پاسخ به 7 پرسشی Ú©Ù‡ همیشه Ù…ÛŒ خواستید از یک Ù…Øقق آسیب های امنیتی بپرسید - قسمت دوم
مصاØبه میرکو زورز –سردبیر مجله insecure – با میتجا کلوسک، مدیر Ú©Ù„ شرکت امنیتی ACROS Ùˆ یک Ù…Øقق سرشناس آسیب های امنیتی
قسمت اول مصاØبه
Û³- برای اÙرادی Ú©Ù‡ علاقه مندند وارد Øوزه کاری شما یعنی آسیب شناسی امنیتی بشوند، Ú†Ù‡ پیشنهاداتی دارید؟ لازمه آغاز به کار چنین Ùعالیتی چیست؟
در وهله اول باید به یادگیری Ùناوری های جدید، پلتÙورم ها، انواع مختل٠زبان های برنامه نویسی، تکنیک های جدید Øمله هکرها Ùˆ ویروس ها Ùˆ انواع مختل٠آسیب شناسی علاقه شدید داشته باشند. مطالعه Ùˆ تØقیق دایمی در مورد این مسایل باعث Ù…ÛŒ شود یک آسیب شناس همیشه به روز باشد Ùˆ بتواند به طور مداوم به Ùعالیت خود در مسیر درست ادامه بدهد. در کنار این مطالعات باید همیشه این اØساس درونی را در خود تقویت کند Ú©Ù‡ «یک جای کار Ù…ÛŒ لنگد Ùˆ به نظر Ù…ÛŒ رسد چیزی اینجا درست کار نمی کند». این درک درونی باعث Ù…ÛŒ شود تا با دقت بیشتر کدهای مشکوک Ùˆ واکنش های مخرب را جست*وجو کنید. همین تقویت روØیه آسیب شناسی، نیازمند دست Ú©Ù… دو سال تمرین Ùˆ ممارست دایمی است. اگر اÙرادی هستند Ú©Ù‡ دوست ندارند از علم ÙÙ†ÛŒ خود برای ساختن نرم اÙزار یا Ù…Øصولات سخت اÙزاری استÙاده کنند Ùˆ بیشتر کشش آنها به سوی یاÙتن اشکالات Ùˆ Ù†Ùوذ به کد منبع Ù…Øصولات است، امن ترین Ùˆ مطمئن ترین راه برای آغاز کار، مطالعه روی وب سرورها Ùˆ یادگیری در مورد تزریق کد، ریکوئست های جعلی تزریق کد Ùˆ تزریق SQL است. تزریق کد Ú©Ù‡ به انگلیسی cross- site ******ing نامیده Ù…ÛŒ شود یکی از روش های دسترسی غیر مجاز به وب سایت توسط یک هکر است.
اگر نمی توانید همه جزییات را در یک مکان واØد به دست بیاورید، به مطالعه مداوم white papers Ú©Ù‡ در واقع گزارش ها Ùˆ راهنماهای معتبر Ùˆ رسمی برای ØÙ„ مشکلات هستند Ùˆ پیگیری Ú©Ù†Ùرانس هایی Ú©Ù‡ در این زمینه هستند، بپردازید. به دنبال یاÙتن اطلاعات درباره اقدام متقابل Ùˆ سپس اطلاعاتی در رابطه با راه های جانبی دیگر این اقدامات باشید.
Û´- Ú†Ù‡ نوع تجهیزاتی را به اÙرادی Ú©Ù‡ به طور جدی Ù…ÛŒ خواهند وارد Øوزه آسیب شناسی امنیتی بشوند، توصیه Ùˆ پیشنهاد Ù…ÛŒ کنید ØŸ
برای آسیب شناسی نرم اÙزاری، نیازی به داشتن ابزار گران قیمت Ùˆ غیرمعمول نیست. با یک کامپیوتر رومیزی کارآمد Ùˆ چند ابزار Ùˆ نرم اÙزار رایگان Ù…ÛŒ توانید یک کار تØقیقاتی را شروع کنید. من بر استÙاده از VMware تاکید بسیاری دارم. به دلیل اینکه Ù…ÛŒ توان بین سیستم عامل های مختل٠برای تست به سرعت تغییر موقعیت داد. به طور مثال، جهت جلوگیری از صر٠زمان زیاد برای راه اندازی دوباره سیستم عامل، هنگام تØقیقات امنیتی درباره هسته سیستم عامل Ú©Ù‡ هر Û±Û° دقیقه یک بار سیستم تان از کار Ù…ÛŒ اÙتد، Ù…ÛŒ توانید از این برنامه استÙاده کنید.
