Login|Shop Makers| Ads Maker | SMS

Steps to fulfill your orders

Service Management Training

Service Management Training

After delivering the product, you will receive the necessary training and instructional film.

Order of product and service

Order of product and service

Order the service and wait for our contact.

Professional and free advice

Professional and free advice

Use telephone, telegram or in-person consulting.

Product selection

Product selection

After choosing the product you want to contact us.

A site with the ability to display on all devices

 

Why is cooperation with us useful to you?

  • Having a professional and experienced team

    Professional programmers! By hiring the best programmers in the country and graduates from the top universities, we are proud to bring together a brilliant creative team to meet your needs.

    Managers Experienced and Experienced Certainly, managing a skilled team requires a powerful and experienced manager.

  • 100% professional design and user-friendly

    Responsive Design All websites designed by us are featured on mobile and tablet.

    Using day technologies we always use the latest technologies and updates. And all our products support touch technology.

  • 24-hour support even on holidays

    Individual Support Team By setting up a team and individual support unit to upgrade your services, we are always at your side.

    In-person, phone, and online support Communication through networks Social has also been possible with call and face-to-face communication.

  • Delivery of the project's source along with the training of students and educational films

    Submission of Source Project Code !! Unlike other companies, all of the Source Code Project is open to you in order to prevent any dependence on our services.

    In-person training and presentation of educational videos Along with each project, in addition to being trained, a video tutorial is also provided to make it easy to use the facilities and not to worry about forgetting your training.

  • 1

Web Design Company,Web Site Design Company

درآمد میلیونی هکرها از طریق گزارش حفره‌های امنیتی

هر ساله کمپانی‌های بزرگ تکنولوژی با داشتن چندین باگ و آسیب‌پذیری مورد حمله هکرها قرار می‌گیرند. معمولا افشای آسیب‌پذیری‌ها قبل از گزارش آن به کمپانی مربوطه، خطرات جدی را به همراه دارد. در همین راستا استارت‌آپ‌های بزرگی به وجود آمده‌اند که در قبال گزارش باگ‌ و آسیب‌پذیری‌ها، مبلغی را به هکرها پرداخت می‌کنند.

 «Shashank Kumar» مهندس اسبق سیسکو و متخصص امنیت شبکه، در سال‌های نوجوانی با هک آشنا شد. او در ابتدا جهت سرگرمی و دیفیس «Deface» سایت‌ها را هک می‌کرد. اما حالا پشیمان است، زیرا مطلع شده که در قبال کاری که انجام می‌داد، می‌توانست با گزارش باگ‌ها و آسیب‌پذیری‌ها درآمد داشته باشد. سپس او با فعالیت در «cyberboyindia» توانست ۳۰ هزار دلار درآمد داشته باشد، در واقع این مبلغ حداقل مخارج شهریه‌ی او را جبران می‌کرد. این روزها مبحث امنیت طوری شده است که حتی دانش‌آموز ۱۹ ساله بدون توجه به امتحانات نهایی خود شب‌ها بیدار مانده و به بررسی باگ‌های امنیتی می‌پردازد. سایت‌های بزرگی مانند یاهو، توئیتر، پی‌پال و AT&T در تیررس این گونه افراد قرار گرفته و ممکن است حتی آسیب‌پذیری‌های بزرگی از آن‌ها یافت شود. شاشنک هم جزو افرادی است که در قبال گزارش باگ‌ها پاداشی از قبیل گوشی‌همراه و چک ۱.۵۰۰ دلاری را دریافت کرده است.

