هکرها و خطراتي که براي ما ايجاد مي کنند
براي اجراي يک حمله ي موفقيت آميز در برابر يک سزامان، فرد متجاوز بايد ابتدا يک فرآيند اکتشافي را بمنظور جمع آوري اطلاعات در مورد سازمان مذکور ترتيب دهد. بسياري از روش هاي سنتي جمع آوري داده ها مثل dumpster diving (جستجو در زباله ها) و جستجو در بانک هاي اطلاعاتي عمومي و مراجعه به موتورهاي جستجو هنوز کار مي کنند. اگرچه امروزه روش هاي جديد که بر جمع آوري اطلاعات از فناوري هايي مثل شبکه هاي اجتماعي متکي هستند، متداول تر است.
ما در اين مقاله به بررسي روش هاي آزمون نفوذ به شبکه مي پردازيم: علم آزمايش کامپيوترها و شبکه هاي شما براي يافتن آسيب پذيري ها و بستن حفره هائي که کشف مي کنيد، پيش از آنکه نفوذگران بدخواه، شانس بهره برداري از آنها را پيدا کنند.
عليرغم آنکه «Ethical» واژه اي است که غالباً بيش از حد مورد استفاده قرار مي گيرد و سوء تعبيرهاي فراواني از آن وجود دارند، اما تعريفي از آن که با محتواي اين مقاله و تکنيک هاي پيشرفته آزمون هاي امنيتي که به بررسي آنها خواهيم پرداخت، عبارت است از: «انطباق با استانداردهاي رفتاري يک گروه يا حرفه ي معين».
در اين مقاله از واژه هاي زير استفاده مي کنيم:
-هکرها (يا مهاجمين خارجي): تلاش مي کنند کامپيوترها و اطلاعات حساس را براي استفاده نامشروع (معمولاً از خارج) بعنوان يک کاربر غيرمجاز، تحت سلطه ي خود درآرند. هکرها تقريباً به هر سيستمي که تصور کنند مي توانند بر آن تسلط پيدا کنند، حمله مي نمايند. بعضي از آنها، سيستم هاي معتبر که بخوبي از آنها محافظت مي شود را ترجيح مي دهند، اما رخنه به سيستم هرکسي مي تواند جايگاه آنها را در قلمرو هکرها ارتقاء بخشد.
- Rogue Insiders (يا مهاجمين داخلي): تلاش مي کنند تا کامپيوترها و اطلاعات حساس را از داخل بعنوان کاربران مجاز، تحت سلطه ي خود در آورند. اين افراد به سراغ سيستم هايي مي روند که باور دارند مي توانند آنها را براي استفاده هاي نامشروع يا انتقام به زانو درآورند.
وقتي بطور کلي در مورد «مهاجمين بدخواه» صحبت مي کنيم، هر دو گروه فوق را شامل مي شود. براي ساده کردن بحث، ما به هر دو گروه تحت عنوان هکر اشاره خواهيم کرد و تنها زماني بطور مشخص به هکرها يا rogue insiders اشاره مي کنيم که بخواهيم ابزارها، تکنيک ها و طرز فکر آنها را بطور عميق تري مورد بررسي قرار دهيم.
-هکرهاي اخلاقي (يا آدم هاي خوب) که يک سيستم را براي کشف آسيب پذيريهاي آن به منظور محافظت از کامپيوترها در برابر ورود، بهره کشي و سوء استفاده غيرمجاز از آنها، هک مي کنند.
- بطور سنتي، هکر کسي است که به سر و کار داشتن با سيستم هاي الکترونيکي و يا نرم افزاري، علاقه دارد. آنها از کاوش و يادگيري نحوه ي کار سيستم هاي کامپيوتري، لذت مي برند. هکرها عاشق پيدا کردن راه هاي جديدي براي انجام کارها هستند (چه بصورت مکانيکي و چه بصورت الکترونيکي).
- در سال هاي اخير، واژه «هکر» مفهوم جديدي پيدا کرده است: کسي که بصورت بدخواهانه، براي استفاده شخصي به سيستم ها نفوذ مي کند. از نظر فني، اين تبهکاران تحت عنوان criminal hacker(Cracker) شناخته مي شوند. Crackerها با اهداف بدخواهانه به سيستم ها نفوذ مي کنند. آنها بخاطر منافع شخصي (شهرت، پول و حتي انتقام) اقدام به انجام اينکار مي نمايند. آنها اطلاعات حياتي را به سرقت برده، تغيير داده و يا حذف مي کنند و غالباً صدمات جدي را به افراد ديگر وارد مي نمايند.
هکرهاي خوب (کلاه سفيد) دوست ندارند تا در همان دسته بندي هکرهاي بد (کلاه سياه) قرار بگيرند. اگر در مورد استفاده از عبارت «کلاه سفيد» يا «کلاه سياه» در مورد هکرها تعجب کرده ايد، بد نيست بدانيد اين ايده از فيلم هاي وسترن گرفته شده است که در آنها، آدم هاي خوب کلاه گاوچراني سفيد و آدم هاي بد، کلاه گاوچراني سياه بر سر داشتند. در اين ميان، گروهي نيز تحت عنوان هکرهاي کلاه خاکستري وجود دارند که در واقع، ترکيبي از هر دو گروه فوق هستند. در هر صورت، هکرها يک تصور منفي را در ذهن مردم ايجاد مي کنند.
بسياري از هکرهاي بدخواه ادعا مي کنند که خسارتي را بوجود نمي آورند، بلکه با نوعدوستي به ديگران کمک مي کنند. بله، درست است. بسياري از هکرهاي بدخواه، سارقين الکترونيکي هستند.
اين مشکل الزاماً به کاربراني که سيستم هاي داخلي را «هک» مي کنند مربوط نمي شود، بلکه کاربراني (کارکنان معمولي گرفته تا حسابرسان و پيمانکاران) که از مجوزهاي دريافت شده ي خود براي دسترسي به کامپيوترها سوء استفاده مي کنند را نيز در بر مي گيرد. مواردي وجود دارند که کاربران به کنجکاوي در سيستم هاي مهم بانک اطلاعاتي مي پردازند تا اطلاعات حساس را جمع آوري کرده، اطلاعات محرمانه مشتريان را به يک شرکت رقيب يا طرف ثالث ديگري email نموده و يا فايل هاي حساس را از سرورهايي که احتمالاً در ابتدا به آنها دسترسي نداشته اند، حذف کنند. همچنين، گروهي از کاربران داخلي «بي توجه» وجود دارند که مقاصد بدخواهانه اي را دنبال نمي کنند اما هنوز مشکلات امنيتي را با جابجايي، حذف و يا صدمه زدن به اطلاعات حساس، بوجود مي آورند.
کارکنان سرکش داخلي، غالباً بدترين دشمنان ما هستند زيرا مي دانند براي بدست آوردن اقلام مورد نظر خود دقيقاً بايد به کجا رخنه کنند و براي تسلط بر اطلاعات بسيار حساس، نيازي به هوش کامپيوتري فوق العاده ندارند.
هک اخلاقي (که آزمايش هاي نفوذ رسمي و منظم، هک کلاه سفيد و آزمايش آسيب پذيري را در بر مي گيرد) با همان ابزارها، حيله ها و تکنيک هايي سر و کار دارد که هکرها از آنها استفاده مي کنند. با اينحال، يک تفاوت مهم در اين ميان وجود دارد: هک اخلاقي، قانوني است زيرا با اجازه مسئولين شبکه « هدف » آن انجام مي شود.
منظور از انجام هک اخلاقي، کشف آسيب پذيريها از ديدگاه يک مهاجم بدخواه است تا امکان تأمين حفاظت بهتر از سيستم، فراهم گردد. اين بخشي از يک برنامه ي جامع مديريت ريسک اطلاعات است که بهبودهاي مداوم امنيتي را امکانپذير مي سازد. هک اخلاقي، همچنين مي تواند تضمين کند که ادعاهاي فروشندگان در مورد امنيت محصولاتشان، صحت دارد.
با اينحال، شما از يک سايت يا وبلاگ خاص بازديد مي کنيد و مرورگر PC شما به يک سايت وب آلوده (که از يک آسيب پذيري در يک فرمت تصويري قديمي مايکروسافت بهره برداري مي کند) هدايت مي گردد. به اين ترتيب در طول چند ثانيه، ارتشي از Malwareها به سيستم شما حمله مي کنند. در صورت وقوع اين اتفاق، شما قرباني يک حمله ي «Zero-Day» شده ايد (حمله اي بر عليه يک رخنه ي نرم افزاري که پيش از ايجاد هرگونه وصله اي براي تصحيح مشکل، انجام مي شود). اين عبارت در ابتدا براي يک آسيب پذيري مورد استفاده قرار گرفت که در دنياي واقعي (خارج از يک آزمايشگاه تحقيقاتي) درست همان روزي که وصله اي براي آن عرضه شد، مورد بهره برداري قرار گرفته و هيچ فرصتي جهت بستن حفره ها را براي بخش IT باقي نگذاشت.
امروزه، ارزش حملات Zero-Day براي مجرمين Online به سرعت در حال افزايش است، دقيقاً به اين دليل که حملات مي توانند به سيستم هاي بروزرساني شده اي که به خوبي نگهداري مي شوند، نفوذ کنند. براي نمونه، Raimund Genes مدير ارشد فن آوري در Trend Micro متوجه يک پيشنهاد فروش در يک Chat-Room اينترنتي شد: يک هکر مي خواست يک آسيب پذيري افشاء نشده در يک نسخه ي بتا از ويندوز ويستا را در مقابل 50000 دلار بفروشد. گرچه، Genes نمي توانست تشخيص دهد که آيا کسي اقدام به خريد اين کد نموده يا خير.
Dava Marcus مدير تحقيقات امنيتي McAffe مي گويد: «در حال حاضر، بيش از يک جريان زيرزميني سازماندهي شده در اين زمينه وجود دارد. مجرمين متوجه شده اند که مي توانند با Malwareهاي خود درآمد کسب کنند».
به لطف ويژگي هايي نظير ويژگي هاي تقويت شده که به امضاها تکيه ندارند، آنتي ويروس McAfee و ساير برنامه هاي امنيتي از چالاکي بيشتري در زمينه ي محافظت در برابر تهديدهاي ناشناخته برخوردار شده اند. آرايه ي بزرگي از برنامه هاي تجاري و رايگان جديد، محافظت پيشگيرانه در برابر حملات Zero-Day را با محدود نمودن نيروي مخرب يک حمله ي موفق، ارائه مي کنند.
به گفته Jeff Moss پايه گذار کنفرانس سالانه ي امنيت BlackHat، چيدمان امنيتي صحيح مي تواند در 99 درصد موارد از شما محافظت نمايد. با اينحال، حملات هدفمند گاهي اوقات مي توانند به هر جايي راه پيدا کنند. Moss مي گويد: «شما مي توانيد انبوهي از فايروال ها، تجهيزات و نرم افزارهاي امنيتي را خريداري کنيد. اما اگر يک Zero-Day مناسب در يک کامپيوتر مناسب وجود داشته باشد، تقريباً تمام اين خطوط دفاعي اضافي نيز بي اثر خواهند بود».
