راورو؛ سامانه پرداخت به ازای گزارش آسیب پذیری

0

استارتاپ راورو‌ (ravro.ir) که در زمینه امنیت فعالیت می‌کند، از سال‌۱۳۹۷ فعال شد. موسسان شرکت کاظم فلاحی و محمدامین کریمان از شهریور‌ماه ۹۷ کار تحقیق و توسعه سامانه‌ باگ‌بانتی را شروع کردند. شرکت در دی‌ماه ۱۳۹۷ با نام حقوقی امن سرزمین سلام ثبت شد. در ادامه‌ فعالیت این شرکت در سال‌۱۳۹۹ هادی مصطفی‌پور به عنوان توسعه‌دهنده وب و سهامدار جدید به تیم راورو اضافه شد. زمینه اصلی فعالیت راورو امنیت سایبری (تست نفوذ وب و موبایل، تیم قرمز، جرم‌یابی دیجیتال و ارائه راهکار امن‌سازی شبکه‌‌ای و محصولات) است و محصول اصلی آنها پلتفرم باگ‌بانتی راورو است. راورو کلمه‌ای با ریشه کردی و به معنی شکارچی حرفه‌ای است.
هر دو هم‌بنیانگذار، دانش‌آموخته مهندسی کامپیوتر گرایش نرم‌افزار هستند. کاظم سابقه ۱۰‌ساله فعالیت به عنوان کارشناس و محقق امنیت سایبری در مجموعه‌های مالی و بیمه‌ای و وزارتخانه‌ها و سازمان‌های خصوصی دارد. محمدامین هم عضو بنیاد ملی نخبگان و مدال طلای المپیاد ملی مهارت در رشته مدیریت سیستم‌های تحت شبکه را دارد و به عنوان محقق و مشاور امنیت فعالیت می‌کرده‌است. آشنایی محمدامین و کاظم یک رفاقت ۹ ساله است، از زمانی که دانشجو بودند و با هم به کلاس شبکه می‌رفتند، شروع می‌شود. در ادامه با موسسان این استارتاپ به گفت‌وگو نشستیم تا با محصول و خدمات آنها آشنا شویم.

پلتفرم باگ بانتی راورو چیست؟

این سامانه واسطه‌ای بین متخصصان امنیت و صاحبان کسب‌وکار‌هاست (شرکت‌ها و سازمان‌ها) که در آن هکرهای کلاه‌سفید و متخصصان امنیت تلاش می‌کنند تا باگ‌های امنیتی و حفره‌های آسیب‌پذیری محصولات را به صاحبان کسب‌وکارها گزارش بدهند و به ازای گزارش، پول دریافت کنند. البته بر اساس قوانین و محدوده‌هایی که کسب‌وکار تعریف می‌کند.

تمامی گزارش‌هایی که در راورو ثبت می‌شوند، بسته به نوع گزارش توسط تیم داوری مربوطه مورد ارزیابی و صحت‌سنجی قرار می‌گیرد. همچنین تیم داوری گزارش‌هایی که تایید شدند را با فرمول ارزش‌گذاری منحصر‌به‌فرد راورو قیمت‌گذاری می‌کند.

ما در راورو یک تیم داوری داریم که از افراد حرفه‌ای با تخصص‌های مختلف تشکیل شده، نقطه‌‌ قوت هر ۶ نفر عضو تیم داوری داشتن تخصص، تسلط و تجربه چندین‌ساله در این زمینه‌است. همچنین تیم داوری ما سابقه همکاری و گزارش حفره‌های امنیتی به شرکت‌های بزرگ دنیا مثل فیس‌بوک، مایکروسافت، یاهو و گوگل در کارنامه‌شان دارند.

