسی مشکلات سامانه و شناسایی باگ بپردازد.

۳. روش‌های اجرای مسابقه :

دو روش برای اجرای باگ بانتی وجود دارد: روش اول باگ بانتی خصوصی و روش دوم باگ بانتی عمومی است. در نوع اول ایجاد بانتی برای سامانه تحت ارزیابی توسط تمامی متخصصین امنیتی پلتفرم قابل مشاهده بوده و افراد می‌توانند گزارشات امنیتی خود را از طریق پلتفرم ارسال نمایند. در نوع دوم مشاهده شرایط بانتی و ارسال گزارش‌ها تنها برای برخی از متخصصین امنیتی قابل مشاهده می‌باشد که شرایط خاصی مانند سطح امتیاز، تخصص و یا آیتم‌های دیگر را در نظر دارند.

۴. استفاده از پلتفرم‌های باگ بانتی یاBBP(Bug Bounty Platform):

1. یک BBP به شرکت نرم‌افزاری مورد نظر کمک می‌کند که سیاست مورد نیاز اجرای باگ بانتی را پیاده کند که شامل یک سند است. جزئیات مربوط به اهداف مورد نیاز برای تست امنیت، فرایند گزارش آسیب‌پذیری، زمان‌بندی، قوانین مورد تایید، کانال ارتباطی، نوع ارایه گزارش، زمان‌بندی رفع باگ، جوایز آسیب‌پذیری و قوانین دیگر را بیان می‌کند. به این سند VDP (Vulnerability Disclosure Program) یا سند اعلام باگ گفته می‌شود که بصورت اشتراکی توسط تیم فنی و حقوقی می‌بایست تهیه شود. مهمترین گام در ایجاد این مسابقه تدوین سند VDP می‌باشد. با غفلت و نادیده گرفتن مسایل مختلف باعث ایجاد خسارت به سازمان و یا متخصصین امنیتی گردد. در کشورهای دیگر، در صورتیکه سازمان بصورت شفاف پارامترهای VDP خود را بر روی سامانه‌های خود اعلام ننماید، متخصصین امنیتی گزارش باگ را به آن سازمان اعلام نمی‌کند. زیرا می‌تواند منجربه ایجاد مسایل حقوقی برای متخصص و یا سازمان گردد.
2. زمانی که مرحله قبل انجام شد، شرکت BBP به اجتماع متخصص امنیتی اعلام می‌کند که که برنامه باگ بانتی اجرا شده است. هکرها می‌توانند عملیات تست را مطابق با VDP شروع کنند.
3. متخصصان امنیتی می‌توانند از این طریق ماه‌ها تست‌های خود را روی سامانه اجرا کنند.
4. متخصصان امنیتی گزارشات آسیب‌پذیری را به پلتفرم باگ بانتی ارائه می‌کنند. تیم کمیته فنی پلتفرم گزارشات را بررسی می‌کنند. سپس موارد تایید شده را بر اساس پارامترهای فنی و قوانین VDP به سازمان اعلام می‌شود.
5. سازمان در تمام طول روز و شب برنامه را به صورت زنده مشاهده می‌کند. سپس در سریع‌ترین زمان ممکن به گزارشات آسیب‌پذیری‌های دسترسی دارد. همچنین همزمان انعام باگ پرداخت می‌شود و اقدام به رفع آسیب‌پذیری می‌کند.

۵. جمع بندی :

همانطور که اشاره شد محققان زیادی با تجربه‌های متفاوت می‌توانند سامانه مورد نظر را برای یک دوره طولانی مورد بررسی قرار می‌دهند. از این طریق احتمال کمتری وجود دارد که یک باگ دیده نشود. مواردی که در تست‌های داخلی سازمان به دلیل تغییرات بسیار سامانه‌ها از چشم دور می‌ماند، اجتماع متخصصین امنیتی با حسن نیت به سازمان گزارش می‌نمایند.

بسیاری از شرکت‌ها در نظر داردند که یک دیوار امنیتی غیرقابل نفوذ بسازند کنند، ولی در واقعیت اتفاق دیگری می‌افتد. اهمیت ندارد چقدر این دیوار امنیتی قوی است و هکرها دیر یا زود نقطه ضعفی از این دیوار امنیتی پیدا می‌کنند و اکسپلویت آسیب‌پذیری انجام می‌دهند. تکنولوژی هرلحظه در حال تغییر و پیشرفت است و به همین دلیل سیاست‌های امنیت سایبری هم‌پای پیشرفت تکنولوژی باید به‌روز شوند. در همین راستا آسیب‌پذیری‌های امنیتی قبل از اینکه هکرهای کلاه سیاه اکسپلویت انجام دهند، ترمیم شوند.

باگ بانتی راهی مقرون به صرفه و بهینه برای تست و بررسی مداوم محصولات کسب و کارها است. همچنین پلتفرم‌ باگ بانتی باگدشت این خدمات را متناسب با سطح و نیازمندهای هر کسب و کار ارایه می‌دهد. همچنین این پلتفرم از این طریق و با کمک شرکت‌ها شرایط فضای کسب و کار را ایمن می‌کند.برای آشنایی با خدمات باگدشت می توانید از لینک خدمات سازمانی اقدام بفرمایید.

منابع:

• Hacken
• Synack
• Bugcrowd
• Hackerone