افزایش فعالیت هکر‌های کلاه سفید با شیوع کرونا

_ روزنامه ایران نوشت: بحران جهانی کرونا، ازسویی  منجر به افزایش حملات سایبری به سازمان‌ها، نرم افزار‌ها و... شده است و ازسوی دیگر صنعت امنیت سایبری جهان با مشکل کمبود نیروی متخصص روبه‌روست. با توجه به روند رو به‌رشد حمله‌های سایبری، تخمین زده می‌شود این حملات تا سال ۲۰۲۱ خسارتی ۶ تریلیون دلاری به این صنعت وارد کند. درحالی که کمپانی‌ها، سرویس‌های اطلاعاتی و... مبالغ بالایی برای مقابله با تهدیدات بیرونی هزینه می‌کنند یک پلتفرم با نام هکروان (Hacker One) برای حل مشکلات سایبری از هکر‌های اخلاقی یا همان هکر‌های کلاه سفید سراسر جهان کمک می‌گیرد تا در قالب پروژه‌های باگ بانتی (Bug Bounty) قبل از مجرمان سایبری به باگ‌ها و آسیب پذیری‌ها دسترسی پیدا کنند.

 

این موضوع آنقدر مورد توجه قرار گرفته که در حال حاضر شکار باگ‌ها به یک شغل پردرآمد در جهان تبدیل شده است.

 

 

آیا می‌توان تنها با گزارش دادن آسیب پذیری‌ها و باگ‌های موجود در سیستم‌ها ثروتمند شد؟ پاسخ مثبت است؛ البته اگر یکی از هکر‌های کلاه سفید توانمند باشید. شاید برای برخی، به دام انداختن باگ‌ها و کشف آسیب پذیری‌ها در وب سایت‌ها و اپلیکیشن‌ها درست مانند حل کردن جدول، یک تفریح و سرگرمی باشد، ولی برای برخی دیگر یک منبع درآمد بسیار مهم به شمار می‌رود. با دیجیتالی شدن جهان، حالا دیگر استخدام هکر‌ها برای یافتن آسیب پذیری‌ها در نرم افزار‌ها یا سرویس‌های مختلف به امری معمول تبدیل شده و کمپانی‌های بزرگ حاضرند با پرداخت چند هزار دلار به ازای یافتن باگ‌ها در سیستم هایشان، امنیت خود را تضمین کنند و یک گام از مجرمان سایبری جلوتر باشند.

 

هکروان (Hacker One) یکی از کمپانی‌های موفق در زمینه اجرای پروژه‌های باگ بانتی است. (در Bug Bounty یا مسابقات کشف باگ و آسیب پذیری، یک وب‌سایت یا اپلیکیشن، سازمان یا توسعه‌دهنده برای کشف باگ‌های سرویس خود به هکر‌ها جایزه می‌دهد. هدف از این برنامه، کشف آسیب‌پذیری‌های امنیتی قبل از انتشار عمومی آن‌ها است).

 

تاریخچه تأسیس کمپانی «هکروان» که حالا مشتریان بزرگی همچون گوگل، علی بابا، توئیتر، اینتل، وزارت دفاع امریکا، اسپاتیفای، Airbnb، دراپ باکس، استارباکس، نینتندو و تویوتا دارد، به سال ۲۰۱۱ بازمی گردد. در این زمان دوهکر هلندی اقدام به شناسایی آسیب پذیری‌ها در ۱۰۰ کمپانی بزرگ فناوری ازجمله فیس‌بوک، گوگل، اپل، مایکروسافت و توئیتر کردند و تقریباً در همه آن‌ها حداقل یک باگ یافتند. این دو هکر نام برنامه خود را Hack ۱۰۰ گذاشتند و با این کمپانی‌ها تماس گرفتند درحالی که برخی از کنار هشدار آن‌ها بی‌اعتنا عبور کردند اما «شریل سندبرگ» که در هیأت مدیره فیس‌بوک فعالیت داشت، به این موضوع ورود کرد و در نهایت در سال ۲۰۱۲ مؤسسه HackerOne بنیانگذاری شد. در نوامبر ۲۰۱۳ مایکروسافت و فیس‌بوک پروژه Internet Bug Bounty را رقم زدند و در مارس ۲۰۱۶ هم وزارت دفاع امریکا در قالب پروژه‌ای به‌نام Hack the Pentagon با کمک پلتفرم هکروان در طول ۲۴ روز حدود ۱۳۸ آسیب‌پذیری در وب سایت‌های مرتبط با وزارت دفاع امریکا کشف کرد و ۷۰ هزار دلار به هکر‌های کلاه سفید پرداخت شد. گفتنی است شعبه اصلی «هکروان» در سانفرانسیسکو جای گرفته و حالا دیگر این پلتفرم دفاتری هم در هلند، بریتانیا و آلمان دارد.

