باگ بانتی در دنیا و ایران در بین شرکت‌ها چه جایگاهی دارد؟

فناوری در کنار مزیت‌های فراوانی که دارد، ریسک‌های مختلفی را هم به‌وجود می‌آورد و بخشی از این ریسک‌ها از امنیت نرم‌افزارها نشئت می‌گیرد. ازاین‌رو، شرکت‌های بزرگ دنیا برنامه‌های مختلفی را تحت عنوان «شکار باگ» یا «باگ بانتی» (Bug Bounty) درنظر می‌گیرند تا با کمک متخصصان امنیت مستقل از سراسر دنیا مشکلات نرم‌افزارهای خود را کشف و برطرف کنند. بااین‌حال، به‌نظر می‌رسد که کسب‌وکارها در ایران آن‌طور که بایدوشاید به این امر اهمیت نمی‌دهند.

این مقاله به قلم «ایمان صاحبی» و «مجتبی آستانه» نوشته شده است.

امروزه تقریباً تمام شرکت‌های بزرگ برنامه‌هایی برای باگ بانتی دارند که طی آن با کمک هزاران کارشناس امنیتی از تمامی کشورها می‌توانند مشکلات امنیتی نرم‌افزارهای خود را پیدا کنند. برخی از متخصصان امنیت از شکار این باگ‌ها درآمد خوبی دارند و از این همکاری‌ها استقبال می‌کنند. اما برنامه‌های Bug Bounty چه برنامه‌هایی هستند؟

باگ بانتی چیست؟

برنامه باگ بانتی برنامه‌ای است که توسط شرکت‌ها برای دعوت از کارشناسان و محققان امنیتی مستقل به‌منظور کشف و گزارش آسیب‌پذیری‌های امنیتی نرم‌افزارها در‌نظر گرفته می‌شود. متخصصانی که در این برنامه‌ها شرکت می‌کنند و با عنوان هکر کلاه سفید شناخته می‌شوند، کارمند این شرکت‌ها نیستند و به‌ همین‌ خاطر دراِزای کشف باگ‌ها معمولاً از آن‌ها پاداش دریافت می‌کنند.

طی برنامه‌های شکار باگ، وقتی یک محقق یک آسیب‌پذیری را پیدا می‌کند و آن را به شرکت اطلاع می‌دهد، این مسئله توسط شرکت موردنظر بررسی می‌شود و با توجه به سطح آسیب‌پذیری، پاداشی برای آن تعیین می‌گردد. با توجه به اینکه کشف باگ‌های حاد می‌تواند برای شرکت‌های بزرگ اهمیت بسیاری داشته باشد، برخی از آن‌ها حاضر به پرداخت ده‌ها و صدها هزار دلار جایزه به این محققان مستقل هستند. در ادامه نمونه‌هایی از این برنامه‌های باگ بانتی بزرگ را بررسی می‌کنیم.

برترین برنامه‌های باگ بانتی دنیا

گوگل

گوگل به‌عنوان بزرگ‌ترین موتور جستجوی دنیا و توسعه‌دهنده بسیاری از نرم‌افزارهای محبوب، مطمئناً با باگ‌های زیادی در پروژه‌های خود روبه‌رو است و نمی‌تواند به دقت مهندسانش برای کشف این آسیب‌پذیری‌ها اکتفا کند. به همین منظور، این شرکت برنامه‌ای برای شکار باگ دارد که بین 100 تا 31,337 دلار به محققان پاداش می‌پردازد.

مایکروسافت

توسعه‌دهنده ویندوز و یکی از بزرگ‌ترین تولیدکنندگان نرم‌افزار در دنیا از محققان می‌خواهد تا آسیب‌پذیری‌های امنیتی را در سیستم‌های آن‌ها کشف و گزارش کنند. این شرکت حاضر است برای کشف این باگ‌ها تا 300 هزار دلار جایزه پرداخت کند.

اینتل

اینتل در سال‌های اخیر آسیب‌پذیری‌های زیادی داشته و با مشکلات امنیتی متعددی مواجه شده است. به همین دلیل، آن‌ها برنامه‌ای برای شکار باگ دارند که به متخصصان امنیتی بابت گزارش این آسیب‌پذیری‌ها تا حداکثر 100 هزار دلار پاداش ارائه می‌کند.

