توسط Vulnerlab_admin

همکاری با گروه VulnerLab

با توجه به تحقیقات محور بودن فعالیت‌ها و پروژه­‌های گروه والنرلب، این گروه به منظور انجام و توسعه فعالیت‌های خود قصد دارد از توانمندی و مشارکت عمومی متخصصین، دانشجویان و اساتید دانشگاهی استفاده کند لذا برای ایجاد انگیزه همکاری برای هر یک از متخصصین، دانشجویان و اساتید طرح‌های تشویقی ویژه­ای را در نظر گرفته است که در ذیل به همراه پروژه‌­ها ذکر می­‌شود.

پروژه­‌ها:

    1. ایجاد پایگاه دانش از تحلیل آسیب­‌پذیری‌های موجود:

هدف از پروژه، ایجاد یک دانشنامه مرجع در حوزه آسیب‌­پذیری با اهداف آموزشی برای نوجوانان و جوانان با استعداد و علاقه مند به این حوزه و متخصصین داخلی (باگ هانتر) است تا پس از کسب مهارت‌های لازم، در سریع‌ترین زمان ممکن به یک متخصص امنیت در حوزه تحلیل آسیب­‌پذیری و ارزیابی امنیتی تبدیل شوند. با توجه به گستردگی آسیب­‌پذیری‌های گزارش شده موجود، والنرلب در نظر دارد تا از توانمندی متخصصین حوزه تحلیل آسیب پذیری برای تکمیل دانشنامه و پایگاه داده خود استفاده کند لذا یک طرح تشویقی را ارائه کرده است که در این طرح برای مشارکت متخصصین پاداش مالی و امتیازات ویژه‌­ای در نظر گرفته شده است. قالب همکاری و مشارکت متخصصین در تکمیل دانشنامه این طرح، در جدول ذیل ارائه شده است:

سطح

موارد درخواستی

پاداش

(میلیون تومان)

سطح یک

ترجمه و یکپارچه سازی و مستندسازی تحلیل‌ها و مستندات ارائه شده برای یک CVE در قالب ارائه شده

5-10

تحلیل POC و کد بهره­ بردار ارائه شده در سایت‌های مختلف برای آسیب‌­پذیری به همراه کد بهره بردار

آماده­‌سازی محیط اجرای آسیب­‌پذیری در یک ماشین مجازی به همراه کلیه نیازمندی‌های آن

سطح دو

مشخص کردن نقطه قبل از رخداد، نقطه رخداد و نقطه بعد از رخداد آسیب پذیری با استفاده متدهای وقفه‌­گذاری در اجرای برنامه­‌ها

10-20

تحلیل فضای حافظه در نقطه قبل از رخداد، نقطه رخداد و نقطه بعد از رخداد آسیب پذیری

تعیین و تحلیل نوع داده­ای که منجر به رخداد آسیب‌پذیری می‌­گردد.

سطح سه

تولید POC و کد بهره‌­بردار برای آسیب‌پذیری به همراه تحلیل آن (مخصوص آسیب‌پذیری‌هایی که POC برای آنها ارائه نشده است)

20-50

نکات مهم:

  • تعیین مبلغ دقیق براساس شاخص‌های ضریب پیچیدگی آسیب‌­پذیری، در دسترس بودن مستندات، ضریب پیچیدگی ایجاد آزمایشگاه و متن باز و متن بسته بودن پلتفرم آسیب‌­پذیر، قبل از شروع فعالیت توافق می شود.
  • به منظور انجام موارد فوق به مهارت‌های برنامه نویسی سیستمی، مهندسی معکوس و OS Internals نیاز است.

    2. پروژه چرخه ارزیابی امنیتی نرم­‌افزار در حین فرایند تولید و توسعه (Security DevOps):

این پروژه یکی از پروژه­‌های اصلی گروه بوده و هدف از آن ایجاد یک چرخه و فرایند تولید و توسعه امن نرم­‌افزار برای سازمان‌ها و شرکت‌های دخیل در تولید و توسعه نرم­‌افزار است. این پروژه شامل مراحل و زیرپروژه­‌های ذیل می‌باشد:

  • مرحله ارزیابی امنیتی سورس کد:

بسیاری از آسیب‌­پذیری‌ها در سطح سورس کد قابلیت تشخیص، شناسایی و رفع را دارند و محصولات مختلفی در دنیا برای ارزیابی امنیتی سورس کد ایجاد شده است مانند سونار کیوب، فورتیفای و … . هدف از این مرحله، ارزیابی امنیتی و تشخیص آسیب­‌پذیری‌ها در سطح سورس کد در زبان‌های مختلف و ارایه راهکار برای رفع آنها در حین چرخه تولید و توسعه نرم­‌افزار می­‌باشد. همچنین یک نسخه از این مرحله به عنوان یک محصول مجزا و بصورت متن‌­باز در گیت‌هاب گروه در اختیار محققین قرار خواهد گرفت.

  • مرحله ارزیابی امنیتی نرم­‌افزار(باینری):

در این مرحله پس از ارزیابی امنیتی در سطح سورس کد و تولید محصول نرم‌افزاری، نرم‌­افزار در زمان اجرا مورد ارزیابی امنیتی و پایداری قرار می­گیرد. در این مرحله نرم‌­افزار توسط فازرهای مختلف و با داده‌­های ­آزمون مختلف مورد ارزیابی قرار می­گیرد. فازرهای مختلف با قابلیت‌های مختلف برای انواع آزمون‌ها در دنیا وجود دارند. تلاش بر این است که یک یا چند فازر تخصصی برای حوزه­‌های نرم­‌افزاری مختلف تولید شده و بصورت متن‌­باز در گیت‌هاب گروه در اختیار محققین قرار می­گیرد.

