بزرگترين رخنه هکري در تاريخ اينترنت(2)

رخنه: روش هاي جرايم اينترنتي
 

روش هاي اينترنتي که گونزالز و همکارانش براي دزدي اطلاعات بانکي بکار مي برند به قرار زير است:
اين گروه با حرکت در سطح شهرهايي نظير ميامي و فلوريدا، مکان هاي تجاري که اجازه دسترسي به اينترنت بصورت بي سيم را در اختيار کاربر قرار مي دهد را شناسايي مي کردند که اصطلاحاً به اين کار، Wardriving مي گويند.
کشف شبکه هاي بي سيم فروشگاه هاي خرده فروشي، به منظور دسترسي غيرمجاز به شبکه تا بتوانند انتقال هاي کارت هاي اعتباري و دبيت کارت ها را براي فروش هاي صورت گرفته پردازش نمايند، اما اين فعاليت ها محدود به Market, Barnes & Noble BJ,s Wholesale Club (BJ,s), DSW, Office Max, Boston اسناد شرکت هاي TJX نمي شدند.
نفوذ به سيستم و ربودن فايل ها و داده هاي حساس اين شبکه ها، داده هاي مربوط به کارت هاي Track 2 data، و رمزگشايي پين کدها و شماره هاي شناسه شخصي، نوشتن برنامه هاي رهگيري به منظور جستجو و ربودن اطلاعات محرمانه مربوط به شبکه کامپيوتر شرکت ها، نظير رمزها و حساب هاي کاربري آنها چه در داخل ايالات متحده و چه در خارج به منظور انجام فعاليت هاي غير مجاز مانند دسترسي به پرداخت هاي اينترنتي شرکت و همچنين يافتن اطلاعات مربوط به کارت هاي Track 2 data دانلود نمودن تراکنش ها و اطلاعات ذخيره شده مربوط به پرداخت ها و نقل و انتقالات پول دهها ميليون کارت اعتباري و کارت هاي Track 2 data از شبکه هاي شرکت ها و همچنين پين کدهاي مربوط به دبيت کارت ها.
بدست آوردن اطلاعات تکنيکي در رابطه با رمزگشايي شماره هاي پين کدهاي بدست آوردن دسترسي راه دور به سرورهاي کامپيوترها در ايالات متحده، لتوني و اوکراين که در اين عمليات، ده ها ميليون شماره کارت اعتباري و دبيت کارت ذخيره مي گردد، رمزگشايي آن سرورها به منظور پنهان نمودن اهداف شوم اين گروه و جلوگيري از مسدود شدن دسترسي آن ها به اين سرورها و شبکه ها توسط ديگران فروش اين اطلاعات ذخيره شده – مجموعه Track 2 data- به منظور انجام اعمال شرورانه هم در شرق اروپا و هم در ايالات متحده، خارج نمودن پول ها از کارت هاي Track 2 data به کمک رمزگشايي داده هاي نوارهاي مغناطيسي کارت هاي اعتباري/ دبيت کارت هاي بانکي که از اين روش آنها به ده ها هزار دلار مي رسيدند. انتقال پول بصورت ناشناس از طريق شبکه و تبديل به ديگر واحدهاي پولي در بانک هاي لتوني به منظور پنهان ساختن فعاليت هاي غيرقانوني گروه مذکور استفاده از حساب هاي بانک هاي خارجي به منظور ذخيره ساختن کارت هاي ATM، که اين امر براي آنها اين امکان را فراهم مي نمود تا به سود سرشاري در ايالات متحده دست يابند.
استفاده از اسامي ساختگي، و ارسال بسته هاي بزرگي شامل تمام اين درآمدهاي غيرقانوني به حساب اين اشخاص خيالي استفاده از حمله هاي اينترنتي، اغلب يورش تزريق SQL ( که به اين روش مي توان نقاط آسيب پذير در وب سايت هاي پايگاه داده ها را شناسايي کرد)، به منظور پيدا کردن نقاط ضعف و در اختيار گذاشتن آنها براي همکاران تبهکار خود جهت دستيابي به Track 2 data، حساب هاي داخلي و فايل هاي مربوط به تجارت هاي بزرگ استفاده از اطلاعات اجرايي قوانين حساس، که بوسيله گونزالز بدست آمده بود ( اين اطلاعات را گونزالز زماني که با سرويس مخفي ايالات متحده همکاري داشت، بدست آورده بود)، از اين اطلاعات براي هشدار به هکرها هنگام بروز خطر و همچنين اطمينان دادن به آن ها که فعاليت هاي آنها پوشيده و پنهان باقي ميماند. مي توانستم در اين مقاله جزئيات بيشتري از اين پرونده را ارائه نمايم؛ ولي به همين ميزان بسنده کردم. شما مي توانيد براي اطلاعات بيشتر به سايت http://www.cybercrime.gov و همچنين سايت http://www.privacyrights.org مراجعه نماييد. بيشترتمايل دارم تا بر روي نقاط ضعف و يا به اصطلاح حفره هايي که گونزالز و همکارانش از آنجا به سيستم ها رخنه مي کردند، همچنين ابزاري که آنها بکار مي بردند، و اينکه چگونه امنيت شبکه را با اقدامات پيشگيرانه در برابر چنين يورش هايي افزايش دهيم، تمرکز کنم.