آسیب شناسی سخت اÙزاری درست برخلا٠نرم اÙزار، به ابزار گران قیمت Ùˆ دستگاه های خطرناک نیاز دارد. اصولا، این دستگاه ها در دسترس همه نیست Ùˆ برای تØقیقات غیر ضروری Ùˆ از روی سرگرمی مورد استÙاده ندارد. البته باید اشاره کنم، تجهیزات Ù‡Ú© کردن سخت اÙزاری در Øال Øاضر قیمت های چندان گرانی ندارند. به طور مثال، تجهیزاتی Ú©Ù‡ برای تØقیقات GSM مورد نیاز است را Ù…ÛŒ توان با چند هزار دلار خریداری کرد. در صورتیکه همین وسایل درست تا دو سال پیش بسیار گران Ùˆ غیر قابل خریداری بودند.
Ûµ- مطمئنم این سوال برای دیگران هم Ù…Ø·Ø±Ø Ø§Ø³Øª Ú©Ù‡ روزهای زندگی یک Ù…Øقق آسیب های امنیتی به Ú†Ù‡ Ø´Ú©Ù„ÛŒ Ù…ÛŒ گذرند؟
روزهای زندگی ما بسیار معمولی Ùˆ ساده است Ùˆ چیزی برای Ú¯Ùتن ندارد. شما تمام روز را پشت کامپیوتر Ù…ÛŒ نشینید، درباره راه های مختل٠Øمله به یک Ù…Øصول Ùˆ Ù‡Ú© کردن آن Ùکر Ù…ÛŒ کنید، ابزار مورد نیاز برای Ù†Ùوذ را یادداشت Ù…ÛŒ کنید،برگه های راهنمای Ù…Øصول را Ú©Ù‡ در دستتان است، مطالعه Ù…ÛŒ کنید، هنگامی Ú©Ù‡ راهی برای Ù†Ùوذ بی عیب Ùˆ نقض پیدا نمی کنید سر خود را Ù…ÛŒ خارانید Ùˆ در آخر، وقتی موÙÙ‚ به یاÙتن آنچه Ù…ÛŒ خواستید شدید، یک لبخند پیروزمندانه Ù…ÛŒ زنید. این Ù…ÛŒ تواند یک روز کاری یک آسیب شناس امنیتی را تشکیل بدهد. البته تعداد روزهای آن به میزان مقاومت Ù…Øصول در برابر Øمله ها نیز بستگی دارد. اگر چندین روز متوالی این کار ادامه داشته باشد، شاید بعد از پیروزی برای تخلیه Øس خوشØالی داد بزنید یا Øتی برقصید.
این Ù„Øظه های موÙقیت آمیز، خواه در رابطه با اجرای یک کد در سرور باشد یا انتقال میلیون ها دلار از Øساب بانکی خالی خود، اوج روز کاری یک آسیب شناس Ùˆ Ù…Øقق امنیتی به شمار Ù…ÛŒ روند.
Û¶- نظر شما در مورد کدهای بسته Ùˆ کدهای باز یک Ù…Øصول چیست؟ بر اساس تجربیات شما، آیا یکی از آنها Ù…ÛŒ تواند امن تر از دیگری باشد؟
در شرایط ایده آل Ú©Ù‡ گروهی از Ù…Øققان امنیتی باید هر دو کدهای بسته Ùˆ کدهای باز یک Ù…Øصول را مورد بازبینی قرار بدهند، Ùرض قوی ما بر این است Ú©Ù‡ تعداد Ú©Ù…ÛŒ از آسیب ها Ùˆ باگ ها در Ù…Øصولات اپن سورس (کد باز) غیر قابل کش٠شدن باقی Ù…ÛŒ مانند. اما ممکن است در Ù…Øصولاتی Ú©Ù‡ کدهای بسته دارند، این رقم بالاتر باشد.
اما در شرایط واقعی چنین اتÙاقی نمی اÙتد. تجربه ثابت کرده است Ú©Ù‡ باز یا بسته بودن کدهای منبع یک Ù…Øصول ارتباط چندانی به قابلیت Ù‡Ú© شدن Ùˆ Ù†Ùوذ به آن ندارد Ùˆ چیزی Ú©Ù‡ در این میان Øر٠اول را Ù…ÛŒ زند، برنامه نویس های آن Ù…Øصول هستند. هرچه قدر برنامه نویس قوی تر Ùˆ ØرÙÙ‡ ای تر باشد، کدها امن تر نوشته Ù…ÛŒ شوند Ùˆ Ù†Ùوذ به آنها دشوارتر Ù…ÛŒ شود.