خطرناک ترين گونه ها از حملات Pre-Patch امکان تحريک با بارگذاري هاي را بوجود مي آورند، به اين معني که مرور ساده يک صفحه ي وب مسموم يا خواندن يک HTML email آلوده مي تواند يک تهاجمي را آغاز کند که مي تواند PC شما را انباشته از Spywareها، اسبهاي تروا و يا ساير Malwareها نمايد. در فاصله ي مابين انتهاي 2005 تا انتهاي 2006، جنايتکاران Online حداقل از دو نوع از اين تهاجم هاي Zero-Day براي حمله به ميليون ها کاربر، با بهره برداري از حفره هاي موجود در يک فرمت تصويري مايکروسافت که ندرتاً مورد استفاده قرار مي گيرد، استفاده کرده اند.
در افتضاح HostGator که با يک رخنه ي تصويري ويندوز سر و کار داشت، حمله از يک آسيب پذيري در شيوه ي اداره Vector Markup Language(VML) که يک استاندارد کم مصرف براي ايجاد گرافيک هاي 3 بعدي است) توسط اينترنت که مدتها کسي متوجه آن نشده بود، بهره برداري مي کرد.
اين تهديد اولين بار در ماه سپتامبر توسط شرکت امنيتي Sunbelt Software گزارش شد که آن را بر روي يک سايت وب روسي پيدا کرده بود. اين حفره به خودي خود بسيار بد بود: اگر شما از يک سايت حاوي تصاوير آلوده بازديد مي کرديد، احتمالاً در معرض يک بارگذاري Drive-by قرار مي گرفتيد. اما هکرهاي فرصت طلب تشخيص دادند که چگونه خسارات آن را افزايش دهند.
آنها با هدف گرفتن يک حفره ناشناخته ديگر در cPanel (يک اينترفيس مديريت سايت وب)، هزاران سايتي که توسط HostGator نگهداري مي شدند را Hijack نمودند. بازديد کنندگان از اين سايت هاي وب قانوني اما تسليم شده، به سايت هاي بدخواهانه اي مي شدند حاوي بهره برداريهاي VML بودند.
محصولات مايکروسافت نظير Office، Internet Explorer و خود سيستم عامل ويندوز، هدف هاي متداول حملات Zero-Day هستند که دليل آن تا حدودي به غلبه آنها بر عرصه ي نرم افزاري مربوط مي شود. با اينحال، ناکامي مايکروسافت در گذشته براي پياده سازي کافي امنيت در فرآيند توسعه ي نرم افزاري خود نيز در وضعيت محصولات اين شرکت بعنوان اهداف آسان و مشهور حملات امنيتي، بي تأثير نبوده است. از سوي ديگر، ويندوز ويستا امتيازهاي بالايي را در زمينه ي امنيت بدست آورده است (حداقل فعلاً).
پس از آنکه حمله ي فوق الذکر بطور عمومي شناخته شد، مايکروسافت ابتدا اعلام کرد که هفته ي بعد وصله اي را براي اصلاح اين حفره ارائه خواهد کرد (بعنوان بخشي از چرخه ي معمول ارائه ي وصله هاي خود)، اما هنگاميکه بهره برداري ها و اعتراضات کاربران از آنها افزايش يافت، اين شرکت يک اصلاحيه خارج از چرخه را در اوايل ماه ژانويه عرضه کرد.
در ماه ژوئيه، يک آگهي Banner بدخواهانه براي Deckoutyourdeck.com، راه خود را از طريق يک شبکه ي توزيع آگهي هاي تبليغاتي که به هزاران سايت سرويس مي دهد، به سايت هايي نظير MySpace و Webshots باز کرد. Malware مخفي شده در اين Banner، يک اسب تروا را بر روي کامپيوترهاي قربانيان بارگذاري کرده و اين اسب تروا نيز به نوبه ي خود اقدام به نصب Adware و Spyware مي نمود. به اعتقاد ناظران آگاه، تعداد قربانيان اين حمله (حتي ماه ها پس از ارائه يک وصله امنيتي براي آن) به ميليونها کاربر مي رسد.
يک هکر بدخواه با ارسال يک پيام email جعلي براي کارکنان يک شرکت هدف که وانمود مي کند از طرف يک همکار يا منبع ديگري در داخل شرکت ارسال شده است، شانس بسيار بهتري (نسبت به پيام هايي که ظاهراً از طرف يک فرستنده تصادفي ارسال شده اند) را براي ترغيب گيرنده جهت باز کردن يک سند Word ضميمه شده به پيام پيدا مي کند.
در گذشته، شرکت مايکروسافت تائيد کرد که Word حاوي دو آسيب پذيري از اين نوع است که رخنه گران از آنها براي اجراي «حملات بسيار محدود و هدفمند» بهره برداري کرده اند. رشته اي از رخنه هاي مشابه در Excel و PowerPoint نيز کشف شدند. مايکروسافت اکنون به کاربران خود اختار مي کند که نه تنها مراقب پيوست هاي email داخل پيام هاي ارسال شده از سوي فرستندگان ناشناخته باشند، بلکه پيوست هاي ناخواسته از فرستندگان شناخته شده را نيز با همان وسواس بررسي نمايند.
ممکن است محصولات مايکروسافت مشهورترين اهداف Zero-Day باشند اما مسيرهاي تأمين شده توسط ساير نرم افزارهاي متداول براي حملات نيز به همان اندازه خطرناک هستند.
رشد وقايع Zero-Day، يک افزايش چشمگير در تعداد آسيب پذيري هاي نرم افزاري گزارش شده در سال را منعکس مي کند. در سال 2009، توليد کنندگان نرم افزاري و محققين، تا 17475 آسيب پذيري را فهرست کردند که 39 درصد بيشتر از سال 2008 است.
با اينحال، اکثر اين باگ ها به يک بهره برداري Zero-Day منتهي نمي شوند. شرکت هاي نرم افزاري غالباً گزارش هايي در مورد باگها و نواقص محصولات خود را از کاربرانشان دريافت مي کنند که به کشف حفره هاي امنيتي منتهي مي گردد و شرکت ها پيش از بهره برداري مهاجمين، اقدام به ارائه وصله هائي براي اصلاح آنها مي نمايند. هنگاميکه محققين امنيتي خارجي يک رخنه را کشف مي کنند، به مجموعه از شيوه هاي مرسوم تحت عنوان «افشاي اخلاقي» وفادار هستند که خصوصاً براي اجتناب از حملات Zero-Day طراحي شده اند.
براساس اصول افشاي اخلاقي، محققين ابتدا بصورت محرمانه با فروشنده نرم افزار تماس مي گيرند تا کشفيات خود را به آنها گزارش دهند. تا زمانيکه وصله ي مورد نيز براي برطرف نمودن مشکل آماده نشده است، شرکت فروشنده وجود رخنه مربوطه را اعلام نخواهد کرد. هنگاميکه خبر بطور رسمي اعلام مي شود، شرکت مربوطه آشکارا کشف رخنه را به محققين ابتدايي نسبت مي دهد.
اما در بعضي از موارد، محققين که از سرعت پائين رسيدگي هاي يک توليد کننده نرم افزاري نااميد شده اند، جزئيات مربوطه را بطور عمومي منتشر مي کنند در حاليکه هنوز راهي براي برطرف نمودن آن وجود ندارد. بعضي از متخصصين، اين تاکتيک را يک شيطنت ضروري براي وادار نمودن شرکت متمرد به ارائه يک اصلاحيه مي دانند. گروه ديگري نيز اين شيوه را بعنوان يک نقض غير اخلاقي شيوه هاي صنعتي، سرزنش مي نمايند.
افراديکه از انتشار عمومي حمايت مي کنند، اين استدلال را ارائه مي نمايند که اگر محققين از وجود رخنه اطلاع دارند، احتمالاً مجرمين نيز از آن آگاه هستند. مجرمين باهوش، حملات خود را کوچک و هدفمند انجام مي دهند تا از جلب توجه توليد کنندگان نرم افزاري و برطرف شدن رخنه مورد بهره برداري خود اجتناب نمايند. متأسفانه افشاي عمومي يک آسيب پذيري در اغلب موارد باعث اجراي حملات Zero-Day عمومي مي شوند.
شيوه ي بحث انگيز بعدي، «جايزه بگيري» است. بعضي از سازمان ها نظير iDefence و ابتکار Zero-Day شرکت 3Com، به محققين پول مي دهند تا بهره برداري هاي Zero-Day را به آنها گزارش دهند. براي مثال، iDefence يک جايزه 8000 دلاري را براي اطلاعات مربوط به آسيب پذيري هاي ويستا و IE7 پرداخت مي کرد. سپس، شرکت هاي امنيتي اين کشفيات خود را بصورت محرمانه در اختيار شرکت هاي نرم افزاري قرار مي دهند. با وجود آنکه اين برنامه ها بطور فراگيري مورد تحسين قرار نمي گيرند، اما درآمدي را نصيب محققين مي کنند. نتيجه اي که بسياري از محققين آن را به يک قدرداني ساده از سوي فروشندگان نرم افزاري ترجيح مي دهند.
نکته (احتمالاً) مهمتر اين است که جايزه شرکت امنيتي با رشد فزاينده بازار سياه بهره برداري هاي Zero-Day رقابت مي کنند. گزارش هاي eWeek.com و شرکت هاي امنيتي بيانگر آن هستند که حملات Windows Metafile بلافاصله پس از فروش جزئيات يک باگ مرتبط به قيمت مناسب 4000 دلار آغاز شدند.
براي يافتن رخنه هاي قابل فروش، محققين و مجرمين از ابزارهاي خودکاري با نام Fuzzers براي جستجوي محل هايي که يک برنامه در آنها ورودي مي پذيرد و سپس تغذيه سيستماتيک آنها با ترکيب خاصي از داده ها، مي پردازند. اين آزمايش غالباً يک رخنه ي قابل بهره برداري با نام يک سرريز بافر را آشکار مي سازد.
شرکت هاي نرم افزاري نظير مايکروسافت، عموماً از ابزارهايي براي يافتن رخنه ها در محصولات خود (بصورت پيشگيرانه) استفاده مي کنند. اما متقلبين نيز همين کار را انجام مي دهند. Moss و بسياري از متخصصين ديگر اعتقاد دارند که تبهکاران سازمان يافته در اروپاي شرقي، گروه هاي منظم شده هکرهايي چيني و ساير مجرمين Cyber نيز از Fuzzerها براي يافتن بهره برداري هاي ارزشمند Zero-Day استفاده مي کنند. کاشفين مي توانند از اين رخنه ها براي انجام حملات خودشان استفاده کرده و يا همانند مورد WMF، آنها را به بازار سياه بفروشند.
وقتي يک توليد کننده ي نرم افزاري بتواند يک رخنه امنيتي را پيش از وقوع هرگونه حمله اي اصلاح کند، بخش IT شرکت ها و کاربران خانگي، وقت کافي براي ارتقاء نرم افزار خود و قرار گرفتن در محدوده ي امن در اختيار خواهند داشت. اما به محض آنکه يک حمله ي Zero-Day آغاز شود، زمان به سرعت مي گذرد و گاهي اوقات، زمان زيادي پيش از رسيدن وصله مورد نياز سپري خواهد شد.
