پاسخ به 7 پرسشی که همیشه می خواستید از یک محقق آسیب های امنیتی بپرسید - قسمت دوم

مصاحبه میرکو زورز –سردبیر مجله insecure – با میتجا کلوسک، مدیر کل شرکت امنیتی ACROS  و یک محقق سرشناس آسیب های امنیتی

قسمت اول مصاحبه

۳- برای افرادی که علاقه مندند  وارد حوزه کاری شما یعنی آسیب شناسی امنیتی بشوند، چه پیشنهاداتی دارید؟ لازمه آغاز به کار چنین فعالیتی چیست؟

در وهله اول باید به یادگیری فناوری های جدید، پلتفورم ها، انواع مختلف زبان های برنامه نویسی، تکنیک های جدید حمله هکرها و ویروس ها و انواع مختلف آسیب شناسی علاقه شدید داشته باشند. مطالعه و تحقیق دایمی در مورد این مسایل باعث می شود یک آسیب شناس همیشه به روز باشد و بتواند به طور مداوم به فعالیت خود در مسیر درست ادامه بدهد. در کنار این مطالعات باید همیشه این احساس درونی را در خود تقویت کند که «یک جای کار می لنگد و به نظر می رسد چیزی اینجا درست کار نمی کند». این درک درونی باعث می شود تا با دقت بیشتر کدهای مشکوک و واکنش های مخرب را جست‌وجو کنید. همین تقویت روحیه آسیب شناسی، نیازمند دست کم دو سال تمرین و ممارست دایمی است. اگر افرادی هستند که دوست ندارند از علم فنی خود برای ساختن نرم افزار یا محصولات سخت افزاری استفاده کنند و بیشتر کشش آنها به سوی یافتن اشکالات و نفوذ به کد منبع محصولات است، امن ترین و مطمئن ترین راه برای آغاز کار، مطالعه روی وب سرورها و یادگیری در مورد تزریق کد، ریکوئست های جعلی تزریق کد و تزریق SQL است. تزریق کد که به انگلیسی cross- site scripting نامیده می شود یکی از روش های دسترسی غیر مجاز به وب سایت توسط یک هکر است.  

اگر نمی توانید همه جزییات را در یک مکان واحد به دست بیاورید، به مطالعه مداوم white papers که در واقع گزارش ها و راهنماهای معتبر و رسمی برای حل مشکلات هستند و پیگیری  کنفرانس هایی که در این زمینه هستند، بپردازید. به دنبال یافتن اطلاعات درباره اقدام متقابل و سپس اطلاعاتی در رابطه با راه های جانبی دیگر این اقدامات باشید.

۴- چه نوع تجهیزاتی را به افرادی که به طور جدی می خواهند وارد حوزه آسیب شناسی امنیتی بشوند، توصیه و پیشنهاد می کنید ؟

برای آسیب شناسی نرم افزاری، نیازی به داشتن ابزار گران قیمت و غیرمعمول نیست. با یک کامپیوتر رومیزی کارآمد و چند ابزار و نرم افزار رایگان می توانید یک کار تحقیقاتی را شروع کنید. من بر استفاده از  VMware  تاکید بسیاری دارم. به دلیل اینکه می توان بین سیستم عامل های مختلف برای تست به سرعت تغییر موقعیت داد. به طور مثال، جهت جلوگیری از صرف زمان زیاد برای راه اندازی دوباره سیستم عامل، هنگام تحقیقات امنیتی درباره هسته سیستم عامل که هر ۱۰ دقیقه یک بار سیستم تان از کار می افتد، می توانید از این برنامه استفاده کنید.

آسیب شناسی سخت افزاری درست برخلاف نرم افزار، به ابزار گران قیمت و دستگاه های خطرناک نیاز دارد. اصولا، این دستگاه ها در دسترس همه نیست و برای تحقیقات غیر ضروری و از روی سرگرمی مورد استفاده ندارد. البته باید اشاره کنم، تجهیزات هک کردن سخت افزاری در حال حاضر قیمت های چندان گرانی ندارند. به طور مثال، تجهیزاتی که برای تحقیقات GSM مورد نیاز است را می توان با چند هزار دلار خریداری کرد. در صورتیکه همین وسایل درست تا دو سال پیش بسیار گران و غیر قابل خریداری بودند. 

