• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 4314
  • دوشنبه 1383/5/12
  • تاريخ :

گفتگو با آرمان نیّری، كاشف ایرانی چند حفره در برنامه IE

كوتاه بود و جالب توجه، «همكاری جوان سمنانی با مایكروسافت». خبری كه هفته گذشته در چند نوبت از اخبار سراسری تلویزیون ایران پخش شد. برای پیگیری این خبر به سراغ آرمان نیّری می‌رویم تا ماجرا را از زبان خودش بشنویم. پیدا كردن آرمان زیاد سخت نیست، اما حرف كشیدن از او مشكل است!

+ خودت را كمی معرفی كن.

- آرمان نیّری هستم، 19 سال سن دارم. یكی از فعالیت‌هایم در ماه‌های اخیر پیدا كردن حفره‌های امنیتی در نرم‌افزارهای مختلف بوده است. تا به ‌حال هم 8 حفره در برنامه‌های مختلفی كه اكثرا مربوط به شركت مایكروسافت است پیدا كرده‌ام.

+ ? حفره را فقط در محصولات مایكروسافت پیدا كردی؟ چون وقتی اسمت را در گوگل جستجو می‌كردم مطالبی در مورد وجود حفره در برنامه‌های دیگری مثل Acrobat هم بود. توضیح می‌دهی در مورد هر كدام از این حفره‌ها.

- حفره‌هایی كه پیدا كردم همه از مایكروسافت نبود البته. اولین حفره‌ای كه پیدا كردم و مدت زیادی - حدود یك ماه - هم وقت من را گرفت، در برنامه Internet Explorer شركت مایكروسافت بود و مهمترین حفره‌ای بود كه پیدا كردم. این حفره باعث می‌شود كه یك هكر بتواند از آن استفاده كند و وقتی كاربر از یك سایت بازدید می‌كند، كدی را كه هكر می‌خواهد روی كامپیوتر كاربر ایجاد كند و بدون اینكه كاربر دخالتی داشته باشد آن كد اجرا می‌شود.
بعدی مربوط به برنامه Adobe acrobat reader بود كه در آن هم یك حالت freeze شدن كامپیوتر بوجود می‌آید و وقتی فایل pdf را باز می‌كنید كامپیوتر freeze می‌شود و باید معمولا آنرا restart كنید.
بعدی در برنامه Real Player بود. بخاطر حفره آن برنامه هم وقتی كاربر داخل یك سایتی می‌رود بوسیله آن یك فایلی اجرا می‌شود و باعث می‌شود اسكریپتی را كه هكر نوشته است روی كامپیوتر كاربر اجرا شود. و در نهایت هكر می‌تواند كامپیوتر كاربر را در اختیار بگیرد.
یك حفره هم در برنامه Outlook پیدا كردم. این حفره باعث می‌شود وقتی یك نفر برای شما ایمیلی می‌فرستد و شما آنرا باز می‌كنید، كامپیوتر شما freeze شود و قفل شود و شما هر بار كه Outlook را باز می‌كنید دوباره close می‌شود.
بقیه هم بیشتر به IE مربوط است كه در امكانات مختلف آن حفره‌های گوناگونی وجود دارد.


+ اصلا هدفت از پیدا كردن این حفره‌ها چیست؟ بعد از این‌كه حفره‌ها را پیدا كردی، چكار می‌كنی؟

- علاقه شخصی خودم است، یعنی دوست دارم بگردم و داخل یك برنامه یك اشكالی پیدا كنم!
اوایل‌ كه یك حفره پیدا می‌كردم، می‌رفتم و داخل اینترنت با استفاده از mailing listها خبرش را پخش می‌كردم. داخل چند تا از mailing listهای معروف می‌رفتم و یك post می‌زدم و خبر پخش می‌شد كه در فلان برنامه این حفره وجود دارد. اما الان اول به شركت سازنده برنامه خبر می‌دهم كه شركت patch هایی را برای آن در نظر بگیرد و بعد از اینكه برنامه ترمیمی را بیرون داد آن‌وقت خبر را بصورت عمومی بخش می‌كنم.


