کشف ۲۶۴ آسیب‌پذیری در نشست سایبری سنگاپور
کد مطلب: 15233
تاریخ انتشار : يکشنبه ۲۵ فروردين ۱۳۹۸ ساعت ۱۵:۰۰
 
شرکت دراپ‌باکس توانست شناسایی ۲۶۴ آسیب‌پذیری را در نشست کشف باگ سنگاپور ارائه دهد.
کشف ۲۶۴ آسیب‌پذیری در نشست سایبری سنگاپور
 
 
Share/Save/Bookmark
شرکت دراپ‌باکس توانست شناسایی ۲۶۴ آسیب‌پذیری را در نشست کشف باگ سنگاپور ارائه دهد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دراپ‌باکس (Dropbox) با اختصاص ۳۱۹ هزار و ۳۰۰ دلار در نشست یک‌روزه کشف باگ در سنگاپور، توانست ۲۶۴ آسیب‌پذیری بیابد. در این نشست، هکرها از ۱۰ کشور جهان گردهم آمده‌بودند. این رویداد به میزبانی پلتفرم افشای شکاف‌های امنیتی هکروان (HackerOne) برگزار شد. در این نشست، ۴۵ عضو از کشورهایی مانند ژاپن، هند، استرالیا، هنگ‌کنگ و سوئد حاضر بودند که برخی از آنها ۱۹ سال سن داشتند و برای نفوذ به سیستم‌های هدف دراپ‌باکس در این شهر حضور یافتند.

پیش از این، فروشندگان ذخیره‌سازی داده‌های ابری، بخش‌هایی از حمله شناسایی شده به‌وسیله اعضای هکروان را به نمایش گذاشتند و چندین اشکال بالقوه را قبل از رویداد زنده ارائه کردند. به گفته سخنگوی شرکت، تمرکز روی دراپ‌باکس و خرید پلتفرم کاری دیجیتال اخیرش به نام HelloSign بود.

سخنگوی دراپ‌باکس گفت که شرکت درحال حاضر، برنامه شکار باگ (bug bounty) را در دستور کار خود دارد و فرایندی برای بررسی نقص‌های گزارش شده از این ابتکارات، تعیین شدت آنها و اقدامات لازم ایجاد کرده‌است.

وی در گفتگویی اعلام کرد: مانند همه برنامه‌های شکار باگ امیدواریم که از دیدگاه‌های منحصربه‌فرد و تلاش‌های شرکت‌کنندگان، به منظور کمک به تداوم امنیت محصولات‌مان استفاده کنیم. درحالی که اکنون یکی از فراگیرترین زمینه‌های صنعت را در اختیار داریم. آن را برای رویداد زنده هک در سنگاپور گسترش دادیم. دراپ‌باکس قویاً تمام شرکت‌ها را به سرمایه‌گذاری در برنامه شکار باگ، تشویق و به این برنامه به عنوان نشانه تکامل امنیت فنی نگاه می‌کند.

هکروان از زمان تأسیس در سال ۲۰۱۲، بیش از ۱۳۰۰ برنامه‌نویس را گردهم آورده و حداقل ۴۹ میلیون دلار به هکرها پرداخت کرده‌است. در حال حاضر بیش از ۳۹۰ هزار هکر در شبکه این شرکت ثبت شده‌اند. این شرکت در سنگاپور، با مشتریانی مانند وزارت دفاع، GovTech و Grab همکاری می‌کند.

مارتین میکوس (Marten Mickos)، مدیرعامل هکروان، ابراز امیدواری كرد كه تا پایان سال ۲۰۲۰، مبلغ یک‌صد میلیون دلار از برنامه های شکار مختلف به‌دست خواهد‌آمد. این صحبت، هم‌زمان با چشم‌انداز وی، مبنی بر همکاری با یک‌میلیون هکر در پلتفرمش بیان شد. انتظار می‌رود که این شرکت، به شناسایی مشتریان و رفع بیش از ۲۰۰ هزار آسیب‌پذیری ازجمله ۱۶ هزار باگ بحرانی کمک کند.

