Grossman مدتها روی آسیب پذیریها در مورد وب سایتها مطالعه کرده است و حتی وقتی صحبت از این می شود که بسیاری از سایتها از طریق رخنه های امنیتی خطرناک مورد حمله یک هکر ناشناس قرار گرفته است ، او ترجیح می دهد در این مورد صحبت نکند ...
Jeremiah Grossman مدتها روی آسیب پذیریها در مورد وب سایتها مطالعه کرده است و حتی وقتی صحبت از این می شود که بسیاری از سایتها از طریق رخنه های امنیتی خطرناک مورد حمله یک هکر ناشناس قرار گرفته است ، او ترجیح می دهد در این مورد صحبت نکند .
Grossman یکی از محققان در زمینه امنیت وب هست که بسیار آرام و سخت کوش است . او دوست دارد تا آسیب ها را پیدا کند و به شرکتها نیز در این راستا کمک کند ، "در حقیقت کشف آسیبها در هر وب سایتی در اینترنت مسلزم اینست که به طور غیر قانونی وارد آن سرور شوید" – مجرمان تحت پیگرد قرار خواهند گرفت -
Grossman می گوید "به نظر می رسه مدت زیادی هست که تحقیقات خودمو مختصر کردم " ، وی یکی از نویسندگان و گرداننده سایت WhiteHat Security ست .وی می افزاید سایر محققان امنیتی وب به نظر می رسند که مدت زیاد طولانی و کافی ، دور و بر آسیب پذیریها هستند و کاملا روی آنها مطالعه کرده اند بدون اینکه کاری را انجام دهند .
هنگامی که از آنها چیزی خواسته می شود" می گویند نمی توانم در این مورد صحبت کنم چون برای خودم و شرکتم خطر دارد"
Grossman احساس ترس می کند درمورد اینکه این محققان امنیتی که رخنه هایی را پیدا می کنند و به سیسیتم نفوذ می کنند آنوقت با اطلاعاتی که مال آنها نیست چه کار می کنند . به هر حال اجرای درست قوانین به حل این ریسک بزرگ در مورد اینترنت و کمک گیری از گروههای امنیتی کمک می کند .
Sara Peters یکی از نویسندگان Computer Security Institute. است ، او می گوید : به نظر من اگر ما به نرم افزارهای امنیتی موجود در جهان نگاه کنیم ، به نظر ،آنها زیاد می رسند و راههای زیادی رو پیش روی ما می گذارند که از آسیب پذیری ها مطلع بشیم قبل از اینکه ار آنها در جهت منفی استفاده کنیم .
این نیست که مابگیم در دنیای سایبر هیچ اتفاقی رخ نمی دهد ، از خود راضی بودن راه اشتباه رو برای ما هموار می کنه زیرا شما در این صورت نمیتونید خوب بشنوید و نسبت به مسائل ریز بین باشین و همیشه نسبت به مسائل بی تجربه خواهید موند .
قوانین ضعیفی در مورد گروههایی که در مورد امنیت وب به صورت تحقیقاتی کار می کنند وجود دارد . تشکل هایی از این متخصصان شروع به یاد دادن توانایی های خود در زمینه امنیت کرده اند که با سر زدن به وب سایتها و کشف آسیب پذیریها و ارایه آنها به جامعه امنیتی می کوشند تا خدمتی کرده باشند . یکی از این گروههای معروف انیستیتو تحقیقاتی و امنیتی Netsec می باشد که شروع به جواب دادن پرسشها و ارایه راه کارها در زمینه آسیب پذیریها وباگ های موجود در دنیای سایبر کرده است .
به هر حال تا زمانی که محققان امنیتی بتوانند جزییات آسیب پذیریها را فاش کنند، بسیار مفیدتر از آن است که گروههای خاص به صورت مخفی و با ریسک بالا نسبت به پیدا کردن آسیب پذیریها کوشش کنند .
