بازار کار برای یابندگان نقاط ضعف امنیتی

Luigi Auriemma یکی از محققان سرشناس در زمینه کشف نقاط ضعف امنیتی است. وی در 10 ماهه اول سال 2011، 30 حفره امنیتی در نرم‌افزارهای مختلف از Sybase گرفته تا Adobe Shockwave و Apple Quicktime کشف کرده است. به عقیده این محقق، علیرغم تشویق‏های مالی شرکت‏های حامی، تحقیقات مستقل او هیچگاه یک شغل محسوب نمی‌شود.

“کشف حفره‌های امنیتی یک کار دوم است. گاهی تمام وقت خود را وقف آن می‌کنم و گاهی روزها یا حتی هفته‌ها روی آن کاری نمی‏کنم. این برای محققان پاره وقت یا برای کسانی که منبع خوبی از اشکالات نرم‌افزاری را یافته‌اند یا می‌توانند بیایند، مناسب است.” اینها بخشی از صحبت‎های Auriemma است.

با وجودی که خطر حفره‌های امنیتی، شرکت‏ها را در مقابل نفوذگران به شدت آسیب‌پذیر می‌کند اما تحقیقات انجام شده بر روی موضوعات امنیتی همچنان ارزش چندانی برای بسیاری از شرکت‏های نرم‌افزاری ندارد و این خود سبب می‌شود که کشف نقاط ضعف نرم‌افزارها برای بسیاری از نفوذگران و کارشناسان امنیتی منبع درآمد مطمئنی به حساب نیاید.

در حال حاضر 20 طرح تشویقی برای ترغیب و دادن پاداش به محققانی که بر روی کشف حفره‌های امنیتی کار می‌کنند، وجود دارد. همچنین شرکت‏هایی نظیر Google, Mozilla و Facebook به کسانی که ضعف‌های امنیتی سایت و برنامه‌هایشان را گزارش می‌کنند، جایزه می‌دهند. این کمک‏های مالی معمولاً مبلغی بین 500 تا 3000 دلار است که براساس درجه اهمیت حفره امنیتی کشف شده، پرداخت می‌شوند. طرح Zero Day Initiative یا ZDI که توسط شرکت Tipping Point شروع شد و اکنون تحت پوشش شرکت HP فعالیت می‏کند، بزرگترین طرح تشویقی رسمی است که در آن حفره‌های امنیتی خریداری می‌شود. از سال 2010 تاکنون ZDI بیش از 300 حفره امنیتی گزارش شده را پذیرفته است. گفته می‌شود ZDI تقریباً 300 هزار دلار تنها به یک پژوهشگر در طول مدت همکاری‏شان پرداخته است. سه پژوهشگر پردرآمد دیگر نیز در سال 2010 بیش از 100 هزار دلار از این طریق درآمد کسب کرده‌اند.

همچنین طرح تشویقی شرکت iDefense (با نام iDefense Vulnerability Contributor) باسابقه‌ترین طرح خرید حفره‏های امنیتی است که توسط یک شرکت ثالث (به غیر از شرکت‏های تولیدکننده نرم‏افزار) از تحقیقات بر روی حفره‌های امنیتی حمایت می‏کند. در اوج اجرای این طرح، سالانه بیش از 100 گزارش نقطه ضعف کشف شده، خریداری می شد. اما این تعداد در سال‏های اخیر بطور میانگین به 20 گزارش در سال رسیده است.

هفته گذشته شرکت امنیتی Secunia نیز نسبت به راه‌اندازی یک طرح تشویقی برای کارشناسانی که بر روی نقاط ضعف امنیتی کار می‌کنند، اقدام کرد. این طرح یک پل ارتباطی بین محققان و شرکت‏های تولیدکننده نرم‏افزار خواهد بود. در این طرح، پاداش و جایزه قابل توجهی پرداخت نمی‏شود و هدف طرح نیز رقابت با طرح‏های Tipping Point و یا iDefense نیست. شرکت Secunia می‌کوشد تا نقاط ضعفی را قبول کند که طرح‌های دیگر تمایلی به پذیرفتن آنها ندارند. محققان مبلغ اندکی برای کشفیات خود دریافت می‌کنند و علاوه بر آن، دو نفری که با اهمیت‌ترین و جالب‏ترین حفره امنیتی را گزارش کرده باشند، یک پاداش فوق‏العاده نیز دریافت خواهند کرد. این پاداش هزینه‌های اعزام به کنفرانس‏های مهم در طول یکسال است.

البته واقعیت آن است که عدم استفاده از شرکت‏های شخص ثالث و تعامل مستقیم با تولیدکننده نرم‌افزار منافع بیشتری را می‏تواند نصیب محققان با تجربه کند. میانگین پاداش پرداخت شده توسط طرح‏های ZDI و iDefense کمتر از 2 هزار دلار است. در حالیکه گزارش یک حفره امنیتی در محصولات Google، می‏تواند بیش از 3 هزار دلار برای گزارش‏کننده آن پاداش داشته باشد.

یکی از راه‌های دیگر کسب درآمد، یافتن حفره‌های امنیتی و تهیه برنامه برای سوءاستفاده از آنها است. Gleg Labs یک شرکت امنیتی در مسکو است و برنامه‏هایی را که برای سوءاستفاده از ضعف‎های امنیتی تهیه می‏شوند، خریده و جمع آوری می‏کند. این شرکت از این برنامه‏ها در انجام آزمون‏های نفوذپذیری (Penetration testing) استفاده می‌کند. به عنوان نمونه، شرکت Gleg Labs دو بانک اطلاعاتی به نام‏های Agora و +SCADA دارد که هر یک حاوی برنامه‏هایی برای سوءاستفاده از نقاط ضعف امنیتی شناخته شده در سیستم‏های تحت وب و سیستم‏های کنترل صنعتی هستند. این بانک‏های اطلاعاتی به نرم‏افزار اصلی که آزمون نفوذپذیری را انجام می‏دهد، متصل شده و می‏تواند نقاط ضعف احتمالی در هر نوع از سیستم‏ها را تشخیص داده و مورد سوءاستفاده قرار دهد. هر یک از این بانک‏های اطلاعاتی چند هزار دلار قیمت دارند.

علاوه بر این، ارزش تجربه‌ای را که محقق از این راه به تدریج کسب می‌کند، نباید فراموش کرد. این تجربیات می‌تواند برای او راه را برای شغل‏های بهتر باز کند.