کمکمان کنید تا امنیت هاست ‏و سرور مجازی ‏خود را بالا ببریم

این برنامه به منظور گزارش باگ ها بر روی زیرساخت های OVH ‏برای همگان در وبسایت bountyfactory.io ‏در دسترس می باشد. هدف: در جهت بهبود مستمر امنیت سرویس های هاست لینوکس ‏و سرور مجازی ‏ارائه شده توسط لیدر کلود اروپایی

در دوم جولای در ویرایش چهاردهم Nuit du Hack (‏یکی از قدیمی ترین رویدادهای محرمانه در مورد هک) که در پاریس فرانسه برگزار شد، OVH Bug Bounty ‏به همه این امکان را می دهد که در صورت علاقه مند بودن به امنیت هاست  ‏و کامپیوتر قابلیت های آسیب پذیری بالقوه کشف شده در محدوده API ‏و Customer Control Panel ‏را گزارش دهند. این برنامه که به صورت داخلی تست شده، بر روی پایگاه  bountfactory.io ‏دردسترس می باشد. نقشه کار ساده است: کلیه باگ های گزارش شده توسط تیم امنیتی بررسی شده و در صورت نیاز اقدامات تصحیحی صورت گرفته، سپس تاییدیه صادر می شود.

امنیت در هسته گروه OVH

گروه OVH ‏که ۱۷ سال پیش ایجاد شده، امنیت هاست ‏و سرور مجازی ‏را همواره در اولویت قرار داده است. گزارش باگ اکنون از طریق  security[at]ovh.net ‏ممکن شده و به پیشرفت های زیادی منجر شده است. برای Vincent Malguy‏، عضو تیم SOCC (‏مرکز عملیت امنیتی)، راه اندازی عمومی Bug Bounty ‏فعالیت نهایی سال ها تفکر است. ایجاد پایگاه  bountyfactory.io ‏رسیدن به هدف پروژه را که Octave Klaba ‏در جستجویش بود، امکان پذیر می سازد.  در حقیقت تاکنون، پایگاه های bug bounty ‏موجود همگی آمریکایی بودند. این موضوع برای کمپانی همچون OVH ‏که به استقلال و اقتدار اطلاعات متعهد شده است، برای حفاظت لیستی از قابلیت های آسیب پذیری خارجی مراکز داده های خود که در فرانسه واقع شده است، غیرقابل تصور است. پایگاهی که به OVH ‏امکان می دهد این برنامه را اجرا نماید اساسا بر روی پیشنهاد Dedicated Cloud ‏آن، یک زیرساخت که قبلا برای چندین سال گواهی ایزو ۲۷۰۰۱ را بدست آورده است، میزبانی می شود.

در حال حاضر، پایگاه برای همگان، از متخصصان امنیت کامپیوتر تا علاقمندان و هر کسی که مشارکت نماید، در دسترس است.  تنها یک حساب کاربری ایجاد کنید و هرگونه قابلیت آسیب پذیری که پیدا کردید را گزارش دهید. اعضای تیم SOC ‏فورا مطلع شده و اصلاحات لازم را انجام خواهند داد. پاسخ سریع OVH ‏به شکل آشکاری یکی از کلیدهای موفقیت برنامه است. مزیت دوم- کلاه سفیدها برای کارشان سریعا و حداکثر در عرض یک هفته مورد تشویق قرار می گیرند. OVH ‏یک قانون ساده دارد: اگر یک گزارش به اصلاحی منجر می شود، فرد مسئول برای گزارشی که ارائه داده بایستی مورد تشویق قرار گیرد. این قانون برای انجمن کلاه سفید شفافیت لازم را فراهم می کند و بدون آن این نوع برنامه هیچ ارزشی ندارد. پایگاه bountyfactory.io  ‏علاوه بر کمک به ارتباطات روان و انعطاف پذیر، به OVH ‏این امکان را می دهد که باگ های گزارش  شده را با یک روش سازمان یافته و بدون ابهام مدیریت نماید.
Bug Bounty ‏زراد خانه امنیتی ما را تقویت می کند