به گفته ي Adam Shostack يک مدير برنامه در تيم چرخه ي توسعه ي امنيتي مايکروسافت، گاهي اوقات با در نظر گرفتن پيچيدگي پايگاه کاربران مايکروسافت، يک دوره زماني طولاني تر تنها چيزي است که مي توان انتظار داشت.
Shostack مي گويد: «ما بايد ارتقاء هاي امنيتي را آزمايش نماييم تا مطمئن شويم که با 28 زبان مختلف و هر سيستم عاملي که از نرم افزار کاربردي مورد نظر پشتيباني مي کند، سازگار خواهند بود. ما واقعاً کار مي کنيم تا کيفيت و سرعت را متوازن نماييم».
نرم افزار امنيتي به محافظت در برابر تهديدهاي ناشناخته در طول فاصله ي زماني خطرناکي که يک حمله مقدماتي را از انتشار يک وصله ي کارآمد جدا مي سازد، کمک مي کنند. با اينحال، برنامه هاي آنتي ويروس سنتي به داشتن يک امضاي شناسائي شده براي هر حمله تکيه دارند تا بتواند در برابر آن مقاومت نمايند. اين وضعيت، نويسندگان Malwareها و شرکت هاي امنيتي را در يک بازي دائمي موش و گربه قرار مي دهد، در حاليکه هکرهاي بدخواه يک جريان دائمي از اسب هاي تراوي طراح را ابداع کرده و آنها را به اندازه ي کافي دستکاري مي نمايند تا شناسائي امضاء را مغلوب کنند.
تجزيه و تحليل مبتني بر رفتار و اکتشاف مي تواند به سطحي فراتر از اين الگوي تکاملي رسيده و برنامه هاي امنيتي را جلو بيندازد. اينگونه اسکن ها از الگوريتم ها استفاده مي کنند (نه امضاها) تا به جستجوي فايل ها يا رفتارهاي غير عادي بپردازند. آناليز اکتشافي، مضمون Malware احتمالي را براي يافتن مواردي نظير يک شيوه ي مشکوک از کار با حافظه، بررسي مي کند. از سوي ديگر، آناليز رفتاري به جستجوي رفتارهاي معمول Malwareها در برنامه ها مي پردازد (نظير آغاز يک سرور رله email) و تلاش مي کند تا مداخله گر ناخواسته را با آنچه که انجام مي دهد شناسايي کند، نه با آنچه که در خود دارد.
امروزه اکثر محصولات مهم آنتي ويروس، يک يا هر دو شيوه ي آناليز فوق را به کار مي گيرند. آزمايش ها نشان مي دهند که استفاده از امضاهايي که 1 ماه از عمر آنها مي گذرد، تنها 20 تا 50 درصد موفقيت آميز خواهد بود. آناليزهاي اکتشافي و رفتاري، نسبت به حقايق کاذب حساس هستند. ممکن است يک برنامه ي امنيتي نتواند تمايزي مابين يک Keylogger و يک بازي که براي کاهش زمان واکنش بازيگر خواستار دسترسي مستقيم به صفحه کليد است، قائل شود. در نتيجه، نرم افزار امنيتي مورد نظر احتمالاً با پرسش ها و هشدارهاي بي دليل، مزاحم کاربر خواهد شد.
گروه ديگري از برنامه ها، بجاي ايجاد يک محيط مجازي، حقوق کاربر را به گونه اي تغيير مي دهند تا توانايي يک نرم افزار کاربردي براي اعمال تغييرات عميق در سيستم را حذف نمايند. اپلت رايگان DropMyRights از مايکروسافت نيز در اين بسته بندي از يوتيليتي ها قرار مي گيرد.
يک گونه ي ديگر از برنامه ها نظير VMWare Player رايگان، يک سيستم عامل مجزا و محصور را نصب مي کنند که داراي مرورگر مخصوص به خود مي باشد. اين مرورگر محصور کاملاً از محيط معمولي کامپيوتر شما تفکيک شده است.
ويندوز 7، تعدادي ارتقاءهاي امنيتي را معرفي مي کند که در امتداد بعضي از همين خطوط عمل مي نمايند. اما هيچکس فکر نمي کند که آسيب پذيري هاي نرم افزاري و يا بهره برداري هاي Zero-Day ناپديد خواهند شد. متأسفانه، بازار سياه ايجاد شده براي داده هاي به سرقت رفته و فروشندگان Spam هاي ناخواسته، تضمين مي کنند که مجرمين به تلاش خود براي يافتن راه هايي جهت سود بردن از Malwareها ادامه خواهند داد.
David Perry مدير آموزش جهاني Trend Micro در مورد وضعيت امنيت اينترنت در آينده، خوش بين است. او مي گويد: «من باور دارم که ما نهايتاً وب را به نقطه اي خواهيم رساند که در آن، تهديدها فقط يک مزاحمت کوچک خواهند بود. اما اين اتفاق مطمئناً در سال جاري نخواهد افتاد».
شايد بتوان User Account Control را بعنوان ويژگي کليدي جديدي در نظر گرفت که مجوزهاي حساب کاربري را تغيير مي دهد. تقريباً هر کاربر خانگي بخاطر افزايش سطح راحتي (از آنجائيکه براي بسياري از وظايف متداول سيستمي به امتيازهاي سرپرستي نياز است)، ويندوز XP را تحت تنظيمات سرپرستي اجرا مي کند. اما مهاجمين نيز از حقوق گسترده ي همين تنظيمات براي اعمال تغييرات عمده در يک سيستم نظير نصب Rootkitهاي پنهان کننده Malware، بهره برداري مي کنند.
در مقابل، حساب کاربري پيش فرض 7، يک محدوده ي مياني مابين حساب کاربري سرپرستي و يک حساب کاربري مهمان (Guest) را اشغال مي کند. مايکروسافت تلاش کرده است تا اعمال تغييرات را با اعطاي مجوز انجام برخي از وظايف سيستم روزمره نظير نصب درايور چاپگر، براي دارندگان حساب هاي کاربري استاندارد خوشايندتر نمايد. در عين حال کاربران قوي، نسبت به لزوم کليک اعلان هاي فراوان User Account Control که به کلمه عبور سرپرستي نياز دارند (نسبت به ويندوز ويستا)، ديگر معترض نيستند.
از سوي ديگر، IE نيز بطور پيش فرض در يک حالت محافظت شده اجرا مي گردد که حداقل مجوزهاي ممکن در آن وجود دارند. اين وضعيت، خساراتي که يک حمله Zero-Day با توانائي تسلط بر IE (نظير بهره برداري هاي VML يا WMF) مي تواند بر کامپيوتر شما تحميل نمايد را محدود مي کند.
نهايتاً، ويندوز7 با Windows Defender ارائه مي شود که مي تواند تلاش هاي Malware براي اضافه نمودن ورودي ها به فولدر Startup را مسدود نمايد. اين سيستم عامل همچنين محل هايي که از حافظه که کتابخانه ها و برنامه ها در آنها بارگذاري مي شوند را تغيير مي دهد، بنابراين يک Malware که تلاش مي کند مهم ترين رويه هاي سيستمي را يافته و آنها را تغيير دهد، بايد اهداف متحرکي را نشانه بگيرد.
هکرها دائماً در حال گسترش سطح آگاهي خود هستند، پس شما نيز بايد همين کار را انجام دهيد. براي آنکه از سيستم خود در برابر آنها محافظت نمائيد، طرز فکر و کار شما نيز بايد مانند آنها باشد. شما بعنوان يک هکر اخلاقي، بايد با فعاليت هاي انجام شده توسط هکرها و نحوه ي متوقف نمودن تلاش هاي آنها، آشنا باشيد. شما بايد بدانيد که به جستجوي چه چيزي پرداخته و چگونه از اطلاعات بدست آمده براي خنثي نمودن تلاش هاي هکرها استفاده کنيد.
شما نبايد از سيستم خود در برابر هر چيزي محافظت کنيد. در واقع شما نمي توانيد اين کار را انجام دهيد. تنها شيوه ي محافظت از سيستم هاي کامپيوتريتان در برابر همه چيز، اين است که آنها را خاموش کرده و در جاي محصوري قرار دهيد تا کسي نتواند آنها را لمس کند (حتي خودتان). قطعاً اين بهترين شيوه براي امنيت اطلاعاتي نيست و بدون ترديد براي تجارت نيز مناسب نخواهد بود. نکته مهم، اين است که از سيستم هاي خود در برابر آسيب پذيري هاي شناخته شده و حملات متداول محافظت کنيد.
پيش بيني تمام آسيب پذيري هايي احتمالي که در سيستم ها و فرآيندهاي تجاري خود خواهيد يافت، غير ممکن است. خصوصاً آنهايي که در حال حاضر ناشناخته هستند. با اينحال هرچه ترکيب هاي بيشتري را امتحان کنيد (بيشتر به آزمايش کل سيستم ها بپردازيد تا واحدهاي جداگانه آنها)، شانس بهتري براي کشف آسيب پذيري هايي که بر تماميت سيستم هاي اطلاعاتي شما تأثير مي گذارند، خواهيد داشت. با اينحال، در هک اخلاقي زياده روي نکنيد. محافظت از سيستم هايتان در برابر حملات غير محتمل، بهره چنداني نخواهد داشت. براي نمونه، اگر شما ترافيک چنداني در دفتر خود نداريد و يا از سرورهاي وب داخلي استفاده نمي کنيد. نبايد به اندازه يک تأمين کننده ي ميزباني اينترنت، نگران باشيد. اهداف کلي شما بعنوان يک هکر اخلاقي، عبارتند از:
- هک سيستم هاي خودتان در يک قالب غيرمخرب.
- شمارش آسيب پذيري ها و در صورت نياز، اثبات وجود و امکان بهره برداري از آنها، به مديران.
- اعمال نتايج براي حذف آسيب پذيري ها و تأمين محافظت بهتر براي سيستم هايتان.
بسياري از آسيب پذيري هاي امنيت اطلاعات، به خودي خود بحراني نيستند. با اينحال، بهره برداري همزمان از آسيب پذيري هاي متعدد، مي تواند خسارات قابل توجهي به بار آورد. براي مثال ممکن است يک پيکربندي پيش فرض سيستم عامل ويندوز، يک کلمه ي عبور سرپرستي ضعيف براي سرور SQL و سروري که بر روي يک شبکه بي سيم ميزباني شده، هريک بطور جداگانه بعنوان يک نگراني امنيتي مهم مطرح نباشند. اما بهره برداري همزمان از هر سه آسيب پذيري فوق، مي تواند يک مشکل جدي را بوجود آورد که به افشاي اطلاعات حساس و يا خسارات بسيار سنگين تري منتهي گردد.
حملات فيزيکي، گونه ديگري از حملات رايج و مؤثر بر عليه سيستم هاي اطلاعاتي به حساب مي آيند. هکرها به ساختمان ها، اتاق هاي کامپيوتر و ساير مکان هاي حاوي اموال يا اطلاعات حياتي نفوذ مي کنند تا کامپيوترها، سرورها و ساير تجهيزات ارزشمند را سرقت نمايند. حملات فيزيکي همچنين مي توانند شامل «بازرسي آشغال ها» باشند: جستجوي سطل هاي زباله و ساير بخش هاي ظاهراً بي ارزش براي يافتن دياگرام هاي شبکه، کلمات عبور، دارايي هاي ذهني و يا ساير اطلاعات.
