مسابقات کشف باگ و آسیب‌پذیری وبسایتهای دولتی برگزار شد

مرکز ماهر اعلام کرد، این مرکز در راستای ماموریت‌های خود به منظور ارتقای امنیت در سامانه‌های کشور، اقدام به برگزاری مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وب‌سایت‌ها و سامانه‌های دولتی تحت شبکه‌ اینترنت کرده است.

در این راستا سامانه‌ کلاه سفید مرکز ماهر (https://kolahsefid.cert.ir)، برای ارزیابی امنیتی سامانه‌ها از طریق برگزاری مسابقات عمومی و خصوصی راه اندازی شده است.

برخلاف قراردادهای مرسوم و سنتی آزمون نفوذ، با استفاده از سامانه کلاه سفید، تنها به ازای آسیب‌پذیری‌های کشف‌شده توسط متخصصین امنیتی شرکت‌کننده در مسابقه و با داوری‌ تیم مرکز ماهر هزینه ارزیابی امنیتی پرداخت می‌شود. همچنین پس از برگزاری مسابقه و ارزیابی نهایی سامانه توسط داوران، گواهی تاییدیه ارزیابی امنیتی سامانه به سازمان مربوطه اعطا می‌شود.

سامانه کلاه سفید با توجه به همین چالش‌ها، راهکار ارائه خدمات برگزاری مسابقه ارزیابی امنیتی را مطرح و بستری فراهم کرده تا متخصصان مجرب امنیتی و سازمان‌ها و شرکت‌های تولید نرم‌افزار با حداکثر سرعت و حداقل هزینه در کنار یکدیگر قرار بگیرند. با توجه به تعداد بالای متخصصین این سامانه، که تعداد آن‌ها تا کنون به بیش از ۵۰۰ نفر رسیده است، طیف وسیعی از دانش و مهارت مورد نیاز برای ارزیابی امنیتی فراهم شده است.

این مسابقات به دو صورت عمومی و خصوصی در حال برگزاری است. در مسابقات عمومی کلیه متخصصین عضوشده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند و در مسابقه خصوصی تنها متخصصان شناخته‌شده و منتخب، امکان شرکت دارند.

در مرحله اول، ارزیابی امنیتی برخی از سامانه‌های مرکز ماهر و سازمان فناوری اطلاعات به مسابقه گذاشته شده است. سایر دستگاه‌های دولتی نیز می‌توانند در صورت تمایل جهت ارزیابی سامانه‌های خود در این مسابقات با مرکز ماهر تماس برقرار کنند.