هفت‌ماه پیش، شرکت هکروان، دفتر خود را در سنگاپور افتتاح کرد که به عنوان دفتر مرکزی در آسیا-اقیانوسیه فعالیت و از دیگر مشتریان در چین، استرالیا و تایلند پشتیبانی می‌کند.

میکوس در پاسخ به تفاوت خدمات این شرکت با دیگر شرکت‌های مشاوره امنیتی اظهار داشت: اگر کسب‌و‌کارها، مشکل خاصی داشته‌باشند، نقش مشاوران ثالث پررنگ‌تر می‌شود. قدرت جامعه ما، تنوع آن است. هکرهای ما، بدون تعصب هستند و می‌دانند که درصورت پیدا کردن مشکل، جایزه دریافت می‌کنند، بنابراین به کارشان ادامه می‌دهند.

لوک تاکر (Luke Tucker)، مدیر ارشد جامعه و محتوای هکروان، توضیح داد که این شرکت به‌منظور تعیین تعداد هکرهای حاضر در یک رویداد با مشتریان خود همکاری می‌کند. مشتریان نیز تشویق می‌شوند تا تیم امنیتی خود را در کشف باگ شرکت دهند.

تاکر خاطرنشان کرد: مشتری می‌تواند مقدار باگ‌های مدنظرش را تعیین و هکروان نیز کمیسیون پرداخت را دریافت کند. تا به امروز، بالاترین میزان پرداختی در رویدادی یک‌روزه، ۴۰۰ هزار دلار بوده‌است و برنامه‌های چندروزه می‌توانند شاهد جوایزی بیش از ۵۰۰ هزار دلار باشند. مشتریان هکروان نیز اشتراک می‌خرند تا خدماتی مانند تیم رده‌بندی شده خود را – مسئول بررسی و اعتبارسنجی اشکالات کشف‌شده در یک برنامه – دریافت کنند.

برای انتخاب هکرهای شرکت‌کننده در برنامه، هکروان موقعیت هکر را در شرکت برای ارزیابی انسجام و مشخصات از جمله دقت هکرها و تأثیر اشکالات موجود می‌سنجد. تاکر معتقد است که هکروان بازی‌های پرچم طراحی شده برای شناسایی مهارت‌های هکرها در یک حوزه خاص مانند برنامه‌های تلفن همراه را اجرا می‌کند.

در میان افراد حاضر در رویداد کشف باگ سنگاپور، جک کیبِل (Jack Cable)، دانشجوی فعلی علوم رایانه در دانشگاه استنفورد، نیز به چشم می‌خورد. کیبِل ۱۹ ساله، یکی از اعضای هکروان در سه سال گذشته بوده که در بیش از ۱۰۰ برنامه کشف اشکال برای گوگل، فیس‌بوک و وزارت دفاع آمریکا شرکت کرد. وی تا به امروز، بیش از ۲۵۰ آسیب‌پذیری ازجمله بیش از ۳۰ مورد در نیروی هوایی ایالات متحده کشف کرده‌است. کشفیات به‌دست آمده وی مربوط به تحصیلات دانشگاهی‌اش بودند، اما از بیان میزان موارد جمع‌آوری شده امتناع می‌ورزد. پیش از برگزاری رویداد هک دراپ‌باکس، کیبِل ۱۰ ایراد را شناسایی کرده‌بود.

کانگ آنگ (Kaung Htet Aung)، مهندس امنیتی ۲۶ ساله و عضو هکروان که از میانمار در این رویداد شرکت کرد در بیش از ۴۰ برنامه ازجمله رویداد زنده نیویورک از ۲ سال قبل و پیوستنش به شرکت نیز در رویداد دراپ‌باکس حاضر بود. وی در حال حاضر ۱۰۰ آسیب‌پذیری و ۵ مورد پیش از شروع این رویداد کشف کرده‌است.

کانگ که تخصص خود را در رشته مهندسی کامپیوتر دانشگاه ملی سنگاپور گرفت گفت که مهارت‌های هک را با شرکت در مسابقات Flag games کسب کرده‌است.

