باگ بانتی چیست؟

معنی لغت باگ به فارسی به معنی حشره است و دلیلی که از عنوان BUG استفاده می‌کنند اتفاقی است که در سال ۱۹۴۷ برای اولین بار در کامپیوتر الکترومکانیکی افتاد به این نحو که شاپرک مرده‌ای بین رله‌های کامپیوتر افتاده بود و باعث ایجاد خطا در عملکرد کامپیوتر شد.

در گزارش رفع این خطا از عبارت “this bug was carefully removed and taped to the log book” استفاده شد و از آن زمان تا الان عبارت باگ به عنوان خطای نرم‌افزاری استفاده می‌شود.

عبارت باگ بانتی(bug bounty) که معادل فارسی آن می‌شود ” انعام باگ ” اولین بار در سال ۱۸۵۱ به ازای باز نمودن یک قفل فیزیکی مطرح شد، شرکت تولید کننده ارزش معادل ۲۰۰ شمش طلا پرداخت نمود. در سال ۱۹۸۳ شرکت Hunter & Ready اولین باگ بانتی دیجیتال را برگزار نمود و این شرکت بعدها با شرکت Microtec ادغام شد و این باگ بانتی برای سیستم عامل اختصاصی شرکت اجرا شد و به عنوان جایزه به کسی که باگ گزارش کرده بود ماشین فولکس‌واگن هدیه دادند. دوازده سال بعد در سال ۱۹۹۵ مهندس پشتیبانی جارت ریدلینقفر(Jarrett Ridlinghafer) از شرکت نت‌اسکیپ عبارت باگ بانتی را مطرح کرد و روی نسخه دو این پلتفرم باگ بانتی اجرا شد. سال ۲۰۰۲ شرکت  IDefense به عنوان واسط فنی باگ بانتی، پرداخت  400 دلار برای مشکلات امنیتی نرم افزارهای مختلف را انجام داد. در  سال ۲۰۰۴ باگ بانتی شرکت   Mozillaصورت گرفت و پرداخت حدود ۵۰۰ دلار برای باگ‌های بحرانی را در پی داشت. شرکت TippingPoint در سال ۲۰۰۵، به عنوان واسط فنی باگ بانتی ZDI را پایه گذاری نمود. در سال ۲۰۰۷، در کنفرانس  CanSecWest مسابقات Pwn2Own اعلام شد و حدود  10.000 دلار برای سیستم عامل‌های Mac ارایه شد. در سال ۲۰۱۰ مهم‌ترین ترند در حوزه باگ بانتی مبتنی بر وب است و شرکت گوگل به همراه دو شرکت پستی فدرال آلمان و هلند و دو شرکت Baracuda و Mozilla پلتفرم باگ بانتی را ایجاد نمودند. مجموعه   BugCrowdپلتفرم واسط باگ بانتی در امریکا، در سال  2011 برای ارایه خدمات واسط فنی و حقوقی به سازمان‌ها و متخصصین امنیتی شروع به فعالیت نمود و پلتفرم Synack بصورت رسمی در سال ۲۰۱۳ این نقش را در نهادهای نظامی امریکا بر عهده گرفت. پلتفرم مطرح دیگر به نام HackerOne در سال ۲۰۱۵ عملیاتی شد و مانند BugCrowd در نقش واسط فنی و حقوقی میان دو سوی پلتفرم فعالیت می‌نماید.

پلتفرم‌های باگ بانتی دسترسی وسیع‌تری به متخصصان امنیتی دارند و استعدادهای بیشتری را می‌توانند دورهم جمع کنند. مساله باگ بانتی شناسایی باگ نیست، مسئله اصلی تحلیل باگ و تسریع در ایمن سازی آن می باشد. سازمان‌های بین المللی پس از دریافت هر باگ امنیتی آن را نقطه آغاز می‌دانند. این سازمان‌ها باگ های جدید را یک سناریو تست جدید برای سامانه خود می‌دانند هرچه تعداد بیشتری باگ گزارش می‌شود، آن‌ها با تیم توسعه خود برای توسعه سناریوهای جدید تست هم‌گام می‌شوند و حتی تیم طراحی کنترل‌های جدید در معماری خود در نظر می‌گیرد. این مجموعه منجربه درس‌های یادگیری شده از هر باگ شده که برای هریک خط مشی‌ها، قوانین و نیازمندی‌های مختص به هر کدام در محصول تشریح شده است.

نکته‌ای که در باگ بانتی در نظر گرفته می‌شود این مساله است که اکثریت سامانه‌های مورد تست باگ بانتی در دید عموم افراد جامعه قرار دارند و دسترسی که متخصصین امنیتی باگ بانتی با سامانه دارند می بایست دقیقا مشابه دسترسی مشتریان معمول آن سامانه باشد. متخصصین امنیتی باگ بانتی نیز مشتریان آن سامانه هستند با این تفاوت که تخصص امنیت اطلاعات دارند و می‌توانند مشکلات امنیتی را شناسایی نمایند.