+ خب، حالا توضیح می‌دهی كه آن خبر «همكاری جوان سمنانی با مایكروسافت» كه از تلویزیون پخش شد جریانش چه بود؟

- همانطور كه گفتم حفره‌های اولی را كه من پیدا می‌كردم به شركت سازنده اطلاع نمی‌دادم. قضیه به این صورت بود كه اولین حفره‌ای كه من در IE پیدا كردم به مایكروسافت اطلاع ندادم و خبر را پخش كردم. این باعث شد كه مایكروسافت به من ایمیل بزند و از من درخواست كردند از این به بعد حفره‌هایی را كه پیدا می‌كنم اول به مایكروسافت اطلاع دهم تا قبل از اینكه كاربران در معرض خطر قرار بگیرند آنها یك patchی مربوط به برنامه بیرون بدهند. و به این‌صورت با آن‌ها همكاری كنم.


+ خب، حالا در ازای این آن‌ها چه چیزی را به تو می‌دهند؟ چه خدماتی به تو ارائه می‌دهند؟ چه فایده‌ای برای تو دارد كه بخواهی قضیه را زودتر به آنها خبر بدهی؟

- البته قضیه بیشتر جنبه اخلاقی دارد.


+ یعنی مایكروسافت بخاطر مسائل اخلاقی توقع دارد كه تو این‌كار را بكنی؟ هیچ پیشنهاد مالی یا خدماتی خاصی ندارد در ازای كاری كه برای‌شان انجام می‌دهی؟

- نه، به این‌صورت نیست. مایكروسافت این‌طور عمل نمی‌كند. قبل از من كسان دیگری از كشورهای دیگر این‌كارها را انجام داده‌اند، اما مایكروسافت نیامده آنها را مثلا استخدام كند كه برایش حفره پیدا كنند. ولی مثلا اگر اطلاعاتی در مورد برنامه‌های مایكروسافت بخواهم می‌توانم آن اطلاعات را از آنها بگیرم. مثلا وقتی خبر پیدا كردن حفره را به آنها می‌دهم، یك اطلاعاتی را از آنها درخواست می‌كنم تا برنامه‌نویسانی كه آنجا هستند به من جواب بدهند. یعنی اطلاعاتی كه هیچ‌جا نمی‌شود پیدا كرد را از آنها می‌گیرم.


+ خب، حالا پیدا كردن حفره مثلا در IE كار خیلی مشكلی است؟ یعنی كاری را كه تو انجام دادی كار بی‌سابقه‌ای بوده؟ یا یك كار عادی و متداول كه ممكن است بارها اتفاق بیفتد.

- حفره‌هایی كه در IE پیدا می‌شوند این‌روزها زیاد شده‌اند. چون مایكروسافت هم هنوز پوشش نداده است. اما هنوز بصورتی نیست كه خیلی متداول و پشت‌سر هم باشد. مثلا معمولا بطور متوسط هر یك‌ماه یك حفره در IE پیدا می‌شود.


+ این خبرهایی كه این روزها شنیده می‌شود كه می‌گویند باید IE را كنار گذاشت و دوران IE تمام شده، بیشتر بخاطر حفره‌های زیادی است كه در این مدت در IE پیدا شده است. چقدر از این حفره‌ها، همان حفره‌هایی است كه تو پیدا كردی و كار تو چقدر تاثیر داشته است؟

- حفره‌هایی كه من پیدا كردم هم بودند. 2-3 حفره‌ من در IE پیدا كردم كه باعث می‌شد برخی مشكلات در IE برای كاربران بوجود بیاید. یك چینی به نام نیو دای‌یو هم بود كه در عرض دو هفته9 حفره در IE پیدا كرد. و چند نفر دیگر هم بودند كه معمولا هر چند وقت یك‌بار در IE حفره پیدا می‌كنند. همه این‌ها باعث شده كه الان IE یك مرورگر نامطمئن و از لحاظ security در سطح پایین برای كاربران باشد.