پرداخت باگ‌ها به چه صورت انجام می‌شود؟

جزئیات باگ‌های امنیتی به همراه ارزیابی تیم داوری برای کسب‌وکار مربوطه ارسال می‌شود و بعد از تایید کسب‌وکار فرآیند پرداخت آغاز می‌شود. ما در راورو امکان پرداخت به ازای گزارش آسیب‌پذیری را برای کسب‌وکار‌ها فراهم کردیم؛ یعنی تنها به ازای گزارش‌های شکار موفق، پرداخت انجام می‌شود نه بیشتر و نه کمتر‌ که این کار علاوه بر هدفمند‌کردن هزینه‌ها به کسب‌وکارها کمک می‌کند تا هزینه‌ تامین امنیت محصولاتشان را کاهش دهند.

شرکت‌هایی که تیم امنیت دارند هم به باگ بانتی نیاز دارند؟

بله، باگ‌بانتی به عنوان تکمیل‌کننده هرم امنیت در سازمان معرفی می‌شود که به عنوان رأس هرم نواقص و کاستی‌های سایر بخش‌ها را پوشش می‌دهد.

چه نیازی را در بازار ایران احساس کردید که این کسب‌وکار را راه انداختند؟

تهدیدات سایبری همیشه پای ثابت کسب‌وکار‌های اینترنتی بوده و خواهد بود. متاسفانه اکثر کسب‌وکارها زمانی متوجه حفره‌های امنیتی می‌شوند که یا مورد سوء‌استفاده قرار گیرد و یا خطری آنها را تهدید کند.

ارائه باگ‌های امنیتی به کسب‌وکار‌ها سابقه‌‌ طولانی دارد و از آنجایی که در گذشته سازوکاری برای برخورد با ارائه‌دهنده باگ وجود نداشته، در موارد بسیار محدودی از شکارچی آسیب‌پذیری تقدیر به عمل می‌آمد و در اکثر موارد به بی‌توجهی یا ایجاد مشکلات حقوقی و تهدید برای متخصصان خاتمه می‌یافت.

در حالی که در دنیا از سال‌۲۰۱۲ همکاری با متخصصان امنیت و شکارچیان آسیب‌پذیری به رسمیت شناخته شده بود، اما متاسفانه شرکت‌ها و سازمان‌های ایرانی کمی دیرتر ضرورت نیاز به این همکار را به رسمیت شناختند. در چند سال اخیر کمبود وجود سامانه‌های باگ‌بانتی جهت ارائه گزارش‌های آسیب‌پذیری از سوی متخصصان این حوزه به‌شدت احساس می‌شد.

ما تجربه‌‌ ناموفق چندین مورد ارائه گزارش آسیب‌پذیری به سازمان‌های دولتی و خصوصی داشتیم. در اکثر سازمان‌ها سازوکار دریافت گزارش آسیب‌پذیری وجود نداشت، حتی در مواردی که بدون چشمداشت مالی گزارش‌های آسیب‌پذیری را ارائه می‌دادیم، برخورد مناسبی را شاهد نبودیم. این مشکلات ما را به این فکر برد که اگر این فرآیند در چارچوب مشخص و به‌صورت قانونی انجام شود، مشکلاتی نظیر تاخیر در پرداخت و یا قیمت‌گذاری نامناسب برطرف خواهد شد که این مسئله می‌تواند موجبات مشارکت بیشتر متخصصان برای امن‌کردن سازمان‌های داخلی را فراهم کند. برای همین پلتفرم راورو را ایجاد کردیم.

راورو

دسته‌های مختلف مخاطبان و مشتریان این نیاز کیست؟

سامانه راورو به دلیل ماهیت پلتفرم بودنش دو دسته مخاطب اصلی دارد؛ دسته اول متخصصان امنیت و هکرهای کلاه‌سفید و شکارچیان آسیب‌پذیری هستند که تلاش می‌کنند تا باگ‌های امنیتی و حفره‌های آسیب‌پذیری محصولات را به صاحبان کسب‌وکار ارائه دهند و پول دریافت کنند و دسته دوم کسب‌وکارها و سازمان‌هایی هستند که با تعریف قوانین بر اساس دغدغه‌های امنیتی کسب‌وکار خود، به ازای دریافت حفره‌های امنیتی به متخصصان پرداخت انجام می‌دهند.