- برقراري ارتباط با يک شبکه از طريق يک مودم Rogue که به کامپيوتري در پشت فايروال متصل شده است.
- بهره برداري از نقاط ضعف پروتکل هاي شبکه، نظير TCP/IP يا NetBEUI.
- بمباران (Flooding) يک شبکه با درخواست هاي بيش از حد که يک denial of service(DoS) را براي درخواست هاي مشروع ايجاد خواهد کرد.
- نصب يک تحليلگر شبکه بر روي يک شبکه و ضبط هر بسته اي که بر روي آن حرکت مي کند که باعث آشکار شدن اطلاعات محرمانه بصورت متن ساده مي گردد.
-سوار شدن بر يک شبکه از طريق يک پيکربندي بي سيم 802.11 ناامن
گهگاه، سيستم هاي عاملي مورد حمله قرار مي گيرند که در ابتدا بسيار امن به نظر مي رسند (مانند Novell NetWare يا انواع مختلف BSD UNIX) و آسيب پذيري هاي آنها نيز آشکار مي شوند. اما هکرها غالباً ترجيح مي دهند به سيستم هاي عاملي نظير ويندوز و لينوکس حمله کنند زيرا بطور گسترده اي مورد استفاده قرار مي گيرند و تعداد بيشتري از نقطه ضعف هاي آنها فاش شده اند.
مثال هايي از حملات سيستم عامل، عبارتند از:
- بهره برداري از پياده سازي هاي اختصاصي پروتکل شبکه
- حمله به سيستم هاي تعيين اعتبار (authentication) داخلي
- شکست امنيت سيستم فايل
- رخنه به مکانيزم هاي رمزگذاري و کلمات عبور
در حمله اي از اين نوع، بسته هاي مهاجم از طرف صدها هزار آدرس ارسال مي شوند و نه يک آدرس، درست مثل حملات استاندارد محروميت از خدمات (DoS). هرگونه دفاع DoS که براساس نظارت بر حجم بسته هاي در حال ورود از طرف يک آدرس واحد يا شبکه واحد شکل گرفته باشد، شکست خواهد خورد زيرا حملات از همه جا انجام مي شوند. به عنوان مثال فرد قرباني در عوض دريافت مثلاً هزار Ping غول آسا در ثانيه از طرف يک سايت مهاجم، از هر 1000 سايت مهاجم يک Ping را در ثانيه دريافت خواهد کرد.
يکي ديگر از موارد نگران کننده در مورد حملات محروم کننده از خدمات از نوع توزيعي اين است که اقدام کننده مي توانند محل عوامل (agent location) را انتخاب کند. بنابراين اقدام کننده مي تواند مثلاً چندين سايت سازمان ناتو را به عنوان قرباني هدف بگيرد و از عواملي استفاده کنند که همگي در کشورهاي معروف به دشمني با ناتو، قرار دارند. البته ممکن است مثلاً در کانادا حضور داشته باشد.
اين نوع حملات از پيام هاي استاندارد TCP/IP استفاده مي کنند اما آنها را به شيوه هاي غير استاندارد به کار مي گيرند. حملات متداول براي محروم کردن از خدمات به روش توزيعي داراي اسم هايي است مانند: Stackedraht، Trin00، Tribe Flood Network و Trinity.
قسمت اعظم اسناد موجود نشان مي دهند که اولين حمله ي مستند در مقياس بزرگ در ماه اوت 1999 به وقوع پيوست يعني زماني که Trinoo حداقل در 227 سيستم مستقر شد تا يک کامپيوتر واحد در دانشگاه مينه سوتا را اشغال کند. اين سيستم به مدت بيش از دو روز از کار افتاد.
در 28 دسامبر سال 1999 مؤسسه ي CERT/CC دستورالعمل راهنماي خود را با شماره ي CA -1999-17 منتشر کرد و در آن به مرور و بررسي اين گونه حملات پرداخت. در 7 فوريه سال 2000 سايت ياهو قرباني يکي از اين حملات شده و در طي آن پورتال اينترنتي آن به مدت سه ساعت غيرقابل دسترسي شد. در 8 فوريه سايت هاي آمازون و سي ان ان و eBay همگي مورد حمله قرار گرفتند که نتيجه آن از کار افتادن کامل سيستم يا کاهش چشمگير سرعت آن بود. تحليلگران تخمين زدند که در مدت زمان سه ساعتي که سايت ياهو از کار افتاده بود، در زمينه ي تجارت الکترونيکي و درآمد حاصل از تبليغات اينترنتي حدود 500 هزار دلار خسارت ديد. بنا به اعلام سايت کتاب فروشي آمازون حمله انجام شده بر ضد آن در عرض 10 ساعتي که سايت از کار افتاد، معادل 600 هزار دلار خسارت به بارآورد. سايت Buy.com در زمان حملات از 100 درصد در دسترس بودن به 9/4 درصد در دسترس بودن تنزل پيدا کرد.
*متجاوز (intruder): که به نام مهاجم (attacker) يا سرويس گيرنده (client) نيز خوانده مي شود.
*استاد (master): که اقدام کننده (handler) هم ناميده مي شود.
*دمون (daemon): که به نام عامل (agent)، برنامه پخش شده (broadcast program) يا زامبي هم معروف است.
*قرباني: که هدف نيز خوانده مي شود.
حملات مزبور عملاً دو قرباني دارند؛ (1) هدف نهايي و سيستم يا سيستم هاي واسطه که مورد بهره برداري قرار گرفته و (2) نرم افزار دمون (daemon) در آن مستقر شده است.
حملات DDOS هميشه در برگيرنده ي چند سيستم هستند. سناريوي يک حمله معمولي مي تواند تقريباً از اين سه مرحله تبعيت کند:
1. فرد متجاوز يک يا چند سيستم را در اينترنت پيدا مي کند که مي توان مورد بهره برداري قرار داد. اين کار معمولاً با استفاده از يک حساب (account) مسروقه، روي سيستمي انجام مي شود که تعداد زيادي کاربر يا مديران حواس پرت دارد که ترجيحاً داراي اتصال با عرض باند زياد به اينترنت است (بسياري از اين سيستم ها را مي توان در محوطه دانشگاه و کالج پيدا کرد).
2. سيستم به خطر افتاده را از انواع ابزارهاي هک پر مي کنند مانند اسکنرها و ابزارهاي بهره برداري (exploit tools)، شناساگرهاي سيستم عامل، rootkitها، و برنامه هاي DoS/DDOS. اين سيستم تبديل مي شود به master DDOS. نرم افزار master اين امکان را مي دهد تا تعدادي از سيستم هاي ديگر را پيدا کرد که بتوان از آنها بهره برداري نمود. فرد مهاجم طيف وسيعي از بلوک هاي آدرس هاي شبکه IIP را اسکن مي کند تا سيستم هايي را که سرويس هاي داراي نقاط ضعف امنيتي را اجرا مي کنند پيدا کند. براي تجاوز گسترده، در فاز مقدماتي از ابزارهاي اتوماتيک استفاده مي شود تا از راه دور چند صد يا چند هزار ميزبان دستکاري شوند و عوامل DDOS روي آن سيستم ها نصب شوند. ابزارهاي اتوماتيک که قرار است اين کار را انجام دهند بخشي از جعبه ابزار DDoS محسوب نمي شوند بلکه در اندرون گروه هاي متشکل از هکرهاي خلافکار مبادله مي شوند. اين سيستم هاي به خطر افتاده قربانيان اوليه ي حمله ي DDoS هستند. در سيستم هاي بعدي دمونها مستقر مي شوند تا حمله واقعي انجام شود.
3.فرد متجاوز فهرستي از سيستم هاي به تملک درآمده (يعني سيستم هاي به خطر افتاده و آلوده به دمون ها) را نگهداري مي کند. فاز واقعي در حمله براي محروم کردن از خدمات زماني اتفاق مي افتد که فرد مهاجم برنامه اي را در سيستم ارباب اجرا کند. اين برنامه با دمون هاي DDoS ارتباط برقرار مي کند تا حمله آغاز شود. در اينجاست که قرباني مورد نظر در DDoS وارد سناريو مي شود.
مي توان برقراري ارتباط بين ارباب و دمون ها را سد کرد به طوري که تعيين محل کامپيوتر ارباب مشکل شود. با وجودي که ممکن است در شبکه DDoS در خصوص محل کامپيوتر ارباب مدارکي روي يک يا چند دستگاه وجود داشته باشد، دمون ها معمولاً اتوماتيک هستند به طوري که لازم نيست بين ارباب و بقيه ي شبکه ي DDoS گفتگويي در جريان باشد. در حقيقت معمولاً از تکنيک هايي استفاده مي شود تا به عمد هويت و مکان کامپيوتر ارباب در اندرون شبکه DDoS استتار شود. اين تکنيک ها باعث مي شوند آناليز يک حمله در جريان و سد کردن ترافيک تهاجمي يا رديابي آن تا مبدأ مشکل شود.
در اکثر موارد، مديران سيستم تجهيزات آلوده شده حتي نمي دانند که دمون ها مستقر شده اند. حتي اگر آنها نرم افزار مهاجم را پيدا کرده و پاک کنند، نمي توان فهميد نرم افزار مزبور ممکن است در کدام محل هاي فرعي ديگري وجود داشته باشد. سيستم هاي رايج مستعد براي بهره برداري عبارتند از وب يک سايت، سيستم پيام الکترونيکي (اي ميل)، يا ديگر سرويس ها؛ زيرا اين سيستم ها به احتمال زياد داراي تعداد زيادي از پورت هاي باز، و حجم زيادي از ترافيک هستند و بعيد است به سرعت به حالت آفلاين در آيند حتي اگر بتوان رِّد حمله اي را تا آنها گرفت.
- نرم افزارهاي کاربردي HTTP(Hypertext Transfer Protocol) و SMPT(Simple Mail Transfer Protocol) غالباً مورد حمله قرار مي گيرند زيرا اکثر فايروال ها و ساير مکانيزم هاي امنيتي، پيکربندي شده اند تا امکان دسترسي کامل به اين سرويس ها را از اينترنت بوجود آورند.
- Voice over IP(VoIP) بطور فزاينده اي با حملات مواجه مي گردد، زيرا در مؤسسات تجاري بيشتر و بيشتري بکار گرفته مي شود.
- فايل هاي ناامني که حاوي اطلاعات حساس هستند، در تمام نقاط به اشتراک گذاشته شده ايستگاه هاي کاري و سرورها پراکنده شده اند و سيستم هاي بانک اطلاعاتي نيز حاوي آسيب پذيري هاي متعددي هستند.
تمام اين موارد براي يک هکر داخلي قابل بهره برداري خواهند بود.
هک اخلاقي به اجراي اينگونه حملات بر عليه سيستم هاي کامپيوتري خودتان و مشخص نموده هر گونه نقطه ضعف مشترک در آنها، کمک مي کند.
منبع:ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 131.
