امنیت شبکه‌ی طلا و رمزارز زیر ذره‌بین

دور تا دور سالن، دختر و پسرهای جوان نشستند که به کلاه سفیدها معروف هستند. هکرهای جوانی که با نام شکارچی در این رویداد از آنها نام برده می‌شود، در تلاشند تا آسیب‌ها و راه‌های نفوذ به پلتفرم‌های حاضر در رویداد را شناسایی و برنده‌ی جایزه شوند.

«رویداد باگ بانتی» نهم و دهم اسفند در هتل المپیک، با حضور ۶ پلتفرم خرید و فروش طلا و ارز و ۵۲ شکارچی یا هکر کلاه سفید، برگزار شد. در این برنامه به شرکت‌کنندگانی که حمله‌های موفقی را به پلتفرم‌ها اجرا کرده و ایراد و اشکال‌های فنی آن‌ها را پیدا کنند تا سقف ۳.۵ میلیارد تومان پاداش داده می‌شود. این پاداش از سوی پلتفرم‌هایی اهدا می‌شود که امنیت شبکه‌ی خود را در این رویداد در معرض سنجش قرار داده‌اند.

تنها «طلاین»، پلتفرم خرید و فروش آنلاین طلا، برای پیدا کردن راه‌های نفوذ به شبکه‌ی خود جایزه‌ی یک میلیارد تومانی تعیین کرده که در سطوح مختلف و بسته به سطح نفوذ به متخصصان شبکه‌ی حاضر پرداخت می‌کند. به شرطی که یک هکر کلاه سفید بتواند به شبکه‌های آنها نفوذ کرده و امنیت‌شان را خدشه‌دار کند!

در این رویداد شکارچی‌های حاضر که اغلب بین ۱۸ تا ۲۲ سال دارند باید راه‌های حمله به پلتفرم‌های طلا، ارز و صرافی‌ها را پیدا کنند تا در همان لحظه، پلتفرم‌های مورد حمله، باگ‌های خود را رفع کنند.

طی این دو روز رویداد ۱۵۰ گزارش آسیب پذیری توسط این شکارچی‌های جوان ثبت شد که طبق اعلام برگزارکنندگان برنامه ۵ مورد آسیب حیاتی بود.

اجرای چنین برنامه‌هایی برای بالاتر بردن امنیت پلتفرم‌هایی است که به صورت آنلاین فعالیت می‌کنند و ممکن است روزانه مورد حمله‌های واقعی هکرهای غیرقانونی قرار بگیرند. برای همین هم در بخشی از این برنامه «سردار امیرلی»، جانشین فتا اعلام کرد که در آینده نزدیک طرح «بیمه سایبری» اجرا خواهد شد.

کلاه‌سفیدها تا تست برطرف شدن ایراد فعالیت می‌کنند

طلاین، یکی از پلتفرم‌هایی بود که برای بررسی امنیت محصول خود حضور پررنگی در این رویداد داشت و جایزه‌ی یک میلیارد تومانی هم در نظر گرفته بود و در چند مقطع مورد حمله‌ی هکرهای کلاه سفید قرار گرفت.

مجموعه‌ی حمله‌هایی که به طلاین شده منجر به پیدا شدن چند باگ کوچک شده است. در واقع این مجموعه جایزه یک میلیارد تومانی خود را به چندین و چند جایزه کوچک‌تر تقسیم کرده که بسته به سطح نفوذ و ورود به شبکه به کارشناسان اختصاص پیدا می‌کند. در روز اول اعلام شد که هکرهایی که بالاترین سطح نفوذ به طلاین را پیدا کنند جایزه‌ی ۱۰۰ میلیون تومانی می‌برند که بعد از تلاش‌های ناموفق روز اول برای ورود به این پلتفرم این جایزه در روز دوم نهایتا به ۳۰۰ میلیون تومان افزایش پیدا کرد. در نهایت اما چیزی که نصیب شکارچی‌های طلاین شد پیدا کردن چند باگ کوچک و جوایزی درخور برای آن بود. یکی از هکرهای جوانی که با ۲۱ سال سن در دو روز برگزاری این رویداد برای نفوذ به طلاین برنامه‌ریزی کرده بود می‌گوید: «طلاین یکی از تارگت‌های اصلی من در این دو روز بود که خیلی برای نفوذ به آن زمان گذاشتم. بنابراین اتک‌های مختلفی روی آن پیاده‌سازی کردیم که اصلی‌ترین آن برای روز آخر برنامه بود که در نهایت منجر به بردن یک جایزه از طرف این تیم شد».

