هکرهایی با کلاه خاکستری

صفحه اصلی کارگروهها >> شبکه و امنیت  >> هکرهایی با کلاه خاکستری
حسین فرجی

حسین فرجی

در کارگروه: شبکه و امنیت
تعداد ارسالي: 50
14 سال پیش در تاریخ: چهارشنبه, فروردين 31, 1390 4:43

هکرها هم می‌توانند درآمد مشروع و قانونی داشته باشند. فقط کافی است اراده کنند تا نان حلال از عمل خویش خورند؛ البته سر یک دوراهی باید برای این اتفاق تصمیم‌گیری کنند.
هکرها بسته به انتخاب خود، می‌توانند آینده یک محصول یا شرکت را تا حدودی رقم زده و یا تحت تاثیر قرار دهند.
فرض کنید شما هکر کامپیوتر هستید و یک حفره نفوذی در نرم‌افزاری پیدا کرده‌اید.
اگر این حرفه برای هکرهای خرابکار آشکار شود، امکان سرقت پول یا حتی هویت افراد را برای‌شان فراهم می‌کند. برای شما مایه مباهات و افتخار است که حفره یک نرم‌افزار راپیدا کرده‌اید، اما واقعیت این است که چنین موفقیتی دردی از پول اجاره خانه و موعدی که هر روز نزدیک‌تر می‌شود دوا نمی‌کند.
با این تفاسیر، احتمال اینکه کشف‌تان را به بالاترین قیمت پیشنهادی بفروشید، چقدر است؟
اگر از شرکت نرم‌افزاری مربوطه که حفره در آن پیدا شده، تقاضای پول کنید، این طور به نظر می‌رسد که قصد اخاذی یا حق السکوت دارید.
مشکلی که احتمال دارد در این راه با آن مواجه شوید، این است که به دلیل عدم تمایل شرکت برای پرداخت پول، مجبور شوید دانش و یافته‌های‌تان را در اختیار هکرهای خرابکار بگذارید.
احتمال وقوع چنین اتفاقی است که ارزش آن حفره را بیش از پیش نشان داده و در درجه اول اهمیت، قرار می‌دهد. در درجه بعدی اهمیت اما، پاداش عادلانه برای یافتن آن حفره است که باید ارایه شود؛ اما چه کسی حاضر است بابت آن به شما پول بدهد؟!
کسب و کارها نیز به مثابه طبیعت از خلاء گریزانند، بدین لحاظ شرکت‌های امنیتی به وجود آمده‌اند که خلاء میان هکرها و شرکت‌های سازنده نرم‌افزار و محصولاتی از این دست را پر می‌کنند.
این شرکت‌ها حفره‌های یافت شده را از هکرها و یا به عبارت دیگر «پژوهشگران امنیتی» می‌خرند.
شرکت‌های مذکور پس از این مرحله نسبت به فروش حفره‌های موجود به شرکت‌های نرم‌افزاری اقدام می‌کنند و اغلب همراه با ارایه نقاط ضعف، اصلاحیه‌ای را هم ارایه می‌دهند. گاهی هم این نقاط ضعف را دستمایه «تحقیقات» بعدی قرار می‌دهند، یعنی با استفاده از این نقاط ضعف، به جست و جوی نقاط ضعف بزرگ‌تر و سودمندتر (البته به نفع خودشان) می‌پردازند.
چنین شرکت‌هایی سعی دارند به مثابه نوعی «نهاد سوم» عمل کنند که از سوی هکرها و شرکت‌های نرم‌افزاری مورد پذیرش قرار گرفته باشد.
البته ادعای آنها این است که بازار را خوب می‌شناسند و از هزینه‌ای که احتمال دارد برای حفره‌ها پرداخت شود، مطلعند.
با وجود این، اغلب نه هکرها به آنها اعتماد می‌کنند و نه شرکت‌های دیگر.
هکرها می‌گویند، اگر برای اثبات مدعایشان درباره یک حفره و هزینه‌ای که می‌بایست بابت آن پرداخت شود به شرکت‌هایی از این دست مراجعه کنند، ارزش اطلاعاتی که دارند یکسره از بین می‌رود، زیرا دیگر فقط آنها نیستند که از وجود آن حفره مطلعند؛ و در واقع محرمانه بودن اطلاعات از دست می‌رود.
شرکت‌های نرم‌افزاری نیز در این میان معتقدند که این شرکت‌های واسط تنها اطلاعات بی معنی و پیش پا افتاده را به آنها ارایه می‌کنند.
شاید این شرکت‌ها زیادی بدگمان هستند اما به هر حال اظهار می‌دارند که نقاط ضعف اصلی مستقیما به بازار سیاه راه می‌برند.
در همین راستا یک شرکت سوییسی برای شفاف‌سازی در این حوزه اقدام جدیدی انجام داده است. با سرویس جدید این شرکت تمامی فرآیند فروش حفره‌ها و ارایه نقاط ضعف به شکلی شفاف انجام می‌پذیرد و از طرفی هکرها نیز بیش از پیش با ارایه اطلاعات درست و دقیق از مزایای مادی اقدام‌شان منتفع می‌شوند.