Û·- نظر شما در مورد مبلغ پیشنهادی شرکت های کامپیوتری به Ù…Øققان امنیتی چیست؟
به عنوان یک Ù…Øقق امنیتی ØرÙÙ‡ ای، ما همیشه دستمزد خود را از مشتری هایمان برای یاÙتن اشکالات Ùˆ باگ های آنها دریاÙت کرده ایم. همچنین، برنامه های bug bounty (اهدا جوایز به Ù…Øققان امنیتی) Ú©Ù‡ بیشتر شرکت ها اجرا Ù…ÛŒ کنند نیز روش تجاری دیگری برای این کار Ù…Øسوب Ù…ÛŒ شود.
در مورد کارهای Ú©ÙˆÚ†Ú© Ùˆ Ú©Ù… هزینه، اصولا این شرکت های کامپیوتری Ùˆ مشتری ها هستند Ú©Ù‡ سود Ù…ÛŒ برند زیرا Ù…Øققانی Ú©Ù‡ روی پروژه های Ú©ÙˆÚ†Ú© تØقیق Ù…ÛŒ کنند، اصولا دستمزدی دریاÙت نمی کنند. تنها دریاÙتی آنها جایزه ای برای موÙقیت شان است. بنابراین، Ù…Øققان نیز راهی پیدا Ù…ÛŒ کنند تا دستمزد یا مبلغ جایزه را اÙزایش بدهند. به این ترتیب Ú©Ù‡ سوراخ ها Ùˆ باگ های امنیتی بزرگ را پیدا نکنند تا شرکت ها مجبور بشوند مبلغ پرداختی را اÙزایش بدهند. اگر تمایلی به اÙزایش مبلغ نداشتند نیز باید شاهد ترک کردن پروژه توسط Ù…Øقق باشند.
اما در بیشتر مواقع، شرکت های بونتی این کار را Ù…ÛŒ کنند Ùˆ بسیار مایه خوشØالی است Ú©Ù‡ شرکت ها Ùˆ مشتری ها، خودشان را با این مساله ÙˆÙÙ‚ داده اند.
منبع:
نگهبان
مصاØبه میرکو زورز –سردبیر مجله insecure – با میتجا کلوسک، مدیر Ú©Ù„ شرکت امنیتی ACROS Ùˆ یک Ù…Øقق سرشناس آسیب های امنیتی
قسمت اول مصاØبه
Û³- برای اÙرادی Ú©Ù‡ علاقه مندند وارد Øوزه کاری شما یعنی آسیب شناسی امنیتی بشوند، Ú†Ù‡ پیشنهاداتی دارید؟ لازمه آغاز به کار چنین Ùعالیتی چیست؟
در وهله اول باید به یادگیری Ùناوری های جدید، پلتÙورم ها، انواع مختل٠زبان های برنامه نویسی، تکنیک های جدید Øمله هکرها Ùˆ ویروس ها Ùˆ انواع مختل٠آسیب شناسی علاقه شدید داشته باشند. مطالعه Ùˆ تØقیق دایمی در مورد این مسایل باعث Ù…ÛŒ شود یک آسیب شناس همیشه به روز باشد Ùˆ بتواند به طور مداوم به Ùعالیت خود در مسیر درست ادامه بدهد. در کنار این مطالعات باید همیشه این اØساس درونی را در خود تقویت کند Ú©Ù‡ «یک جای کار Ù…ÛŒ لنگد Ùˆ به نظر Ù…ÛŒ رسد چیزی اینجا درست کار نمی کند». این درک درونی باعث Ù…ÛŒ شود تا با دقت بیشتر کدهای مشکوک Ùˆ واکنش های مخرب را جست*وجو کنید. همین تقویت روØیه آسیب شناسی، نیازمند دست Ú©Ù… دو سال تمرین Ùˆ ممارست دایمی است. اگر اÙرادی هستند Ú©Ù‡ دوست ندارند از علم ÙÙ†ÛŒ خود برای ساختن نرم اÙزار یا Ù…Øصولات سخت اÙزاری استÙاده کنند Ùˆ بیشتر کشش آنها به سوی یاÙتن اشکالات Ùˆ Ù†Ùوذ به کد منبع Ù…Øصولات است، امن ترین Ùˆ مطمئن ترین راه برای آغاز کار، مطالعه روی وب سرورها Ùˆ یادگیری در مورد تزریق کد، ریکوئست های جعلی تزریق کد Ùˆ تزریق SQL است. تزریق کد Ú©Ù‡ به انگلیسی cross- site ******ing نامیده Ù…ÛŒ شود یکی از روش های دسترسی غیر مجاز به وب سایت توسط یک هکر است.