او پس از یافتن باگ گوگل در اکانت توئیتر خود این موضوع را منتشر کرد: 

t1

شاشنک جزو افرادی است که مبحث امنیت و گزارش باگ را گسترش داد. گوگل هفته‌ی پیش اعلام کرد که برنامه‌ی گزارش باگ خود را تغییر داده است. تاکنون کسانی که قصد شرکت در این کنفرانس گزارش باگ را داشتند، باید باگ‌های شناسایی شده را در ماه مارس ثبت می‌کردند، برای شرکت در کنفرانس ثبت نام می‌کردند و اگر همه چیز بر طبق روال پیش می‌رفت، پاداش خود را دریافت می‌کردند. اما گوگل به تازگی امکان انجام تمامی این کارها به صورت از راه دور و در تمامی ماه‌های سال فراهم ساخته است. از این پس هریک از کارشناسان امنیتی که با ایرادی در سیستم عامل کروم رو برو می‌شود، می‌تواند با ثبت آن باگ در برنامه‌ی پاداش برای حفره های گوگل یا VRP، بدون نیاز به هیچ کار اضافی دیگر، انتظار دریافت پاداش خود را داشته باشد.

برای ترغیب هرچه بیشتر کارشناسان امنیتی، گوگل مقدار حداکثر پاداش برای هر فرد را به بی‌نهایت تغییر داده است.

به این معنی که دیگر سقفی برای این افراد وجود ندارد و هرکس می‌تواند برای هر یک از باگ‌هایی که شناسایی کند پاداش دریافت کند. اما این برنامه کمی عجیب به نظر می‌رسد، شاید با این کار گوگل می‌خواهد خود را در عرصه‌ی رقابت نگه دارد. معمولا برنامه‌ی گزارش باگ با پاداش‌های مختلفی همراه است؛ مانند چک‌های چند میلیون دلاری یا حتی تی‌شرت! اما در طول پنج سال اخیر این برنامه بهتر شده است و شامل پاداش‌های میلیونی است. تقریبا تمامی کمپانی‌های فعال در زمینه‌ی تکنولوژی یک نمونه از این برنامه‌ها را دارند و حتی مقدار و مبلغ پاداش‌های خود را نیز افزایش داده‌اند. استارت‌آپ‌های جدیدی مانند Crowdcurity, Bugcrowd, Synack و HackerOne در زمینه‌ی گزارش باگ‌ها به کمپانی‌های بزرگ کمک کرده و به طور قابل توجهی مبلغ پاداشی آسیب‌پذیری‌ها را افزایش می‌دهند. برنامه‌های گزارش باگ فقط مختص کمپانی‌های بزرگ نیست، امروزه با پیشرفت تکنولوژی امنیت هم زیر سئوال می‌رود. به همین دلیل کمپانی چه کوچک باشد و چه بزرگ دارای باگ است.

سلاح جدید در جنگ بی‌پایان

 Andrew Pile مدیر ارشد تکنولوژی در Vimeo اخیرا یک برنامه‌ی گزارش باگ را توسط استارت‌آپ HackerOne به اجرا گذاشته و گفت:

حال شرایط فرق کرده و ذهنیت دیگری از امنیت داریم و باید از چنین استارت‌آپ‌هایی کمک بگیریم، زیرا برنامه‌ریزی و شروع چنین برنامه‌ای از صفر، بسیار سخت و دشوار است.

با رشد Vimeo در چند سال اخیر، تعدادی گزارش باگ هم دریافت کرده است، اما به نظر می‌رسد پیل نسبت به پرداخت گزارش‌های باگ‌ها کمی ناراضی به نظر می‌رسد و گفت:

تنها راه تشکر از هکرها و گزارش دهندگان باگ فراهم کردن اکانت رایگان یا تی‌شرت بود، که این روش کارآمد نبوده و افراد متخصص را برای یافتن باگ تشویق و ترغیب نمی‌کرد.

