برگزاری دومین رویداد امنیتی CTB باگدشت با همکاری ایرانسل، همراه کارت و فپنا

شهریور ۱۷, ۱۴۰۰

رویداد شناسایی باگ‌های امنیتی، «CTB» یا «Capture The Bug» برای دومین سال پیاپی توسط مجموعه باگدشت در شهریور ماه ۱۴۰۰ برگزار شد. هدف اصلی برگزاری این رویداد فرهنگ‌سازی و تشویق همکاری میان متخصصان امنیتی و سازمان‌های کشور است. در ادامه به جزییات این رویداد می‌پردازیم.

مسابقه باگ بانتی رویداد CTB:

بخش اول رویداد امنیتی CTB از تاریخ ۱۰ شهریور تا ۱۳ شهریور به طول انجامید. متخصصین امنیت اختصاصی باگدشت که در طول یک سال گذشته همکاری موثری با باگدشت داشته اند با دعوت به این رویداد، با رعایت قوانین باگ‌بانتی در حدود ۶۰ باگ به ثبت رساندند. گزارش‌های باگ دریافت شده زیر نظر داوران فنی باگدشت مورد ارزیابی قرار گرفتند. بعد از تأیید شدن باگ، ارزشگذاری گزارشات متخصصین امنیت لحاظ شدند. نکته مورد توجه در این مسابقه فعالیت متخصصان امنیت در ساعات اولیه شروع مسابقه و عملکرد سریع تیم داوری فنی باگدشت بود. همچنین همکاری متخصصین امنیتی با باگدشت در خصوص ارایه جزییات و شواهد وجود باگ، فرایند داوری باگ‌ها را تسریع کرد.

مسابقه امنیتی CTB در خصوص سامانه های «دانا اپ»، «RBT یا آهنگ پیشواز» و «خدمات ابری» از ایرانسل، نسخه جدید اپلیکیشن «همراه کارت» که هنوز وارد بازار نشده و «راهکار نفوذ به گوشی‌های اندرویدی نسخه ۶ به بالا بدون حذف اطلاعات» از شرکت فپنا بود که بصورت اختصاصی مورد ارزیابی قرار گرفتند. از مهمترین تفاوت های مسابقه باگ بانتی CTB با سال گذشته به افزایش زمان شرکت در مسابقه از یک روز به چهار روز بود تا متخصصین با تمرکز بهتر در مسابقه همکاری نمایند.

دوره‌های آموزشی رویداد CTB:

بخش دوم رویداد CTB به آموزش‌های تخصصی باگ بانتی حرفه‌ای و کدنویسی امن اختصاص یافت. در این سال علاوه بر برگزاری مسابقه امنیتی، برگزاری دوره های آموزشی با هدف آشنایی بیشتر سازمان‌ها و متخصصین با رویکرد شناسایی باگ و ایمن سازی صورت پذیرفت. مدرسان بخش باگ بانتی حرفه‌ای مهندس حامد ایزدی و دکتر حسین نفیسی اصل بودند. مهندس ایزدی به تشریح فاز Rcon و معرفی ابزارهای Enumeration پرداخت. به‌علاوه، او اجرای راهکارهای خودکارسازی این فاز و تجمیع سازی ابزاری باگ بانتی را آموزش داد. دکتر نفیسی اصل به معرفی افزونه‌های Burp suite پرداخت و تنظیم این افزونه‌های برای باگ بانتی حرفه‌ای را آموزش داد. همچنین برای تکمیل آموزش نمونه سناریو‌های کشف باگ با استفاده از این روشها را نمایش داد. سرفصل‌های بخش اول این دوره آموزشی شامل:

تشریح فاز Recon و معرفی ابزارهای Enumeration
اجرای سناریوهای خودکارسازی
اسکریپت نویسی برای تجمیع ابزارها در باگ بانتی.
تحلیل ابزارهای Naabu، Httpx، paramspider، dirsearch، Aquatone، Gospider، Nuclei، xsshunter، Reconfwt، Osmedeus، Echopwn و Nohub

سرفصلهای بخش دوم این دوره نیز شامل:

معرفی افزونه‌های Burp suite و تنظیم آن‌ها برای باگ بانتی
اجرای سناریو توسط افزونه‌های ابزار برای شناسایی باگ بانتی امنیتی
تحلیل افزونه های Joseph، Logger++، Burp bounty، Param Miner، Retire.js، Http request smuggler، Upload scanner، Autorize

تدریس بخش کدنویسی امن را مهندس سعیده زینالی برای مخاطبین برعهده داشت که سرفصل این دوره به شرح زیر بود:

راهکارهای جلوگیری از آسیب‌پذیری‌ها در مرحله توسعه برنامه تحت وب
مثال‌های کدهای آسیب‌پذیر و روش‌های امن کردن کدها
معرفی مراحل Appsec
تشریح روش توسعه امن برنامه‌ها براساس کنترل‌های استاندارد OTG
تحلیل تست کیس‌های آسیب‌پذیری برنامه براساس Burp suite
معرفی آسیب‌پذیری‌های رایج در برنامه نویسی

اختتامیه رویداد CTB:

در بخش اختتامیه رویداد CTB، در روز پایانی، دکتر علیرضا پورابراهیمی رئیس کمیته پدافند غیرعامل وزارت ارتباطات، مهندس علیرضا قهرود مشاور و ممیز حوزه امنیت با رویکرد دفاع سایبری، دکتر کاوه رعدی مدیرعامل همراه‌کارت و همچنین دکتر حجت کهندل عضو هیات‌مدیره شرکت فپنا به بیان نظرات خود در مورد این رویداد و آینده امنیت سایبری ایران پرداختند.

