** هشدار **
تمام آموزش های این سایت با مجوز کارشناس امنیت و طبق قوانین کشور ایران تهیه شده و هرگونه سوء استفاده و انتشار مطالب و ویدیوها کاملا غیر قانونی می باشد و در صورت سوء استفاده، NetPenT هیچ مسئولیتی نخواهد داشت. در صورت انتشار دوره های آموزشی خریداری شده، ردیابی و مشخص کردن هویت فرد منتشر کننده با توجه به داده های مخفی موجود در ویدیو ها به راحتی امکان پذیر می باشد و تبعات قانونی برای آن فرد وجود خواهد داشت.
شرکت ها به دلایل مختلفی تصمیم به برگزاری باگ بانتی (Bug bounty) یا پاداش در ازای آسیب پذیری می گیرند. مهم نیست که امنیت یک سازمان تا چه اندازه خوب باشد یا کد نویس های آن ها تا چه حد مهارت داشته باشند! همیشه چند آسیب پذیری پنهان وجود دارد. این نقص های امنیتی به هکرها این امکان را می دهد تا از آسیب پذیری ها سوء استفاده کرده و و از سدهای دفاعی امنیتی عبور کند. با net pent همراه باشید تا درباره باگ بانتی و تفاوت آن با هک بیشتر بدانید.
نقص های امنیتی در نرم افزار باعث می شود تا هکر بتواند به سیستم نفوذ پیدا کند. باگ بانتی به معنای پرداخت پاداش توسط یک سازمان برای یافتن باگ ها یا نقص های امنیتی یک نرم افزار توسط هکرهای کلاه سفید می باشد. از جمله مزایای باگ بانتی می توان به شناسایی و رفع آسیب پذیری ها و داشتن زیرساخت های ایمن تر اشاره کرد. عملیات باگ بانتی در واقع یکی از روش های کسب درآمد در حوزه هک و امنیت به شمار می رود که کاملا قانونی است.
مزایای باگ بانتی
شرکت های بزرگ مثل فیسبوک، گوگل و موزیلا معمولا برنامه های باگ بانتی را ارائه می کنند. هرچند برنامه باگ بانتی از جهاتی مشابه به تست نفوذ است، اما عملکرد آن متفاوت می باشد. در واقع باگ هانتر ها همان هکرهای کلاه سفید، به صورت غیر قانونی به سیستم ها نفوذ نمی کنند. آن ها با استفاده از مجوز مالکان یک ضعف امنیتی را شناسایی کرده و در ازای آن پاداش می گیرند. در ادامه به توضیح اهداف و مزیت های باگ بانتی می پردازیم:
تست امنیت
یکی از مهم ترین اهداف اجرای باگ بانتی، تست نفوذ پذیری امنیتی یک شرکت یا سازمان است. باگ هانترها (Bug Hunters) به سازمان ها کمک می کنند تا بفهمند که آیا اقدامات امنیتی آن ها به اندازه کافی موثر واقع می شود یا خیر! کدام اقدامات باید به روزرسانی شوند؟ و کدام یک برای جلوگیری از نفوذ به سیستم ها ناکارآمد هستند.
شناسایی آسیب پذیری ها
زمانی که یک هکر کلاه سفید تجزیه و تحلیل یک شرکت را به پایان می رساند، گزارش کاملی از آسیب پذیری های سیستم های آن را ارائه می کند. این گزارشات می تواند شامل استفاده از پسوردهای ضعیف و یا فاش شدن پسوردها توسط کارمندان باشد. بنابراین، مدیر شرکت می تواند اقداماتی برای جلوگیری از نفوذ عوامل مخرب به شبکه های کامپیوتری و همچنین جلوگیری از اشتباهات کارکنان انجام دهد.
پرداخت هزینه کم تر
اجرای باگ بانتی نسبت به استخدام کارشناسان هک و امنیت برای انجام اقدامات امنیت سایبری و تست نفوذ، به مراتب کم هزینه تر خواهد بود. باگ هانتر معمولا در صورتی که به نتیجه برسد، پاداش دریافت می کند. بنابراین این روش می تواند برای سازمان ها اقتصادی تر و مقرون به صرفه تر باشد. اما در تست نفوذ، ممکن است پس از کامل شدن گزارش های مربوطه، هیچ آسسیب پذیری کشف نشود و همچنین هیچ دسترسی به سیستم های سازمان صورت نگیرد. حتی در صورتی که تست نفوذ هیچ نتیجه موفقیت آمیزی نداشته باشد، باید هزینه متخصصان پرداخت شود.
شبیه سازی حملات سایبری
یک سازمان به باگ هانتر پول پرداخت می کند تا مانند یک هکر کلاه سیاه عمل کند! در واقع، باگ هانتر با شناسایی ایرادات امنیتی نرم افزارها و وبسایت های سازمان به اطلاعات آن نفوذ پیدا می کند. ارزیابی آسیب پذیری ها توسط برنامه باگ بانتی به طور دقیق انجام می شود و می تواند مانع نفوذ هکرهای کلاه سیاه به شبکه های یک سازمان شود.
استعداد یابی
باگ بانتی ها می توانند باعث ایجاد موقعیت استعداد یابی برای سازمان شده و از استعداد این افراد باهوش در مجموعه خود بهره مند شوند. دسترسی به چنین استعدادهایی معمولا پر هزینه و دشوار است. این متخصصان معمولا علاقه ای به کارهای پروژه ای از خود نشان نمی دهند. از آنجایی که برنامه های باگ بانتی معمولا جایزه های بزرگی را تعیین می کنند، می توان این استعدادها را برای انجام کار تشویق کرد.
علاقه شدید به حوزه امنیت سایبری باعث شد که مطالعات فراوانی به صورت تئوری و عملی داشته باشم. مسلط به مفاهیم و روش های تست نفوذ CEH (بیشتر تمرکزم روی IoT)، جرم یابی دیجیتال، برنامه نویسی پایتون و لینوکس.