دسته دوم شامل تمامی کسب‌وکارهای ارائه‌دهنده خدمات ‌روی اینترنت، بانک‌ها و موسسات مالی و بیمه‌ای، تولید‌کنندگان نرم‌افزار‌های سیستمی و موبایلی، صاحبان وب اپلیکیشن‌ها و ارائه‌دهندگان خدمات API است که می‌توانند از خدمات باگ‌بانتی استفاده کنند. تابه‌حال کسب‌وکارهایی مثل رایتل، ایوند، حسابفا، IDpay و … به ما اعتماد کردند تا امنیت بیشتری را در سامانه‌های خود تجربه کنند.

روش سنتی کشف آسیب‌پذیری که در حال حاضر هم بین کسب‌وکارها مرسوم است، روش ارزیابی امنیتی یا تست نفوذ است. تست نفوذ توسط یک تیم و یا یک شرکت با افراد و در بازه زمانی محدود انجام می‌شود. اما در مقابل در باگ‌بانتی(که به آن نسل بعدی تست نفوذ گفته می‌شود) ارزیابی امنیتی توسط تعداد نامحدودی از متخصصان در مدت زمان نامحدود انجام می‌گیرد که این باعث افزایش کیفیت ارائه خدمات و کاهش هزینه برای سازمان‌ها می‌شود.

سایز بازار «امنیت سایت و اپلیکیشن» در ایران چقدر است؟

در مورد بازار خصوصی بر اساس آخرین آمار جشنواره وب و موبایل ایران تعداد برنامه‌های موبایلی فعال ۱۹هزارتا و تعداد وب‌سایت‌ها ۶۰ هزار تاست. علاوه بر این، بازار ارائه‌دهندگان api و نرم‌افزار‌های کاربردی سیستم، سازمان‌های دولتی و مجموعه‌های مالی و بانکی بخش بزرگی از بازار امنیت را تشکیل می‌دهند.

بازار امنیت در ایران بازار بکری است. یکی از دلایل اصلی آن هم متاسفانه نبود بازیگران مستقل خصوصی در این حوزه است. البته شرکت‌های قدیمی در بازار سنتی فروش تجهیزات خارجی و ارائه خدمات فعالیت داشته و دارند. اما با این وجود هنوز آنطور که شایسته است، نتوانسته‌اند نیاز بازار را تامین کنند.

مهم‌ترین رقبای خود را چه کسب‌وکارهایی می‌دانید؟

شاید بزرگ‌ترین رقیب و چالش، نبود فرهنگ‌سازی مناسب و نگاه سنتی در خصوص امنیت سایبری در میان مدیران ارشد و تصمیم‌گیران سازمانی باشد. در دنیا شاهد آن هستیم که دیگر به امنیت صرفا به عنوان یک ویژگی نگاه نمی‌کنند بلکه تامین امنیت در کسب‌وکار را به عنوان یک اصل پذیرفته‌اند و برای حفظ آن به‌صورت مداوم و مستمر برنامه‌ریزی و هزینه می‌کنند. اما متاسفانه در کشور ما تعداد زیادی از مدیران ارشد و تصمیم‌گیران سازمان زمانی متوجه ضرورت جایگاه امنیت سایبری در کسب‌وکار خود می‌شوند که یا رخداد سایبری اتفاق افتاده باشد و یا تهدیدی مواجه کسب‌وکار آنها شده باشد.