اپل

ارزشمندترین شرکت دنیا مجموعه‌ای از نرم‌افزارها را توسعه داده است که معمولاً از نظر ایمنی در جهان شهرت دارند. بااین‌حال، حتی ایمن‌ترین نرم‌افزارها هم می‌توانند آسیب‌پذیر باشند و اپل هم به این مسئله واقف است. به همین دلیل، کوپرتینویی‌ها نیز برنامه‌ای برای شکار باگ دارند که سقف پاداشی ندارد و جایزه کشف و گزارش آسیب‌پذیری‌ها را براساس سطح اهمیت باگ‌ها تعیین می‌کنند.

تسلا

هیچ‌کس نمی‌تواند نقش تسلا را در ایجاد تحول در بازار خودروهای برقی کتمان کند. این شرکت با سیستم‌های پیشرفته و نرم‌افزارهای متعدد محصولات خود را روانه بازار می‌کند که آسیب‌پذیری‌های جدی در آن‌ها می‌تواند بسیار خطرناک باشد. به‌ همین خاطر، تسلا به هکرهای کلاه سفیدی که باگ‌های سیستم‌های این شرکت را کشف کنند، تا 15 هزار دلار پاداش می‌دهد.

بزرگ‌ترین پاداش‌های پرداخت‌شده برای باگ بانتی

با وجود رقمی که برای سقف پاداش کشف باگ‌ها توسط شرکت‌ها اعلام شده است، غول‌های فناوری بابت کشف آسیب‌پذیری‌های جدی‌تر مبالغ بسیار بزرگ‌تری هم پاداش داده‌اند. برای مثال، گوگل در سال 2022 به یک محقق بابت کشف باگی در سیستم‌عامل اندروید 605 هزار دلار پاداش داد. به‌علاوه، این شرکت درمجموع در سال 2022 حدود 12 میلیون دلار برای برنامه باگ بانتی خود هزینه کرده بود.

مایکروسافت نیز در سال 2021، مجموعاً 13.7 میلیون دلار بابت گزارش آسیب‌پذیری‌ها به شکارچیان باگ پاداش داده بود و بیشترین مبلغ با یک جایزه 200 هزار دلاری به یک محقق رسید.

درمجموع شرکت‌های بزرگ می‌دانند که با اندکی هزینه درزمینه باگ بانتی نه‌تنها می‌توانند امنیت سیستم‌های خود را ارتقا دهند، بلکه می‌توانند از ریسک افشای آسیب‌پذیری‌ها نیز جلوگیری کنند.

وضعیت باگ بانتی در ایران چگونه است؟

شرکت‌های مختلفی در ایران به بحث باگ بانتی توجه دارند، اما ارقام اعلام‌شده از سوی آن‌ها چندان قابل‌توجه نیست. هرازچندگاهی نیز پست‌هایی در شبکه‌های اجتماعی مبنی بر گلایه فعالین حوزه امنیت از برخورد بد شرکت‌های ایرانی و بدقولی آن‌ها منتشر می‌شود.

اسنپ یکی از شرکت‌هایی است که برنامه باگ بانتی دارد و از متخصصین نفوذ دعوت کرده است تا آن‌ها را از وجود آسیب‌پذیری‌ها آگاه کنند. اسنپ برای این امر تا 150 میلیون تومان و براساس سطح اهمیت آسیب‌پذیری، باگ بانتی تعیین کرده است. البته فعالین حوزه امنیت اعتقاد دارند همین عبارت «تا» در میزان جایزه موجب شده است تا این شرکت بعضاً مبالغ خیلی کمتری را بابت کشف آسیب‌پذیری ارائه کند.

ابر آروان از دیگر شرکت‌های ایرانی است که مسابقه کشف باگ دارد. سقف جوایز تعیین‌شده توسط این شرکت نیز تا 300 میلیون تومان است.

برخی از کسب‌وکارها نیز به‌صورت غیرمستقیم برنامه‌هایی برای پرداخت پاداش دراِزای کشف و گزارش باگ دارند. پلتفرم باگ بانتی راورو، کلاه سفید و باگدشت پلی بین متخصصین امنیت و کسب‌وکارها هستند. شرکت‌ها هرازگاهی یا به‌طور دائمی از طریق این پلتفرم‌ها، امنیت سیستم‌های خود را به معرض آزمایش می‌گذارند و دراِزای کشف باگ، جوایزی را پرداخت می‌کنند.

به‌طور مثال، تپسی تا 30 میلیون تومان جایزه برای کشف آسیب‌پذیری از طریق این پلتفرم‌ها تعیین کرده است. علی‌بابا، مایکت، جاباما، اتاقک، همراه کارت، ایرانسل، فلایتیو، شاتل، ایوند، رایتل، نماوا، مایکت و چند سازمان دولتی ایران ازجمله شرکت‌هایی هستند که با همکاری با پلتفرم‌های واسط، باگ بانتی تعیین کرده‌اند. برخی از شرکت‌ها نیز در این پلتفرم‌های واسط هستند، اما ترجیح داده‌اند که نامشان محفوظ بماند و مسابقه کشف باگ آن‌ها بدون ذکر عمومی نام نمایش داده می‌شود.

