ما هو حائط الشهره؟ (Wall of fame)
سنأخذ علي سبيل المثال موقع الفيس بوك .. فعندما يقوم احد بالإبلاغ عن ثغره أمنيه بموقع الفيس بوك ويتواصل مع الفريق الأمني الخاص بالموقع بتفاصيل الثغره الأمنيه فانهم يقومون بترقيع الثغره الأمنيه ومن ثم طرح اسم الشخص الذي قام بالإبلاغ عن الثغره علي صفحة تابعه للموقع تسمي حائط الشرف .. حيث يتم فيها طرح اسماء الباحثيين الأمنين او حتي الأشخاص العاديين الذين قاموا بالإبلاغ عن ثغرات بالموقع كنوع من الشكر والتقدير لهم ولمجهوداتهم ..ومن أشهر المواقع التي تستخدم نظام حائط الشرف هي:
Microsoft.com
Google.com
Facebook.com
Paypal.com
وغيرها .. وعلي الجانب الاخر نري ان مواقع عملاقه كشركة الياهو لا يستخدمون نظام حائط الشرف!
والان ساتاحدث عن أهمية حائط الشرف للشركات .. وأهميته بالنسبة للافراد الذين يقومون بالإبلاغ عن الثغرات الأمنيه للموقع .
ما هي فائدة حائط الشهره للأفراد؟
1- لو انك باحث أمني وتريد ان تساهم في حماية المعلومات وتأمينها فانك بالطبع ستحب فكرة حائط الشرف ..2- ان كنت باحث امني وتريد ربح المال من خلال البحث عن الثغرات الأمنيه فانك بالطبع ستحب فكرة حائط الشرف .. فشركة مثل جوجل والفيس بوك
يقومون بدفع أموال جيده للباحثين الأمنيين الذيين يقومون بالإبلاغ عن ثغرات أمنيه في مواقعهم .. فمثلا نجد ان الفيس بوك يدفع 500 دولار لمن يجد ثغره من نوع Cross Site Scripting(xss) وتدفع 1337 دولار لمن يجد ثغره عالية الخطورة ك SQL Injection
اما عن جوجل فحدث ولا حرج فهي اعلي شركه في ناحية مكافأة الباحثين الأمنين فهي تدفع 3000 الاف دولار لمن يجد ثغرات تصنف من النوع عالي الخطورة .. انظر الفرق بين الفيس بوك وجوجل .. فجوجل احيانا تدفع اعلي من ذلك المبلغ علي حسب نوع الثغره نفسها
مع الوضع بالحسبان ان ميكروسوفت لا تقوم بدفع اي مبلغ من المال نظير ابلاغها عن ثغرات امنيه بموقعها ولاكن اسمك علي موقع ميكروسوفت يفرق كثيرا!
3- اذا كنت باحث امني او حتي شخص عادي وتبحث عن الشهره فانك بالطبع ستحب فكرة حائط الشرف .. فتخيل مثلا اسمك يتم كتابته علي موقع شركة جوجل او ميكروسوفت او الفيس بوك وموجه اليك كلمة شكر
كيف سيفرق معك ذلك في تذكيتك وظيفيا او عندما تقوم بكتابته داخل ال CV الخاص بك من ضمن أعمالك .. او حتي عندما يري أصدقاءك ذلك!والكثير من الفوائد الاخري لمن يقوم بالإبلاغ عن ثغرات امنيه لمواقع الشركات الكبري .
ما هي فائدة حائط الشهره للموقع او الشركه؟
من المعروف ان اي شركه كبيره بحجم ميكروسوفت والفيس بوك لابد وان يكون لديهم فريق أمني كبير وباحثين أمنين داخل الشركه يقومون بالبحث الدائم عن أي ثغره أمنيه قد تتواجد في موقع الشركه او أنظمتتها الداخليه كاجهزة العاملين بالشركه او شبكات الانترنت الخاصه بالشركه او حتي نظام ادارة المحتوي الخاص بالموقع الي اخره ..ولاكن أيضا كلنا يعلم بانه لا توجد حمايه 100% .. فمهما كانت خبرة فريقك فلابد بانهم لم يقومو بتامين نظامك بشكل كامل فهناك دائما نقاط ضعف لا يتم ملاحظتها .. ويوما عن يوم تظهر ثغرات وتهديدات أمنية جديده منها ما يتم طرحه في العلن ومنها ما يتم استخدامه بشكل خاص ودون الاعلان عنه ..