گونزالز چگونه به اين يورش ها دست مي زد
 

آيا گونزالز تمام اين کارها را صرفاً بواسطه دانستن نقاط آسيب پذير سرور SQL و روش بکارگيري تزريق سرور SQL، تکنيک هايي را مي يافت که او را قادر مي ساخت تا يک روزنه به سيستم هاي شرکت ها ايجاد نمايد؟ آيا تمام جنايت هايي که او و همکارانش مرتکب شدند به جمع آوري اطلاعات شخصي و داده هاي مربوط به کارت هاي اعتباري و ATM ختم مي شد؟ دقيقاً اينطور نيست. در نفوذ به J.C.Penny همانند پروژه بزرگ نفوذ به T J Maxx او و همکارانش بسته ها را رهگيري مي کردند و با يورشهاي ARP، آن ها مبادلات کارت هاي اعتباري معتبر را از شبکه هاي داخلي شرکت مي دزديدند.
اجازه دهيد تمام کارهايي که گونزالز و دوستانش انجام مي دادند را در سه بخش خلاصه نمايم: Wardriving، کشف نقاط آسيب پذير و گسترش بدافزارهاي رايج. در اينجا با روش هاي هک کردن که آن ها به کار مي بردند، آشنا مي شويم و براي هر روش تلاش من بر اين است تا يک اقدام پيشگيرانه را معرفي کنم:
WarDriving
پيدا کردن و ترسيم مسيرياب هاي بي سيم
کشف رمز شبکه بي سيم رمزنگاري شده
کشف نقاط آسيب پذير شبکه بي سيم
کشف نقاط آسيب پذير پايگاه داده هاي (CVEها)
نصب نرم افزارهاي رهگيري- مالوير هدف ويژه آکا
WarDriving
بنابراطلاعاتي که مي توان در سايت گوگل يافت: WarDriving عبارت است از بخش پيدا کردن و نشانگذاري مکان ها و وضعيت هاي شبکه هاي بي سيم در يک عمليات هک کردن. در اين بخش هکر با استفاده از نرم افزارهاي خاص خود، شبکه را آزمايش مي کند که آيا شبکه باز و يا بسته است و سپس با GPS مکان هاي يافت شده را ثبت مي نمايد. يک راننده جنگ مکان هاي يافت شده را نشانگذاري مي نمايد، عموماً اين نشان ها با گچ و يا ماژيک روي ديوار ساختماني در نزديکي محل مورد نظر نوشته مي شود که به اين عمل اصطلاحاً نشان گذاري جنگ (Warchalking) گفته مي شود و يا تمام اين مناطق بر روي يک نقشه ترسيم و سپس با اينترنت براي ديگران ارسال مي شود. از شکل (1) مي توان ديد که تجهيزات انجام اين کار بسيار ساده هستند:
يک کامپيوتر لپتاپ
کارت Wi-Fi يا دانگل مکان ياب GPS
نرم افزار آشکارساز Wi-Fi ( نظير Netstumber، براي ويندوز، Macstumber براي کامپيوترهاي مکينتاش)
نرم افزار ترسيم نقشه GPS ( نظير نرم افزار مايکروسافت به نام Streets and Trips)
آنتن Wi-Fi ( که اين آنتن ضروري نيست فقط اين امکان را فراهم مي کند تا هکر گستره کارت WiFi خود را افزايش دهد).
اکنون، بنابر اظهارات پليس فدرال ايالات متحده، FBI، شناسايي کردن مکان هايي که داراي شبکه بي سيم مي باشند، ممکن است جرم محسوب نشود؛ اما اگر در چنين شبکه هايي دزدي صورت گيرد، يا در ارتباطات اخلال حاصل شود، و يا منبع پردازشي از سرويس خارج شوند، اعمال ديگري نظير جرايم مربوط به شنود کامپيوترهاي ايالتي و سوء استفاده از قوانين، ربودن اسرار تجاري، و ديگر فعاليت هاي خرابکارانه در محدوده ايالت صورت پذيرد، آنگاه شناسايي مکان هاي مجهز به شبکه بي سيم نيز ممکن است به خودي خود جرم محسوب شود.
در سال 2003 و يا در همان محدوده زماني، گونزالز داده هاي کارت پرداختي را که در يک شبکه بي سيم بدون رمز قابل دسترسي بود شناسايي کرد، اين شبکه مورد استفاده فروشگاه BJ,s Wholesale Club بود. گونزالز و اسکات از اين نقاط دسترسي به عنوان واسطه براي دستيابي به کارت هاي Track 2 data مشتريان BJ,s استفاده کردند. آن طور که در کيفر خواست اين افراد قيد شده است، نقاط دسترسي بي سيم، قطعاتي هستند که اين امکان را براي کامپيوترها فراهم مي سازد تا به شبکه از طريق امواج راديويي متصل شوند، براي نمونه کامپيوترهايي که موجودي را ثبت مي کنند و يا ليست اموال و موجودي کالا را کنترل مي نمايند. در سال 2004، اسکات با همراهي دستيارش J.J به شبکه بي سيم OfficeMax بطور غير قانوني دسترسي يافتند، اين نقطه دسترسي بي سيم در نزديکي تقاطع خيابان 100 و U.S.1، در ميامي، فلوريدا واقع شده بود. اين زوج خرابکار موفق شدند به سيستم رخنه کنند و سپس داده هاي کارت هاي Track 2 debit مشتريان را دانلود نمايند. اين داده ها شامل پين کدهاي به رمز شده، مربوط به شبکه انجام نقل و انتقالات وجه از کارت هاي پرداختي و اعتباري OfficeMax بودند. همزمان داده هاي به دست آمده توسط اسکات و J.J به گونزالز داده مي شد و او نيز داده ها را براي ديگر همکارش جهت رمزگشايي پين کدهاي رمزنگاري شده، مي فرستاد. در 12 و 18 جولاي، سال 2005، اسکات دو نقطه دسترسي بي سيم که توسط شرکت TJX در فروشگاه بزرگ مارشال واقع در ميامي، فلوريدا بکار گرفته شده بودند را در اختيار گرفت. اسکات از اين دو نقطه دسترسي، پياپي فرمان هاي کامپيوتري به سرورهاي کامپيوترهايي که وظيفه پردازش و ذخيره سازي داده هاي مربوط به داد و ستدهاي کارت هاي پرداختي در فرامينگهام، ماساچوست، را داشتند، مي فرستاد. در 15 تا 16 سپتامبر 2005 و همچنين 18 نوامبر 2005، اين افراد شرور ولي باهوش توانستند اطلاعات مربوط به کارت هاي پرداختي روي سرورهاي TJX در فرامينگهام را دانلود نمايند.

