سامانه کلاه سفید در راستای ارتقای امنیت سامانه‌های فناوری اطلاعات، به عنوان اولین سامانه مسابقات کشف باگ و آسیب پذیری در ایران با همکاری مرکز پژوهشی آپای دانشگاه صنعتی امیرکبیر راه اندازی شد.

به گزارش خبرگزاری موج، یکی از راه‌کارهای ارتقای امنیت اطلاعات در کسب و کارهای اینترنتی، انجام تست‌های امنیتی دوره‌ای و کشف باگ‌ها و آسیب‌پذیری‌ها، پیش از سوءاستفاده از آن‌ها توسط نفوذگران است. در ایران از زمان پیدایش اینترنت و پس از آن با افزایش فرهنگ امنیت اطلاعات، تست‌های امنیتی نیز رواج یافته‌اند، اما همواره این موضوع  با مشکل عدم کارایی تست‌ها در قبال هزینه‌های پرداختی روبرو بوده است.

مشکل از آن جا پیدا می‌شود که پس از انعقاد قرارداد تست امنیتی، به هر صورت درصد زیاد و یا همه هزینه باید در قبال تست پرداخت شود و این درحالی است که ممکن است هیچ‌گونه آسیب‌پذیری کشف نشود و یا تست مناسبی صورت نگرفته باشد.

ریشه این مشکل را در مسائل مختلفی می‌توان جست‌وجو کرد؛ تست‌های امنیتی سنتی توسط یک تیم واحد با دانش محدود انجام می‌شود و بسیار محتمل است که بسیاری از باگ‌ها و نقاط ضعف از چشم این تیم مخفی بماند، یا  تیم وقت کافی برای تست اختصاص ندهد و حتی تیم ارزیابی امنیتی دارای سطح دانش کافی نباشد. سامانه کلاه سفید با فهم این چالش و یافتن راه‌حلی برای آن، ایده برگزاری مسابقات ارزیابی امنیتی را مطرح کرده است که سامانه یا پورتال در معرض ارزیابی طیف وسیعی از متخصصان قرار داده می‌شود.

ثبت نام در سایت سامانه کلاه سفید

در این سامانه، جهت ارزیابی محصول، پورتال یا سامانه، کافی است به عنوان یک کاربر سازمانی در سایت کلاه سفید ثبت نام کرده؛ جزئیات مسابقه و مبالغ جوایز مشخص و مبلغی  به عنوان جوایز مسابقه در سایت ودیعه گذاشته شود. در صورتی که باگی در سامانه مربوطه کشف شود، پس از ارزیابی و تایید آن توسط داوران، مبلغ آن باگ از ودیعه پرداختی کسر و به متخصص پرداخت خواهد شد. در صورتی که سامانه امن باشد، تنها مبلغ جزئی جهت برگزاری مسابقه درنظر گرفته می‌شود و ودیعه پرداختی  قابل عودت یا استفاده برای مسابقات دیگر است.

از سوی دیگر در صورتی که افراد در حوزه ارزیابی امنیتی و کشف باگ وآسیب‌پذیری متخصص باشند، می‌توانند با مراجعه به سامانه کلاه سفید و مشاهده مسابقات فعال، اقدام به کشف باگ وآسیب‌پذیری کرده و با گزارش آن، جایزه مربوطه را دریافت کنند. سامانه کلاه سفید دارای مجوز فعالیت رسمی از مرکز افتای ریاست جمهوری است و داوران سامانه کلاه‌سفید، کارشناسان مرکز پژوهشی آپا دانشگاه صنعتی امیرکبیر (https://apa.aut.ac.ir) هستند.

هکرهای کلاه سفید

هکرهای کلاه سفید به آن دسته از هکرها گفته می‌شود که کارهای مفیدی انجام می‌دهند، نفوذ می‌کنند اما بدون نیت بد. دلیل کار آن‌ها معمولاً بررسی امنیت سیستم‌ها است، چیزی که در جامعه امنیت کامپیوتری به آن تست نفوذ می‌گویند. این افراد ممکن است با شرکت‌ها قراردادی برای کشف نقاط ضعف سیستم آن‌ها ببندند و تلاش کنند تا با رعایت کلیه اصول هک اخلاقی به سیستم آن‌ها نفوذ کنند.

هدفشان نشان دادن ضعف سیستم‌های امنیتی شبکه‌های کامپیوتری است، این گروه به نام هکرهای خوب معروف هستند. این دسته نه تنها مضر نیستند بلکه در تحکیم دیواره حفاظتی شبکه‌ها نقش اساسی دارند و معمولاً هر بار با روش جدیدی از دیواره امنیتی عبور می‌کنند. مثل یافتن نقص در سیستم امنیتی و جلوگیری از ورود رخنه‌گرهای کلاه سیاه. معمولاً تمامی گروه‌های هکری کلاه سفید در اکثر کشورها به صورت آزادانه فعالیت دارند و تقریباً قانونی هستند. برخی از هکرهای کلاه سفید ایرانی رنجر هکر و گروه آشیانه و تیم نت تصحیح‌کننده و ارتش سایبری هستند.