بدافزار وب (2)
چرا وب بوسيله بدافزارها هدفگيري شده است
بنابراين، به ازاء هر بدافزار موفق، يک مکانيسم انتشار موثر و کانالي با بيشترين امکان دسترسي وجود دارد. امروزه هدف اکثر مهاجمان از استفاده بدافزارها دستيابي به چهارچوب ها و زيرساختارها نمي باشد بلکه هدف آنها رسيدن به اطلاعات ذخيره شده بر روي سيستم هاي متصل به شبکه است. وب ها امروزه تبديل به ابزار و محيطي مناسب براي خالقان بدافزارها گشته است تا از اين محيط در گسترش مخلوقات زيان بار خود نهايت بهره را برند و امروزه حتي ديگر به سايت هايي که شما زماني با اطمينان از آنها ديدن مي کرديد نمي توان با فارغ خاطر وارد شد. براي اينکه درک بهتري از اين موضوع داشته باشيد که چرا خالقان بدافزارها از وب ها به عنوان يک کانال بسيار موثر براي انتشار بدافزارها استفاده مي نمايند، بياييد نگاهي برخي از آمارها داشته باشيم که ممکن است براي شما جالب نيز باشد. جدول (4 و 3)
افزايش تعداد وب سايت ها
گراف بالا تعداد کل وب سايت ها مستقر در سرتاسر همه دامنه ها را از آگوست 1995 تا اکتبر 2008 نشان مي دهد. در طي بررسي هاي سرورهاي وب در اکتبر 2008 آنها پاسخ هايي از 182226259سايت دريافت کردند. وجود اين پاسخ هاي طاقت فرسا به معناي رشد 948 هزاري از بررسي هاي مربوط به سپتامبر 2008 مي باشد.
افزايش کاربران اينترنت در سراسر دنيا
افزايش ميزان زمان آنلاين
آماري که به آن ها اشاره کرديم، تلالوئي از اين حقيقت را در ذهن ايجاد مي کنند که رشد کاربران اينترنتي نشانه آن است که وب تبديل به پاتوق مناسب و محبوبي براي کاربران گشته است. هر چه کاربران اينترنتي بيشتر و بيشتر به وب سايت هاي گوناگون و فناوري هاي مرتبط با وب دسترسي پيدا مي کنند، بيشتر هدف بدافزارهاي وب قرار مي گيرند. اکنون به جايي رسيده ايم که راهي براي بازگشت وجود ندارد.
در آينده اي که پيش رو داريم، وب سايت ها، فناوري هاي وابسته به وب، حتي اينترنت بخشي اززندگي مردم خواهد شد و بخش هاي وسيع تري از جهان را در تحت پوشش خويش مي گيرد. اگر چه اين موضوع براي خالقان بدافزارها دليل خوبي است تا تمرکز خود را بر روي دنياي وب معطوف بدارند، اما کاملاً پيداست که اين موضوع تنها دليل استفاده بدافزارها از وب براي حمله به سيستم ها نمي باشد. عامل هاي گوناگون ديگري براي انتخاب وب به عنوان کانالي مناسب جهت انتشار توسط بدافزارها وجود دارد. براي داشتن درک درستي از اين موضوع، بياييد نخست نگاهي داشته باشيم به اينکه چه چيز متفاوتي در بدافزار وب وجود دارد که آنرا نسبت به بدافزارهاي رايج نظير ويروس ها و کرم هاي متداول مخفي ميسازد و آنتي بدافزارها به راحتي نمي توانند آنها را شناسايي نمايند.
بزرگترين تفاوت بين بدافزارهاي وب و بدافزارهاي معمولي در روش آلوده سازي سيستم ها توسط آنها مي باشد. يک ويروس نوعي يا يک کرم به سيستم هاي آسيب پذير هجوم خواهد آورد و براي آلوده سازي اين سيستم ها يا از نقاط ضعف برجسته OS آن سيستم ها استفاده مي نمايند و يا از نقاط ضعف يک کاربرد بهره مي گيرد.
در حين انجام فاز اکتشافي، اين بدافزارها بسته هاي مخرب شامل کدهاي آشکارساز را به سيستم آسيب پذير راه دور مي فرستند.
هنگامي که ما درباره ارسال بسته ها به سيستم دور صحبت مي کنيم، ما معمولاً نياز به برقراري ارتباط از طريق يک سوکت داريم. يک سوکت يک نمايش برنامه ساز آي پي، درگاه و پروتکل مي باشد. اکنون، يک ميزبان بر پايه فايروال در يک سيستم راه دور طوري آرايش خواهد شد که درخواست هاي ارتباط هاي ورودي به سيستم را روي درگاه ها مسدود مي نمايد، مگر آنکه طراحي به گونه اي باشد که اجازه دسترسي داده شده باشد.