ما در اين مقاله به بررسي روش هاي آزمون نفوذ به شبکه مي پردازيم: علم آزمايش کامپيوترها و شبکه هاي شما براي يافتن آسيب پذيري ها و بستن حفره هائي که کشف مي کنيد، پيش از آنکه نفوذگران بدخواه، شانس بهره برداري از آنها را پيدا کنند.
عليرغم آنکه «Ethical» واژه اي است که غالباً بيش از حد مورد استفاده قرار مي گيرد و سوء تعبيرهاي فراواني از آن وجود دارند، اما تعريفي از آن که با محتواي اين مقاله و تکنيک هاي پيشرفته آزمون هاي امنيتي که به بررسي آنها خواهيم پرداخت، عبارت است از: «انطباق با استانداردهاي رفتاري يک گروه يا حرفه ي معين».
ترمينولوژي
در اين مقاله از واژه هاي زير استفاده مي کنيم:
-هکرها (يا مهاجمين خارجي): تلاش مي کنند کامپيوترها و اطلاعات حساس را براي استفاده نامشروع (معمولاً از خارج) بعنوان يک کاربر غيرمجاز، تحت سلطه ي خود درآرند. هکرها تقريباً به هر سيستمي که تصور کنند مي توانند بر آن تسلط پيدا کنند، حمله مي نمايند. بعضي از آنها، سيستم هاي معتبر که بخوبي از آنها محافظت مي شود را ترجيح مي دهند، اما رخنه به سيستم هرکسي مي تواند جايگاه آنها را در قلمرو هکرها ارتقاء بخشد.
- Rogue Insiders (يا مهاجمين داخلي): تلاش مي کنند تا کامپيوترها و اطلاعات حساس را از داخل بعنوان کاربران مجاز، تحت سلطه ي خود در آورند. اين افراد به سراغ سيستم هايي مي روند که باور دارند مي توانند آنها را براي استفاده هاي نامشروع يا انتقام به زانو درآورند.
وقتي بطور کلي در مورد «مهاجمين بدخواه» صحبت مي کنيم، هر دو گروه فوق را شامل مي شود. براي ساده کردن بحث، ما به هر دو گروه تحت عنوان هکر اشاره خواهيم کرد و تنها زماني بطور مشخص به هکرها يا rogue insiders اشاره مي کنيم که بخواهيم ابزارها، تکنيک ها و طرز فکر آنها را بطور عميق تري مورد بررسي قرار دهيم.
-هکرهاي اخلاقي (يا آدم هاي خوب) که يک سيستم را براي کشف آسيب پذيريهاي آن به منظور محافظت از کامپيوترها در برابر ورود، بهره کشي و سوء استفاده غيرمجاز از آنها، هک مي کنند.
هکر کيست؟
- بطور سنتي، هکر کسي است که به سر و کار داشتن با سيستم هاي الکترونيکي و يا نرم افزاري، علاقه دارد. آنها از کاوش و يادگيري نحوه ي کار سيستم هاي کامپيوتري، لذت مي برند. هکرها عاشق پيدا کردن راه هاي جديدي براي انجام کارها هستند (چه بصورت مکانيکي و چه بصورت الکترونيکي).
- در سال هاي اخير، واژه «هکر» مفهوم جديدي پيدا کرده است: کسي که بصورت بدخواهانه، براي استفاده شخصي به سيستم ها نفوذ مي کند. از نظر فني، اين تبهکاران تحت عنوان criminal hacker(Cracker) شناخته مي شوند. Crackerها با اهداف بدخواهانه به سيستم ها نفوذ مي کنند. آنها بخاطر منافع شخصي (شهرت، پول و حتي انتقام) اقدام به انجام اينکار مي نمايند. آنها اطلاعات حياتي را به سرقت برده، تغيير داده و يا حذف مي کنند و غالباً صدمات جدي را به افراد ديگر وارد مي نمايند.
هکرهاي خوب (کلاه سفيد) دوست ندارند تا در همان دسته بندي هکرهاي بد (کلاه سياه) قرار بگيرند. اگر در مورد استفاده از عبارت «کلاه سفيد» يا «کلاه سياه» در مورد هکرها تعجب کرده ايد، بد نيست بدانيد اين ايده از فيلم هاي وسترن گرفته شده است که در آنها، آدم هاي خوب کلاه گاوچراني سفيد و آدم هاي بد، کلاه گاوچراني سياه بر سر داشتند. در اين ميان، گروهي نيز تحت عنوان هکرهاي کلاه خاکستري وجود دارند که در واقع، ترکيبي از هر دو گروه فوق هستند. در هر صورت، هکرها يک تصور منفي را در ذهن مردم ايجاد مي کنند.
بسياري از هکرهاي بدخواه ادعا مي کنند که خسارتي را بوجود نمي آورند، بلکه با نوعدوستي به ديگران کمک مي کنند. بله، درست است. بسياري از هکرهاي بدخواه، سارقين الکترونيکي هستند.
نفوذ گران در داخل سازمان
اين مشکل الزاماً به کاربراني که سيستم هاي داخلي را «هک» مي کنند مربوط نمي شود، بلکه کاربراني (کارکنان معمولي گرفته تا حسابرسان و پيمانکاران) که از مجوزهاي دريافت شده ي خود براي دسترسي به کامپيوترها سوء استفاده مي کنند را نيز در بر مي گيرد. مواردي وجود دارند که کاربران به کنجکاوي در سيستم هاي مهم بانک اطلاعاتي مي پردازند تا اطلاعات حساس را جمع آوري کرده، اطلاعات محرمانه مشتريان را به يک شرکت رقيب يا طرف ثالث ديگري email نموده و يا فايل هاي حساس را از سرورهايي که احتمالاً در ابتدا به آنها دسترسي نداشته اند، حذف کنند. همچنين، گروهي از کاربران داخلي «بي توجه» وجود دارند که مقاصد بدخواهانه اي را دنبال نمي کنند اما هنوز مشکلات امنيتي را با جابجايي، حذف و يا صدمه زدن به اطلاعات حساس، بوجود مي آورند.
کارکنان سرکش داخلي، غالباً بدترين دشمنان ما هستند زيرا مي دانند براي بدست آوردن اقلام مورد نظر خود دقيقاً بايد به کجا رخنه کنند و براي تسلط بر اطلاعات بسيار حساس، نيازي به هوش کامپيوتري فوق العاده ندارند.
هکرهاي خوب، هکرهاي بد
هک اخلاقي (که آزمايش هاي نفوذ رسمي و منظم، هک کلاه سفيد و آزمايش آسيب پذيري را در بر مي گيرد) با همان ابزارها، حيله ها و تکنيک هايي سر و کار دارد که هکرها از آنها استفاده مي کنند. با اينحال، يک تفاوت مهم در اين ميان وجود دارد: هک اخلاقي، قانوني است زيرا با اجازه مسئولين شبکه « هدف » آن انجام مي شود.
منظور از انجام هک اخلاقي، کشف آسيب پذيريها از ديدگاه يک مهاجم بدخواه است تا امکان تأمين حفاظت بهتر از سيستم، فراهم گردد. اين بخشي از يک برنامه ي جامع مديريت ريسک اطلاعات است که بهبودهاي مداوم امنيتي را امکانپذير مي سازد. هک اخلاقي، همچنين مي تواند تضمين کند که ادعاهاي فروشندگان در مورد امنيت محصولاتشان، صحت دارد.
با چه تهديدهاي امنيتي مواجه هستيم
با اينحال، شما از يک سايت يا وبلاگ خاص بازديد مي کنيد و مرورگر PC شما به يک سايت وب آلوده (که از يک آسيب پذيري در يک فرمت تصويري قديمي مايکروسافت بهره برداري مي کند) هدايت مي گردد. به اين ترتيب در طول چند ثانيه، ارتشي از Malwareها به سيستم شما حمله مي کنند. در صورت وقوع اين اتفاق، شما قرباني يک حمله ي «Zero-Day» شده ايد (حمله اي بر عليه يک رخنه ي نرم افزاري که پيش از ايجاد هرگونه وصله اي براي تصحيح مشکل، انجام مي شود). اين عبارت در ابتدا براي يک آسيب پذيري مورد استفاده قرار گرفت که در دنياي واقعي (خارج از يک آزمايشگاه تحقيقاتي) درست همان روزي که وصله اي براي آن عرضه شد، مورد بهره برداري قرار گرفته و هيچ فرصتي جهت بستن حفره ها را براي بخش IT باقي نگذاشت.
امروزه، ارزش حملات Zero-Day براي مجرمين Online به سرعت در حال افزايش است، دقيقاً به اين دليل که حملات مي توانند به سيستم هاي بروزرساني شده اي که به خوبي نگهداري مي شوند، نفوذ کنند. براي نمونه، Raimund Genes مدير ارشد فن آوري در Trend Micro متوجه يک پيشنهاد فروش در يک Chat-Room اينترنتي شد: يک هکر مي خواست يک آسيب پذيري افشاء نشده در يک نسخه ي بتا از ويندوز ويستا را در مقابل 50000 دلار بفروشد. گرچه، Genes نمي توانست تشخيص دهد که آيا کسي اقدام به خريد اين کد نموده يا خير.
Dava Marcus مدير تحقيقات امنيتي McAffe مي گويد: «در حال حاضر، بيش از يک جريان زيرزميني سازماندهي شده در اين زمينه وجود دارد. مجرمين متوجه شده اند که مي توانند با Malwareهاي خود درآمد کسب کنند».
جنبه ي تجاري Malware
به لطف ويژگي هايي نظير ويژگي هاي تقويت شده که به امضاها تکيه ندارند، آنتي ويروس McAfee و ساير برنامه هاي امنيتي از چالاکي بيشتري در زمينه ي محافظت در برابر تهديدهاي ناشناخته برخوردار شده اند. آرايه ي بزرگي از برنامه هاي تجاري و رايگان جديد، محافظت پيشگيرانه در برابر حملات Zero-Day را با محدود نمودن نيروي مخرب يک حمله ي موفق، ارائه مي کنند.
به گفته Jeff Moss پايه گذار کنفرانس سالانه ي امنيت BlackHat، چيدمان امنيتي صحيح مي تواند در 99 درصد موارد از شما محافظت نمايد. با اينحال، حملات هدفمند گاهي اوقات مي توانند به هر جايي راه پيدا کنند. Moss مي گويد: «شما مي توانيد انبوهي از فايروال ها، تجهيزات و نرم افزارهاي امنيتي را خريداري کنيد. اما اگر يک Zero-Day مناسب در يک کامپيوتر مناسب وجود داشته باشد، تقريباً تمام اين خطوط دفاعي اضافي نيز بي اثر خواهند بود».
خطرناک ترين گونه ها از حملات Pre-Patch امکان تحريک با بارگذاري هاي را بوجود مي آورند، به اين معني که مرور ساده يک صفحه ي وب مسموم يا خواندن يک HTML email آلوده مي تواند يک تهاجمي را آغاز کند که مي تواند PC شما را انباشته از Spywareها، اسبهاي تروا و يا ساير Malwareها نمايد. در فاصله ي مابين انتهاي 2005 تا انتهاي 2006، جنايتکاران Online حداقل از دو نوع از اين تهاجم هاي Zero-Day براي حمله به ميليون ها کاربر، با بهره برداري از حفره هاي موجود در يک فرمت تصويري مايکروسافت که ندرتاً مورد استفاده قرار مي گيرد، استفاده کرده اند.