کیبِل در پاسخ به ضعیف‌ترین و قوی‌ترین سیستم‌ها در برابر نفوذ اعلام کرد: این مسئله به تکامل سیستم‌ها و جهت‌گیری‌های امنیتی سازمان بستگی دارد. صرف‎نظر از اینکه هر سازمانی آسیب‌پذیری‌هایی دارد. اگر با دقت بررسی کنید، این نقص‌ها را پیدا خواهیدکرد. آنچه بسیار اهمیت دارد، این است که چگونه سازمان‌ها به نواقص کشف شده واکنش نشان می‌دهند. کسب‌و‌کارها باید نواقص سیستم‌های خود را شناسایی و آنها را رفع کنند. تنها در این صورت امنیت سیستم‌ها حفظ می‌شود.

میکوس ضمن تأیید صحبت‌های کیبِل اظهار داشت: هر سیستم، نواقصی دارد و شرکت‌ها باید همیشه برای رفع آنها تلاش کنند. نباید روی بیشترین جایی که آسیب‌پذیر هستید تمرکز کنید، بلکه باید روی جایی تمرکز داشته‌باشید که ارزش‌هایی مانند داده‌های مشتری یا اطلاعات پزشکی در خطر هستند. به عنوان مثال، دستگاه‌‎های اینترنت اشیا معمولاً ضعیف محافظت می‌شوند، اما اغلب حاوی اطلاعات بسیار حساس نیستند.

کیبِل و کانگ، هر دو از شرکت‌ها خواستند تا همیشه برای حفظ امنیت از نقطه شروع و در طول کل چرخه عمر توسعه نرم‌افزارهایشان تلاش کنند.

دانشجوی فعلی علوم رایانه دانشگاه استنفورد توضیح داد: وقتی کسب‌وکارها نگرانی مسائل دیگر را دارند، این کار سخت خواهدبود، اما آنها باید به‌واسطه توسعه نرم‌افزارها و اقدامات پیشگیرانه، موقعیت امنیتی بهتری را به‌وجود آورند.

کانگ با تأیید سخنان او گفت: سازمان‌ها باید آزمایش‌ها و بازنگری‌های امنیتی را به عنوان بخشی از جدول زمانی توسعه نرم‌افزارهایشان انجام دهند. با این توسعه، امنیت در زمان مناسب به‌وجود می‌آید و اطمینان حاصل می‌شود که ویژگی‌های اضافی ناایمن تولید نشده‌اند.

به گفته تاکر، ۴ یا ۵ مورد نمونه پیشنهاد از سوی شرکت‌های حاضر در برنامه‌های کشف نقص به اعضای هکروان ارائه شده است. دراپ‌باکس نیز اعلام کرد که به‌شدت روی ایجاد تیم امنیتی خود و آموزش بهترین شیوه‌های امنیتی و چشم‌انداز تهدید فعلی به کارکنانش سرمایه‌گذاری می‌کند. این کار باعث می‌شود هر فردی در سازمان آمادگی بهتری در برابر حملاتی نظیر اسپیر فیشینگ و مهندسی اجتماعی داشته‌باشد.

سخنگوی شرکت دراپ‌باکس از صحبت در مورد میزان هک‌های شناسایی و مسدود شده امتناع کرد؛ اما شرح داد که پایگاه کاربری جهانی بیش از ۵۰۰ میلیون نفر به معنای چالش‌های پیش روی دیگر شرکت‌ها در جهان خواهد بود. وی همچنین جزییات تلاش‌های هک انجام شده با مبدأ آسیا یا دارای کاربرانی در این قاره را فاش نکرد.

دراپ‌باکس برای سال مالی ۲۰۱۸ درآمد ۱،۳۹ میلیارد دلاری، ۲۶ درصد بیش از سال قبل، ثبت و به‌طور متوسط ۱۱۷.۶۴ دلار درآمد حاصل از هر کاربر پرداختی را جمع‌آوری کرد.
مرجع : سایبربان