 

 

«هکروان» به‌همراه Synack و Bugcrowd از نخستین کمپانی‌هایی به‌شمار می‌رود که فعالیت خود را در زمینه باگ بانتی آغاز کرده و در نوع خود، بزرگ‌ترین کمپانی امنیت سایبری محسوب می‌شود. این کمپانی در تازه‌ترین گزارش خود، اطلاعاتی درباره تعداد آسیب پذیری‌های شناسایی شده توسط این کمپانی و مبالغی که به هکر‌ها برای یافتن این باگ‌ها پرداخت شده، ارائه داده است.

 

در این گزارش آمده است: از زمان آغاز به کار این کمپانی تا ماه مه ۲۰۲۰، حدود ۱۸۱ هزار آسیب‌پذیری به این پلتفرم گزارش شده و بیش از ۱۰۰ میلیون دلار نیز بابت حق الزحمه به هکر‌های کلاه سفید که در این سرویس ثبت‌نام کرده‌اند، پرداخت شده است. همچنین در این گزارش آمده است در سال گذشته برای شکار باگ‌ها بیش از ۴۴.۷۵ میلیون دلار به هکر‌ها پرداخت شده که این رقم نسبت به سال گذشته افزایش ۸۶ درصدی نشان می‌دهد.

 

سخنگوی پلتفرم هکروان نیز دراین گزارش آورده است: از آغاز پاندمی کرونا تاکنون شاهد افزایش ۵۹ درصدی ثبت‌نام هکر‌های جدید هستیم و البته گزارش کشف باگ‌ها هم افزایش ۲۸ درصدی داشته‌اند. دلیل این موضوع شاید خانه نشینی کاربران و کشف استعداد‌های خود در زمینه شکار باگ‌ها بوده است. البته از آنجا که تاکنون تعداد زیادی از این آسیب پذیری‌ها وصله امنیتی شده‌اند، کار برای هکر‌ها سخت‌تر شده و برای به دام انداختن باگ‌ها باید مهارت بالاتری داشته باشند که این، خبر خوشی برای شکارچیان باگ‌ها محسوب می‌شود چرا که مبلغ بالاتری به ازای یافتن این باگ‌ها و آسیب‌پذیری‌ها دریافت می‌کنند.

 

 

طبق تازه‌ترین گزارش هکروان، متوسط پرداختی به هکر‌ها برای کشف آسیب پذیری‌های خطرناک و حیاتی، به ۳ هزار و ۶۵۰ دلار رسیده که رشد سالانه ۸ درصدی را نشان می‌دهد درحالی که این رقم برای شناسایی باگ‌های معمولی ۹۷۹ دلار است. همچنین ۹ نفر از هر ۱۰ هکر ثبت‌نام شده در Hacker One زیر ۳۵ سال سن دارند و یکی از هر ۵ هکر هم عنوان کرده‌اند که این، تنها منبع درآمدشان به شمار می‌رود. طبق گزارش هکروان ۱۸ درصد هکر‌ها به‌صورت تمام وقت و ۴۰ درصد آن‌ها نیز ۲۰ ساعت در هفته به شکار باگ‌ها می‌پردازند.