۵- مطمئنم این سوال برای دیگران هم مطرح است که روزهای زندگی یک محقق آسیب های امنیتی به چه شکلی می گذرند؟ 

روزهای زندگی ما بسیار معمولی و ساده است و چیزی برای گفتن ندارد. شما تمام روز را پشت کامپیوتر می نشینید، درباره راه های مختلف حمله به یک محصول و هک کردن آن فکر می کنید، ابزار مورد نیاز برای نفوذ را یادداشت می کنید،برگه های راهنمای محصول را که در دستتان است، مطالعه می کنید، هنگامی که راهی برای نفوذ بی عیب و نقض پیدا نمی کنید سر خود را می خارانید و در آخر، وقتی موفق به یافتن آنچه می خواستید شدید، یک لبخند پیروزمندانه  می زنید. این می تواند یک روز کاری یک آسیب شناس امنیتی را تشکیل بدهد. البته تعداد روزهای آن به میزان مقاومت محصول در برابر حمله ها نیز بستگی دارد. اگر چندین روز متوالی این کار ادامه داشته باشد، شاید بعد از پیروزی برای تخلیه حس خوشحالی داد بزنید یا حتی برقصید.  

این لحظه های موفقیت آمیز، خواه در رابطه با اجرای یک کد در سرور باشد یا انتقال میلیون ها دلار از حساب بانکی خالی خود، اوج روز کاری یک آسیب شناس و محقق امنیتی به شمار می روند.  

۶- نظر شما در مورد کدهای بسته و کدهای باز یک محصول چیست؟ بر اساس تجربیات شما، آیا یکی از آنها می تواند امن تر از دیگری باشد؟

در شرایط ایده آل که گروهی از محققان امنیتی باید هر دو کدهای بسته و کدهای باز یک محصول را مورد بازبینی قرار بدهند، فرض قوی ما بر این است که تعداد کمی از آسیب ها و باگ ها در محصولات اپن سورس (کد باز) غیر قابل کشف شدن باقی می مانند. اما ممکن است در محصولاتی که کدهای بسته دارند، این رقم بالاتر باشد. 

اما در شرایط واقعی چنین اتفاقی نمی افتد. تجربه ثابت کرده است که باز یا بسته بودن کدهای منبع یک محصول ارتباط چندانی به قابلیت هک شدن و نفوذ به آن ندارد و چیزی که در این میان حرف اول را می زند، برنامه نویس های آن محصول هستند. هرچه قدر برنامه نویس قوی تر و حرفه ای تر باشد، کدها امن تر نوشته می شوند و نفوذ به آنها دشوارتر می شود. 

۷- نظر شما در مورد مبلغ پیشنهادی شرکت های کامپیوتری به محققان امنیتی چیست؟

به عنوان یک محقق امنیتی حرفه ای، ما همیشه دستمزد خود را از مشتری هایمان برای یافتن اشکالات و باگ های آنها دریافت کرده ایم. همچنین، برنامه های bug bounty (اهدا جوایز به محققان امنیتی) که بیشتر شرکت ها اجرا می کنند نیز روش تجاری دیگری برای این کار محسوب می شود. 

در مورد کارهای کوچک و کم هزینه، اصولا این شرکت های کامپیوتری و مشتری ها هستند که سود می برند زیرا محققانی که روی پروژه های کوچک تحقیق می کنند، اصولا دستمزدی دریافت نمی کنند. تنها دریافتی آنها جایزه ای برای موفقیت شان است. بنابراین، محققان نیز راهی پیدا می کنند تا دستمزد یا مبلغ جایزه را افزایش بدهند. به این ترتیب که سوراخ ها و باگ های امنیتی بزرگ را پیدا نکنند تا شرکت ها مجبور بشوند مبلغ پرداختی را افزایش بدهند. اگر تمایلی به افزایش مبلغ نداشتند نیز باید شاهد ترک کردن پروژه توسط محقق باشند. 

اما در بیشتر مواقع، شرکت های بونتی این کار را می کنند و بسیار مایه خوشحالی است که شرکت ها و مشتری ها، خودشان را با این مساله وفق داده اند.