باگ بانتی در ایران پذیرفته شده است؟

«یاشار شاهین‌زاده»، مشاور امنیت، در پاسخ به این سؤال دیجیاتو که باگ بانتی چقدر برای شرکت‌های ایرانی پذیرفته شده است؟ گفت: «اگر به‌صورت عام نگاه کنیم، این موضوع پذیرفته‌شده نیست. نسبت پذیرش باگ بانتی از سوی استارتاپ‌ها به کل استارتاپ‌ها به‌سمت صفر میل می‌کند. هیچ تفاوتی نیز بین مجموعه‌های دولتی و استارتاپی نیست و حتی دولتی‌ها وضع بدتری در این زمینه دارند.»

به گفته وی، بحث باگ بانتی در میان شرکت‌های بزرگ مثل کافه بازار، اسنپ، تپسی و آروان پذیرفته‌شده‌تر است؛ اگرچه فاصله معناداری بین آنچه که در دنیا مرسوم است، با ایران وجود دارد: «هدف باگ بانتی در دنیا این است که هکرها با شما دوست شوند و آسیب‌پذیری‌ها را گزارش دهند و این تعریف در دنیا با ایران فاصله زیادی دارد. حس می‌کنم این بحث در ایران بیشتر به این خاطر مطرح است که فردا روزی بگویند در این زمینه کوتاهی نکرده‌اند.»

شاهین‌زاده در پاسخ به این سؤال که چرا باگ بانتی شرکت‌های ایرانی چندان برای هکرها جذاب نیست، دو دلیل را عنوان کرد:

«دلیل اول این است که [شرکت‌ها] پول خیلی کمتری می‌دهند. مثلاً یک آسیب‌پذیری بحرانی پیدا می‌کنید و حداکثر 500 دلار پرداخت می‌کنند، درحالی‌که اگر همین آسیب‌پذیری را در یک برنامه خارجی پیدا کنید، 10 هزار دلار دریافت خواهید کرد. به همین خاطر افراد کمتر رغبت می‌کنند که روی باگ‌ بانتی ایرانی‌ها کار کنند. دلیل دوم نیز تنوع و تعداد اندک شرکت‌های فعال در این حوزه است؛ این درحالی است که در دنیا به‌اصطلاح اقیانوسی پر از ماهی وجود دارد. در پی این دو عامل، هکر باکیفیت روی موضوعات داخلی کار نمی‌کند و به‌سراغ موارد بین‌المللی می‌رود.»

این باور وجود دارد که بحث باگ بانتی برای ارتقای امنیت کافی است؛ موضوعی که این متخصص امنیت کاملاً با آن مخالف است. او با تأکید بر اینکه باگ بانتی در آغاز فعالیت نباید اصلاً مطرح شود، اظهار داشت اول بایستی یک تیم امنیت در سازمان تشکیل شود تا زمانی که توسعه‌دهندگان درحال کدزدن هستند، تیم امنیت بر آن‌ها نظارت کند: «سپس این تیم رشد می‌کند و تست‌های امنیتی سامانه‌ها را انجام می‌دهد و شبکه را امن کند. اولویت هم به شکل نفوذ است؛ هکر وب زیاد و هکر شبکه کم است، پس اول وب را ایمن می‌کنند، سپس به سراغ شبکه می‌روند.»

به گفته وی، در ابتدا باید این مراحل گذرانده شود، سپس باگ بانتی از سوی شرکت تعیین گردد: «این‌طور نیست که از اول ماجرا باگ بانتی بگذارند؛ چرا که تضمین امن‌بودن نیست.»

شاهین‌زاده معتقد است که باگ بانتی شبیه به ویترینی است که نشان می‌دهد کسب‌وکار به بحث امنیت اهمیت می‌دهد و تنها در این زمینه ادعا نمی‌کند: «با باگ بانتی علاوه بر اینکه امنیت افزایش می‌یابد، یک وجهه هم از کسب‌وکار به نمایش گذاشته می‌شود که برای امنیت اهمیت قائل است.»

او در همین رابطه تیم امنیتی گوگل را مثال زد که از افراد حرفه‌ای تشکیل شده‌، بااین‌وجود این شرکت در سال گذشته بیش از یک میلیون دلار بانتی پرداخت کرده است. به باور این متخصص امنیت، بحث باگ بانتی و تیم امنیت یک شرکت در تقابل با یکدیگر نیستند، بلکه همدیگر را کامل می‌کنند: «پس اول باید شاکله امنیت شکل بگیرد، بعد باگ بانتی مطرح شود.»