  • مرحله ارزیابی امنیتی در محیط اجرا:

در این پروژه، علاوه بر ارزیابی امنیتی محصول نرم‌­افزاری، محیط اجرای محصول نرم­‌افزاری نیز می­تواند مورد ارزیابی امنیتی قرار گرفته و آسیب‌پذیری‌های محیط اجرا، استخراج و رفع شود. در این مرحله براساس توصیه­‌نامه­‌های CISA و NIST و همچنین پایگاه داده آسیب‌­پذیری CVE، یک محصول آماده می‌­شود که محیط اجرا را با توجه به منابع ذکر شده مورد ارزیابی قرار داده و توصیه‌­نامه‌­های امنیتی برای هر پلتفرم دخیل در روند اجرای محصول را ارائه می­کند. در صورت درخواست کاربر این توصیه نامه امن‌سازی (هاردنینگ) به صورت خودکار بر روی محیط اعمال شده و در صورت ایجاد مشکل پس از هاردنینگ، سیستم به حالت قبل بازگشت داده می­شود. این محصول نیز بصورت متن‌­باز بوده و در گیت‌هاب گروه در اختیار محققین قرار می­‌گیرد.

    3. پروژه آزمایشگاه ارزیابی امنیتی در زمان اجرا:

هدف از این پروژه تحقیقاتی، ایجاد یک یا چند فازر بومی در حوزه­‌های مختلف در طراز فازرهای مطرح موجود است که پلتفرم‌های مختلفی شامل انواع سیستم­‌عامل‌ها، انواع مرورگرها، انواع مجازی سازها، شبکه‌­های اجتماعی داخلی و بین­‌المللی، سخت‌­افزارهای شبکه، آنتی­‌ویروس‌ها و فایروال‌ها و سایر نرم­‌افزارها را پوشش دهد. این پروژه متن‌­باز بوده و به صورت آزاد در گیت‌هاب گروه در اختیار محققین قرار می‌­گیرد.

    4. پروژه هوش مصنوعی در حوزه امنیت سایبری:

این پروژه کلیه دانش‌های کسب شده در حوزه ارزیابی امنیتی سورس کد، باینری و هاردنینگ را در قالب یک موتور هوش مصنوعی در اختیار محققین، دانشجویان، اساتید و مراکز علمی و تحقیقاتی قرار می­دهد. همچنین این موتور، قابلیت تشخیص کدهای آسیب‌پذیر، ارائه راهکار درباره امن­‌سازی سیستم‌­عامل‌ها، موتورهای وب، مجازی سازها و … را نیز خواهد داشت.

با توجه به پروژه­‌های متن‌­باز و تحقیقاتی مذکور، والنرلب در نظر دارد در انجام پروژه­‌ها و با حمایت آپای دانشگاه امام حسین (ع) از توانمندی اساتید دانشگاهی، دانشجویان سطح کارشناسی ارشد و دکترا در قالب پروژه‌­های پایانی، پروژه­‌های کسر خدمت و جایگزین خدمت استفاده نماید. در جدول ذیل قالب‌های همکاری با اساتید و دانشجویان ارائه شده است:

ردیف

 

طرح‌های تشویقی

توضیحات

1

دانشجویان

طرح کسر خدمت

در این طرح دانشجویان در ازای انجام پروژه­‌های تحقیقاتی مرتبط با پروژه­‌های فوق، می‌توانند بین سه تا 12 ماه کسر خدمت داشته باشند.

طرح جایگزین خدمت

در این طرح دانشجویان در ازای انجام پروژه‌­های تحقیقاتی بزرگ مرتبط با پروژه­‌های فوق، مشمول طرح جایگزین خدمت شوند.

طرح حمایت از پایان­‌نامه­‌های مرتبط

در این طرح دانشجویان و محققین در ازای انجام پروژه­‌های تحقیقاتی مرتبط، مشمول حمایت‌های دانشی، زیرساختی و پاداش های مالی می­شوند. این طرح با استفاده از طرح جهاد علمی ملی انجام می‌شود.

2

اساتید

طرح جهاد علمی ملی

در این طرح اساتید دانشگاهی در صورت فعالیت و هدایت در پروژ­ه­‌های عضو این طرح و هدایت دانشجویان در راستای انجام این پروژه­‌ها، مشمول حمایت‌های دانشی، زیرساختی و پاداش های مالی می­‌شوند.

3

محققین توانمند

طرح حمایت مالی

در این طرح، محققین علاقه­‌مند و توانمند می‌توانند در قالب پروژه­‌های تحقیقاتی با گروه همکاری نموده و مشمول حمایت‌ها و پاداش‌های مالی شوند.

‌‌کلیه فعالیت‌ها، پروژه‌­ها و موارد تحلیلی درخواستی در سایت جابتک قرار داده شده است که می‌­توانید جهت کسب اطلاعات بیشتر در این خصوص با ما تماس بگیرید.

فرم درخواست همکاری
زمینه درخواست همکاری
سطح همکاری
نوع همکاری
تسلط به چه زبانی دارید؟
فایل‌ها را بکشید و رها کنید، فایل‌هایی را برای بارگذاری انتخاب کنید
wpChatIcon
wpChatIcon