در روز سه شنبه، HP اعلام کرد که اولین برنامه bug bounty یا همان “پاداش برای اشکال یابی” خود را به طور خاص به چاپگرهای خود اختصاص و ارائه می دهد، تا مبلغی در حدود 10،000 دلار را به هکرهایی که می توانند آسیب پذیری در ماشین های چاپگر این شرکت پیدا کنند، بپردازد.
bug bounties براي شركت ها يك روش معمولی است و براي يافتن نقص هاي امنيتي آن شرکت می باشد، كه هچنین معمولا با پرداخت 100 هزار دلار براي یافتن آسيب ها و نفوذهای جدي همراه می شود.
هکرها به صورت تمام وقت به ایجاد یک نرم افزار برای هک کردن قادر هستند و همینطور باید آن اشکالات را قبل از اینکه آسیب پذیری ها به صورت مخرب ایجاد شوند، گزارش دهند.
شرکت هایی نظیر گوگل و فیس بوک نیز به عنوان یک راه برای تقویت امنیت خود از روش bug bounties استفاده می کنند.
HP در ماه می این برنامه را با 34 محقق داخلی، برای خود اغاز کرد.
Shivaun Albright، تکنسین ارشد برای امنیت چاپگر های این شرکت، در مصاحبۀ هفته گذشته گفت که تا به الان و در گذشته، مبلغ 10 هزار دلار به هکری که توانسته بود نقص جدی در چاپگرهایشان را پیدا کند، پرداخت کرده اند.
او گفت که این شرکت بر روی امنیت چاپگرهای خود متمرکز است زیرا آسیب پذیری های اینترنتی بر روی همه دستگاه های موجود در شبکه internet of things تاثیر می گذارد.
Albright همچنین گفت: در حالی که تمرکز بر روی دستگاه های متصل به اینترنت و نقص های امنیتی آنها زیاد است، این اتفاق اغلب در دستگاه های شبکه internet of things یا IoT است، که شامل: دوربین های وب، تلویزیون های هوشمند یا فلاش ها که به صورت یک شبکه به هم متصل شده اند، می باشد، اما نه چاپگرها.
این تکنولوژیست HP به این اشاره کرد که ممکن است چاپگرها قدیمی تر و رایجتر این شرکت جزء دستگاه IoT باشند.
او گفت: “آنها برای مدت طولانی فعالیت می کنند، حتی قبل از این که اصطلاح” IoT “وجود داشته باشد”. ” اما مسئله این است، چرا چاپگرها به عنوان IoT در نظر گرفته نمی شوند؟”
در کل، به نظر نمی رسد که پرینترها از حملات مصون باشند.
در سال 2016، عملیات Mirai botnet، یک شبکه عظیم از دستگاه های هک شده که برای خرابکاری آنلاین استفاده می شدند، موجب قطع شدن وب شد که سایت های محبوب مانند توییتر، Netflix و Reddit را تا حدودی با مشکل مواجه کرد.
این بوت نت ها از هک کردن دستگاه های IoT مانند: دوربین های وب و DVR ها استفاده می کرند، اما چاپگرها نیز بخشی از این ترکیب بودند.
اکنون برنامه اشکال یابی HP از طریق Bugcrowd، یک پلت فرم که تسهیلات پرداخت و دعوت را ایجاد می کند، اجرا می شود.
این برنامه در حال حاضر خصوصی است، که با Bugcrowd محققان در آینده ای نزدیک از شما دعوت به پیوستن می کنند.
Albright می گوید HP بسیار علاقه مند است که در آینده این ویژگی را در اختیار عموم قرار دهد، اما در حال حاضر آن را برای مدیریت بهتر در مفابل آسیب پذیری های ورودی خود استفاده می کنند.
محققان دعوت شده نیز از راه دور به 15 چاپگر، که در دفاتر HP به صورت جدا شده قرار گرفته اند، دسترسی دارند.
آنها می توانند از رایانه های خود در خانه به این ماشین ها متصل شوند و آسیب پذیری ها و مشکلات پنهان آن ها را پیدا کنند.
Albright گفت: برای پرداخت 10،000 دلاری، هکر باید نقص های جدی مانند اجرای کدی را پیدا کند که اجازه می دهد تا شخص نفوذ کننده کنترل کامل چاپگر را به دست بگیرد.
اگر آنها هر گونه نقصی پیدا کرده و آن را گزارش دهند، HP به آنها برای کشف آن مبلغی پرداخت می کند و سپس پرینتر را دوباره تنظیم می کند تا بروز رسانی بعدی خود را اعلام کند.
Albright گفت: “ما به این روش این مسائل را به سرعت حل می کنیم و آنها را از بین می بریم تا مشکلاتی در این بخش یافت نشود”.