در افتضاح HostGator که با يک رخنه ي تصويري ويندوز سر و کار داشت، حمله از يک آسيب پذيري در شيوه ي اداره Vector Markup Language(VML) که يک استاندارد کم مصرف براي ايجاد گرافيک هاي 3 بعدي است) توسط اينترنت که مدتها کسي متوجه آن نشده بود، بهره برداري مي کرد.
اين تهديد اولين بار در ماه سپتامبر توسط شرکت امنيتي Sunbelt Software گزارش شد که آن را بر روي يک سايت وب روسي پيدا کرده بود. اين حفره به خودي خود بسيار بد بود: اگر شما از يک سايت حاوي تصاوير آلوده بازديد مي کرديد، احتمالاً در معرض يک بارگذاري Drive-by قرار مي گرفتيد. اما هکرهاي فرصت طلب تشخيص دادند که چگونه خسارات آن را افزايش دهند.
آنها با هدف گرفتن يک حفره ناشناخته ديگر در cPanel (يک اينترفيس مديريت سايت وب)، هزاران سايتي که توسط HostGator نگهداري مي شدند را Hijack نمودند. بازديد کنندگان از اين سايت هاي وب قانوني اما تسليم شده، به سايت هاي بدخواهانه اي مي شدند حاوي بهره برداريهاي VML بودند.
محصولات مايکروسافت نظير Office، Internet Explorer و خود سيستم عامل ويندوز، هدف هاي متداول حملات Zero-Day هستند که دليل آن تا حدودي به غلبه آنها بر عرصه ي نرم افزاري مربوط مي شود. با اينحال، ناکامي مايکروسافت در گذشته براي پياده سازي کافي امنيت در فرآيند توسعه ي نرم افزاري خود نيز در وضعيت محصولات اين شرکت بعنوان اهداف آسان و مشهور حملات امنيتي، بي تأثير نبوده است. از سوي ديگر، ويندوز ويستا امتيازهاي بالايي را در زمينه ي امنيت بدست آورده است (حداقل فعلاً).
پس از آنکه حمله ي فوق الذکر بطور عمومي شناخته شد، مايکروسافت ابتدا اعلام کرد که هفته ي بعد وصله اي را براي اصلاح اين حفره ارائه خواهد کرد (بعنوان بخشي از چرخه ي معمول ارائه ي وصله هاي خود)، اما هنگاميکه بهره برداري ها و اعتراضات کاربران از آنها افزايش يافت، اين شرکت يک اصلاحيه خارج از چرخه را در اوايل ماه ژانويه عرضه کرد.
در ماه ژوئيه، يک آگهي Banner بدخواهانه براي Deckoutyourdeck.com، راه خود را از طريق يک شبکه ي توزيع آگهي هاي تبليغاتي که به هزاران سايت سرويس مي دهد، به سايت هايي نظير MySpace و Webshots باز کرد. Malware مخفي شده در اين Banner، يک اسب تروا را بر روي کامپيوترهاي قربانيان بارگذاري کرده و اين اسب تروا نيز به نوبه ي خود اقدام به نصب Adware و Spyware مي نمود. به اعتقاد ناظران آگاه، تعداد قربانيان اين حمله (حتي ماه ها پس از ارائه يک وصله امنيتي براي آن) به ميليونها کاربر مي رسد.
حملات هدفمند Office
يک هکر بدخواه با ارسال يک پيام email جعلي براي کارکنان يک شرکت هدف که وانمود مي کند از طرف يک همکار يا منبع ديگري در داخل شرکت ارسال شده است، شانس بسيار بهتري (نسبت به پيام هايي که ظاهراً از طرف يک فرستنده تصادفي ارسال شده اند) را براي ترغيب گيرنده جهت باز کردن يک سند Word ضميمه شده به پيام پيدا مي کند.
در گذشته، شرکت مايکروسافت تائيد کرد که Word حاوي دو آسيب پذيري از اين نوع است که رخنه گران از آنها براي اجراي «حملات بسيار محدود و هدفمند» بهره برداري کرده اند. رشته اي از رخنه هاي مشابه در Excel و PowerPoint نيز کشف شدند. مايکروسافت اکنون به کاربران خود اختار مي کند که نه تنها مراقب پيوست هاي email داخل پيام هاي ارسال شده از سوي فرستندگان ناشناخته باشند، بلکه پيوست هاي ناخواسته از فرستندگان شناخته شده را نيز با همان وسواس بررسي نمايند.
ممکن است محصولات مايکروسافت مشهورترين اهداف Zero-Day باشند اما مسيرهاي تأمين شده توسط ساير نرم افزارهاي متداول براي حملات نيز به همان اندازه خطرناک هستند.
رشد وقايع Zero-Day، يک افزايش چشمگير در تعداد آسيب پذيري هاي نرم افزاري گزارش شده در سال را منعکس مي کند. در سال 2009، توليد کنندگان نرم افزاري و محققين، تا 17475 آسيب پذيري را فهرست کردند که 39 درصد بيشتر از سال 2008 است.
با اينحال، اکثر اين باگ ها به يک بهره برداري Zero-Day منتهي نمي شوند. شرکت هاي نرم افزاري غالباً گزارش هايي در مورد باگها و نواقص محصولات خود را از کاربرانشان دريافت مي کنند که به کشف حفره هاي امنيتي منتهي مي گردد و شرکت ها پيش از بهره برداري مهاجمين، اقدام به ارائه وصله هائي براي اصلاح آنها مي نمايند. هنگاميکه محققين امنيتي خارجي يک رخنه را کشف مي کنند، به مجموعه از شيوه هاي مرسوم تحت عنوان «افشاي اخلاقي» وفادار هستند که خصوصاً براي اجتناب از حملات Zero-Day طراحي شده اند.
براساس اصول افشاي اخلاقي، محققين ابتدا بصورت محرمانه با فروشنده نرم افزار تماس مي گيرند تا کشفيات خود را به آنها گزارش دهند. تا زمانيکه وصله ي مورد نيز براي برطرف نمودن مشکل آماده نشده است، شرکت فروشنده وجود رخنه مربوطه را اعلام نخواهد کرد. هنگاميکه خبر بطور رسمي اعلام مي شود، شرکت مربوطه آشکارا کشف رخنه را به محققين ابتدايي نسبت مي دهد.
اما در بعضي از موارد، محققين که از سرعت پائين رسيدگي هاي يک توليد کننده نرم افزاري نااميد شده اند، جزئيات مربوطه را بطور عمومي منتشر مي کنند در حاليکه هنوز راهي براي برطرف نمودن آن وجود ندارد. بعضي از متخصصين، اين تاکتيک را يک شيطنت ضروري براي وادار نمودن شرکت متمرد به ارائه يک اصلاحيه مي دانند. گروه ديگري نيز اين شيوه را بعنوان يک نقض غير اخلاقي شيوه هاي صنعتي، سرزنش مي نمايند.
افراديکه از انتشار عمومي حمايت مي کنند، اين استدلال را ارائه مي نمايند که اگر محققين از وجود رخنه اطلاع دارند، احتمالاً مجرمين نيز از آن آگاه هستند. مجرمين باهوش، حملات خود را کوچک و هدفمند انجام مي دهند تا از جلب توجه توليد کنندگان نرم افزاري و برطرف شدن رخنه مورد بهره برداري خود اجتناب نمايند. متأسفانه افشاي عمومي يک آسيب پذيري در اغلب موارد باعث اجراي حملات Zero-Day عمومي مي شوند.
شيوه ي بحث انگيز بعدي، «جايزه بگيري» است. بعضي از سازمان ها نظير iDefence و ابتکار Zero-Day شرکت 3Com، به محققين پول مي دهند تا بهره برداري هاي Zero-Day را به آنها گزارش دهند. براي مثال، iDefence يک جايزه 8000 دلاري را براي اطلاعات مربوط به آسيب پذيري هاي ويستا و IE7 پرداخت مي کرد. سپس، شرکت هاي امنيتي اين کشفيات خود را بصورت محرمانه در اختيار شرکت هاي نرم افزاري قرار مي دهند. با وجود آنکه اين برنامه ها بطور فراگيري مورد تحسين قرار نمي گيرند، اما درآمدي را نصيب محققين مي کنند. نتيجه اي که بسياري از محققين آن را به يک قدرداني ساده از سوي فروشندگان نرم افزاري ترجيح مي دهند.
نکته (احتمالاً) مهمتر اين است که جايزه شرکت امنيتي با رشد فزاينده بازار سياه بهره برداري هاي Zero-Day رقابت مي کنند. گزارش هاي eWeek.com و شرکت هاي امنيتي بيانگر آن هستند که حملات Windows Metafile بلافاصله پس از فروش جزئيات يک باگ مرتبط به قيمت مناسب 4000 دلار آغاز شدند.
براي يافتن رخنه هاي قابل فروش، محققين و مجرمين از ابزارهاي خودکاري با نام Fuzzers براي جستجوي محل هايي که يک برنامه در آنها ورودي مي پذيرد و سپس تغذيه سيستماتيک آنها با ترکيب خاصي از داده ها، مي پردازند. اين آزمايش غالباً يک رخنه ي قابل بهره برداري با نام يک سرريز بافر را آشکار مي سازد.
شرکت هاي نرم افزاري نظير مايکروسافت، عموماً از ابزارهايي براي يافتن رخنه ها در محصولات خود (بصورت پيشگيرانه) استفاده مي کنند. اما متقلبين نيز همين کار را انجام مي دهند. Moss و بسياري از متخصصين ديگر اعتقاد دارند که تبهکاران سازمان يافته در اروپاي شرقي، گروه هاي منظم شده هکرهايي چيني و ساير مجرمين Cyber نيز از Fuzzerها براي يافتن بهره برداري هاي ارزشمند Zero-Day استفاده مي کنند. کاشفين مي توانند از اين رخنه ها براي انجام حملات خودشان استفاده کرده و يا همانند مورد WMF، آنها را به بازار سياه بفروشند.
وقتي يک توليد کننده ي نرم افزاري بتواند يک رخنه امنيتي را پيش از وقوع هرگونه حمله اي اصلاح کند، بخش IT شرکت ها و کاربران خانگي، وقت کافي براي ارتقاء نرم افزار خود و قرار گرفتن در محدوده ي امن در اختيار خواهند داشت. اما به محض آنکه يک حمله ي Zero-Day آغاز شود، زمان به سرعت مي گذرد و گاهي اوقات، زمان زيادي پيش از رسيدن وصله مورد نياز سپري خواهد شد.
مشکل عرضه ي ديرهنگام اصلاحيه ي مرورگرها
به گفته ي Adam Shostack يک مدير برنامه در تيم چرخه ي توسعه ي امنيتي مايکروسافت، گاهي اوقات با در نظر گرفتن پيچيدگي پايگاه کاربران مايکروسافت، يک دوره زماني طولاني تر تنها چيزي است که مي توان انتظار داشت.
