اعظای ویزای نادر اقامت استرالیا برای فردی که سیستم‌های دولتی را هک کرد

صدای استرالیا – یک کارشناس امنیت سایبری اهل بریتانیا پس از آن‌که در جریان بررسی درخواست ویزایش موفق شد سیستم‌های دولتی استرالیا را هک کند، موفق به دریافت اقامت دائم این کشور شد.

جیکوب ریگز در ماه دسامبر ویزای ۸۵۸ نوآوری ملی را دریافت کرد؛ ویزایی که پس از یک روند بررسی هفت‌ماهه صادر شد و در نهایت با آزمایش عملی مهارت‌های او از طریق بررسی شبکه‌های وزارت امور خارجه و تجارت استرالیا و شناسایی یک آسیب‌پذیری بحرانی به نتیجه رسید.

جیکوب ریگز ۳۶ ساله، که مدیر جهانی امنیت اطلاعات در یک شرکت بزرگ ارائه‌دهنده نرم‌افزار به‌صورت سرویس (SaaS) است، گفت که در ماه ژوئیه و تنها در کمتر از دو ساعت، هنگام کار از خانه‌اش در منطقه بکسلی در جنوب‌شرق لندن، موفق به شناسایی این نقص امنیتی قابل سوءاستفاده شد.

ویزای ۸۵۸ که پیش‌تر با نام «ویزای استعدادهای جهانی» شناخته می‌شد، نرخ تأییدی کمتر از یک درصد دارد. بر اساس آمار مؤسسه مهاجرتی VisaEnvoy، از زمان آغاز این برنامه بیش از ۹ هزار ابراز علاقه ثبت شده، اما تنها ۳۰۴ متقاضی دعوت شده‌اند و حدود ۸۵ نفر موفق به دریافت اقامت دائم شده‌اند.

ریگز در گفت‌وگو با این رسانه گفت: من این کار را مثل یک ارزیابی امنیتی معمولی انجام دادم و همان روش‌هایی را به‌کار گرفتم که در کار حرفه‌ای‌ام استفاده می‌کنم.

او افزود آسیب‌پذیری کشف‌شده طبق استانداردهای CVSS ــ چارچوب رتبه‌بندی شدت آسیب‌های امنیتی ــ در سطح «بحرانی» قرار می‌گیرد.

وزارت امور خارجه و تجارت استرالیا دارای یک سیاست رسمی افشای آسیب‌پذیری است که به پژوهشگران امنیتی اجازه می‌دهد در چارچوبی مشخص، سیستم‌های این نهاد را آزمایش کنند. ریگز این نقص را به DFAT گزارش داد و متعاقباً نام او در فهرست افتخاری برنامه افشای آسیب‌پذیری این وزارتخانه ثبت شد.

ریگز گفت: وزارت امور خارجه و تجارت استرالیا خیلی سریع واکنش نشان داد و مشکل را برطرف کرد.

او از ارائه جزئیات بیشتر فراتر از آنچه در وبلاگ عمومی‌اش منتشر کرده، خودداری کرد و گفت این کار با روحیه محرمانگی میان او و وزارت امور خارجه و تجارت استرالیا سازگار نیست.

ویزای ۸۵۸ از متقاضیان می‌خواهد دستاوردی بین‌المللی و شناخته‌شده در حوزه‌های اولویت‌دار، از جمله امنیت سایبری، ارائه دهند. این برنامه معمولاً چهره‌هایی مانند برندگان جایزه نوبل یا مدال‌آوران المپیک را جذب می‌کند؛ افرادی با سوابقی کاملاً منحصربه‌فرد و قابل راستی‌آزمایی.

با این حال، امنیت سایبری چالش متفاوتی دارد. ریگز در وبلاگ خود نوشته است: در امنیت سایبری، معادل مدال طلای المپیک وجود ندارد. هیچ نشان واحدی برای برتری نیست که بتوان به آن تکیه کرد، بنابراین همه‌چیز به این برمی‌گردد که واقعاً چه کاری انجام داده‌اید.

