«کرونا» فعالیت هکرهای کلاه سفید را افزایش داد



میترا جلیلی
خبرنگار


بحران جهانی کرونا، ازسویی  منجر به افزایش حملات سایبری به سازمان‌ها، نرم افزارها و... شده است و ازسوی دیگر صنعت امنیت سایبری جهان با مشکل کمبود نیروی متخصص روبه‌روست. با توجه به روند رو به‌رشد حمله‌های سایبری، تخمین زده می‌شود این حملات تا سال 2021 خسارتی 6 تریلیون دلاری به این صنعت وارد کند. درحالی که کمپانی‌ها، سرویس‌های اطلاعاتی و... مبالغ بالایی برای مقابله با تهدیدات بیرونی هزینه می‌کنند یک پلتفرم با نام هکروان(Hacker One) برای حل مشکلات سایبری از هکرهای اخلاقی یا همان هکرهای کلاه سفید سراسر جهان کمک می‌گیرد تا در قالب پروژه‌های باگ بانتی (Bug Bounty) قبل از مجرمان سایبری به باگ‌ها و آسیب پذیری‌ها دسترسی پیدا کنند. این موضوع آنقدر مورد توجه قرار گرفته که در حال حاضر شکار باگ‌ها به یک شغل پردرآمد در جهان تبدیل شده است.
یک پلتفرم پرکار
آیا می‌توان تنها با گزارش دادن آسیب پذیری‌ها و باگ‌های موجود در سیستم‌ها ثروتمند شد؟ پاسخ مثبت است؛ البته اگر یکی از هکرهای کلاه سفید توانمند باشید. شاید برای برخی، به دام انداختن باگ‌ها و کشف آسیب پذیری‌ها در وب سایت‌ها و اپلیکیشن‌ها درست مانند حل کردن جدول، یک تفریح و سرگرمی باشد ولی برای برخی دیگر یک منبع درآمد بسیار مهم به شمار می‌رود. با دیجیتالی شدن جهان، حالا دیگر استخدام هکرها برای یافتن آسیب پذیری‌ها در نرم افزارها یا سرویس‌های مختلف به امری معمول تبدیل شده و کمپانی‌های بزرگ حاضرند با پرداخت چند هزار دلار به ازای یافتن باگ‌ها در سیستم هایشان، امنیت خود را تضمین کنند و یک گام از مجرمان سایبری جلوتر باشند.
هکروان(Hacker One) یکی از کمپانی‌های موفق در زمینه اجرای پروژه‌های باگ بانتی است. (در Bug Bounty یا مسابقات کشف باگ و آسیب پذیری، یک وب‌سایت یا اپلیکیشن، سازمان یا توسعه‌دهنده برای کشف باگ‌های سرویس خود به هکرها جایزه می‌دهد. هدف از این برنامه، کشف آسیب‌پذیری‌های امنیتی قبل از انتشار عمومی آنها است).
تاریخچه تأسیس کمپانی «هکروان»که حالا مشتریان بزرگی همچون گوگل، علی بابا، توئیتر، اینتل، وزارت دفاع امریکا، اسپاتیفای، Airbnb، دراپ باکس، استارباکس، نینتندو و تویوتا دارد، به سال 2011 بازمی گردد. در این زمان دوهکر هلندی اقدام به شناسایی آسیب پذیری‌ها در 100کمپانی بزرگ فناوری ازجمله فیس‌بوک، گوگل، اپل، مایکروسافت و توئیتر کردند و تقریباً در همه آنها حداقل یک باگ یافتند. این دو هکر نام برنامه خود را Hack 100 گذاشتند و با این کمپانی‌ها تماس گرفتند درحالی که برخی از کنار هشدار آنها بی‌اعتنا عبور کردند اما«شریل سندبرگ» که در هیأت مدیره فیس‌بوک فعالیت داشت، به این موضوع ورود کرد و در نهایت در سال 2012 مؤسسه HackerOne بنیانگذاری شد. در نوامبر 2013 مایکروسافت و فیس‌بوک پروژه Internet Bug Bounty را رقم زدند و در مارس 2016 هم وزارت دفاع امریکا در قالب پروژه‌ای به‌نام Hack the Pentagon با کمک پلتفرم هکروان در طول 24روز حدود 138 آسیب‌پذیری در وب سایت‌های مرتبط با وزارت دفاع امریکا کشف کرد و 70هزار دلار به هکرهای کلاه سفید پرداخت شد. گفتنی است شعبه اصلی «هکروان» در سانفرانسیسکو جای گرفته و حالا دیگر این پلتفرم دفاتری هم در هلند، بریتانیا و آلمان دارد.
کرونا و هکرهای کلاه سفید
«هکروان» به‌همراه Synack و Bugcrowd از نخستین کمپانی‌هایی به‌شمار می‌رود که فعالیت خود را در زمینه باگ بانتی آغاز کرده و در نوع خود، بزرگ‌ترین کمپانی امنیت سایبری محسوب می‌شود. این کمپانی در تازه‌ترین گزارش خود، اطلاعاتی درباره تعداد آسیب پذیری‌های شناسایی شده توسط این کمپانی و مبالغی که به هکرها برای یافتن این باگ‌ها پرداخت شده، ارائه داده است.
در این گزارش آمده است: از زمان آغاز به کار این کمپانی تا ماه مه 2020، حدود 181هزار آسیب‌پذیری به این پلتفرم گزارش شده و بیش از 100میلیون دلار نیز بابت حق الزحمه به هکرهای کلاه سفید که در این سرویس ثبت‌نام کرده‌اند، پرداخت شده است. همچنین در این گزارش آمده است در سال گذشته برای شکار باگ‌ها بیش از 44.75میلیون دلار به هکرها پرداخت شده که این رقم نسبت به سال گذشته افزایش 86درصدی نشان می‌دهد.