 همانند کمپانی‌های بسیاری Vimeo در جلب توجه متخصصان امنیت مشکل دارد، به همین دلیل این مشکل باعث شد تا این شرکت به فکر افراد خبره‌ی دیگری باشد، شاید در این بین متخصصانی هم پیدا می‌شد که نه می‌شناختند و نه اعتمادی نسبت به آن‌ها داشتند، زیرا اغلب این افراد گروهی ناشناس و نوجوان بودند. استارت‌آپ‌های فعال در زمینه‌ی گزارش باگ‌ها به عنوان دلال‌های بازار هستند، زیرا اعتمادی را بین کمپانی‌ها و مشتریان جهت برقراری ارتباط و همکاری ایجاد می‌کنند. بنابراین شرکت‌هایی مثل Vimeo با مراحل اولیه‌ی تعامل با هکر ارتباطی نداشته و فقط مقدار و نوع پاداش را تعیین می‌کنند. پیل با بیان اینکه پرداخت پول به این گونه افراد واقعا می‌توانند زجرآور باشد، زیرا آن‌ها در هر نقطه‌ای از دنیا وجود دارند. استارت‌آپ HackerOne با مدیریت تمامی مراحل قانونی و منطقی، روشی آسان را به کمپانی‌ها فراهم می‌کند.

استارت‌آپ HackerOne در قبال مدیریت و پشتیبانی از مراحل گزارش هر باگ، ۲۰ درصد از مبلغ پرداختی به هکر را دریافت می‌کند.

این سیستم روشی راحت و بی‌دردسر را برای کمپانی‌های بزرگی از جمله یاهو و توئیتر ارائه می‌کند. این شرکت‌ها از کمپانی‌های شخص ثالث مانند استارت‌آپ HackerOne برای مدیریت برنامه‌ی باگ خود استفاده می‌کنند. Bill Gurley یکی از افراد فعال در این استارت‌آپ با بیان اینکه راه‌ کارهای قدیمی دیگر در گزارش باگ‌های نرم‌افزاری و سخت‌افزاری کارساز نبوده گفته که باید از روشی نوین و کارآمد در این زمینه استفاده کرد. در واقع به جای تعامل مستقیم با هکرها، برنامه‌ی گزارش باگ از طریق استارت‌آپ‌ها راه حل منطقی و بهتری به نظر می‌رسد.

مدیریت افراد سودجو

برای متخصصان امنیت بزرگ‌‌ترین ریسک، صرف کردن ساعات زیادی در یافتن آسیب‌پذیری‌ها و سپس نوشتن گزارشی کامل در خصوص این باگ و تشریح چگونگی رفع و پچ آن‌ها است. افراد حرفه‌ای مانند شاشنک و همکاران او در این زمینه، آسیب پذیری‌هایی که مکررا و به صورت مداوم تکرار می‌شوند را پیدا کرده و درصدد رفع آن‌ها برمی‌آیند؛ می‌توان گفت این افراد زمینه‌ی شناخت این گونه آسیب‌پذیری‌ها و رفع آن‌ها شناخته شده‌اند. 

پیل در خصوص این آسیب‌پذیری‌ها می‌گوید:

اعتماد حرف اول را در این زمینه می‌زند، این گونه افراد ساعات زیادی از شبانه‌روز را صرف پیدا کردن و گزارش مشکلات امنیتی صرف می‌کنند و سپس گزارش آرشیو می‌شود. من تعداد قابل توجهی از گزارشات تکراری را جمع کرده‌ام که متاسفانه فقط برای نفر اولی که باگ را گزارش می‌دهد، پاداش را پرداخت خواهیم کرد.

نکته‌ی قابل توجه این است که افراد بسیاری که در زمینه‌ی امنیت مشغول هستند، کار یافتن و گزارش باگ را انجام می‌دهند. ماهیت ماجرا این است برخی مواقع این شرایط حتی بصورت ماهیانه هم برای متخصصان امنیت به صرفه نبوده و مشکل ساز می‌شود. بیشتر این افراد کار گزارش باگ را به صورت سرگرمی و فقط از روی علاقه و بصورت پاره وقت انجام می‌دهند. البته در نظرسنجی که انجام شده برخی از هکرها اعلام کرده‌اند که در قبال گزارش باگ مهمی، مبلغ هنگفتی را نیز دریافت کرده‌اند.