کشف نقاط آسيب پذير پايگاه داده ها
 

پس از شکستن رمزهاي شبکه هاي بي سيم، گونزالز شروع به سوء استفاده از نقاط آسيب پذير و آشکار (CVEها) در پايگاه داده هاي ناشي از وب سايت ها نمود. تقريباً در آگوست 2007، گونزالز از توي ( يکي از همکارانش)، دعوت کرد تا به ميامي کوچ نمايد. و در عوض اقامت رايگان در آپارتمان گونزالز و مبلغي که گونزالز بطور مرتب به او پرداخت مي کرد، او در حمله به کامپيوتر شرکت هاي مختلف به گونزالز کمک مي نمود و در هک نمودن اين سيستم ها با وي همکاري داشت. يکي از حملات مشترک اين دو شريک عبارت است از يورش به فروشگاه Forever 21، يک فروشگاه زنجيره اي لباس که داراي يک شبکه قوي در تجارت الکترونيکي مي باشد، هدف از اين يورش، به دست آوردن اطلاعات مالي اين فروشگاه بزرگ بود. گونزالز در ميانه اکتبر 2007، يکي ديگر از همکارانش را وارد صحنه بازي کرد، اسکات نيز به جمع گونزالز و توي پيوست، براي آخرين بار، آن ها از نقاط دسترسي بي سيم نزديک فروشگاه استفاده کردند، آنها اين نقاط دسترسي را به عنوان موتوري براي بدست آوردن داده هاي کارت هاي پرداختي و اعتباري بکار گرفتند.
تزريق SQL، شکلي از استخراج و بهره برداري از نقاط آسيب پذير ورودي کاربراني است که از پايگاه داده ها استفاده مي کنند، که در اين روش شخص قادر است فرمان هاي SQL را از راه دور، به پايگاه داده ها تزريق نمايد. اين کار را به راحتي مي توان روي سيستم هايي که براي آنها لايه هاي امنيتي اضافه در برابر چنين حملاتي در نظرگرفته نشده و سازوکارهايي که سيستم هاي عيب ياب مناسبي ندارند، اعمال کرد. براي يادگيري بيشتر در زمينه تزريق SQL، پيشنهاد مي کنم نخست ميزان آگاهي و دانش خود را درباره نقص ها و عيب هاي موجود در يک سيستم افزايش دهيد و اينکه چگونه اين نقص ها و معايب را ترميم و يا بطور کل از روي سيستم از بين ببريد. براي اينکار بهتر است در سايت http://nvd.nist.gov جستجويي در رابطه با SQL و تزريق SQL داشته باشيد، در اين سايت شما مي توانيد از کارشناس خبرهاي مانند استيو فرايدل (Steve Friedl) موارد جالبي در زمينه SQL بياموزيد، براي نمونه استيو در وب سايت تخصصي خود اطلاعاتي در مورد تزريق SQL قرار داده است که آدرس اين بخش عبارت است از:
http://unixwix.net/techtips/sql-injection.html
در اين لينک شما مي توانيد اطلاعات ارزشمندي درباره تزريق SQL بيابيد.