دو روش برای اجرای باگ بانتی وجود دارد: روش اول باگ بانتی خصوصی و روش دوم باگ بانتی عمومی است. در نوع اول ایجاد بانتی برای سامانه تحت ارزیابی باگ بانتی توسط تمامی متخصصین امنیتی پلتفرم قابل مشاهده بوده و افراد می‌توانند گزارشات امنیتی خود را از طریق پلتفرم ارسال نمایند. در نوع دوم مشاهده شرایط بانتی و ارسال گزارش تنها برای برخی از متخصصین امنیتی قابل مشاهده می‌باشد که شرایط خاصی مانند سطح امتیاز، تخصص و یا آیتم‌های دیگر را در نظر دارند.

استفاده از پلتفرم باگ بانتی یا BBP(Bug Bounty Platform):

  1. یک BBP به شرکت نرم‌افزاری مورد نظر کمک می‌کند که سیاست مورد نیاز اجرای باگ بانتی را پیاده کند که شامل یک سند است که جزئیات مربوط به اهداف مورد نیاز برای تست امنیت، فرایند گزارش باگ، زمان‌بندی، قوانین مورد تایید، کانال ارتباطی، نوع ارایه گزارش، زمان‌بندی رفع باگ، جوایز آسیب‌پذیری و قوانین دیگر را بیان می‌کند. به این سند VDP (Vulnerability Disclosure Program) یا سند اعلام باگ گفته می‌شود که بصورت اشتراکی توسط تیم فنی و حقوقی می‌بایست تهیه شود. مهمترین گام در ایجاد باگ بانتی گام یک یا تدوین سند VDP می‌باشد و با غفلت و نادیده گرفتن مسایل مختلف، می‌تواند منجربه ایجاد خسارت به سازمان و یا متخصصین امنیتی گردد. در کشورهای دیگر، در صورتیکه سازمان بصورت شفاف پارامترهای VDP خود را بر روی سامانه‌های خود اعلام ننماید، متخصصین امنیتی گزارش باگ را به آن سازمان انجام نمی‌دهند، زیرا می‌تواند منجربه ایجاد مسایل حقوقی برای متخصص و یا سازمان گردد.
  2. زمانی که مرحله قبل انجام شد، شرکت BBP به اجتماع متخصص امنیتی اعلام می‌کند که که برنامه باگ بانتی اجرا شده است و می‌توانند عملیات تست را مطابق با VDP شروع کنند.
  3. متخصصان امنیتی می‌توانند از طریق باگ بانتی ماه‌ها تست‌های خود را روی سامانه اجرا کنند.
  4. متخصصان امنیتی گزارشات باگ را به پلتفرم باگ بانتی ارائه می‌کنند و تیم کمیته فنی پلتفرم باگ بانتی گزارشات را بررسی می‌کنند و موارد تایید شده را بر اساس پارامترهای فنی و قوانین VDP به سازمان اعلام می نماید.
  5. سازمان می‌تواند به صورت شبانه روزی برنامه باگ بانتی را به صورت زنده رصد کند و از آسیب‌پذیری‌های پیدا شده و مبالغ پرداخت شده آگاهی پیدا کند و سریعا برای ایمن سازی اقدام نماید.

همانطور که اشاره شد محققان زیادی با تجربه‌های متفاوت می‌توانند سامانه مورد نظر را برای یک دوره طولانی بررسی قرار دهند. از این طریق احتمال کمتری وجود دارد که یک باگ دیده نشود و مواردی که در تست‌های داخلی سازمان به دلیل تغییرات بسیار سامانه‌ها از چشم دور می‌ماند، اجتماع متخصصین امنیتی با حسن نیت به سازمان گزارش می‌نمایند.

بسیاری از شرکت‌ها در نظر دارند یک دیوار امنیتی بسیار قوی بسازند به شکلی که کسی توانایی نفوذ به آن را نداشته باشند. ولی در واقعیت چیز دیگری اتفاق می‌افتد و آن این است که اهمیت ندارد چقدر این دیوار امنیتی قوی است و هکرها دیر یا زود نقطه ضعفی از این دیوار امنیتی پیدا می‌کنند و اکسپلویت آسیب‌پذیری انجام می‌دهند. تکنولوژی هرلحظه در حال تغییر و پیشرفت است و به همین دلیل سیاست‌های امنیت سایبری هم‌پای پیشرفت تکنولوژی باید به‌روز شوند. در همین راستا آسیب‌پذیری‌های امنیتی قبل از اینکه هکرهای کلاه سیاه اکسپلویت انجام دهند، ترمیم شوند.

باگ بانتی راهی مقرون به صرفه و بهینه برای تست و بررسی مداوم محصولات کسب و کارها است و پلتفرم‌ باگ بانتی باگدشت می‌تواند این خدمات را متناسب با سطح و نیازمندهای هر کسب و کار در اختیار قرار دهد تا بتوانیم ایمن‌سازی بهتری در سطح کشور ایجاد نماییم. برای آشنایی با خدمات باگدشت می توانید از لینک خدمات سازمانی اقدام بفرمایید.

منابع:

در صورت تمایل به اشتراگ بگذارید