آشنایی با عملکرد هکرهای قانونی در مسابقه CTB

مرداد ۶, ۱۳۹۹

ماهیت تغییرات بر اساس نیازمندی‌های کسب و کار و مشتریان و به روزرسانی‌های مستمر، منجربه ایجاد مشکلات امنیتی در سامانه‌ها می‌شود. از این‌رو تمامی سازمان‌های دارای بلوغ امنیتی، احتمال وجود باگ امنیتی را طبیعی می‌دانند و از راهکارهای تسریع در هرچه ایمن‌تر کردن سامانه‌های خود استقبال می نمایند.

مجموعه باگدشت با همکاری هکرهای قانونی کشور بصورت اختصاصی، روادید امنیتی CTB را دنبال نمود.

زندگی حرفه ای به سبک یک هکر حرفه ای و قانونی چالش ها و قوانین بسیاری را دارا می باشد که برای بدست آوردن بهترین نتیجه و بهره وری بیشتر می بایست آن‌ها را در نظر داشت. همانطور که در مطلب قبل در خصوص هکرهای قانونی توسط معاون مدیرعامل Point3 Security صحبت شد، مهمترین ویژگی یک هکر قانونی تسلیم نشدن در برابر مشکلات و شکست‌ها است تا بتواند بصورت قانونی و هدفمند به ارزیابی امنیتی بپردازند.

وجود بیشتر باگ‌ها در سامانه‌ها معمولا از دید توسعه دهنده‌های سامانه و کاربران عادی سامانه مخفی می‌ماند. ولی بازیگر مخرب و یا هکرهای کلاه سیاه فعالانه به‌دنبال این باگ‌ها برای اکسپلویت هستند و هدف این افراد معمولا کنترل سیستم برای منافع شخصی یا اهداف مالی است. نقش هکرهای قانونی در اینجا پررنگ می‌شود که در برابر شیطنت هکرهای کلاه سیاه می‌ایستند و اجازه آسیب رسیدن به کسب کار شرکت‌ها را نمی‌دهند. مانند افراد یک جامعه، افراد خلافکار همان هکرهای کلاه سیاه در دنیای سایبری و کاراگا‌هایی که به دنبال رفع مشکلات با پلیس همکاری می‌کنند هکرهای قانونی هستند.

هکرهای کلاه سیاه می‌توانند درآمد زیادی داشته باشند ولی در این شرایط قوانین کاملا برخلاف آن‌ها است و با آنها مانند یک مجرم برخورد می‌شود. از طرف دیگر هکرهای قانونی با رعایت قوانین نه تنها موجب امن‌تر شدن فضای کسب و کار اینترنتی شده بلکه باعث کاهش جرایم سایبری هم می‌شوند. برای وارد شدن به دنیای هکرهای قانونی قوانینی وجود دارد که هر فرد ملزم به رعایت آنان است که حقوق سازمان‌ها و کاربران حفظ شود. در این مقاله به بعضی از این قوانین اشاره می‌کنیم که یک هکر با مطالعه آن‌ها می‌تواند بهترین مسیر را برای خود انتخاب کنند.

۱. تعیین هدف:

یک هکر قانونی برای پیدا کردن مشکلات باید مثل یک هکر کلاه سیاه فکر کند که بتواند نواقص در سیستم هدف، راه‌های دسترسی ویا شبکه‌هایی که در خطر حمله قرار دارند را پیدا کند. هکر قانونی باید از عواقب وجود این نقص آگاه باشد و بتواند رفتار هکرهای متخلف را حدس بزند. پیدا کردن نقاط دسترسی بدون احرازهویت و یا امکان نشت اطلاعات حساس یکی از اقدامات هکر قانونی است.

۲. برنامه تست:

در فرایند تست نمی‌توان انتظار داشت که همه چیز طبق برنامه پیش برود. پول، مسائل شخصی و زمان دست شما نیست و هر لحظه اولویت شما را تغییر می‌دهد. برای اجتناب کردن از هرگونه واقعه، در گام اول هدفی که قرار است تست شود را کامل بشناسید و بعد از اینکه مراحل اجرایی تست را برنامه ریزی نمودید فرایند تست را شروع کنید.

۳. داشتن اجازه نامه:

اجازه نامه برای تست برای شروع عملیات باعث اجتناب از برخورد قانونی می‌شود. این اجازه نامه باید واضح و شفاف برای فرایند تست مورد نظر باشد. دلیل داشتن اجازه نامه برای محافظت از برخوردهای قانونی احتمالی به خاطر تست‌های انجام شده است.

۴. به شکل قانونی و حرفه‌ای کار کنید:

خودداری کردن از انجام دادن هرکاری خارج از حیطه هدف و برنامه‌ریزی شده بسیار دارای اهمیت است. از به اشتراک‌گذاری هرگونه اطلاعات با دیگران خودداری کنید. هکر قانونی نباید محرمانگی اطلاعات را از بین ببرند. در اجرای قانونی ارزیابی امنیتی بررسی سند VDP یا برنامه افشای آسیب پذیری سازمان بسیار مهم است که می بایست بر اساس قوانین تعریف شده در آن پیش رفت.

۵. همیشه در حال ثبت باشید:

گذراندن ساعت‌ها در یک اتاق کوچک روبروی کامپیوتر بدون نتیجه به معنای از دست دادن زمان نیست. همیشه کارها، تست‌ها و نتایج را ثبت کنید. ثبت کارها هم می‌تواند به شکلی معمولی و هم به شکلی دیجیتالی باشد در هر دو شکل باید به صورت واضح این کار انجام گیرد.

۶. احترام به حریم شخصی:

در فرایند تست هکر قانونی به اطلاعات شخصی دست پیدا می‌کند به عنوان مثال کلید رمزنگاری هرفرد و یک هکر قانونی تحت هیچ شرایطی از اطلاعات بدست آمده نباید سواستفاده نماید. بدست آوردن اطلاعات دست اول از اشخاص به معنی اجازه استفاده از اطلاعات نیست.

۷. احترام گذاشتن به حقوق دیگران:

تست‌های شما نباید تاثیر دائمی روی فرآیند سرویس دهی سامانه ها داشته باشد و از تجهیزات نفوذ باید به درستی و با آگاهی از نتایج آن استفاده شود. از تاثیرات دائمی می‌توان از ممانعت از سرویس(DoS) نام برد.

۸. از فرایند علمی استفاده کنید:

از فرایندهای تجربی و علمی در فرایند هک استفاده کنید. برای شروع از اهداف قابل اندازه‌گیری شروع کنید. به این معنی که هدف برای شما مشخص است. اگر شما یک تست را با شرایط یکسان انجام می‌دهید ولی نتایج کاملا متفاوت می‌گیرید، به احتمال زیادی کاری را در فرایند تست بصورت اشتباه انجام می‌دهید.

۹. روی ابزار مسلط شوید:

هزاران ابزار تست، بصورت رایگان و یا تجاری در اینترنت وجود دارد. ولی متخصص شدن در یکی از این ابزارها شما را در فرایند تست حرفه‌ای و متفاوت می‌کند. اجرای بدون دانش ابزارها می تواند پیامدهای منفی بسیاری بر روی سامانه و همچنین مشکلات حقوقی برای هکر داشته باشد.

وبلاگ

آخرین مطالب

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.