للباحثين الأمنين .. حائط الشهره ونظام المكافأت الماليه.

بسم الله الرحمن الرحيم ..

موضوعنا اليوم ان شاء الله يتكلم عن حائط الشهره (Wall of fame) ونظام الكافأت الماليه.

ما هو حائط الشهره؟  (Wall of fame)

سنأخذ علي سبيل المثال موقع الفيس بوك .. فعندما يقوم احد بالإبلاغ عن ثغره أمنيه بموقع الفيس بوك ويتواصل مع الفريق الأمني الخاص بالموقع بتفاصيل الثغره الأمنيه فانهم يقومون بترقيع الثغره الأمنيه ومن ثم طرح اسم الشخص الذي قام بالإبلاغ عن الثغره علي صفحة تابعه للموقع تسمي حائط الشرف .. حيث يتم فيها طرح اسماء الباحثيين الأمنين او حتي الأشخاص العاديين الذين قاموا بالإبلاغ عن ثغرات بالموقع كنوع من الشكر والتقدير لهم ولمجهوداتهم ..

ومن أشهر المواقع التي تستخدم نظام حائط الشرف هي:

Microsoft.com

Google.com

Facebook.com

Paypal.com

وغيرها .. وعلي الجانب الاخر نري ان مواقع عملاقه كشركة الياهو لا يستخدمون نظام حائط الشرف!

والان ساتاحدث عن أهمية حائط الشرف للشركات .. وأهميته بالنسبة للافراد الذين يقومون بالإبلاغ عن الثغرات الأمنيه للموقع .

ما هي فائدة حائط الشهره للأفراد؟

1- لو انك باحث أمني وتريد ان تساهم في حماية المعلومات وتأمينها فانك بالطبع ستحب فكرة حائط الشرف ..
2- ان كنت باحث امني وتريد ربح المال من خلال البحث عن الثغرات الأمنيه فانك بالطبع ستحب فكرة حائط الشرف .. فشركة مثل جوجل والفيس بوك

يقومون بدفع أموال جيده للباحثين الأمنيين الذيين يقومون بالإبلاغ عن ثغرات أمنيه في مواقعهم .. فمثلا نجد ان الفيس بوك يدفع 500 دولار لمن يجد ثغره من نوع Cross Site Scripting(xss)  وتدفع 1337 دولار لمن يجد ثغره عالية الخطورة ك SQL Injection

اما عن جوجل فحدث ولا حرج فهي اعلي شركه في ناحية مكافأة الباحثين الأمنين فهي تدفع 3000 الاف دولار لمن يجد ثغرات تصنف من النوع عالي الخطورة .. انظر الفرق بين الفيس بوك وجوجل .. فجوجل احيانا تدفع اعلي من ذلك المبلغ علي حسب نوع الثغره نفسها 🙂

مع الوضع بالحسبان ان ميكروسوفت لا تقوم بدفع اي مبلغ من المال نظير ابلاغها عن ثغرات امنيه بموقعها ولاكن اسمك علي موقع ميكروسوفت يفرق كثيرا!

3- اذا كنت باحث امني او حتي شخص عادي وتبحث عن الشهره فانك بالطبع ستحب فكرة حائط الشرف .. فتخيل مثلا اسمك يتم كتابته علي موقع شركة جوجل او ميكروسوفت او الفيس بوك وموجه اليك كلمة شكر 🙂 كيف سيفرق معك ذلك في تذكيتك وظيفيا او عندما تقوم بكتابته داخل ال CV الخاص بك من ضمن أعمالك .. او حتي عندما يري أصدقاءك ذلك!

والكثير من الفوائد الاخري لمن يقوم بالإبلاغ عن ثغرات امنيه لمواقع الشركات الكبري .

ما هي فائدة حائط الشهره للموقع او الشركه؟

من المعروف ان اي شركه كبيره بحجم ميكروسوفت والفيس بوك لابد وان يكون لديهم فريق أمني كبير وباحثين أمنين داخل الشركه يقومون بالبحث الدائم عن أي ثغره أمنيه قد تتواجد في موقع الشركه او أنظمتتها الداخليه كاجهزة العاملين بالشركه او شبكات الانترنت الخاصه بالشركه او حتي نظام ادارة المحتوي الخاص بالموقع الي اخره ..

ولاكن أيضا كلنا يعلم بانه لا توجد حمايه 100% .. فمهما كانت خبرة فريقك فلابد بانهم لم يقومو بتامين نظامك بشكل كامل فهناك دائما نقاط ضعف لا يتم ملاحظتها .. ويوما عن يوم تظهر ثغرات وتهديدات أمنية جديده منها ما يتم طرحه في العلن ومنها ما يتم استخدامه بشكل خاص ودون الاعلان عنه ..

