Luigi Auriemma یکی از محققان سرشناس در زمینه کشف نقاط ضعف امنیتی است. وی در 10 ماهه اول سال 2011، 30 حفره امنیتی در نرمافزارهای مختلف از Sybase گرفته تا Adobe Shockwave و Apple Quicktime کشف کرده است. به عقیده این محقق، علیرغم تشویقهای مالی شرکتهای حامی، تحقیقات مستقل او هیچگاه یک شغل محسوب نمیشود.
“کشف حفرههای امنیتی یک کار دوم است. گاهی تمام وقت خود را وقف آن میکنم و گاهی روزها یا حتی هفتهها روی آن کاری نمیکنم. این برای محققان پاره وقت یا برای کسانی که منبع خوبی از اشکالات نرمافزاری را یافتهاند یا میتوانند بیایند، مناسب است.” اینها بخشی از صحبتهای Auriemma است.
با وجودی که خطر حفرههای امنیتی، شرکتها را در مقابل نفوذگران به شدت آسیبپذیر میکند اما تحقیقات انجام شده بر روی موضوعات امنیتی همچنان ارزش چندانی برای بسیاری از شرکتهای نرمافزاری ندارد و این خود سبب میشود که کشف نقاط ضعف نرمافزارها برای بسیاری از نفوذگران و کارشناسان امنیتی منبع درآمد مطمئنی به حساب نیاید.
در حال حاضر 20 طرح تشویقی برای ترغیب و دادن پاداش به محققانی که بر روی کشف حفرههای امنیتی کار میکنند، وجود دارد. همچنین شرکتهایی نظیر Google, Mozilla و Facebook به کسانی که ضعفهای امنیتی سایت و برنامههایشان را گزارش میکنند، جایزه میدهند. این کمکهای مالی معمولاً مبلغی بین 500 تا 3000 دلار است که براساس درجه اهمیت حفره امنیتی کشف شده، پرداخت میشوند. طرح Zero Day Initiative یا ZDI که توسط شرکت Tipping Point شروع شد و اکنون تحت پوشش شرکت HP فعالیت میکند، بزرگترین طرح تشویقی رسمی است که در آن حفرههای امنیتی خریداری میشود. از سال 2010 تاکنون ZDI بیش از 300 حفره امنیتی گزارش شده را پذیرفته است. گفته میشود ZDI تقریباً 300 هزار دلار تنها به یک پژوهشگر در طول مدت همکاریشان پرداخته است. سه پژوهشگر پردرآمد دیگر نیز در سال 2010 بیش از 100 هزار دلار از این طریق درآمد کسب کردهاند.
همچنین طرح تشویقی شرکت iDefense (با نام iDefense Vulnerability Contributor) باسابقهترین طرح خرید حفرههای امنیتی است که توسط یک شرکت ثالث (به غیر از شرکتهای تولیدکننده نرمافزار) از تحقیقات بر روی حفرههای امنیتی حمایت میکند. در اوج اجرای این طرح، سالانه بیش از 100 گزارش نقطه ضعف کشف شده، خریداری می شد. اما این تعداد در سالهای اخیر بطور میانگین به 20 گزارش در سال رسیده است.
هفته گذشته شرکت امنیتی Secunia نیز نسبت به راهاندازی یک طرح تشویقی برای کارشناسانی که بر روی نقاط ضعف امنیتی کار میکنند، اقدام کرد. این طرح یک پل ارتباطی بین محققان و شرکتهای تولیدکننده نرمافزار خواهد بود. در این طرح، پاداش و جایزه قابل توجهی پرداخت نمیشود و هدف طرح نیز رقابت با طرحهای Tipping Point و یا iDefense نیست. شرکت Secunia میکوشد تا نقاط ضعفی را قبول کند که طرحهای دیگر تمایلی به پذیرفتن آنها ندارند. محققان مبلغ اندکی برای کشفیات خود دریافت میکنند و علاوه بر آن، دو نفری که با اهمیتترین و جالبترین حفره امنیتی را گزارش کرده باشند، یک پاداش فوقالعاده نیز دریافت خواهند کرد. این پاداش هزینههای اعزام به کنفرانسهای مهم در طول یکسال است.
البته واقعیت آن است که عدم استفاده از شرکتهای شخص ثالث و تعامل مستقیم با تولیدکننده نرمافزار منافع بیشتری را میتواند نصیب محققان با تجربه کند. میانگین پاداش پرداخت شده توسط طرحهای ZDI و iDefense کمتر از 2 هزار دلار است. در حالیکه گزارش یک حفره امنیتی در محصولات Google، میتواند بیش از 3 هزار دلار برای گزارشکننده آن پاداش داشته باشد.
یکی از راههای دیگر کسب درآمد، یافتن حفرههای امنیتی و تهیه برنامه برای سوءاستفاده از آنها است. Gleg Labs یک شرکت امنیتی در مسکو است و برنامههایی را که برای سوءاستفاده از ضعفهای امنیتی تهیه میشوند، خریده و جمع آوری میکند. این شرکت از این برنامهها در انجام آزمونهای نفوذپذیری (Penetration testing) استفاده میکند. به عنوان نمونه، شرکت Gleg Labs دو بانک اطلاعاتی به نامهای Agora و +SCADA دارد که هر یک حاوی برنامههایی برای سوءاستفاده از نقاط ضعف امنیتی شناخته شده در سیستمهای تحت وب و سیستمهای کنترل صنعتی هستند. این بانکهای اطلاعاتی به نرمافزار اصلی که آزمون نفوذپذیری را انجام میدهد، متصل شده و میتواند نقاط ضعف احتمالی در هر نوع از سیستمها را تشخیص داده و مورد سوءاستفاده قرار دهد. هر یک از این بانکهای اطلاعاتی چند هزار دلار قیمت دارند.
علاوه بر این، ارزش تجربهای را که محقق از این راه به تدریج کسب میکند، نباید فراموش کرد. این تجربیات میتواند برای او راه را برای شغلهای بهتر باز کند.