اگر نمی توانید همه جزییات را در یک مکان واØد به دست بیاورید، به مطالعه مداوم white papers Ú©Ù‡ در واقع گزارش ها Ùˆ راهنماهای معتبر Ùˆ رسمی برای ØÙ„ مشکلات هستند Ùˆ پیگیری Ú©Ù†Ùرانس هایی Ú©Ù‡ در این زمینه هستند، بپردازید. به دنبال یاÙتن اطلاعات درباره اقدام متقابل Ùˆ سپس اطلاعاتی در رابطه با راه های جانبی دیگر این اقدامات باشید.
Û´- Ú†Ù‡ نوع تجهیزاتی را به اÙرادی Ú©Ù‡ به طور جدی Ù…ÛŒ خواهند وارد Øوزه آسیب شناسی امنیتی بشوند، توصیه Ùˆ پیشنهاد Ù…ÛŒ کنید ØŸ
برای آسیب شناسی نرم اÙزاری، نیازی به داشتن ابزار گران قیمت Ùˆ غیرمعمول نیست. با یک کامپیوتر رومیزی کارآمد Ùˆ چند ابزار Ùˆ نرم اÙزار رایگان Ù…ÛŒ توانید یک کار تØقیقاتی را شروع کنید. من بر استÙاده از VMware تاکید بسیاری دارم. به دلیل اینکه Ù…ÛŒ توان بین سیستم عامل های مختل٠برای تست به سرعت تغییر موقعیت داد. به طور مثال، جهت جلوگیری از صر٠زمان زیاد برای راه اندازی دوباره سیستم عامل، هنگام تØقیقات امنیتی درباره هسته سیستم عامل Ú©Ù‡ هر Û±Û° دقیقه یک بار سیستم تان از کار Ù…ÛŒ اÙتد، Ù…ÛŒ توانید از این برنامه استÙاده کنید.
آسیب شناسی سخت اÙزاری درست برخلا٠نرم اÙزار، به ابزار گران قیمت Ùˆ دستگاه های خطرناک نیاز دارد. اصولا، این دستگاه ها در دسترس همه نیست Ùˆ برای تØقیقات غیر ضروری Ùˆ از روی سرگرمی مورد استÙاده ندارد. البته باید اشاره کنم، تجهیزات Ù‡Ú© کردن سخت اÙزاری در Øال Øاضر قیمت های چندان گرانی ندارند. به طور مثال، تجهیزاتی Ú©Ù‡ برای تØقیقات GSM مورد نیاز است را Ù…ÛŒ توان با چند هزار دلار خریداری کرد. در صورتیکه همین وسایل درست تا دو سال پیش بسیار گران Ùˆ غیر قابل خریداری بودند.
Ûµ- مطمئنم این سوال برای دیگران هم Ù…Ø·Ø±Ø Ø§Ø³Øª Ú©Ù‡ روزهای زندگی یک Ù…Øقق آسیب های امنیتی به Ú†Ù‡ Ø´Ú©Ù„ÛŒ Ù…ÛŒ گذرند؟
روزهای زندگی ما بسیار معمولی Ùˆ ساده است Ùˆ چیزی برای Ú¯Ùتن ندارد. شما تمام روز را پشت کامپیوتر Ù…ÛŒ نشینید، درباره راه های مختل٠Øمله به یک Ù…Øصول Ùˆ Ù‡Ú© کردن آن Ùکر Ù…ÛŒ کنید، ابزار مورد نیاز برای Ù†Ùوذ را یادداشت Ù…ÛŒ کنید،برگه های راهنمای Ù…Øصول را Ú©Ù‡ در دستتان است، مطالعه Ù…ÛŒ کنید، هنگامی Ú©Ù‡ راهی برای Ù†Ùوذ بی عیب Ùˆ نقض پیدا نمی کنید سر خود را Ù…ÛŒ خارانید Ùˆ در آخر، وقتی موÙÙ‚ به یاÙتن آنچه Ù…ÛŒ خواستید شدید، یک لبخند پیروزمندانه Ù…ÛŒ زنید. این Ù…ÛŒ تواند یک روز کاری یک آسیب شناس امنیتی را تشکیل بدهد. البته تعداد روزهای آن به میزان مقاومت Ù…Øصول در برابر Øمله ها نیز بستگی دارد. اگر چندین روز متوالی این کار ادامه داشته باشد، شاید بعد از پیروزی برای تخلیه Øس خوشØالی داد بزنید یا Øتی برقصید.