سخنگوی پلتفرم هکروان نیز دراین گزارش آورده است: از آغاز پاندمی کرونا تاکنون شاهد افزایش 59درصدی ثبت‌نام هکرهای جدید هستیم و البته گزارش کشف باگ‌ها هم افزایش 28درصدی داشته‌اند. دلیل این موضوع شاید خانه نشینی کاربران و کشف استعدادهای خود در زمینه شکار باگ‌ها بوده است. البته از آنجا که تاکنون تعداد زیادی از این آسیب پذیری‌ها وصله امنیتی شده‌اند، کار برای هکرها سخت‌تر شده و برای به دام انداختن باگ‌ها باید مهارت بالاتری داشته باشند که این، خبر خوشی برای شکارچیان باگ‌ها محسوب می‌شود چرا که مبلغ بالاتری به ازای یافتن این باگ‌ها و آسیب‌پذیری ها دریافت می‌کنند.
درآمدی 2.5برابر یک برنامه نویس
طبق تازه‌ترین گزارش هکروان، متوسط پرداختی به هکرها برای کشف آسیب پذیری‌های خطرناک و حیاتی، به 3هزار و 650دلار رسیده که رشد سالانه 8درصدی را نشان می‌دهد درحالی که این رقم برای شناسایی باگ‌های معمولی 979دلار است. همچنین 9 نفر از هر 10هکر ثبت‌نام شده در Hacker One زیر 35سال سن دارند و یکی از هر 5هکر هم عنوان کرده‌اند که این، تنها منبع درآمدشان به شمار می‌رود. طبق گزارش هکروان 18درصد هکرها به‌صورت تمام وقت و 40درصد آنها نیز 20ساعت در هفته به شکار باگ‌ها می‌پردازند.
در این گزارش آمده است درآمد هکرهایی که در «هکروان» ثبت‌نام کرده و در زیرمجموعه این سیستم در حال شکار باگ‌ها هستند، 2.5برابر متوسط درآمد یک برنامه نویس است.همچنین 9هکر عضو پلتفرم «هکروان»، تاکنون بیش از یک میلیون دلار از محل کشف باگ‌ها و آسیب پذیری‌ها درآمد کسب کرده‌اند.بیش از 200هکر نیز درآمدی بالاتر از 100هزار دلار داشته‌اند و نیمی از 9هزار هکر هم که حداقل یک آسیب‌پذیری را کشف کرده‌اند 1000 دلار یا بیشتر درآمد کسب کرده‌اند.البته برخی از هکرها نیز موفق به شناسایی حتی یک آسیب‌پذیری نشدند اما عنوان کردند که کسب مهارت و یادگیری موارد بیشتر به آنها کمک کرده تا شغل مستقلی برای خود دست و پا کنند.
در این گزارش همچنین آمده است: تنها در طول سال 2018 حدود 300هزار هکر در برنامه باگ بانتی حدود 19میلیون دلار درآمد داشتند که این رقم معادل جایزه‌ای است که این پلتفرم در کل سال‌های پیش از این به هکرها پرداخت کرده بود.در سال 2018 حدود 12درصد از هکرهایی که از هکروان برای گزارش باگ استفاده کردند سالانه بیش از 20هزار دلار درآمد کسب کردند درحالی که 1.1درصد آنها سالانه درآمدی بیش از 350هزار دلار داشتند.
پردرآمدترین هکرها در امریکا
اما هکرها در کدام کشورها بیشترین درآمد را در برنامه‌های باگ بانتی داشته اند؟ گزارش پلتفرمHacker One نشان می‌دهد در سال گذشته، هکرها در امریکا بیشترین درآمد را داشته‌اند و 19درصد از کل مبلغ پرداخت شده به هکرهای کلاه سفید را به خود اختصاص داده‌اند. پس از آن هکرهای هندی با 10درصد قرار می‌گیرند. «هکروان» اعلام کرده است بین ماه‌های ژانویه تا جولای 2020 حدود 64هزار هکر جدید از هندوستان در این پلتفرم ثبت‌نام کرده‌اند درحالی که این رقم در مدت مشابه سال 2019 حدود 29هزار هکر بوده است.هکرهای روسی هم از نظر درآمد در جایگاه سوم قرار گرفته اند(8درصد) و رتبه چهارم، پنجم و ششم هم به چین(7درصد) و آلمان(5درصد) و کانادا(4درصد) رسید.
برخی دلیل موفقیت بالای هکرهای امریکایی را تصمیم مایکروسافت در سه برابر کردن جایزه هکرها در سال 2019 نسبت به سال 2018 می‌دانند. در سال 2019 مایکروسافت برای شکار باگ‌ها 13.7میلیون دلار به هکرها پرداخت کرد که این رقم تقریباً دوبرابر جایزه گوگل با هزینه 6.5میلیون دلاری بود. به این ترتیب مایکروسافت به یکی از بزرگ‌ترین منابع درآمد برای هکرهایی تبدیل شد که به‌دنبال کشف آسیب‌پذیری در نرم افزارها و... هستند.
موفقیت هکرهای هندی را نیز برخی به اپل نسبت می‌دهند. اپل بتازگی از جدیدترین نسخه سیستم عامل خود، IOS14 برای آیفون و
 ipad ios14 هم برای آیپدهای خود رونمایی کرده است اما منتقدان معتقدند هنوز زمان کافی برای اطمینان از کشف باگ‌ها و آسیب پذیری‌ها طی نشده است. شاید این خبر خوشی برای کاربران آیفون و آیپد نباشد اما برای جامعه روزافزون هکرهای کلاه سفید هندوستان، فرصتی بزرگ به شمار می‌رود.