اين درست زماني است که يک ميزبان ساده مبتني بر فايروال مي تواند آلودگي هاي ممکن را خنثي سازد حتي اگر خدمات و سرويس هاي آسيب پذيري در سيستم موجود باشد. همانطور که پيشترگفتيم، چون فايروال تمام درگاه ها را به جز آنهايي که در آرايش و پيکربندي فايروال اجازه دسترسي دارند، مسدود مي نمايد، بنابراين سيستم هاي آسيب پذير از طريق اين درگاه ها که در آرايش فايروال هنوز باز مانده اند براحتي اجازه دسترسي را خواهند داشت و در نتيجه در معرض شناسايي بدافزارها هستند، و اين امر سبب شناسايي آنها و در نتيجه شناسايي بيشتر فايروال براي بدافزار مي گردد و به اين صورت سيستم آلوده مي شود.
اما اگر اين درگاه ها مسدود شوند چه اتفاقي خواهد افتاد؟ اگر چنين اتفاقي افتد و اين درگاه ها مسدود شوند آنگاه سرويس هاي آسيب پذير ديگر قادر به دريافت کدهاي شناسايي نخواهند بود در نتيجه از آلودگي بيشتر سيستم جلوگيري مي شود. و اين همان جايي است که نقطه قوت يک بدافزار محسوب مي شود، يعني با مسدود کردن اين درگاه ها شما کارآيي بدافزار را کاهش داده ايد.
به عبارت ديگر يک بدافزار وب سيستمي را با استفاده از درگاه 80 و بصورت ترافيک HTTP وارد مي نمايد. بهترين چيز براي بدافزار آن است که کاربر با انجام کارهاي قانوني نظير مرور و يا دانلود و يا هر کار ديگري از بدافزارها دعوت به ورود نمايد. بطور عمده کاربر خود از اين امر آگاه نيست و ندانسته با انجام يک سري فعاليت هاي به ظاهر بيضرر بدافزار را به سيستم خود فرا مي خواند. در همه سيستم ها، درخواست ورودي روي درگاه HTTP هميشه باز است زيرا يک درگاه بسته HTTP به معناي عدم دسترسي و جستجوي اينترنت مي باشد.
به اين صورت است که خالقان بدافزارها با خلق بدافزار وب امکان مسدود کردن درگاه ها را بطور کل از بين برده اند و بنابراين مي توانند اطمينان حاصل نمايند که از طريق وب بدافزار آنها قطعاً به سيستم کاربر نفوذ خواهد کرد. بنابراين هر نقطه انتهايي شبکه يک هدف بالفعل براي اينگونه از بدافزارها مي باشد.
امروزه OS به عنوان هدفي که در گذشته بود توسط بدافزارها بکار گرفته نمي شود. تمرکز حمله از OS به لايه کاربرد انتقال يافته است. حقيقتي ساده و انکار ناپذير اين است که سطح حمله يک کاربرد وب از نقطه نظر فني گسترده تر از کاربردهاي منظم دم دستي مي باشد، منظور از کاربردهاي دم دستي همان فعاليت هايي است که کاربر با کامپيوتر شخصي خود بطور روزانه ممکن است انجام دهد.
نيل مکدونالد (Niel MacDonald) يکي از اعضاء Gartner Blog Network، گزارشي ارائه داده است مبني بر آنکه مايکروسافت و ديگر فروشندگان OS بهبود قابل ملاحظه اي در توليد کدهاي امنيتي ايجاد نموده اند و ما امروز فايل هاي اصلاحيه را بهتر و با امنيت بيشتر مي توانيم دريافت نماييم.
اما از طرف ديگر، کاربردهاي وب آسيب پذير روي اينترنت براي خالقان بدافزارها هدف گسترده و خوبي را ايجاد نموده اند. کارشناسان اظهار داشتند که سال 2008 شاهد افزايش 300 درصدي حمله هاي مخرب به کاربردهاي وب بوده ايم. MXLogic مشخص نمود که بطور روزانه 25000 حمله در تابستان 2009 صورت گرفته اما در اکتبر تعداد حمله ها به 450000 حمله در روز رسيده است. خيلي جالب است بدانيد که در نيمه دوم سال 2008، ده درصد از کل افزايش يعني 2835 ميزان گزارش شده، علت حمله ها را قابليت آسيب پذيري سيستم ها مي دانستند و 80درصد مربوط به کاربرد وب مي شد.
بنابرآخرين گزارش، بدافزار IBM ISS X-Force Labs در سال 2008، 9/54 درصد از آسيب پذيري هاي مسدود نشده قابليت آسيب پذيري کاربرد وب بوده و يکي از اولين عامل ها در رشد سراسري کشف آسيب پذيري ها (Vunerability Disclosures) طي امسال مي باشند.
تهاجم هاي تزريق SQL در شش ماه اخير 30 درصد افزايش داشته است. 74 درصد آسيب پذيري ها و نقاط ضعف کاربرد وب اعلام شده در سال 2008 تا پايان امسال فاقد فايل هاي به روز شده مي باشند.