«هکرهای کلاه سفید ایرانی انگیزه‌ای برای فعالیت روی نمونه‌های داخلی ندارند»

«وحید فرید»، فعال حوزه تکنولوژی، در گفت‌وگو با دیجیاتو اظهار داشت در حوزه امنیت موارد زیادی وجود دارد که نیاز است روی آن‌ها کار شود. او تأکید کرد فردی که نرم‌افزار را می‌نویسد باید با مفاهیم امنیتی آشنایی داشته باشد و اپ به دید فرد نفوذی تست گرفته شود و آسیب‌های شناخته‌شده در کل فرایند شناسایی شوند و برای آن راه‌حل پیدا شود:

«پس‌ازاین به مفهوم باگ بانتی می‌رسیم؛ به‌این‌ترتیب که یک هکر کلاه سفید کاری را که ممکن است یک هکر کلاه سیاه انجام دهد، انجام می‌دهد و جایزه می‌گیرد. این هکر قصد سرقت اطلاعات را ندارد، بلکه در انتهای فرایند جایزه می‌گیرد.»

فرید با اشاره به اینکه بحث باگ بانتی یک موضوع جهانی است و هکرهای ایرانی می‌توانند روی نمونه‌های خارجی وقت بگذارند و کسب درآمد بیشتری داشته باشند، اظهار داشت اختلاف مبلغ جایزه برای هکرهای کلاه سفید در داخل و خارج به‌حدی زیاد است که هکر کلاه سفید ایرانی اصلاً انگیزه‌ای برای فعالیت روی نمونه‌های داخلی ندارد.

او دراین‌باره مثالی را عنوان کرد؛ پرداختی برای یک آسیب بحرانی روی یک پلتفرم متوسط بین‌المللی در حدود ده هزار تا بیست هزار دلار است، درحالی‌که تپسی مبلغ هفت میلیون برای این موضوع تعیین کرده: «البته این مبلغ هم خوب است. در بعضی موارد نوع برخورد به‌شکلی است که جامعه هکری ایران به این نتیجه رسیده که برای نمونه‌های ایرانی وقت نگذارد، زیرا درنهایت به‌جای پول‌دادن، تهدید هم می‌کنند و موضوع را به باج‌گیری ربط می‌دهند؛ درحالی‌که حق هکر است که جایزه بگیرد و وظیفه پلتفرم است که این مشکلات را شناسایی کند.»

این فعال حوزه تکنولوژی باور دارد که یک هکر ممکن است هفته‌ها برای آسیب‌شناسی زمان بگذارد، اما این مبالغ داخلی چیزی نیستند که ارزش زمان‌گذاشتن داشته باشند:

«در کل جامعه IT تصمیم بر این است که برای پلتفرم‌های داخلی زمان نگذارند و درگیر شکایت و مسائل این‌چنینی نشوند، چون پول نمی‌دهند و اسم هکر هم در لیستی قرار می‌گیرد که درنهایت نهادهای امنیتی روی فرد حساس می‌شوند و به‌خاطر شکایت پلتفرم، اسم او به پلیس فتا داده می‌شود. پس هکرها روی سایت‌های خارجی وقت می‌گذارند و درنهایت پول دلاری هم می‌گیرند.»

به باور او، زمانی که هکر کلاه سفید روی سایت وقت نگذارد، امکان اشتباه و آسیب‌پذیری وجود دارد که چندان هم تقصیر برنامه‌نویس نیست: «بالاخره ممکن است جایی از افزونه‌ای یا فریمورکی استفاده کرده باشند که یک آسیب‌پذیری داشته است؛ اما بالاخره فهمیدن این نقطه آسیب‌پذیری هزینه دارد.»

---

زمانی که قانونی برای حفاظت از داده‌های مردم وجود نداشته باشد و کسب‌وکارها نگران هزینه‌های احتمالی هک نباشند، به‌جز مسائل اخلاقی و برندینگ، دلیل چندانی نیز وجود ندارد که برای امنیت خود مبلغ باگ بانتی‌ بالاتری پرداخت کنند. از سوی دیگر فیلترینگ، تحریم‌ها، تورم و شرایط بد اقتصادی فشار مضاعفی روی کسب‌وکارهای ایرانی می‌آورد تا نتوانند در پرداخت دلاری بابت آسیب‌پذیری‌های امنیتی با شرکت‌های بین‌المللی رقابت کنند.