مشاوره رایگان :

كمكمان كنيد تا امنيتمان را بالا ببريم

كمكمان كنيد تا امنيت هاست و سرور مجازی خود را بالا ببريم

اين برنامه به منظور گزارش باگ ها بر روي زيرساخت هاي OVH براي همگان در وبسايت bountyfactory.io در دسترس مي باشد. هدف: در جهت بهبود مستمر امنيت سرويس هاي هاست لینوکس و سرور مجازی ارائه شده توسط ليدر كلود اروپايي

در دوم جولاي در ويرايش چهاردهم Nuit du Hack (يكي از قديمي ترين رويدادهاي محرمانه در مورد هك) كه در پاريس فرانسه برگزار شد، OVH Bug Bounty به همه اين امكان را مي دهد كه در صورت علاقه مند بودن به امنيت هاست  و كامپيوتر قابليت هاي آسيب پذيري بالقوه كشف شده در محدوده API و Customer Control Panel را گزارش دهند. اين برنامه كه به صورت داخلي تست شده، بر روي پايگاه  bountfactory.io دردسترس مي باشد. نقشه كار ساده است: كليه باگ هاي گزارش شده توسط تيم امنيتي بررسي شده و در صورت نياز اقدامات تصحيحي صورت گرفته، سپس تاييديه صادر مي شود.

امنيت در هسته گروه OVH

گروه OVH كه 17 سال پيش ايجاد شده، امنيت هاست و سرور مجازی را همواره در اولويت قرار داده است. گزارش باگ اكنون از طريق  security[at]ovh.net ممكن شده و به پيشرفت هاي زيادي منجر شده است. براي Vincent Malguy، عضو تيم SOC (مركز عمليت امنيتي)، راه اندازي عمومي Bug Bounty فعاليت نهايي سال ها تفكر است. ايجاد پايگاه  bountyfactory.io رسيدن به هدف پروژه را كه Octave Klaba در جستجويش بود، امكان پذير مي سازد.  در حقيقت تاكنون، پايگاه هاي bug bounty موجود همگي آمريكايي بودند. اين موضوع براي كمپاني همچون OVH كه به استقلال و اقتدار اطلاعات متعهد شده است، براي حفاظت ليستي از قابليت هاي آسيب پذيري خارجي مراكز داده هاي خود كه در فرانسه واقع شده است، غيرقابل تصور است. پايگاهي كه به OVH امكان مي دهد اين برنامه را اجرا نمايد اساسا بر روي پيشنهاد Dedicated Cloud آن، يك زيرساخت كه قبلا براي چندين سال گواهي ايزو 27001 را بدست آورده است، ميزباني مي شود.

در حال حاضر، پايگاه براي همگان، از متخصصان امنيت كامپيوتر تا علاقمندان و هر كسي كه مشاركت نمايد، در دسترس است.  تنها يك حساب كاربري ايجاد كنيد و هرگونه قابليت آسيب پذيري كه پيدا كرديد را گزارش دهيد. اعضاي تيم SOC فورا مطلع شده و اصلاحات لازم را انجام خواهند داد. پاسخ سريع OVH به شكل آشكاري يكي از كليدهاي موفقيت برنامه است. مزيت دوم- كلاه سفيدها براي كارشان سريعا و حداكثر در عرض يك هفته مورد تشويق قرار مي گيرند. OVH يك قانون ساده دارد: اگر يك گزارش به اصلاحي منجر مي شود، فرد مسئول براي گزارشي كه ارائه داده بايستي مورد تشويق قرار گيرد. اين قانون براي انجمن كلاه سفيد شفافيت لازم را فراهم مي كند و بدون آن اين نوع برنامه هيچ ارزشي ندارد. پايگاه bountyfactory.io  علاوه بر كمك به ارتباطات روان و انعطاف پذير، به OVH اين امكان را مي دهد كه باگ هاي گزارش  شده را با يك روش سازمان يافته و بدون ابهام مديريت نمايد.
Bug Bounty زراد خانه امنيتي ما را تقويت مي كند