Shostack مي گويد: «ما بايد ارتقاء هاي امنيتي را آزمايش نماييم تا مطمئن شويم که با 28 زبان مختلف و هر سيستم عاملي که از نرم افزار کاربردي مورد نظر پشتيباني مي کند، سازگار خواهند بود. ما واقعاً کار مي کنيم تا کيفيت و سرعت را متوازن نماييم».
نرم افزار امنيتي به محافظت در برابر تهديدهاي ناشناخته در طول فاصله ي زماني خطرناکي که يک حمله مقدماتي را از انتشار يک وصله ي کارآمد جدا مي سازد، کمک مي کنند. با اينحال، برنامه هاي آنتي ويروس سنتي به داشتن يک امضاي شناسائي شده براي هر حمله تکيه دارند تا بتواند در برابر آن مقاومت نمايند. اين وضعيت، نويسندگان Malwareها و شرکت هاي امنيتي را در يک بازي دائمي موش و گربه قرار مي دهد، در حاليکه هکرهاي بدخواه يک جريان دائمي از اسب هاي تراوي طراح را ابداع کرده و آنها را به اندازه ي کافي دستکاري مي نمايند تا شناسائي امضاء را مغلوب کنند.
تجزيه و تحليل مبتني بر رفتار و اکتشاف مي تواند به سطحي فراتر از اين الگوي تکاملي رسيده و برنامه هاي امنيتي را جلو بيندازد. اينگونه اسکن ها از الگوريتم ها استفاده مي کنند (نه امضاها) تا به جستجوي فايل ها يا رفتارهاي غير عادي بپردازند. آناليز اکتشافي، مضمون Malware احتمالي را براي يافتن مواردي نظير يک شيوه ي مشکوک از کار با حافظه، بررسي مي کند. از سوي ديگر، آناليز رفتاري به جستجوي رفتارهاي معمول Malwareها در برنامه ها مي پردازد (نظير آغاز يک سرور رله email) و تلاش مي کند تا مداخله گر ناخواسته را با آنچه که انجام مي دهد شناسايي کند، نه با آنچه که در خود دارد.
امروزه اکثر محصولات مهم آنتي ويروس، يک يا هر دو شيوه ي آناليز فوق را به کار مي گيرند. آزمايش ها نشان مي دهند که استفاده از امضاهايي که 1 ماه از عمر آنها مي گذرد، تنها 20 تا 50 درصد موفقيت آميز خواهد بود. آناليزهاي اکتشافي و رفتاري، نسبت به حقايق کاذب حساس هستند. ممکن است يک برنامه ي امنيتي نتواند تمايزي مابين يک Keylogger و يک بازي که براي کاهش زمان واکنش بازيگر خواستار دسترسي مستقيم به صفحه کليد است، قائل شود. در نتيجه، نرم افزار امنيتي مورد نظر احتمالاً با پرسش ها و هشدارهاي بي دليل، مزاحم کاربر خواهد شد.
ساير شيوه ها
گروه ديگري از برنامه ها، بجاي ايجاد يک محيط مجازي، حقوق کاربر را به گونه اي تغيير مي دهند تا توانايي يک نرم افزار کاربردي براي اعمال تغييرات عميق در سيستم را حذف نمايند. اپلت رايگان DropMyRights از مايکروسافت نيز در اين بسته بندي از يوتيليتي ها قرار مي گيرد.
يک گونه ي ديگر از برنامه ها نظير VMWare Player رايگان، يک سيستم عامل مجزا و محصور را نصب مي کنند که داراي مرورگر مخصوص به خود مي باشد. اين مرورگر محصور کاملاً از محيط معمولي کامپيوتر شما تفکيک شده است.
ويندوز 7، تعدادي ارتقاءهاي امنيتي را معرفي مي کند که در امتداد بعضي از همين خطوط عمل مي نمايند. اما هيچکس فکر نمي کند که آسيب پذيري هاي نرم افزاري و يا بهره برداري هاي Zero-Day ناپديد خواهند شد. متأسفانه، بازار سياه ايجاد شده براي داده هاي به سرقت رفته و فروشندگان Spam هاي ناخواسته، تضمين مي کنند که مجرمين به تلاش خود براي يافتن راه هايي جهت سود بردن از Malwareها ادامه خواهند داد.
David Perry مدير آموزش جهاني Trend Micro در مورد وضعيت امنيت اينترنت در آينده، خوش بين است. او مي گويد: «من باور دارم که ما نهايتاً وب را به نقطه اي خواهيم رساند که در آن، تهديدها فقط يک مزاحمت کوچک خواهند بود. اما اين اتفاق مطمئناً در سال جاري نخواهد افتاد».
دفاع Zero-Day در سيستم عامل جديد مايکروسافت
شايد بتوان User Account Control را بعنوان ويژگي کليدي جديدي در نظر گرفت که مجوزهاي حساب کاربري را تغيير مي دهد. تقريباً هر کاربر خانگي بخاطر افزايش سطح راحتي (از آنجائيکه براي بسياري از وظايف متداول سيستمي به امتيازهاي سرپرستي نياز است)، ويندوز XP را تحت تنظيمات سرپرستي اجرا مي کند. اما مهاجمين نيز از حقوق گسترده ي همين تنظيمات براي اعمال تغييرات عمده در يک سيستم نظير نصب Rootkitهاي پنهان کننده Malware، بهره برداري مي کنند.
در مقابل، حساب کاربري پيش فرض 7، يک محدوده ي مياني مابين حساب کاربري سرپرستي و يک حساب کاربري مهمان (Guest) را اشغال مي کند. مايکروسافت تلاش کرده است تا اعمال تغييرات را با اعطاي مجوز انجام برخي از وظايف سيستم روزمره نظير نصب درايور چاپگر، براي دارندگان حساب هاي کاربري استاندارد خوشايندتر نمايد. در عين حال کاربران قوي، نسبت به لزوم کليک اعلان هاي فراوان User Account Control که به کلمه عبور سرپرستي نياز دارند (نسبت به ويندوز ويستا)، ديگر معترض نيستند.
از سوي ديگر، IE نيز بطور پيش فرض در يک حالت محافظت شده اجرا مي گردد که حداقل مجوزهاي ممکن در آن وجود دارند. اين وضعيت، خساراتي که يک حمله Zero-Day با توانائي تسلط بر IE (نظير بهره برداري هاي VML يا WMF) مي تواند بر کامپيوتر شما تحميل نمايد را محدود مي کند.
نهايتاً، ويندوز7 با Windows Defender ارائه مي شود که مي تواند تلاش هاي Malware براي اضافه نمودن ورودي ها به فولدر Startup را مسدود نمايد. اين سيستم عامل همچنين محل هايي که از حافظه که کتابخانه ها و برنامه ها در آنها بارگذاري مي شوند را تغيير مي دهد، بنابراين يک Malware که تلاش مي کند مهم ترين رويه هاي سيستمي را يافته و آنها را تغيير دهد، بايد اهداف متحرکي را نشانه بگيرد.
شناخت ضعف هاي سيستم
هکرها دائماً در حال گسترش سطح آگاهي خود هستند، پس شما نيز بايد همين کار را انجام دهيد. براي آنکه از سيستم خود در برابر آنها محافظت نمائيد، طرز فکر و کار شما نيز بايد مانند آنها باشد. شما بعنوان يک هکر اخلاقي، بايد با فعاليت هاي انجام شده توسط هکرها و نحوه ي متوقف نمودن تلاش هاي آنها، آشنا باشيد. شما بايد بدانيد که به جستجوي چه چيزي پرداخته و چگونه از اطلاعات بدست آمده براي خنثي نمودن تلاش هاي هکرها استفاده کنيد.
شما نبايد از سيستم خود در برابر هر چيزي محافظت کنيد. در واقع شما نمي توانيد اين کار را انجام دهيد. تنها شيوه ي محافظت از سيستم هاي کامپيوتريتان در برابر همه چيز، اين است که آنها را خاموش کرده و در جاي محصوري قرار دهيد تا کسي نتواند آنها را لمس کند (حتي خودتان). قطعاً اين بهترين شيوه براي امنيت اطلاعاتي نيست و بدون ترديد براي تجارت نيز مناسب نخواهد بود. نکته مهم، اين است که از سيستم هاي خود در برابر آسيب پذيري هاي شناخته شده و حملات متداول محافظت کنيد.
پيش بيني تمام آسيب پذيري هايي احتمالي که در سيستم ها و فرآيندهاي تجاري خود خواهيد يافت، غير ممکن است. خصوصاً آنهايي که در حال حاضر ناشناخته هستند. با اينحال هرچه ترکيب هاي بيشتري را امتحان کنيد (بيشتر به آزمايش کل سيستم ها بپردازيد تا واحدهاي جداگانه آنها)، شانس بهتري براي کشف آسيب پذيري هايي که بر تماميت سيستم هاي اطلاعاتي شما تأثير مي گذارند، خواهيد داشت. با اينحال، در هک اخلاقي زياده روي نکنيد. محافظت از سيستم هايتان در برابر حملات غير محتمل، بهره چنداني نخواهد داشت. براي نمونه، اگر شما ترافيک چنداني در دفتر خود نداريد و يا از سرورهاي وب داخلي استفاده نمي کنيد. نبايد به اندازه يک تأمين کننده ي ميزباني اينترنت، نگران باشيد. اهداف کلي شما بعنوان يک هکر اخلاقي، عبارتند از:
- هک سيستم هاي خودتان در يک قالب غيرمخرب.
- شمارش آسيب پذيري ها و در صورت نياز، اثبات وجود و امکان بهره برداري از آنها، به مديران.
- اعمال نتايج براي حذف آسيب پذيري ها و تأمين محافظت بهتر براي سيستم هايتان.
شناخت خطراتي که پيش روي سيستم شما قرار دارند
بسياري از آسيب پذيري هاي امنيت اطلاعات، به خودي خود بحراني نيستند. با اينحال، بهره برداري همزمان از آسيب پذيري هاي متعدد، مي تواند خسارات قابل توجهي به بار آورد. براي مثال ممکن است يک پيکربندي پيش فرض سيستم عامل ويندوز، يک کلمه ي عبور سرپرستي ضعيف براي سرور SQL و سروري که بر روي يک شبکه بي سيم ميزباني شده، هريک بطور جداگانه بعنوان يک نگراني امنيتي مهم مطرح نباشند. اما بهره برداري همزمان از هر سه آسيب پذيري فوق، مي تواند يک مشکل جدي را بوجود آورد که به افشاي اطلاعات حساس و يا خسارات بسيار سنگين تري منتهي گردد.
حملات غير اخلاقي
حملات فيزيکي، گونه ديگري از حملات رايج و مؤثر بر عليه سيستم هاي اطلاعاتي به حساب مي آيند. هکرها به ساختمان ها، اتاق هاي کامپيوتر و ساير مکان هاي حاوي اموال يا اطلاعات حياتي نفوذ مي کنند تا کامپيوترها، سرورها و ساير تجهيزات ارزشمند را سرقت نمايند. حملات فيزيکي همچنين مي توانند شامل «بازرسي آشغال ها» باشند: جستجوي سطل هاي زباله و ساير بخش هاي ظاهراً بي ارزش براي يافتن دياگرام هاي شبکه، کلمات عبور، دارايي هاي ذهني و يا ساير اطلاعات.