او در ادامه می‌گوید که وقتی یک ایراد و اشکال در شبکه پیدا می‌شود باید توسط طرف مقابل برطرف شود و بعد از برطرف شدن هکرها مجددا شبکه را تست می‌کنند تا اطمینان حاصل شود که ایراد به طور کامل از بین رفته است.

طلاین همیشه در حال ارتقای امنیت خود است

حضور در چنین رویدادی برای پلتفرم‌های حاضر هم یک اقدام چالشی و قابل توجه است. به هر حال آن‌ها وضعیت امنیت محصول خود را در یک رویداد عمومی به نمایش می‌گذارند. مدیر فنی طلاین که چنین اقدام‌هایی از سوی طلاین تلاشی برای ایجاد اطمینان خاطر بیشتر در کاربران است و به نوعی سرمایه‌گذاری این مجموعه برای بالاتر بردن اعتماد آن‌ها است.

مصطفی افزونی درباره‌ی حضور طلاین در این رویداد و فرایند کار هم می‌گوید: «هکرهای کلاه سفید حاضر در این رویداد بعد از آسیب رساندن به یکی از کسب و کارها، به «راورو» گزارش می‌دهند و بعد از بررسی اولیه وضعیت به کسب‌و‌کارها اعلام می‌شود. در این دو روز چند مورد خیلی کوچک به «طلاین» اعلام شده که ایراد همان لحظه برطرف و پاداش کلاه سفیدها هم پرداخت شد».

او در ادامه می‌گوید: «به طور کلی در طی این سال‌ها همیشه خودمان تست نفوذ داشتیم و امنیت پلتفرم را به مرور بالا بردیم. همین الان هم خودمان به صورت دوره‌ای این تست نفوذ را انجام می‌دهیم.

با این حساب شرکت در این رویداد را می‌توانم یک تکه از پازلی معرفی کنم که ما به صورت دائمی برای بالاتر بردن وضعیت امنیتی طلاین داریم و اجرا می‌کنیم. یکی از دلایلی هم در این رویداد تنها چند مورد جزئی از ایراد و باگ در سامانه‌ی ما پیدا شد همین است که ایرادات مهم در تست‌های نفوذ فراوان قبلی شناسایی و برطرف شده‌اند».

تیم فنی طلاین: در این رویداد آسیب جدی به ما وارد نشد

در ماجرای حمله به پلتفرم، نوع حمله‌ها و زمان‌های وقوع آن بسیار اهمیت دارد. موضوعی که یکی از اعضای تیم فنی طلاین به آن اشاره می‌کند و می‌گوید: «معمولا حمله‌های که به ما می‌شود، در پیک‌های مختلف زمانی است و خیلی از آن‌ها همان ابتدا بلاک یا کشف می‌شود و بقیه موارد که در همان لحظه تیم امنیت و فنی به سرعت وارد عمل می‌شوند. در این رویداد هم تا کنون موارد جدی از آسیب نداشتیم ولی هرآسیبی باشد، در همین رویداد سعی می‌کنیم آن را برطرف شد کنیم. بررسی بیشتر هم در طول هفته با تحلیل و بررسی بیشتر صورت خواهد گرفت. به طور کل ما همیشه خودمان در حال تست نفوذ هستیم و برای آن بررسی زیادی می‌کنیم. الان هم تمام موارد که به ما گزارش می‌شود را یادداشت می‌کنیم تا در طول هفته مورد بازبینی و بررسی قرار دهیم.»