افتتاح برنامه براي عموم مردم بسياري از اقدامات تامينيه داخلي در جايگاه اطمينان امنيت زيرساخت هاي ما و داده هاي افراد را تكميل مي كند. هر ساله آزمون هاي نفوذ متعدد داخلي و خارجي انجام مي شود و اين اطمينان را مي دهد كه حساس ترين سيستم ها با بالاترين استانداردها سازگار هستند. به منظور پوشش تمام طيف OVH و به حداقل رساندن وجود آسيب پذيري هاي امنيتي تصميم بر اين است كه پروسه گزارش عمومي استانداردسازي شود: با Bug Bounty ما قادريم به صورت مستمر همه زيرساخت هايمان را با پروفايل هاي مختلف و مهارت هاي متنوع تست كنيم. وينسنت اظهار مي دارد “ما هرگز نمي توانيم چنين طيفي از دوره هاي طولاني با بازبيني هاي كلاسيك را پوشش دهيم”

تقويت پروسه هاي امنيتي همچنين به معناي دستيابي به يك سري از گواهي ها همچون ايزو 27001 و ايزو 27017، PCI DSS – استانداردي براي اطلاعات مربوط به امور مالي هاست لینوکس و سرور مجازی مي باشد و ما در حال حاضر در حال فعاليت در باره كسب گواهي رسمي براي داده هاي هاست مرتبط با مراقبت هاي بهداشتي هستيم.
در جستجوي: متخصصان API

در حال حاضر، Bug Bounty تنها قابليت هاي آسيب پذيري مرتبط با كنترل پنل مشتري OVH  و API را مورد توجه قرار مي دهد. خيلي زود اين توجه در جهت پوشش ساير محصولات OVH گسترش مي يابد. طبق اظهار تيم SOC براي يافتن باگ هاي بسيار جالب توجه، اين امر ضروري است كه مشاركت كنندگان در Bug Bounty اصول اساسي API ما را درك نمايد: وينسنت قبل از يادآور شدن به ما كه همه داده ها در ديتابيس هاي PostgreSQL و MySQL  ذخيره شده است توضيح مي دهد كه ” پرل زبان برنامه نویسی اصلی داراي تماس های میکرو براي API مي باشد كه در پایتون نوشته شده است”. عملياتي كه پيكر بندي منابع مورد نياز را مديريت مي كنند، همگي توسط رباط ها كنترل مي شوند و این است که می گویند فرايندهاي ناهماهنگ اين اعمال را انجام مي دهند. در داخل OVH ، Debian سيستم عملياتي است كه با اكثر تيم هاي بهره برداري كننده از هسته اصلي امنيتي gr در سطح وسيعي مورد استفاده قرار گرفته است.وينسنت اظهار مي دارد كه “علي رغم اين واقعيت كه براي يك روش دفاعي ابهام در نظر گرفته نشده بود، مشكل است كه چيز زيادي در مورد زيرساخت ها بدون دستيابي به جزئيات گفته شود.” من مي توانم به شما بگويم كه ما يك زرادخانه بزرگ از ابزارهاي شناسايي با قابليت آسيب پذيري در اختيارمان داريم كه بر پايه معيني بكار مي گيريم. اگر شما اين نوع ابزارها را در جهت كمك به يافتن باگ ها مورد استفاده قرار دهيد، من به شما مي گويم كه ما نيز قبلا اين كار را انجام داده ايم و اين نوع گزارش هيچ تشويق قابل توجهي را به همراه نخواهد داشت. صادقانه بگويم، توصيه مي كنيم كه از رفتن به مسيرهايي كه مغلوب شده اند پرهيز كنيد و بر روي كيفيت تمركز داشته باشيد. تنها با ارائه يك گزارش كه ثابت كند كه شما مي توانيد دستورالعمل ها را بر روي يكي از سرورهاي ما اجرا نماييد، 10 هزار يورو بدست خواهيد آورد. شما بايستي 200 قابليت آسيب پذيري  XSS بيابيد تا به همان نتيجه برسيد…”