قابلیت‌های مهم راورو و بسته‌های خدماتی که به مشتریان ارائه می‌دهید، چیست؟

میزکار هر میدان به‌صورتی طراحی شده است که کسب‌وکارها به‌سادگی بتوانند از امکاناتی همچون تعریف قوانین، امکان انتخاب نحوه‌‌ مشارکت شکارچیان به‌صورت‌های عمومی، دعوتنامه‌ای و خصوصی بهره ببرند. همچنین امکان پیگیری، گفت‌وگو و تبادل‌نظر، مشاهده فرآیند طی شده و پرداخت آنلاین برای تسهیل در فرآیند بررسی گزارش در نظر گرفته شده است. میزان پرداختی کسب‌وکارها بابت استفاده از پلتفرم باگ‌بانتی شامل هزینه اشتراک به‌علاوه کارمزد به ازای گزارش‌های شکار موفق است که در 3 بسته نقره‌ای (6ماهه ۵۰۰ هزار تومان و کارمزد ۱۵ درصد)، طلایی (6ماهه ۱ میلیون تومان و کارمزد ۱۷ درصد) و پلاتینیوم (6 ماهه ۲ میلیون تومان و کارمزد ۱۹ درصد) تعریف شده است.

کسب‌وکار‌ها می‌توانند با ثبت‌نام آنلاین در وب‌سایت به عنوان میدان، اقدام به تعریف اهداف کنند و باگ‌های امنیتی محصولات خود را دریافت کنند.از جمله امکانات و ویژگی‌هایی که برای شکارچیان در سامانه راورو فراهم شده است، می‌توان به امکان مشارکت در برنامه‌های خصوصی، اطلاع از آخرین تغییر قوانین، امکان درخواست جهت مشارکت در برنامه‌ها، پیگیری گفت‌وگو و تبادل‌نظر و همچنین مشاهده‌‌ فرآیند طی‌شده و دریافت حق‌الزحمه آنی اشاره کرد.

روندهای جهانی این حوزه چیست؟

نکته‌‌ اول در مورد امنیت پذیرش این حقیقت است که هر سیستمی می‌تواند هک شود و اینکه امنیت مطلق و ۱۰۰ درصد وجود ندارد. تنها می‌توان با راهکارهایی مخاطرات و آسیب‌های این حوزه را مدیریت کرد و به حداقل رساند. مدیران کسب‌وکار‌ها باید قبل از فعالیت‌هایی که برای توسعه بازار و یا محصول انجام می‌دهند، همواره برنامه‌های منظمی در خصوص افزایش امنیت در کسب‌وکار درنظر بگیرند.

در کسب‌وکار‌هایی که مقیاس جهانی خدمات ارائه می‌دهند، این مسئله که تامین امنیت یک الزام برای حفظ بقا‌ست، به عنوان یک اصل پذیرفته شده است و از تمام ظرفیت‌های موجود برای بهبود امنیت سامانه‌ها استفاده می‌کنند، از جمله همکاری و اعتماد به هکرهای کلاه‌سفید.گوگل، مایکروسافت، فیس‌بوک و موزیلا جزو شرکت‌های پیشرو در این زمینه هستند که تا‌کنون مبالغ بسیاری را به متخصصانی که حفره‌های امنیتی را به آنها گزارش داده‌اند، پرداخت کرده‌اند. در سال‌۲۰۱۹ حدود نیم‌میلیون متخصص با ارائه گزارش در امن‌تر‌شدن اینترنت مشارکت کردند.

اهداف و چشم‌انداز کوتاه‌مدت و بلندمدت راورو چیست؟ و تمرکز آن بر توسعه کدام بخش از کسب‌وکار است؟

در کوتاه‌مدت به دنبال تعریف جایگاه باگ‌بانتی در میان کسب‌وکارهای ایرانی هستیم. متاسفانه در سال‌های اخیر کلمه‌ هک و هکر همیشه با تهدید و جرم همراه بوده. ما در راورو به دنبال معنا‌بخشیدن به هکر به عنوان متخصص امنیت و شکارچی آسیب‌پذیری هستیم. با توجه به تجربه موفق متخصصان ایرانی در ارائه گزارش‌آسیب‌پذیری در پلتفرم‌های جهانی، مطمئنا دانش و تخصص این شکارچیان می‌تواند کمک بسیار زیادی به امن‌تر‌کردن فضای سایبری کشور کند. در بلند‌مدت به دنبال تربیت نیروی متخصص و ارائه راهکارهای جامع امنیتی برای کسب‌وکارها هستیم؛ از ایجاد پایگاه داده آسیب‌پذیری محصولات گرفته تا فعال‌کردن ظرفیت و توان متخصصان ایرانی در اکوسیستم سایبری کشور برای ارائه محصولات امنیتی.