نصب نرم افزار رهگيري رايج بدافزار هدف ويژه آکا
 

در آغاز عمليات در تاريخ 14-15 ماه مي 2006، اسکات يک ارتباط VPN از يک سرور پردازش کننده داد و ستدهاي کارت پرداختي TJX را پيکربندي و نصب نمود. با اين کار سرور مذکور، به سرور ديگري که در اختيار گونزالز بود، متصل مي گشت. در کيفرخواست اين افراد، اين طور ذکر شده است که يک VPN، يا همان شبکه خصوصي مجازي (Virtual Private Network) يک ارتباط شبکه امنيتي يا خصوصي درون يک شبکه کامپيوترهاي عمومي ( نظير اينترنت) مي باشد. ( شکل 2)
در 15 مي 2006، گونزالز از يک ICQ ( يک برنامه پيام رساني فوري) استفاده کرد. هدف از بکارگيري اين برنامه آن بود که از دستيار ياسترم اسکي در خصوص برنامه رهگيري (جاسوسي) بي آنکه توسط سيستم هاي امنيتي قابل شناسايي باشد، اطلاعاتي کسب نمايد.
اين کار در 15 مي 2006 آغاز گشت و در روزهاي پس از آن مانند 16، 18 و 20 مي نيز ادامه يافت. اسکات و همکارش برنامه هاي رهگيري را روي سرور پردازش کننده داد و ستدهاي کارت هاي پرداختي TJX آپلود نمودند. بوسيله يکي از برنامه هاي آپلود شده توسط اسکات و گونزالز آنها قادر بودند تا داد و ستدهاي انجام گرفته توسط کارت هاي Track 2 data را که توسط شبکه TJX پردازش مي شد، بصورت تصويري کنترل و تحت اختيار خويش گيرند. Track 2 dataي که تحت کنترل برنامه رهگيري در آمده بود، از طريق VPN اطلاعات مربوط به خود را در اختيار سرور هکرها قرار مي داد، اين فعاليت دوباره در تاريخ 27 اکتبر و 18 دسامبر سال 2006 از سر گرفته شد.
آن ها براي پوشاندن يورش خود در اينترنت بيش از يک نام ساختگي براي ارسال پيام داشتند، ذخيره سازي داده هاي بدست آمده از يورش ها در پايگاه هاي گوناگوني هک سازي ذخيره مي گشت، برنامه هايي که تمام آمد و شدها به پايگاه داده هاي هکرها را پنهان مي نمود، به کار گرفته شده بودند، تغيير ماهيت دادن با عوض کردن پروکسي ها و آدرس هاي پروتکل هاي اينترنت مربوط به پايگاهي که هکرها از آنجا يورش هاي خود را انجام مي دادند، نيز يکي از ترفندهايي بود که آنها براي جلوگيري از شناسايي شدن خود توسط سيستم هاي امنيتي بکار گرفتند.
در گزارشي که عليه گونزالز آماده گرديد، قيد شده است که او و همدستش برنامه خود را روي 20 آنتي ويروس گوناگون آزمايش کردند تا مطمئن شوند هيچ آنتي ويروسي توان آشکار کردن بدافزار ويژه آنها را ندارد. در اينجا نمونه ديگري از مرگ آنتي ويروس ها به چشم مي خورد. بايد در برابر سيستم هاي جلوگيري از شنود که مبتني بر ميزبان (Host-based) هستند، سر تعظيم فرود آورد.

منبع: بزرگراه رايانه، شماره ي 137 .