دکتر پورابراهیمی به عنوان یکی از سخنران در این رویداد گفت: «باید اهمیت حوزه باگ‌بانتی برای مسئولان مشخص شود و این دانش را به افراد مسئولی که در این زمینه اطلاعات کافی ندارند برسانیم. متخصصان امنیت کشور زمانی می‌توانند مفید باشند، که سازمان‌ها و مدیران بالادستی برای این کار بودجه درنظر بگیرند». مساله دیگری که ایشان به آن پرداخت، اشتباه در ارزش‌گذاری اطلاعات بود. به گفته او «مشکل آنجاست که ارزش‌گذاری‌ها براساس سازمان صورت می‌گیرد. در حالی که بسیاری از مواقع، ممکن است اطلاعاتی که برای ما اهمیت بالایی دارد، برای فرد نفوذگر و سازمان پشت آن اهمیتی نداشته باشد و یا برعکس، اطلاعاتی که برای سازمان اهمیت چندانی ندارد، از نظر نفوذگران، بسیار بااهمیت باشد.»

مهندس علیرضا قهرود، یکی دیگر از سخنرانان این رویداد بود که در یک ارائه تخصصی به بررسی راهکار‌ها و چالش های نشت اطلاعات سازمان‌ها پرداخت. قهرود اعلام کرد، نشت اطلاعاتی در سال‌های اخیر بسیار زیاد شده و ما نیازمند قانونی مشابه قانون GDPR اروپا هستیم تا علاوه بر جلوگیری از اتفاقات این چنینی، امکان پرداخت خسارت از سوی شرکت‌ها و سازمان‌ها وجود داشته باشد.

مهندس کاوه رعدی در خصوص علت شرکت در این رویداد و رویکرد مجموعه همراه کارت به مقوله امنیت گفت: «همکاری همراه‌کارت و باگدشت محدود به این رویداد نیست و ما پیش از این هم با مجموعه باگدشت همکاری داشتیم. رویکرد ما نسبت به موضوعات امنیتی به‌گونه‌ای است که این همکاری‌ها به‌صورت بلندمدت ادامه خواهد داشت.»

دکتر حجت کهندل در خصوص حضور در این رویداد گفت: «با توجه به این که اغلب ابزار‌های موجود در حوزه جرم‌یابی خارجی و مخصوصا متعلق به شرکت‌های آمریکایی یا اسرائیلی هستند، ما با هدف کمک‌گیری از متخصصان امنیت برای تولید این محصولات در داخل، در این رویداد شرکت کردیم.»

همچنین در این رویداد دکتر حسین نفیسی اصل و مهندس عباس هیبتی به ارایه چندین رایتاپ امنیتی تخصصی از شرکت‌های فیسبوک، تسلا و دیگر شرکت‌ها به‌صورت زنده پرداختند که مورد استقبال حضار قرار گرفت. دکتر حسین نفیسی اصل در مورد رایتاپ و اهمیت خواندن رایتاپ در پیدا کردن حفره‌های امنیتی صحبت کرد. همچنین با ارایه جدیدترین رایتاپ‌های منتشر شده در اینترنت به بیان چالش‌های امنیتی در حوزه سایبری پرداختند. مهندس هیبتی، یکی از متخصصان برتر باگدشت، در اختتامیه POC باگ پیدا شده در سایت تسلا را نمایش داد و اثر این باگ را مفصل تشریح کرد.

برای دسترسی به محتوای رایتاپهای توضیح داده شده در رویداد میتوانید از لینک کانال یوتیوب باگدشت اقدام بفرمایید.

اهدا جوایز رویداد CTB:

جوایز نفرات برتر به‌صورت حضوری به متخصصین برتر مسابقه باگ بانتی CTB اهدا شد. از میان متخصصان امنیت VIP باگدشت، احمد داورپناه، به عنوان نفراول، سیاوش افشار، به عنوان نفر دوم، و امید شجاعی، به عنوان نفر سوم، انتخاب شدند. جایزه نفرات اول تا سوم هم به ترتیب گوشی سامسونگ گلکسی S20، ساعت هوشمند گلکسی واچ و هدفون سامسونگ گلکسی بادز ۲ بود که در پایان مراسم به آنها اهدا شد.

سخن پایانی:

به گفته رویا دهبسته، مدیرعامل باگدشت، در یک سال اخیر تعداد متخصصانی که با حوزه باگ‌بانتی علی الخصوص از شهرستانهای کشور، آشنا شدند بسیار بیشتر شده و از همین رو، متخصصین امنیت VIP باگدشت از حدود ۲۰ نفر در سال گذشته به حدود ۳۵ نفر افزایش پیدا کردند که این متخصصان هم از سراسر کشور در این مسابقه حضور داشتند.

او افزود که در سال جاری، خدمات جدید باگدشت از جمله ارزیابی امنیتی، باگ بانتی اختصاصی، ایمن سازی، دوره های آموزشی و تیم قرمز برای سازمان‌ها بصورت ارایه خدمات SaaS در پلتفرم توسعه داده شد. از سوی دیگر امکان اشتراک گذاری رزومه کاربران متخصص امنیتی و تاریخچه فعالیت آنها و همچنین دسترسی به پروژه‌های امنیتی به عنوان همکار در این پلتفرم در نظر گرفته شد. تغییرات و بهبود در امتیازبندی همکاری متخصصین امنیتی در هریک از پروژه‌ها از دیگر اقدامات باگدشت در شش ماه نخست سال بوده است.

وبلاگ

آخرین مطالب

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.