نکات باقی‌مانده؟

در مورد فرهنگ اشتباهی که در میان اکثر مردم رایج شده است، چند کلمه‌ای صحبت می‌کنم. واقعیت این است که «هک جرم نیست و هکر مجرم نیست.» هک‌کردن در اصل هنر است و هکر یک هنرمند. هکرها یا شکارچیان آسیب‌پذیری، متخصصانی هستند که سال‌ها برای به‌دست آوردن تخصص زحمت کشیده‌اند و با هوش و نبوغی که دارند، می‌توانند فراتر از نگاه طراحان و تولیدکنندگان یک محصول به دنبال کشف حفره‌هایی باشند که از دیدگاه ‌آنها قابل مشاهده نبوده.

این ظرفیت و استعداد اگر در مسیر صحیح خود قرار بگیرد، می‌تواند به امن‌تر شدن فضای اینترنت کمک بسیاری کند. به قول سهراب سپهری، چشم‌ها را باید شست، جور دیگر باید دید… ما در مجموعه‌‌ راورو در تلاشیم تا این دیدگاه غلط نسبت به مقوله‌‌ هک و امنیت را با دیدگاه همکاری و تعامل جایگزین کنیم. بی‌شک در این معامله‌‌ برد-برد هم سازمان‌ها و کسب‌وکار‌ها و هم شکارچیان آسیب‌پذیری سود خواهند برد.

بیشتر بخوانید: مدیریت شرایط دورکاری

دورکاری فرصتی برای باج افزارها

با توجه به شیوع ویروس کرونا در کشور، خوشبختانه شاهد آن هستیم که دورکاری در برخی از شرکت‌ها، خبرگزاری‌ها و استارتاپ‌ها در دستور کار قرار گرفته است. بررسی رخدادهای باج‏ افزاری در سال ۲۰۱۹ حاکی از آن است که نقطه ورود حدود ۶۰ درصد حملات باج ‏افزار‌ی از طریق سرویس RDP بوده است. با توجه به افزایش دورکاری در میان کاربران ایرانی در روزهای آتی، نیاز است تا کارمندان، شرکت‌ها و سازمان‌ها با رعایت نکات و موارد امنیتی زیر، تهدیدهای احتمالی را به حداقل برسانند.

باج افزارها و RDP

در سال ۲۰۱۹ میلادی ۶۳ درصد از قربانیان باج‌افزار، کسب‌وکارهای کوچک بوده‌اند. همچنین آمارها نشان می‌دهد که در همان سال حدود ۶۰ درصد از حملات باج‌افزاری، مربوط به سرویس RDP و آسیب‌پذیری‌های آن بوده‌است. سرویس RDP یکی از پرکاربردترین روش‌های اتصال از راه دور به کامپیوترها در بستر شبکه است که جهت مدیریت و کنترل کردن فایل‏ها و اطلاعات کامپیوترها استفاده می‌شود.

از مشهورترین باج‌افزارهایی که از آسیب‌پذیری‌های سرویس RDP در حملات خود بهره می‌برند، می‌توان به Samsam، Dharma و ACCDFISA اشاره کرد. استفاده از نسخه‌های آسیب‌پذیر سرویس RDP، عدم اعمال محدودیت‌های دسترسی، استفاده از تنظیمات پیش‌فرض، استفاده از رمز عبور ضعیف، تنظیمات ناقص یا بی‌احتیاطی در حفاظت از رمز عبور از مهم‌ترین عوامل نفوذ باج‌افزارها به داخل سرورها و سیستم‌های سازمان‌ها بوده است. لذا فعال‌بودن دسترسی Remote Desktop ‌به صورت حفاظت‌نشده در سطح اینترنت، سرور و داده‌های شما را بیش از آنکه تصورش را بکنید، در معرض خطر قرار خواهد داد.