دبیر رویداد: همه جای دنیا این تست نفوذ وجود دارد

معمولا در سراسر جهان مشابه رویداد باگ بانتی برای بسیاری از پلتفرها برگزار می‌شود که جوایز بزرگی هم در نظر گرفته می‌شود. «محمد امین کریمان»، مدیر دبیر این رویداد در مورد پتانسیل این برنامه می‌گوید: «رویدادی که نهم و دهم اسفند در هتل المپیک برگزار شد، رویداد تخصصی در حوزه امنیت سایبری بود. این رویداد با دعوت متخصصان و شکارچیان کلاه سفید در سراسر کشور و مشارکت شرکت‌های خرید و فروش آنلاین طلا، صرافی‌ها و رمز ارزها برگزار شد. هدف از این رویداد ارتقا امنیت در سامانه‌های ذکر شده است. هدف‌مان این است که بتوانیم از مشارکت هکرهای واقعی، در محیطی امن استفاده کنیم و امنیت شبکه‌ها را بالا ببریم».

مدیر این رویداد درباره‌ی حضور طلاین هم می‌گوید: «مجموعه طلاین هم به عنوان یکی از حامیان اصلی این رویداد مشارکت فعالی داشتند. آن‌ها در کم‌ترین زمان توانستند خودشان را برای اجرای این برنامه آماده کنند و همراهی خوبی داشتند. همه اینها کمک کرد تا در جهت ارتقاء امنیت سامانه‌ها گام برداریم. در این رویداد 6 مجموعه شرکت کردند که با حمایت معاونت فناوری ریاست جمهور و پلیس فتا برگزار شد که هدف اصلی آن ارتقای امنیت این کسب و کارها بوده است. مجموع تعهد شرکت‌ها هم 3 میلیارد و 500 هزار تومان برای کشف آسیب پذیری‌ها بود که تعهد پرداخت داشتند. حتی بعد از رویداد هم برخی از این حمله‌ها نیاز به تحلیل و بررسی بیشتر خواهد داشت.»

پلیس فتا: ما حامی امنیت کسب و کارهای آنلاین هستیم

پلیس فتا یکی از حامیان این رویداد بود. سرهنگ رضایی معاون اجتماعی فتا فراجا، معاون اجتماعی پلیس فتا که در این رویداد حاضر بود می‌گوید: «با توجه به افزایش متقاضی پلتفرم‌های خرید و فروش طلا و وجود صرافی‌هایی با بیش از 40 هزار کاربر ما نیاز به برگزاری چنین رویدادی را حس کردیم. از طرفی بر اساس تجربه می‌دانیم که در بازه زمانی شروع تعطیلات هک بیشتری اتفاق می‌افتد تا در ایام دیگر، پس با همفکری، تصمیم به برگزاری این رویداد کردیم».

سرهنگ رضایی در بخش دیگری از صحبت‌هایش می‌گوید: «از آنجایی بخش مهم این حوزه با دارایی مردم هم سر و کار دارد «رویداد باگ بانتی» شکل گرفت تا از عزیزان و متخصصانی دعوت شود در جهت امن‌تر شدن کسب و کارها اقدام می‌کنند. برای این منظور حدود 6 پلتفرم و 60 هکر انتخاب شدند تا آسیب‌پذیری‌ها احتمالی کشف شود. با این روش خیال مردم از جهت امنیت پلتفرم‌ها تامین خواهد شد. ما به صورت فصلی در هر حوزه این برنامه را برگزار می‌کنیم و از این کلاه سفیدان در برنامه‌های مختلف کمک می‌گیریم. با این حال ما از کسب و کارها خواهش می‌کنیم مراقب امنیتشان باشند و ما هم برای امن‌تر شدن آنها کنارشان هستیم.»

رویداد «باگ‌بانتی راورو» که با نام «باگ‌پارتی» هم شناخته می‌شود روزهای نهم و دهم اسفند ماه با حضور بیش از ۵۰ هکر کلاه سفید و ۶ پلتفرم و با هدف بررسی امنیت سایبری پلتفرم‌های تبادل رمزارز و طلای آنلاین برگزار شد.

معاونت علمی ریاست جمهوری، پلیس فتا و صندوق نوآوری و شکوفایی و انجمن بلاک‌چین ایران حامی برگزاری این رویداد بودند.