لذلك قامت الشركات الكبيره بعمل نظام حائط الشرف فهو يوفر للشركه أمان أعلي حيث سيتم إبلاغ الفريق الأمني للشركه عن اخر الثغرات الامنيه في انظمتهم ومواقعهم ..
كما ان ذلك سيعطي انطباع كبير بالأمان لمستخدمي منتجات هذه الشركه لانها وضعت امن المعلومات وامن المستخدمين محط الإهتمام ومن أولوياتها .

مع العم بان مثل هذا النظام سيوفر علي الشركه الكثير من الخسائر الماديه والسمعه السيئه ..

فمثلا لو ان شركة جوجل دفعت 3000 الاف دولار لباحث أمني قام بالابلاغ عن ثغرة من نوع SQL Injection باحد خدماتها .. فهل هذا افضل؟ ام انهم يتجنبون مثل هذه الرسائل ولا يضعوا لها اي اهتمام.. فيقوم الهاكر باستغلال الثغره وطرح عشرات الالاف من كلمات المرور الخاصه بشركة جوجل ومستخدميها علي الملأ! مما سيتسبب في ان كثير من المستخدمين سيسحبون الثقه من الشركه واخرين لن يستخدموا خدمات الشركه لانها لم تصبح امنه .. وقيمة اسهم الشركه في البورصة ستقل .. والبيع لمنتجاتها كذالك سيقل .. والتصنيف العالمي لها سيقل!!
أرايتم؟ فقط 3000 الاف دولار انقذت الشركه من كل الكوارث المذكورة بالأعلي!

كما ان هناك شركات مثل ميكروسوفت تستخدم نظام حائط الشرف دون ان تدفع اي مليم واحد للباحثين الأمنين نظير إبلاغها عن الثغرات الامنيه بمواقعها وخدماتها .. فقط تقوم بطرح اسماء الباحثين الامنين علي حائط الشرف الخاص بها ..

وكان من حسن حظي انني قمت بفضل الله عز وجل بالابلاغ عن ثغرة من نوع Source Code Disclosure في موقع شركة ميكروسوفت وتم طرح اسمي علي حائط الشرف للشركه
http://technet.microsoft.com/en-us/security/cc308589

بعض الملاحظات:

لا يتم طرح اسم الباحث الأمني عند الابلاغ عن الثغرة مباشرة .. ولاكن لابد ان يرسل كافة المعلومات المطلوبه من الفريق الامني للشركه عن الثغره

ومن ثم ياخذ الفريق الامني وقته في البحث والتاكد من وجود الثغره وانها موجوده فقط بهذا المنتج او الرابط الذي تم الابلاغ عنه ام انها موجوده بمنتجات او روابط اخري؟

وعندما يتم التأكد يقوم الفريق الامني للشركه باصدار ترقيع امني للثغره لاصلاحها تماما ..

بعد هذه الخطوات وبعد التاكد من ان الموقع او الخدمه لم يعد مصاب .. يتم طرح اسم الباحث الامني او مكافاته علي حسب الجهه التي يقوم بالابلاغ لديها

كما ان علي الباحث الامني ان يراسل الشركه باستخدام بياناته الحقيقيه فلا يمكن ان يراسلهم من خلال اسم مستعار او حتي بريد مزيف

فعلي سبيل المثال لو كانت الجهه التي يراسلها جهه تعتمد نظام المكافاءات فانهم سيحتاجون بياناتك الحقيقيه ليرسلوا لك مبلغ المكفأه.

من الجدير بالذكر أيضا ان شركة البايبال Paypal قامت بتطبيق نظام حائط الشهره ونظام المكفأه منذ وقت قريب .. لمزيد من التفاصيل:

http://www.security4arabs.com/2012/06/30/paypal-will-pay-security-researchers/

شكرا لحسن المتابعه .

نبذة عن الكاتب

خبير أمن معلومات مصري , متخصص في تجربة إختراق تطبيقات الويب و أمن الشبكات و متحدث في عدة مؤتمرات دولية عن أمن المعلومات , تم مكآفأته و إدراج اسمه عدة مرات على حائط الشكر بموقع Google , Ebay , Microsoft , Yandex وتم تكريمة من قبل Yahoo و Avira و Barracuda. يمكنكم التواصل مع الكاتب عبر حسابة علي تويتر @Zigoo0

التعليقات:

أضف تعليقاً | عدد التعليقات: (10)

  1. KATARA SECURITY قال:

    السلام عليكم
    بارك الله فيك
    أنت بصراحة شرفت كل العرب
    ومشكور على الموضوع القيم
    في انتظار جديدك

  2. من زاوية اخرى قال:

    السلام عليكم

    من زاوية اخرى : بعض الباحثين لا يهمه سوى المال ولا يريد حائط وشهرة وغيره

    فعندما يكتشف ثغرة قوية مثلاً SQL Injection يستطيع بيعها بأكثر من ما تعطيه الشركات كلها !! فكثير من الناس يشتري الثغرات بمبالغ عالية او على الاقل ضعف مبلغ الشركة المصابة

  3. ابراهيم حجازي قال:

    @من زاوية اخري: اهلا اخي .. ما تتحدث عنه هو Black Hat Biz يعني شغل قبعات سوداء واذا رايت في عنوان الموضوع انا كاتب للباحثين الأمنين .. دعني اوضح لك بان البلاك هات ماركت يكون مختلف عن شغل الباحثين الامنين فمثلا ثغره من نوع xss في الفيس بوك تباع بالفين دولار بينما الفيس بوك يدفع فقط 500 دولار! ولاكن ال500 دولار من الفيس بوك افضل لانها حلال ولان اسمك سيطرح علي موقع الفيس بوك مما ستستفيد منه بالكثير من الاشياء يمكنك متابعة الموضوع مره اخري لمعرفة الافاده .. اما البيع في البلاك ماركت فيعني انك ستحصل علي فلوس غير حلال لانك ببيعك للثغره تعرف بانه سيتم استخدامها بشكل غير شريف ولضرر الاخرين ناهيك عن انها بعد فتره سيتم كشفها بواصطة البوتس الخاصه بالفيس بوك ويتم ترقيعها!

  4. موضوع جد جيد , بالمناسبة أخي لقد فتحت شهية كشف الثغرات في ولن يهنئ لي بال مند الأن حتى يوضع إسمي على حائط الشهره لأحد المواقع التي دكرتها (حائط الشهره بلييييييز) 🙂

  5. ممكن الطريقة قال:

    السلام عليكم
    ياشباب انا استخدم برنامج acunetix بس كل ما اعمل بحث بمواقع مثل جوجل وباي بال وفيس بوك ما الاقي ثغرات سكول او xxs يعطيني broken links شو يعني هل معناها ثغرة ام ماذا؟ اذا حد عندو اي طريقة يقول الله يخليكم

    شكرا

  6. إبراهيم حجازي قال:

    أهﻻ اخي “ممكن طريقة” يفضل إستخدام إسم حقيقي حتي يسهل التعامل ان شاء الله.

    بخصوص سؤالك عن إستخدام اكونتكس لمحاولة اكتشاف ثغرات بالمواقع الكبيره فهذا امر صعب جداا لكي تكتشف ثغره في هذه المواقع بمثل أكونتكس!

    لان برامج الفحص الاوتوماتيكي مثل الاكونتكس تقوم اولا وقبل الفحص باستكشاف ملفات ومجلدات الموقع حتي تقوم بفحصها ويتم ذلك من خلال استخارجها من ملف robots.txt وكثيرا من المواقع تضع باينات مزيه بهذا الملف حتي تضلل برامج الفحص الاوتوماتيكي

    هذا غير ان الشركات الكبيره بالطبق تكون برمجايتها مؤمنة بشكل كبير جدا في صفحاتها الرئيسية .. اما الثغرات فتكون موجوده في الغالب بعد عملية تسجيل الدخول يعني داخل صفحات الاعضاء وغيرها وحتي يمكنك فحصها عليك بتسجيل الدخول اوﻻ وانت ﻻ تقفعل ذلك ببرنامج اكونتكس!

    اما عن ذكرك ل broken links فهذا معناه انه هناك روابط موجوده بالموقع وﻻكنها ﻻ تعمل او تم حذفها وهذا يركد كلامي عن ان المواقع تعطي بيانات مزيفه لبرامج البحث الاوتوماتيكي او تقوم بحجبها تماما.

    نصيحه عليك بتعلم الثغرات بشكل اكبر حتي يمكنك اكتشافها بشكل يدوي او من خلال برمجيات بسيطه وليست اوتوماتيكيه.

    • ممكن الطريقة ابو زيد قال:

      السلام عليكم
      شكرا لك على ردك فعلا انا حاولت بالبرنامج وارسلت الكثير من التقارير بس للاسف انرفضت لو سمحت لو كان عنك فيس بوك اتمنى تعطيني اياه علشان اضيف حضرتك
      شكرا لك

  7. Asesino04 قال:

    السلام عليكم
    أجل هذا النوع م، الاعمال مربح و حلال من جهة أخرى فاكتشاف الثغرات في هذه المواقع مربح جدا أنا اكتشفت ثغرتين من نوع اكس اس اس في البايبال قامو بدفع 1500 دولار

  8. yaman قال:

    السلام عليكم ممكن تخبرني شو متطلبات اكتشاف الثغرات يدويا؟؟؟ وكيف تتم؟؟

أكتب تعليق