افتتاح برنامه برای عموم مردم بسیاری از اقدامات تامینیه داخلی در جایگاه اطمینان امنیت زیرساخت های ما و داده های افراد را تکمیل می کند. هر ساله آزمون های نفوذ متعدد داخلی و خارجی انجام می شود و این اطمینان را می دهد که حساس ترین سیستم ها با بالاترین استانداردها سازگار هستند. به منظور پوشش تمام طیف OVH ‏و به حداقل رساندن وجود آسیب پذیری های امنیتی تصمیم بر این است که پروسه گزارش عمومی استانداردسازی شود: با Bug Bounty ‏ما قادریم به صورت مستمر همه زیرساخت هایمان را با پروفایل های مختلف و مهارت های متنوع تست کنیم. وینسنت اظهار می دارد “ما هرگز نمی توانیم چنین طیفی از دوره های طولانی با بازبینی های کلاسیک را پوشش دهیم”

تقویت پروسه های امنیتی همچنین به معنای دستیابی به یک سری از گواهی ها همچون ایزو ۲۷۰۰۱ و ایزو ۲۷۰۱۷، PCI DSS – ‏استانداردی برای اطلاعات مربوط به امور مالی هاست لینوکس ‏و سرور مجازی ‏می باشد و ما در حال حاضر در حال فعالیت در باره کسب گواهی رسمی برای داده های هاست ‏مرتبط با مراقبت های بهداشتی هستیم.
‏در جستجوی: متخصصان API

در حال حاضر، Bug Bounty ‏تنها قابلیت های آسیب پذیری مرتبط با کنترل پنل مشتری OVH  ‏و API ‏را مورد توجه قرار می دهد. خیلی زود این توجه در جهت پوشش سایر محصولات OVH ‏گسترش می یابد. طبق اظهار تیم SOC ‏برای یافتن باگ های بسیار جالب توجه، این امر ضروری است که مشارکت کنندگان در Bug Bounty ‏اصول اساسی API ‏ما را درک نماید: وینسنت قبل از یادآور شدن به ما که همه داده ها در دیتابیس های PostgreSQL ‏و MySQL  ‏ذخیره شده است توضیح می دهد که ” پرل زبان برنامه نویسی اصلی دارای تماس های میکرو برای API ‏می باشد که در پایتون نوشته شده است”. عملیاتی که پیکر بندی منابع مورد نیاز را مدیریت می کنند، همگی توسط رباط ها کنترل می شوند و این است که می گویند فرایندهای ناهماهنگ این اعمال را انجام می دهند. در داخل OVH ‏، Debian ‏سیستم عملیاتی است که با اکثر تیم های بهره برداری کننده از هسته اصلی امنیتی gr ‏در سطح وسیعی مورد استفاده قرار گرفته است.وینسنت اظهار می دارد که “علی رغم این واقعیت که برای یک روش دفاعی ابهام در نظر گرفته نشده بود، مشکل است که چیز زیادی در مورد زیرساخت ها بدون دستیابی به جزئیات گفته شود.” من می توانم به شما بگویم که ما یک زرادخانه بزرگ از ابزارهای شناسایی با قابلیت آسیب پذیری در اختیارمان داریم که بر پایه معینی بکار می گیریم. اگر شما این نوع ابزارها را در جهت کمک به یافتن باگ ها مورد استفاده قرار دهید، من به شما می گویم که ما نیز قبلا این کار را انجام داده ایم و این نوع گزارش هیچ تشویق قابل توجهی را به همراه نخواهد داشت. صادقانه بگویم، توصیه می کنیم که از رفتن به مسیرهایی که مغلوب شده اند پرهیز کنید و بر روی کیفیت تمرکز داشته باشید. تنها با ارائه یک گزارش که ثابت کند که شما می توانید دستورالعمل ها را بر روی یکی از سرورهای ما اجرا نمایید، ۱۰ هزار یورو بدست خواهید آورد. شما بایستی ۲۰۰ قابلیت آسیب پذیری  XSS ‏بیابید تا به همان نتیجه برسید…”