محققان امنیتی نرم افزارها ، نسبت به افشا کردن آسیب پذیریها مختارند یا حتی می توانند نسبت به فروش آنها اقدام کنند و حتی تولید کننده آن نرم افزار خوشحال می شود که آسیب پذیری را کشف و فورا اصلاحیه آنرا صادر کند، در حالی که محققان امنیتی وب وقتی که نسبت به افشای آسیب پذیریهای وب سایت اقدام می کنند با عصبانیت صاحبان وب سایت مواجه می شوند .
"تنها راه موجود ، وقتی شما آسیبی یا رخنه ای را در یک وب سایت پیدا می کنید و مدیر آن وب سایت نیز اطلاعاتی در باره آن به دست می آورد این است که هر اتفاقی که بعد از آن رخ دهد شما به عنوان مجرم شناخته می شوید " Peters همچنین می افزاید " ممکن است کمی اغراق آمیز باشد ، اما اغراق بزرگی نیست . برای صاحب سایت هیچ جرمی در کار نیست ."
گزارش کاری این گروهها را می توان با مراجعه و ثبت نام در سایت زیر یافت Computer Security Institute در ضمن کلاسهای آموزشی نیز توسط Eric McCarty تهیه شده است.
در June سال 2005 ،Eric McCarty بود که رخنه ای را در سیستم امنیتی آنلاین دانشگاه واقع در جنوب کالیفرنیا پیدا کرد .و این آسیب پدیری را به سایت Security Focus اطلاع داد .
در این موقع بود که Security Focus با Eric تماس گرفت و خواستار اطلاعات کاملتری دریاره USC (University Southern California ) شد ، ابتدا به شدت Eric موضوع را تکذیب کرد اما بالاخره به این که 4 رکورد را در دیتابیس تغییر داده است را اعتراف کرد .در April سال 2006 Eric تحت پیگرد پلیس فدرال قرار گرفت . تا کنون Security Focus به خاطر مسایل امنیتی هیچ اطلاعاتی را در مورد آن دیتابیس فاش نکرده است .
به هر حال به عقیده Peters همیشه هکرهای خوب باید برخی راه حل ها را بدهند – توضیحاتی در کامپیوتر Eric توسط FBI پیدا شد که بعدها در دادگاه علیه وی استفاده شد – به عقده Eric این کارها از سوی غرض ورزی بوده است .
به گفته peters " شما نمیتوانید به هر کسی اجازه بدهید که برنامه های مخرب را روی سایت شما پیاده کند فقط به خاطر اینکه از آسیب پذیریها مطلع شوید ، همچنین اگر شما اطلاعات مربوط به آسیب پذیری یک وب سایت را فاش کنید یک خط قرمز بزرگ روی آن وب سایت کشیده اید ، باید با احتیاط این کار را انجام داد "
همچنین این گروههای تحقیقاتی امنیتی به نتایجی دست یافتند، آنها در مورد تکنولوژی جدیدی که در وب سایتها به نام Asynchronous JavaScript and XML) Ajax ( یا همان Web 2 استفاده می شود چنان بیان می کنند که این نوع وب سایتها از لحاظ امنیتی محققان را دچار مشکل می کند ، چون این نوع تکنولوژی از بابت ساختار برنامه نویسی و روادید معمولی وبی به مراتب سطحی بالاتر را دارا می باشد و از اینرو برای متخصصان امنیتی اسکن کردن این نوع صفحات مشکل می باشد .
آندسته از متخصصانی که به صورت مستقل کار می کنند و رخنه ای را در وب سایتی کشف می کنند ممکن است تحت فشار مدیران وب سایت باشند که آنها را مجبور می کنند تا از وب سایت آنها محافظت کنند .به هر حال گروهای کاری فعال در زمینه امنیت مخالف این هستند که قوانین برای هکرهای خوب باید عوض شود .
در هر حال مدیران سایتها بیشتر نفر یا نفراتی را جهت برقراری امنیت وب سایت هایشان به استخدام خود می گیرند و دوست دارند بابت آنها مبلغی را بپردازند و این راه را مطمتن تر از سایر راههای دیگر می دانند .
هرچند با همه ی این کارها ، امنیت کامل بعید است .