 

در این گزارش آمده است درآمد هکر‌هایی که در «هکروان» ثبت‌نام کرده و در زیرمجموعه این سیستم در حال شکار باگ‌ها هستند، ۲.۵ برابر متوسط درآمد یک برنامه نویس است. همچنین ۹ هکر عضو پلتفرم «هکروان»، تاکنون بیش از یک میلیون دلار از محل کشف باگ‌ها و آسیب پذیری‌ها درآمد کسب کرده‌اند. بیش از ۲۰۰ هکر نیز درآمدی بالاتر از ۱۰۰ هزار دلار داشته‌اند و نیمی از ۹ هزار هکر هم که حداقل یک آسیب‌پذیری را کشف کرده‌اند ۱۰۰۰ دلار یا بیشتر درآمد کسب کرده‌اند. البته برخی از هکر‌ها نیز موفق به شناسایی حتی یک آسیب‌پذیری نشدند، اما عنوان کردند که کسب مهارت و یادگیری موارد بیشتر به آن‌ها کمک کرده تا شغل مستقلی برای خود دست و پا کنند.

 

در این گزارش همچنین آمده است: تنها در طول سال ۲۰۱۸ حدود ۳۰۰ هزار هکر در برنامه باگ بانتی حدود ۱۹ میلیون دلار درآمد داشتند که این رقم معادل جایزه‌ای است که این پلتفرم در کل سال‌های پیش از این به هکر‌ها پرداخت کرده بود. در سال ۲۰۱۸ حدود ۱۲ درصد از هکر‌هایی که از هکروان برای گزارش باگ استفاده کردند سالانه بیش از ۲۰ هزار دلار درآمد کسب کردند درحالی که ۱.۱ درصد آن‌ها سالانه درآمدی بیش از ۳۵۰ هزار دلار داشتند.

 

 

اما هکر‌ها در کدام کشور‌ها بیشترین درآمد را در برنامه‌های باگ بانتی داشته اند؟ گزارش پلتفرم Hacker One نشان می‌دهد در سال گذشته، هکر‌ها در امریکا بیشترین درآمد را داشته‌اند و ۱۹ درصد از کل مبلغ پرداخت شده به هکر‌های کلاه سفید را به خود اختصاص داده‌اند. پس از آن هکر‌های هندی با ۱۰ درصد قرار می‌گیرند. «هکروان» اعلام کرده است بین ماه‌های ژانویه تا جولای ۲۰۲۰ حدود ۶۴ هزار هکر جدید از هندوستان در این پلتفرم ثبت‌نام کرده‌اند درحالی که این رقم در مدت مشابه سال ۲۰۱۹ حدود ۲۹ هزار هکر بوده است. هکر‌های روسی هم از نظر درآمد در جایگاه سوم قرار گرفته اند (۸ درصد) و رتبه چهارم، پنجم و ششم هم به چین (۷ درصد) و آلمان (۵ درصد) و کانادا (۴ درصد) رسید.

 

برخی دلیل موفقیت بالای هکر‌های امریکایی را تصمیم مایکروسافت در سه برابر کردن جایزه هکر‌ها در سال ۲۰۱۹ نسبت به سال ۲۰۱۸ می‌دانند. در سال ۲۰۱۹ مایکروسافت برای شکار باگ‌ها ۱۳.۷ میلیون دلار به هکر‌ها پرداخت کرد که این رقم تقریباً دوبرابر جایزه گوگل با هزینه ۶.۵ میلیون دلاری بود. به این ترتیب مایکروسافت به یکی از بزرگ‌ترین منابع درآمد برای هکر‌هایی تبدیل شد که به‌دنبال کشف آسیب‌پذیری در نرم افزار‌ها و... هستند.

 

موفقیت هکر‌های هندی را نیز برخی به اپل نسبت می‌دهند. اپل بتازگی از جدیدترین نسخه سیستم عامل خود، IOS۱۴ برای آیفون و ipad ios۱۴ هم برای آیپد‌های خود رونمایی کرده است، اما منتقدان معتقدند هنوز زمان کافی برای اطمینان از کشف باگ‌ها و آسیب پذیری‌ها طی نشده است. شاید این خبر خوشی برای کاربران آیفون و آیپد نباشد، اما برای جامعه روزافزون هکر‌های کلاه سفید هندوستان، فرصتی بزرگ به شمار می‌رود.