اندرو یکی از هکرهای معروف روسی در این خصوص گفت:

 برنامه‌ی باگ مانند بازی آنلاین پوکر است. ممکن است خوش شانس باشید و پاداش بزرگی را دریافت کنید، اما در مقابل شاید خوش شانس نبوده و زمان زیادی را صرف یافتن باگ کرده باشید و در نهایت هیچ پاداشی را دریافت نکنید.

در کشورهایی مانند هند و پاکستان افراد نوجوان بسیاری وجود دارند که در زمینه‌ی امنیت فعال هستند، در واقع می‌توان از انرژی و استعداد این گونه افراد در برنامه‌ی گزارش باگ استفاده کرد. شاید در بین افرادی نیز باشد که سودجو بوده و صرفا از گزارشات متخصصان امنیت دیگری سوءاستفاده می‌کنند.

دنیل لوشمینان یکی از افرادی است که باگ اپلیکیشن Trello را پیدا کرده، می‌گوید:

با بررسی گزارشات باگ‌های این سایت، برخی افراد سودجو هم مشاهده شده‌اند، این دسته افراد با فریب متخصصان امنیت درصدد به دست آوردن گزارش آسیب‌پذیری‌های آن‌ها هستند و ادعا می‌کنند که در مقابل ارائه‌ی آسیب‌پذیری‌های سایت‌های بزرگ پاداش بزرگ نیز دریافت خواهید کرد. در هفته‌ی اول انتشار برنامه‌باگ Trello، تعداد ۲۰۰ گزارش را دریافت کردیم که تنها ۱۰ مورد آن‌ها واقعی بودند.

 به دلیل این دسته از مشکلات، استارت‌آپ Synack از یک مدل متفاوت و بسته استفاده می‌کند؛ در واقع این استارت‌آپ از بهترین روش ممکن استفاده می‌کند. Synack توسط تعدادی از افراد فعال در NSA به وجود آمده که سال‌هایی طولانی را صرف یافتن و گزارش آسیب‌پذیری‌های مراکز دولتی کرده‌اند. جی کاپلان بنیانگذار این استارت‌آپ گفته که از رویکردی متفاوت برای ارائه دهندگان برنامه‌ی گزارش باگ استفاده می‌کنند. او همچنین گفت که ممکن است برخی افراد حتی با ۵۰ دلار افراد متخصص در این زمینه را فریب دهند. کمپانی‌هایی که از استارت‌آپ Synack استفاده می‌کنند، مبلغی را به هکرها پرداخت نمی‌کنند، اما در عوض خدمات رایگان دیگری را برای این گونه افراد فراهم می‌کنند. این استارت‌آپ در ابتدا امتحانی را از هکرها می‌گیرد و اگر در این تست مورد قبول واقع شوند، به لیستی مجزا و خاص اضافه خواهند شد. سپس این افراد را در برنامه‌ی گزارش باگ ثبت‌نام می‌کند و بعدها از آن‌ها برای گزارش آسیب‌پذیری‌های کمپانی‌های غیر تکنولو‌‌ژی استفاده می‌کند.

اجتناب از مقاومت

الکس رایس مدیر سابق برنامه‌ی امنیت فیسبوک و مدیر ارشد فنی در استارت‌آپ HackerOne گفت:

بیشتر هکرها راه رسمی و قانونی را در بازار سیاه برای فعالیت در زمینه‌ی گزارش باگ انتخاب می‌کنند، حتی اگر مبالغ کم باشند. برای فروش محصولی در بازار سیاهُ حتما باید آن را ایمن کنید. به همین دلیل ممکن است این کار ماه‌ها طول بکشد اما در نهایت به آن محصول قدرت و توانایی خواهید بخشید. بیشتر افراد مهارت‌های نرم‌افزاری را دارند اما به قصد خرابکاری کاری را انجام نمی‌دهند.