راهکار امن‌سازی

با توجه به پرکاربرد بودن استفاده از RDP در مواقع دورکاری، در صورت لزوم رعایت موارد جهت امن‌سازی این سرویس ضروری است. برخی از اقداماتی که تا حد زیادی می‌توانند منجر به کاهش آثار مخرب حملات و همچنین کاهش میزان آسیب‌پذیری سازمان‌شما در مقابل حملات مربوط به RDP شود، به شرح زیر هستند:

  • انجام منظم و سختگیرانه پشتیبان‌گیری از اطلاعات، آزمایش نسخه‌های پشتیبان پس از هر مرتبه پشتیبان‌گیری.
  • استفاده از راه‏های ارتباط امن با شبکه‌ داخلی از طریق تانل‌های VPN.
  • به‌روزرسانی منظم سیستم‌عامل و نرم ‏افزارهای کاربردی.
  • استفاده از آنتی‌ویروس‌های معتبر و به‌روزرسانی مداوم آنها.
  • عدم استفاده از کاربر با سطح ادمین (Administrator) برای دسترسی از راه دور و تعریف کاربران مجاز با دسترسی مشخص و محدود شده.
  • سیاستگذاری‌های مناسب جهت استفاده از رمز‌عبور پیچیده با طول حداقل ۸ کاراکتر، تغییر دوره‌ای رمزهای عبور‌ و استفاده از مکانیسم‌های ورود چند مرحله‌ای.
  • تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، این فرآیند در سیستم عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیرگذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.
  • استفاده از دیواره آتش و اعمال قوانین و تنظیمات محدودیت حداکثر، به نحو‌ی که تمامی ارتباطات قطع شوند و صرفا به سرویس‌های مجاز اجازه‌‌ دسترسی داده شود.
  • استفاده از نرم‌افزارهای گزارش‌گیری جهت بررسی وقایع و رخداد‌های ورود و خروج کاربران از طریق ارتباطات راه دور و …
  • دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. انواع Key logger ها و تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان به سرورها را ممکن کنند.
  • محدودیت دسترسی از راه دور تنها به آدرس‌های IP مشخص.
  • عدم دانلود و استفاده از فایل‌های ضمیمه از آدرس‌های ایمیل نامعتبر و ناشناخته.
  • تغییر پورت پیش‌فرض.

بک آپ و دیگر هیچ!

تجربه‌‌ راورو در بیش از 100 مورد امداد به سازمان‌ها و شرکت‌های آلوده به باج ‏افزار در سطح کشور حاکی از آن است که تنها راهکار عملی جهت جلوگیری از خسارت حملات باج‌افزار‌ها، تهیه و تدوین راهکارهای مناسب و دوره‌ای جهت پشتیبان‌گیری آفلاین از اطلاعات حیاتی و بررسی سلامت فایل‌های پشتیبان است.

با روند رو به رشد تهدیدات سایبری در سال‏های اخیر، امکان مورد حمله قرار گرفتن کسب‌وکارها بیش از پیش شده است، شاید نتوان جلوی ماشین حملات و تهدیدات سایبری را گرفت اما می‌توان با رعایت نکاتی ساده، ریسک خسارت و میزان آسیب‌های احتمالی را کاهش داد.

در صورت نیاز به اطلاعات بیشتر و راهنمایی جهت امن‌سازی سرویس‌های خود می‌توانید از طریق راه‌های ارتباطی با کارشناسان راورو در ارتباط باشید.

در سختی ها، همراهتان هستیم…

ارسال دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.