در پرونده درخواست او حدود ۶۰ صفحه مدرک ارائه شده بود؛ از جمله پاداش‌های کشف باگ، نامه‌های رسمی تقدیر از سوی دانشگاه‌ها و دولت‌ها در سراسر جهان، و مستندات مربوط به افشای مسئولانه آسیب‌پذیری‌ها برای شرکت‌های بزرگ فناوری.

ریگز که تحصیلات متوسطه را به‌سختی به پایان رسانده، گفت مدارک دانشگاهی سنتی نداشته و در عوض گواهی‌های حرفه‌ای و نامه‌های تأیید فعالیت‌هایش در حوزه افشای مسئولانه را ارائه کرده است؛ مدارکی که به گفته خودش «به‌طور غیرمنتظره‌ای کاملاً منطبق با معیارهای ارزیابی بودند».

او نوشت: در نهایت به سقف تعداد فایل‌های پیوست رسیدم.

در حالی که درخواست ویزای او همچنان در دست بررسی بود، ریگز تصمیم گرفت شواهد به‌روزتری از توانایی‌هایش ارائه دهد.

او نوشت: با توجه به سطح بالایی که ویزای ۸۵۸ تعیین کرده، در طول فرایند درخواست برایم روشن شد که باید تلاش کنم ارزش فعلی توانایی‌هایم را هم نشان دهم.

ریگز اشاره کرد که نقش شغلی فعلی‌اش فراتر از کار فنی صرف بوده و شامل مسئولیت‌های مدیریتی نیز می‌شود، اما این موضوع مانع علاقه‌اش به آزمایش زیرساخت‌های دولت استرالیا نشد

او گفت زیرساخت‌های دولتی استرالیا به‌طور کلی بسیار مقاوم هستند و همین موضوع «کنجکاوی‌ام را بیشتر کرد».

جیمیسن اورایلی، بنیان‌گذار و مدیرعامل شرکت امنیت سایبری Dvuln، گفت این پرونده نشان‌دهنده کمبود مهارت‌های سایبری در استرالیا و موانع ساختاری موجود است.

او گفت: در این کشور متخصصان امنیتی بسیار توانمندی وجود دارند که چون به شرکت‌های مشاوره بزرگ متصل نیستند یا با الگوی تدارکات دولتی همخوانی ندارند، به پروژه‌های دولتی دسترسی پیدا نمی‌کنند. از یک‌سو درباره کمبود مهارت صحبت می‌کنیم و از سوی دیگر افراد ماهر را کنار می‌گذاریم.

او افزود مسیرهایی مانند ویزای ۸۵۸ برای پر کردن شکاف‌های واقعی مهم هستند، اما اولویت باید برداشتن موانع پیش‌روی استعدادهای داخلی باشد.

اورایلی همچنین گفت: این آسیب‌پذیری از ارزیابی‌های سالانه IRAP، دو تست نفوذ برون‌سپاری‌شده و بررسی‌های داخلی عبور کرده بود تا این‌که فردی خارج از سیستم آن را پیدا کرد. این همان نکته‌ای است که باید به آن توجه کرد.

ریگز گفت قصد دارد ظرف ۱۲ ماه آینده به سیدنی نقل مکان کند تا فعالیتش در حوزه امنیت سایبری را ادامه دهد.

او گفت: وقتی قرار است تمام زندگی‌ات را به کشور دیگری منتقل کنی، مسائل زیادی برای فکر کردن وجود دارد. من یک گربه هم دارم که هنوز باید راضی‌اش کنم.

وزارت امور خارجه و تجارت استرالیا و وزارت امور داخلی این کشور تا زمان انتشار گزارش به درخواست‌ها برای اظهارنظر پاسخ ندادند.

منبع: روزنامه ایج