 برخی کارشناسان فعال در زمینه فناوری، امنیت و ایمنی کار و برنامه‌ی باگ را در اولویت اول می‌دانند. به عقیده‌ی Ilia Kolochenko بنیانگذار شرکت امنیتی High-Tech Bridge، برخی کمپانی‌ها تصور می‌کنند اگر برنامه‌ی گزارش باگ خود را به صورت عمومی منتشر کنند، بازخوردهای خوبی را هم دریافت خواهند کرد؛ اما شرایط کمی فرق می‌کند. زیرا این کار به ضرر خود کمپانی تمام خواهد شد. او از مثال هکری استفاده کرد که باگ تکراری را گزارش کرده است. در این مثال هکر سودجود بوده و در گزارش خود اعلام می‌کند که اگر گزارش باگ مورد قبول واقع نشود، روال کار را تغییر داده و از باگ‌ها بهره‌برداری خواهد کرد یا این آسیب‌پذیری را به افراد متخصص، مدیر ارشد که مبالغ بیشتری پرداخت کنند خواهند داد. 

گاس آنانیوس یکی از افراد فعالی بود که در برنامه‌ی گزارش باگ پی‌پال کمک کرده و حال در استارت‌آپ Synack مشغول است. به عقیده‌ی وی باید به هکرهایی که مبالغ کمی را در قبال گزارش باگ دریافت می‌کنند، توجه بیشتری شود. زیرا ترغیب و تشویق بیشتر آن‌ها باعث می‌شود علم هکینگ خود را گسترش داده و به برنامه‌ی گزارش باگ کمپانی‌های بزرگ کمک کنند. در غیر این صورت ممکن است باگ‌های مهم را انتشار کرده و امنیت کمپانی‌ها را به خظر بیندازند. به همین دلیل شرکت‌هایی که تهدیداتی را از سوی هکرها دریافت می‌کنند، زمان بسیاری را نیز برای سر و کله زدن با آسیب‌پذیری‌ها صرف خواهند کرد، در نتیجه نه تنها وصله‌ی امنیتی برای باگ‌ها ارائه نخواهد شد، بلکه آسیب‌پذیری‌های مهم سیستم در معرض حملات سایبری نیز قرار خواهند گرفت. باید کمپانی‌ها در ازای دریافت گزارش جدیدی که تکراری نیست، پاداش خاص و بزرگی را برای هکرها در نظر بگیرند. در این صورت رقابت نیز بیشتر شده و آسیب‌پذیری‌های زیادی نیز از سیستم پیدا خواهند شد. با رفع این باگ‌ها سیستم به طور کامل ایمن خواهد شد. اگر این چرخه به طور مکرر انجام شود، می‌توان گفت تمامی کمپانی‌های بزرگ امنیت خود را به نوعی افزایش خواهند داد. البته در این بین ممکن است باگ‌هایی آشکار شوند که خصوصی بوده و شاید هکر قصد گزارش آن را ندارد؛ در این حالت چندین احتمال وجود دارد. این باگ‌ به یک کمپانی دیگری که در زمینه‌ی امنیت فعال است گزارش خواهد شد و آن‌ها در ازای ارائه‌ی آن به برنامه‌ی گزارش باگ پول هنگفتی را در یافت خواهند کرد، یا اینکه خود هکر در قالب فردی ناشناس به بهره‌برداری این آسیب‌پذیری مشغول خواهد شد.

ساختن بهترین راه در بدترین شرایط

 برخی متخصصان امنیت که سال‌ها در زمینه‌ی برنامه‌ی گزارش باگ مشغول بودند، راه خود را تغییر داده‌اند.