+ حفره‌هایی كه تو پیدا كردی مربوط به چه زمانی است؟ چند وقت پیش موفق به این‌كار شدی؟

- اولین حفره‌ای را كه پیدا كردم در ماه آذر بود. بعدی‌ها هم هر چند هفته یك‌بار بعد از اولی. یك مدتی این‌كار را می‌كردم و البته بعدا دیگر ادامه ندادم و این‌روزها بیشتر در زمینه برنامه‌نویسی كار می‌كنم و كمتر فرصتی برای این‌كار دارم. الان چند تا هم هست كه به مایكروسافت گزارش داده‌ام و بعدا خبرش را پخش می‌كنم.


+ پس خبر مربوط به چند ماه پیش است. چطور خبر الان و بعد از چند ماه در این سطح پخش می‌شود؟

- نمی‌دانم!


+ خب! اصلا چطور شد كه این خبر پخش شد و در تلویزیون هم مطرح شد. فكر كنم یك هفته قبل از آن خبر از طریق ایرنا پخش شده بود كه یك ایرانی در IE چند حفره پیدا كرده است.

- بله. یكی از خبرنگاران ایرنا چون در اینترنت با چند هكر گفتگو و رابطه داشت از آنها شنیده بود كه من اولین ایرانی هستم كه این‌كار را كرده‌ام. اینطوری شد كه به سراغ من آمدند، بعد از آن هم تلویزیون به سراغم آمد و این خبر را پخش كرد. در واقع من اولین ایرانی بودم كه در IE حفره پیدا كردم. البته بعد از من چند نفر دیگر هم این‌كار را انجام داده‌اند


+ الان داری چكار می‌كنی؟

- الان دارم در برنامه‌نویسی مطالعه می‌كنم. یك طرحی را دارم پیگیری می‌كنم كه ابتكاری است و اگر موفق شود و جواب دهد ممكن است خیلی سر و صدا كند و فكر كنم چیز جالبی بشود.
الان الگوریتم آن را نوشته‌ام و روی این طرح كار می‌كنم كه در مورد AntiVirusها است.
( آرمان جزئیات طرحش را شرح می‌دهد، خیلی هیجان‌انگیز به نظر می‌رسد! اما از ما می‌خواهد كه در مورد جزئیات طرح جدیدش تا زمانی كه به نتیجه نرسیده چیزی ننویسیم.)


+ یك كمی بیشتر در مورد خودت و نحوه كارت توضیح بده.

- برای حفره پیدا كردن كه زمینه تخصصی خاصی وجود ندارد. اطلاعات كلی كامپیوتر می‌خواهد و پشتكار. مثلا من اولین حفره‌ای را كه پیدا كردم حدود 400 بار حالت‌های محتلف را امتحان كردم تا موفق شدم.

خودم هم در دبیرستان در رشته ریاضی فیزیك تحصیل می‌كردم كه البته درسم را رها كردم و تا سوم دبیرستان بیشتر درس نخواندم و بعد درس را كنار گذاشتم! تصمیم گرفتم بروم و چیزی را كه می‌خواهم خودم یاد بگیرم. اولش هم رفتم و مدرك‌های مایكروسافت را گرفتم. دیدم اینطوری بیشتر به صرفه هم هست.

در واقع فكر می‌كردم وقت تلف كردن است كه حالا دیپلم بگیرم و چند سال هم بروم دانشگاه و ... . فكر كردم چیزی را كه می‌خواهم، خودم یاد بگیرم. اینطوری هم می‌توانم كار و در آمد خوبی داشته باشم، هم یك‌سری مدرك بین‌المللی داشته باشم كه همه جا معتبر است و هم زودتر یاد بگیرم.


+ جالب است! صحبت خاص دیگری هم كه نداری؟

- نه!


برگرفته از سایت هفت سنگ

UserName