در سال‌های اخیر مجرمان سایبری بدون فعالیت نبوده‌اند و حملات گسترده‌ای به زیرساخت‌های دنیا اجرا کرده‌اند. حملات گسترده‌ای مانند Nobelium و Hanfnium همراه با حملات باج‌افزار به زیرساخت‌ها نشان دهنده پیشرفته‌تر شدن و هماهنگ‌تر شدن حملات است.

در این مطلب، به تجربیات فعالیت در پلتفرم باگ بانتی باگدشت از دیدگاه متخصصین امنیتی سطح اختصاصی (VIP) می‌پردازیم. متخصصین سطح VIP در گفتگویی که با کمیته فنی باگدشت داشته‌اند به چالش‌ها و همچنین فرصت‌های موجود در فعالیت باگ بانتی اشاره نموده‌اند.

در این مقاله می‌خواهیم به نحوه نوشتن گزارش خوب در باگ بانتی بپردازیم. برای گزارش یک باگ نیازمند به رعایت نکاتی هستیم که اگر به آن‌ها دقت نشود شاید باعث سردرگمی خواننده شود و بازخورد مناسبی نداشته باشد. اتفاقی که شاید باعث کاهش امتیاز و بانتی شما شود.

Zero Trust اشاره به مفاهیم امنیتی دارد که فرض بر این است که کاربران، سیستم‌ها و سرویس‌ها بصورت پیش فرض مورد اعتماد نیستند و می‌بایست در هر مرحله تمام کاربران بیرون یا داخل شبکه برای دسترسی به منابع سازمانی احراز هویت شوند.

بر اساس تحلیل انجام شده توسط رسانه خبری پیوست، ۱۲۷۱ گزارش امنیتی تاکنون در رابطه با سازمانها و شرکتهای ایرانی شناسایی شده است. این تعداد باگ منجر به همکاری امنیت باگدشت با بیش از ۴۰ سازمان شده است که ۲۰ بانتی اختصاصی و عمومی را برگزار کرده است.

دومین گزارش سالانه باگدشت با هدف شفاف سازی هرچه بیشتر نحوه عملکرد شرکت در سال گذشته منتشر شد. باگدشت با کسب مجوزهای امنیتی و تاییدیه‌های مراکز نظارتی در سال ۱۳۹۹ توانست همکاری‌های مثبتی را با سازمان‌ها و متخصصین امنیتی کسب نماید.

کارگاه آموزشی با موضوع برنامه‌نویسی امن وب سرویس به مدت ۲ روز توسط باگدشت برگزار شد. در این دوره به مفاهیم آسیب‌پذیری‌های امنیتی Angular JS، امنیت API و آسیب‌پذیری‌های Node JS پرداخته شد. برنامه‌نویسی امن تمرین توسعه نرم‌افزارهای کامپیوتری است. به گونه ای که از ایجاد آسیب پذیری های تصادفی و منطقی جلوگیری کند.

شبیه سازی تیم مهاجم، آمادگی کسب و کار و تیم امنیت را در دفاع افزیش می‌دهد. هدف نهایی این امتحان‌ بررسی بلوغ و سرعت عمل سازمان‌ها و شرکت‌ها در شناسایی و پاسخ دهی به حملات سایبری است. بهره برداری از تیم قرمز برای شرکت‌هایی است که حداقل کنترلهای امنیت سایبری را رعایت کرده‌اند و نیازمند امتحان کردن المان‌های امنیتی خود در حد بالا هستند.

در مقاله قبلی در مورد آسیب‌پذیری‌های DNS گفته شد و گفتن این نکته ضروری است اگر خود پروتکل DNS امن در نظر گرفته شود، امکان نادیده گرفتن المان‌های امنیتی و پیاده سازی نادرست آنها توسط توسعه‌دهندگان وجود دارد. برای مثال، درک اشتباهی وجود دارد که اگر هر تابع تصادفی غیرقابل حدس است، پس می‌توان کلید‌های رمزنگاری امن از طریق این توابع ایجاد کرد.

در این مقاله تحلیلی باگدشت به بررسی تاریخچه‌ای از آسیب‌پذیری‌های DNS می‌پردازد. آسیب‌پذیری‌های DNS سامانه‌ها DNS و میلیون‌ها تجهیزات را در سرتاسر دنیا معرض خطر قرار داده‌اند. همچنین آسیب‌پذیری‌های DNS معمولاً بحرانی هستند. فرض کنید که وب‌سایت حساب بانکی خود را بخواهید مشاهده نمایید و DNS resolver آدرس وب‌سایت مهاجم را نشان می‌دهد.