روشي که آنها از وب براي گسترش بدافزارها استفاده مي کنند از نظر مفهومي بسيار ساده است. در اينجا قصد نداريم اين مسئله را با جزئيات براي شما موشکافي نماييم تا ببينيد که اين بدافزارها دقيقاً به چه صورت عمل مي کنند. در بخش بعدي با ديدي فني به قضيه نگاه خواهيم کرد. نکاتي که در ذيل به آنها اشاره خواهيم کرد نشان مي دهند که يک بدافزار چقدر ساده يک سيستم را آلوده مي سازد.
خالقان بدافزار يک وب سايت را پيدا نموده و کدهاي مخرب خود را به آن تزريق مي نمايند. اين افراد حتي مي توانند خود وب سايت هايي طراحي نمايند و بستري مناسب براي بدافزارها ايجاد نموده و سپس کاربران را تشويق به بازديد از اين وب سايت آلوده به بدافزار نمايند.
يک کاربر اينترنت از چنين سايت هايي بازديد نمايد. بطوريکه خود کاربر به هيچ وجه از اين موضوع آگاه نيست، بدافزار بطور مخفيانه با نقاط ضعف مرورگر وب ارتباط برقرار مي نمايند.
کاربر بدون اينکه بداند به بدافزار آلوده گشته است.
مشخصه و آمارهاي کاربردهاي وب و فايل هاي اصلاحيه آسيب پذيري هاي را به خاطر داشته باشيد، ما مي توانيم نتيجه گيري نماييم که وب مشخصا يک کانال بسيار موثر براي انتشار بدافزارها مي باشد. فايروال ها معمولاً آمد و شد بسته هاي ورودي HTTP را مسدود نمي نمايند، همچنين اگر آنتي ويروس /IDS اطلاعاتي درباره بدافزار وب خاصي نداشته باشد آنگاه آن بدافزار به راحتي از آنتي ويروس گذشته و بدون هيچ مزاحمتي سيستم را آلوده مي سازد.
جزئيات زير نشان مي دهند که وب سايت ها بسته به نوع فعاليت شان تا چه حد هدف بدافزارها جهت انتشار يافتن آنها قرار دارند:
سايت هاي مرتبط با مسائل غيراخلاقي (Pornography)-10درصد
سايت هاي مرتبط با مسائل کاري (Business)-10 درصد
سايت هاي پزشکي و سلامت (Health & Medical)-10 درصد
کامپيوتر و فناوري (Computer & Technology)-8 درصد
پورتال ها و موتورهاي جستجو (Search Engines & Portals)- 7 درصد
بازي ها (Games)- 3 درصد
آموزش (Education)- 3 درصد
سايت هاي مربوط به املاک و مستقلات (Real Estate )-3 درصد
خريد (Shopping)- 3 درصد
ديگر فعاليت ها و سايت ها- 36 درصد
براي خالقان بدافزار، انتخاب وب براي انتشار بدافزارها بهترين گزينه است زيرا آنها با کمترين تلاش و در کمترين زمان قادر خواهند بود بيشترين کامپيوتر را آلوده سازند.
تاکنون، درباره ديدگاه هاي گوناگون بدافزار وب گفتگو کرديم.
از آماري که به ما افزايش فعاليت هاي بدافزار را در سالهاي اخير نشان مي داد شروع کرديم و به آنجا رسيديم که چرا تمرکز خالقان بدافزار از ايجاد تخريب در زيرساخت ها به آلوده سازي نقاط انتهايي شبکه ( که معمولاً کاربر قرار دارد) تغيير يافته است.
همانطور که گفتيم اين افراد از آلوده سازي سيستم ها مقاصد گوناگوني را دنبال مي کنند، براي نمونه دستيابي به اطلاعات ذخيره شده در سيستم ها مي باشد، تلاش کرديم همه اين موارد را بررسي نماييم.
بار ديگر به خاطر نشان مي سازيم که در بخش بعدي ما جزئيات فني بدافزارهاي وب ( بخش دو) را مطرح مي سازيم. ما درباره اينکه چگونه بدافزار براي استفاده از وب طراحي مي گردد؟ چگونه يک بدافزار وب به سيستم حمله مي کند؟ چه شکل هاي متفاوتي از تهديدهاي بدافزار وب وجود دارد؟ و ديگر موارد سخن خواهيم گفت.
اين جزئيات فني به ما کمک خواهند کرد تا عميق تر و بهتر تهديدهاي بدافزار وب را درک کنيم و همچنين به ما در انجام پيش بيني هاي لازم جهت جلوگيري از آلوده شدن به اين نرم افزارهاي مخرب، ياري مي رسانند. با انجام شناسايي، حذف، و جبران و ترميم آلودگيهاي ممکن سيستمي بهينه داشته باشيم.
اميد آنرا داريم که اين مقاله در ايجاد ذهنيتي بهتر در خصوص درک انواع گوناگون تهديدهاي بدافزار مرتبط با وب، کمک شايان توجهي کرده باشد.
منبع: بزرگراه رايانه، شماره ي 137 .