این Ù„Øظه های موÙقیت آمیز، خواه در رابطه با اجرای یک کد در سرور باشد یا انتقال میلیون ها دلار از Øساب بانکی خالی خود، اوج روز کاری یک آسیب شناس Ùˆ Ù…Øقق امنیتی به شمار Ù…ÛŒ روند.
Û¶- نظر شما در مورد کدهای بسته Ùˆ کدهای باز یک Ù…Øصول چیست؟ بر اساس تجربیات شما، آیا یکی از آنها Ù…ÛŒ تواند امن تر از دیگری باشد؟
در شرایط ایده آل Ú©Ù‡ گروهی از Ù…Øققان امنیتی باید هر دو کدهای بسته Ùˆ کدهای باز یک Ù…Øصول را مورد بازبینی قرار بدهند، Ùرض قوی ما بر این است Ú©Ù‡ تعداد Ú©Ù…ÛŒ از آسیب ها Ùˆ باگ ها در Ù…Øصولات اپن سورس (کد باز) غیر قابل کش٠شدن باقی Ù…ÛŒ مانند. اما ممکن است در Ù…Øصولاتی Ú©Ù‡ کدهای بسته دارند، این رقم بالاتر باشد.
اما در شرایط واقعی چنین اتÙاقی نمی اÙتد. تجربه ثابت کرده است Ú©Ù‡ باز یا بسته بودن کدهای منبع یک Ù…Øصول ارتباط چندانی به قابلیت Ù‡Ú© شدن Ùˆ Ù†Ùوذ به آن ندارد Ùˆ چیزی Ú©Ù‡ در این میان Øر٠اول را Ù…ÛŒ زند، برنامه نویس های آن Ù…Øصول هستند. هرچه قدر برنامه نویس قوی تر Ùˆ ØرÙÙ‡ ای تر باشد، کدها امن تر نوشته Ù…ÛŒ شوند Ùˆ Ù†Ùوذ به آنها دشوارتر Ù…ÛŒ شود.
Û·- نظر شما در مورد مبلغ پیشنهادی شرکت های کامپیوتری به Ù…Øققان امنیتی چیست؟
به عنوان یک Ù…Øقق امنیتی ØرÙÙ‡ ای، ما همیشه دستمزد خود را از مشتری هایمان برای یاÙتن اشکالات Ùˆ باگ های آنها دریاÙت کرده ایم. همچنین، برنامه های bug bounty (اهدا جوایز به Ù…Øققان امنیتی) Ú©Ù‡ بیشتر شرکت ها اجرا Ù…ÛŒ کنند نیز روش تجاری دیگری برای این کار Ù…Øسوب Ù…ÛŒ شود.
در مورد کارهای Ú©ÙˆÚ†Ú© Ùˆ Ú©Ù… هزینه، اصولا این شرکت های کامپیوتری Ùˆ مشتری ها هستند Ú©Ù‡ سود Ù…ÛŒ برند زیرا Ù…Øققانی Ú©Ù‡ روی پروژه های Ú©ÙˆÚ†Ú© تØقیق Ù…ÛŒ کنند، اصولا دستمزدی دریاÙت نمی کنند. تنها دریاÙتی آنها جایزه ای برای موÙقیت شان است. بنابراین، Ù…Øققان نیز راهی پیدا Ù…ÛŒ کنند تا دستمزد یا مبلغ جایزه را اÙزایش بدهند. به این ترتیب Ú©Ù‡ سوراخ ها Ùˆ باگ های امنیتی بزرگ را پیدا نکنند تا شرکت ها مجبور بشوند مبلغ پرداختی را اÙزایش بدهند. اگر تمایلی به اÙزایش مبلغ نداشتند نیز باید شاهد ترک کردن پروژه توسط Ù…Øقق باشند.
اما در بیشتر مواقع، شرکت های بونتی این کار را Ù…ÛŒ کنند Ùˆ بسیار مایه خوشØالی است Ú©Ù‡ شرکت ها Ùˆ مشتری ها، خودشان را با این مساله ÙˆÙÙ‚ داده اند.
منبع:
نگهبان