دن کامینسکی یکی از متخصصان امنیت در این خصوص می‌گوید:

من همیشه نگران بودم که چنین برنامه‌های گزارش باگ به وجود خواهد آمد و افراد سودجوی بسیاری باگ‌های خطرناکی را بدون اینکه گزارش کنند از آن‌ها سوءاستفاده خواهند کرد یا اینکه بدون گزارش کردن تقاضای پول هنگفتی را از کمپانی‌ها داشته باشند. ای کمپانی‌‌ها هم در عوض زمان زیادی را برای این نوع باگ‌ها و با این افراد تلف خواهد کرد؛ در آخر این باگ‌ها بدون اینکه وصله‌ی امنیتی برای آن‌ها ارائه شود بهره برداری خواهند شد.

 اما در حال حاضر افراد متخصصی هم وجود دارد که استعدادهای بسیاری در گزارش باگ دارند. در مقابل افرادی هم وجود دارند که گزارش باگ را در زمینه ی امنیت سیستم ها بسیار مهم نمی‌داند. این دسته از افراد راه‌های دیگری را برای افزایش سیستم دارند. به عنوان مثال تیمی که کمپانی سونی را هک کردند، جزو این دسته از گروه قرار دارند. در واقع کمپانی سونی در هیچ برنامه‌ی گزارش باگ شرکت نکرده بود، اما چون در شرایط بدی قرار داشت افراد مخصص و البته سودجویی این شرکت را هک کردند. به همین دلیل لزوما بیشتر هک‌ها بر مبنای آسیب‌پذیری نیست و از طریق مهندسی اجتماعی صورت می‌پذیرد. حتی ممکن است در این روش برنامه و نرم‌افزارهای مخربی به کمپانی و کاربران داده شوند، در نتیجه سیستم آسیب‌پذیر شده و در معرض حمله قرار می‌گیرد. حتی بنیانگذاران این استارت‌آپ‌ها نیز از آن‌ها به عنوان جادوی حل مشکلات امنیتی یاد نمی‌کنند. با اینکه می‌توان آن‌ها را راه‌حل مناسب و قانونی برای رفع آسیب‌پذیری‌ها دانست.

جیکوب هانسن بنیانگذار و مدیرعامل Crowdcurity گفت:

نمی‌توان گفت زمانی که برنامه‌ی گزارش باگ اجرا می‌شود پس حتما امنیت سیستم نیز برقرار شده است؛ این تنها یک گزینه برای شروع رفع آسیب‌پذیری‌ها است. شما نیاز به بررسی و مرور کد، منایع سخت‌افزاری و آموش کارکنان خواهید داشت.

 با مطالعات انجام شده در مرورگرهای کروم و فایرفاکس، این نتیجه به دست آمد که برنامه‌ی گزارش باگ اجرا شده بر روی این مرورگرها بسیار ارزان‌تر از استخدام یک متخصص امنیت است. امروزه بیشتر موسسه و سازمان‌ها به این نتیجه رسیده‌اند که راه‌های دیگری نیز برای برقراری امنیت سیستم وجود دارد. استارت‌آپ‌ها فقط یکی از این راه‌کارها است. در غیر اینصورت باید از تیمی متخصص و کامل برای برقراری امنیت و ارائه‌ی وصله‌های امنیتی استفاده شود.

Leave comment

All fields have * are required

Introducing some customers

  • 1
  • 2
  • 3

Organic Food

The Ilya Group has begun its work with the mission of linking business and the Internet to its customers since 1390, and since its inception, it has focused on the opportunities created in the web, the Ilya team believes that by relying on The young and creative force and the use of the experiences of online business elders can boost and grow your online business in different areas.

Customers comments

  • Site Manager Ahmadi Roshan

    Thank you for doing your work and patience in providing services, and attending you at various times to advise.

  • 1
  • 2
  • 3

Contact Us

 info (@) ilyaweb.com
  (0098)2166177804
 02166177816
 (0098)9395187902 Telegraph Consultation
 09108159608
 
 Office of Technology:Iran,Tehran Square Revolution, next to Metro, No. 33
 Office of Marketing: Iran,Tehran,Shaghayegh Square, 18th Floor, 4th Floor