حمله به زيرساختار شبکه
- برقراري ارتباط با يک شبکه از طريق يک مودم Rogue که به کامپيوتري در پشت فايروال متصل شده است.
- بهره برداري از نقاط ضعف پروتکل هاي شبکه، نظير TCP/IP يا NetBEUI.
- بمباران (Flooding) يک شبکه با درخواست هاي بيش از حد که يک denial of service(DoS) را براي درخواست هاي مشروع ايجاد خواهد کرد.
- نصب يک تحليلگر شبکه بر روي يک شبکه و ضبط هر بسته اي که بر روي آن حرکت مي کند که باعث آشکار شدن اطلاعات محرمانه بصورت متن ساده مي گردد.
-سوار شدن بر يک شبکه از طريق يک پيکربندي بي سيم 802.11 ناامن
حملات سيستم عامل
گهگاه، سيستم هاي عاملي مورد حمله قرار مي گيرند که در ابتدا بسيار امن به نظر مي رسند (مانند Novell NetWare يا انواع مختلف BSD UNIX) و آسيب پذيري هاي آنها نيز آشکار مي شوند. اما هکرها غالباً ترجيح مي دهند به سيستم هاي عاملي نظير ويندوز و لينوکس حمله کنند زيرا بطور گسترده اي مورد استفاده قرار مي گيرند و تعداد بيشتري از نقطه ضعف هاي آنها فاش شده اند.
مثال هايي از حملات سيستم عامل، عبارتند از:
- بهره برداري از پياده سازي هاي اختصاصي پروتکل شبکه
- حمله به سيستم هاي تعيين اعتبار (authentication) داخلي
- شکست امنيت سيستم فايل
- رخنه به مکانيزم هاي رمزگذاري و کلمات عبور
حملات DDOS
در حمله اي از اين نوع، بسته هاي مهاجم از طرف صدها هزار آدرس ارسال مي شوند و نه يک آدرس، درست مثل حملات استاندارد محروميت از خدمات (DoS). هرگونه دفاع DoS که براساس نظارت بر حجم بسته هاي در حال ورود از طرف يک آدرس واحد يا شبکه واحد شکل گرفته باشد، شکست خواهد خورد زيرا حملات از همه جا انجام مي شوند. به عنوان مثال فرد قرباني در عوض دريافت مثلاً هزار Ping غول آسا در ثانيه از طرف يک سايت مهاجم، از هر 1000 سايت مهاجم يک Ping را در ثانيه دريافت خواهد کرد.
يکي ديگر از موارد نگران کننده در مورد حملات محروم کننده از خدمات از نوع توزيعي اين است که اقدام کننده مي توانند محل عوامل (agent location) را انتخاب کند. بنابراين اقدام کننده مي تواند مثلاً چندين سايت سازمان ناتو را به عنوان قرباني هدف بگيرد و از عواملي استفاده کنند که همگي در کشورهاي معروف به دشمني با ناتو، قرار دارند. البته ممکن است مثلاً در کانادا حضور داشته باشد.
اين نوع حملات از پيام هاي استاندارد TCP/IP استفاده مي کنند اما آنها را به شيوه هاي غير استاندارد به کار مي گيرند. حملات متداول براي محروم کردن از خدمات به روش توزيعي داراي اسم هايي است مانند: Stackedraht، Trin00، Tribe Flood Network و Trinity.
تاريخچه اي کوتاه از حملات DDOS
قسمت اعظم اسناد موجود نشان مي دهند که اولين حمله ي مستند در مقياس بزرگ در ماه اوت 1999 به وقوع پيوست يعني زماني که Trinoo حداقل در 227 سيستم مستقر شد تا يک کامپيوتر واحد در دانشگاه مينه سوتا را اشغال کند. اين سيستم به مدت بيش از دو روز از کار افتاد.
در 28 دسامبر سال 1999 مؤسسه ي CERT/CC دستورالعمل راهنماي خود را با شماره ي CA -1999-17 منتشر کرد و در آن به مرور و بررسي اين گونه حملات پرداخت. در 7 فوريه سال 2000 سايت ياهو قرباني يکي از اين حملات شده و در طي آن پورتال اينترنتي آن به مدت سه ساعت غيرقابل دسترسي شد. در 8 فوريه سايت هاي آمازون و سي ان ان و eBay همگي مورد حمله قرار گرفتند که نتيجه آن از کار افتادن کامل سيستم يا کاهش چشمگير سرعت آن بود. تحليلگران تخمين زدند که در مدت زمان سه ساعتي که سايت ياهو از کار افتاده بود، در زمينه ي تجارت الکترونيکي و درآمد حاصل از تبليغات اينترنتي حدود 500 هزار دلار خسارت ديد. بنا به اعلام سايت کتاب فروشي آمازون حمله انجام شده بر ضد آن در عرض 10 ساعتي که سايت از کار افتاد، معادل 600 هزار دلار خسارت به بارآورد. سايت Buy.com در زمان حملات از 100 درصد در دسترس بودن به 9/4 درصد در دسترس بودن تنزل پيدا کرد.
ترمينولوژي حمله ي DDOS و مرور کلي آن
*متجاوز (intruder): که به نام مهاجم (attacker) يا سرويس گيرنده (client) نيز خوانده مي شود.
*استاد (master): که اقدام کننده (handler) هم ناميده مي شود.
*دمون (daemon): که به نام عامل (agent)، برنامه پخش شده (broadcast program) يا زامبي هم معروف است.
*قرباني: که هدف نيز خوانده مي شود.
حملات مزبور عملاً دو قرباني دارند؛ (1) هدف نهايي و سيستم يا سيستم هاي واسطه که مورد بهره برداري قرار گرفته و (2) نرم افزار دمون (daemon) در آن مستقر شده است.
حملات DDOS هميشه در برگيرنده ي چند سيستم هستند. سناريوي يک حمله معمولي مي تواند تقريباً از اين سه مرحله تبعيت کند:
1. فرد متجاوز يک يا چند سيستم را در اينترنت پيدا مي کند که مي توان مورد بهره برداري قرار داد. اين کار معمولاً با استفاده از يک حساب (account) مسروقه، روي سيستمي انجام مي شود که تعداد زيادي کاربر يا مديران حواس پرت دارد که ترجيحاً داراي اتصال با عرض باند زياد به اينترنت است (بسياري از اين سيستم ها را مي توان در محوطه دانشگاه و کالج پيدا کرد).
2. سيستم به خطر افتاده را از انواع ابزارهاي هک پر مي کنند مانند اسکنرها و ابزارهاي بهره برداري (exploit tools)، شناساگرهاي سيستم عامل، rootkitها، و برنامه هاي DoS/DDOS. اين سيستم تبديل مي شود به master DDOS. نرم افزار master اين امکان را مي دهد تا تعدادي از سيستم هاي ديگر را پيدا کرد که بتوان از آنها بهره برداري نمود. فرد مهاجم طيف وسيعي از بلوک هاي آدرس هاي شبکه IIP را اسکن مي کند تا سيستم هايي را که سرويس هاي داراي نقاط ضعف امنيتي را اجرا مي کنند پيدا کند. براي تجاوز گسترده، در فاز مقدماتي از ابزارهاي اتوماتيک استفاده مي شود تا از راه دور چند صد يا چند هزار ميزبان دستکاري شوند و عوامل DDOS روي آن سيستم ها نصب شوند. ابزارهاي اتوماتيک که قرار است اين کار را انجام دهند بخشي از جعبه ابزار DDoS محسوب نمي شوند بلکه در اندرون گروه هاي متشکل از هکرهاي خلافکار مبادله مي شوند. اين سيستم هاي به خطر افتاده قربانيان اوليه ي حمله ي DDoS هستند. در سيستم هاي بعدي دمونها مستقر مي شوند تا حمله واقعي انجام شود.
3.فرد متجاوز فهرستي از سيستم هاي به تملک درآمده (يعني سيستم هاي به خطر افتاده و آلوده به دمون ها) را نگهداري مي کند. فاز واقعي در حمله براي محروم کردن از خدمات زماني اتفاق مي افتد که فرد مهاجم برنامه اي را در سيستم ارباب اجرا کند. اين برنامه با دمون هاي DDoS ارتباط برقرار مي کند تا حمله آغاز شود. در اينجاست که قرباني مورد نظر در DDoS وارد سناريو مي شود.
مي توان برقراري ارتباط بين ارباب و دمون ها را سد کرد به طوري که تعيين محل کامپيوتر ارباب مشکل شود. با وجودي که ممکن است در شبکه DDoS در خصوص محل کامپيوتر ارباب مدارکي روي يک يا چند دستگاه وجود داشته باشد، دمون ها معمولاً اتوماتيک هستند به طوري که لازم نيست بين ارباب و بقيه ي شبکه ي DDoS گفتگويي در جريان باشد. در حقيقت معمولاً از تکنيک هايي استفاده مي شود تا به عمد هويت و مکان کامپيوتر ارباب در اندرون شبکه DDoS استتار شود. اين تکنيک ها باعث مي شوند آناليز يک حمله در جريان و سد کردن ترافيک تهاجمي يا رديابي آن تا مبدأ مشکل شود.
در اکثر موارد، مديران سيستم تجهيزات آلوده شده حتي نمي دانند که دمون ها مستقر شده اند. حتي اگر آنها نرم افزار مهاجم را پيدا کرده و پاک کنند، نمي توان فهميد نرم افزار مزبور ممکن است در کدام محل هاي فرعي ديگري وجود داشته باشد. سيستم هاي رايج مستعد براي بهره برداري عبارتند از وب يک سايت، سيستم پيام الکترونيکي (اي ميل)، يا ديگر سرويس ها؛ زيرا اين سيستم ها به احتمال زياد داراي تعداد زيادي از پورت هاي باز، و حجم زيادي از ترافيک هستند و بعيد است به سرعت به حالت آفلاين در آيند حتي اگر بتوان رِّد حمله اي را تا آنها گرفت.
حمله به نرم افزارهاي کاربردي و ساير حملات اختصاصي
- نرم افزارهاي کاربردي HTTP(Hypertext Transfer Protocol) و SMPT(Simple Mail Transfer Protocol) غالباً مورد حمله قرار مي گيرند زيرا اکثر فايروال ها و ساير مکانيزم هاي امنيتي، پيکربندي شده اند تا امکان دسترسي کامل به اين سرويس ها را از اينترنت بوجود آورند.
- Voice over IP(VoIP) بطور فزاينده اي با حملات مواجه مي گردد، زيرا در مؤسسات تجاري بيشتر و بيشتري بکار گرفته مي شود.
- فايل هاي ناامني که حاوي اطلاعات حساس هستند، در تمام نقاط به اشتراک گذاشته شده ايستگاه هاي کاري و سرورها پراکنده شده اند و سيستم هاي بانک اطلاعاتي نيز حاوي آسيب پذيري هاي متعددي هستند.
تمام اين موارد براي يک هکر داخلي قابل بهره برداري خواهند بود.
هک اخلاقي به اجراي اينگونه حملات بر عليه سيستم هاي کامپيوتري خودتان و مشخص نموده هر گونه نقطه ضعف مشترک در آنها، کمک مي کند.
منبع:ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 131.
/ج