شرکت Wabi Sabilabi متمایز از شرکت‌های امنیتی قدیمی‌تر، به اختیار و سلیقه خود اقدام به خرید و فروش اطلاعات نمی‌کند بلکه تنها فضای مناسبی را برای عقد چنین قراردادهایی فراهم می‌آورد.
هکرها یا شکارچیان حفره‌ها و نقاط ضعف نیز می‌توانند از این فضای کسب و کاری به سه شیوه استفاده کنند.
۱) کشف خود را در یک مزایده رودررو و مستقیم برای فروش ارایه کرده و آن را با حقوق انحصاری‌اش به بالاترین پیشنهاد عرضه کنند.
۲) حفره را با قیمتی ثابت بدون آنکه وارد مزایده شود انحصارا به شرکتی خاص بفروشند.
۳) حفره را با قیمت ثابت به تعداد زیادی از خریداران که مایل به دریافت آنها هستند، عرضه کنند.
Wabi Sabalabi برای فراهم کردن فضا و شرایط این فرآیند، دو اقدام انجام داده است.
۱) در تلاش است، تنها به افرادی که اهداف و موجودیت مشروع و قانونی دارند امکان خرید و فروش اطلاعات را بدهد (البته این کار به کمک یک فرآیند تحقیقی شبیه به روند مورد استفاده در بانک‌ها برای جلوگیری از پولشویی انجام می‌گیرد).
۲) شرکت موضوع و حفره مورد ادعای یابنده‌اش را پیش از عرضه برای فروش مورد بررسی قرار می‌دهد تا از ادعای هکر در مورد آن مطمئن شود.
هرمان زامپاریولو (Herman Zampariolo)، رییس شرکت Wabi Sabi Labi در این باره می‌گوید: تاکنون از زمان راه‌اندازی مرکز داد و ستد شرکت، صدها هکر در شرکت ثبت نام کرده‌اند ولی فقط ۴ حفره برای فروش عرضه شده‌اند و قیمت مطرح شده برای آنها هم متوسط بوده است. برخی معتقدند که علت این امر، ارزیابی خریداران از نحوه کار این سیستم است.
البته ناگفته نماند که به تازگی ۲۰۰ حفره برای بررسی به شرکت عرضه شده‌اند.
با این اوصاف، اگر با چنین مزایده‌هایی خواستار موفقیت چشمگیر باشید، باید از سد موانع متعددی بگذرید. یکی از این موانع مربوط به فروشنده است. اگر فروشنده در مورد پیشنهادش کاملا روراست عمل کند، خریدار نیز بدون آنکه برای این اطلاعات مبلغی پرداخت کرده باشد از جزییات آن مطلع می‌شود.
مورد دیگر این است که شانس اطلاع یافتن افراد دیگر از وجود آن حفره به مرور گذشت زمان افزایش می‌یابد. هنگامی که مساله بیان آن حفره برای هکر از ضرورت برخوردار است و او نیاز دارد که در کمترین زمان نسبت به طرح آن اقدام کند، مجبور می‌شود فرآیند تصدیق و ارزیابی شرکت برای حضور در مزایده را از سر بگیرد.
اما واقعیت این است که معضل اصلی در راه پویایی یک مزایده درباره نواقص نرم‌افزاری، برگزاری یک مزایده قانونی است.
جنیفر گرانیک (Jennifer Granick)، یکی از حقوقدانان دانشگاه استانفورد که سال‌های متمادی در این مورد به تحقیق و مطالعه پرداخته‌اند، می‌گوید: اگر فردی با استفاده از مرکز داد و ستدی مشابه Wabi Sabi Labi مرتکب جرمی شود، یعنی از اطلاعات مربوط به حفره‌ای که در آنجا خریداری کرده برای مقاصد نادرست سوء استفاده کند، آنگاه صاحب مرکز تجاری مذکور با دردسر و مشکل مواجه خواهد شد.
با توجه به قوانین کیفری آمریکا، باید ثابت شود که صاحب آن مرکز تجاری آگاهانه نسبت به فروش اطلاعات یک حفره به فرد مجرم اقدام کرده است.
البته بر اساس قوانین شهروندی، باید بی احتیاطی شرکت اثبات شود.
در فیلم‌های وسترن آدم خوب‌ها کلاه‌های سفید می‌پوشند و آدم بدها کلاه‌های سیاه بر سر می‌گذارند. این قانون در مورد هکرهای کامپیوتری نیز به شکلی نمادین مورد استفاده قرار گرفته است.شاید اقدام جدید شرکت Wabi Sabi Labi جانی تازه بدمد در کالبد هکرهایی نوظهور با کلاه‌هایی خاکستری.


حذف ارسالي ويرايش ارسالي