لذلك قامت الشركات الكبيره بعمل نظام حائط الشرف فهو يوفر للشركه أمان أعلي حيث سيتم إبلاغ الفريق الأمني للشركه عن اخر الثغرات الامنيه في انظمتهم ومواقعهم ..
كما ان ذلك سيعطي انطباع كبير بالأمان لمستخدمي منتجات هذه الشركه لانها وضعت امن المعلومات وامن المستخدمين محط الإهتمام ومن أولوياتها .
مع العم بان مثل هذا النظام سيوفر علي الشركه الكثير من الخسائر الماديه والسمعه السيئه ..
فمثلا لو ان شركة جوجل دفعت 3000 الاف دولار لباحث أمني قام بالابلاغ عن ثغرة من نوع SQL Injection باحد خدماتها .. فهل هذا افضل؟ ام انهم يتجنبون مثل هذه الرسائل ولا يضعوا لها اي اهتمام.. فيقوم الهاكر باستغلال الثغره وطرح عشرات الالاف من كلمات المرور الخاصه بشركة جوجل ومستخدميها علي الملأ! مما سيتسبب في ان كثير من المستخدمين سيسحبون الثقه من الشركه واخرين لن يستخدموا خدمات الشركه لانها لم تصبح امنه .. وقيمة اسهم الشركه في البورصة ستقل .. والبيع لمنتجاتها كذالك سيقل .. والتصنيف العالمي لها سيقل!!
أرايتم؟ فقط 3000 الاف دولار انقذت الشركه من كل الكوارث المذكورة بالأعلي!
كما ان هناك شركات مثل ميكروسوفت تستخدم نظام حائط الشرف دون ان تدفع اي مليم واحد للباحثين الأمنين نظير إبلاغها عن الثغرات الامنيه بمواقعها وخدماتها .. فقط تقوم بطرح اسماء الباحثين الامنين علي حائط الشرف الخاص بها ..
وكان من حسن حظي انني قمت بفضل الله عز وجل بالابلاغ عن ثغرة من نوع Source Code Disclosure في موقع شركة ميكروسوفت وتم طرح اسمي علي حائط الشرف للشركه
http://technet.microsoft.com/en-us/security/cc308589
بعض الملاحظات:
لا يتم طرح اسم الباحث الأمني عند الابلاغ عن الثغرة مباشرة .. ولاكن لابد ان يرسل كافة المعلومات المطلوبه من الفريق الامني للشركه عن الثغرهومن ثم ياخذ الفريق الامني وقته في البحث والتاكد من وجود الثغره وانها موجوده فقط بهذا المنتج او الرابط الذي تم الابلاغ عنه ام انها موجوده بمنتجات او روابط اخري؟
وعندما يتم التأكد يقوم الفريق الامني للشركه باصدار ترقيع امني للثغره لاصلاحها تماما ..
بعد هذه الخطوات وبعد التاكد من ان الموقع او الخدمه لم يعد مصاب .. يتم طرح اسم الباحث الامني او مكافاته علي حسب الجهه التي يقوم بالابلاغ لديها
كما ان علي الباحث الامني ان يراسل الشركه باستخدام بياناته الحقيقيه فلا يمكن ان يراسلهم من خلال اسم مستعار او حتي بريد مزيف
فعلي سبيل المثال لو كانت الجهه التي يراسلها جهه تعتمد نظام المكافاءات فانهم سيحتاجون بياناتك الحقيقيه ليرسلوا لك مبلغ المكفأه.
من الجدير بالذكر أيضا ان شركة البايبال Paypal قامت بتطبيق نظام حائط الشهره ونظام المكفأه منذ وقت قريب .. لمزيد من التفاصيل:
http://www.security4arabs.com/2012/06/30/paypal-will-pay-security-researchers/
| روابط هذه التدوينة قابلة للنسخ واللصق | |
| URL | |
| HTML | |
| BBCode | |
شاهد ايضا اخر مواضيع الجيش العرقي الالكتروني
kamindoz
