هک شبکه پلی استیشن (PSN)

وقتی مدیریت ریسک و واقعیت با یکدیگر در تضاد قرار می گیرند

در این مقاله می آموزید...

ارزیابی ریسک چه اهمیتی دارد
چرا گاهی اوقات سازمان ها آن را درست متوجه نمی شوند
چگونه رخدادهای امنیتی علاوه بر شرکت ها به افراد هم صدمه می زنند
گام هایی ساده برای حفاظت از داده های شخصی

آنچه باید بدانید...

ساده ترین تعریف ریسک: پیشامدی نامطلوب که با احتمال مشخصی رخ می دهد.
ساده ترین تعریف ارزیابی ریسک: فرآیند ارزیابی پیشامدهای نامطلوب و احتمال وقوع آنها.

محافظت در مقابل تمامی نقایص امنیتی یک محصول امکان پذیر نیست، اما ارزیابی ریسک حداقل نشان می دهد که این نقایص احتمالی چه هستند و از این طریق به ما کمک می کند تصمیمی آگاهانه بگیریم.

ممکن است شما استیو جابز یا استیو بالمر نباشید و شرکتی که برای آن کار می کنید نیز فروشنده کنسول های بازی نبوده و یک جامعه بازی آن لاین نداشته باشد. اما یقیناً مصرف کننده کالاها و خدماتی هستید که حداقل امیدوارید امنیت را در محصول شان در نظر گرفته باشند. وقتی پول تان را در بانک می گذارید امیدوارید موقع برداشت هنوز همان جا باشد. اما آنچه بر اهمیت امنیت می افزاید وجود یک عنصر تکنولوژیک در بسیاری از محصولات است. درس های بسیاری را می توان از جنبه های فنی و تجاری از حادثه سونی آموخت. این حادثه به طور خاص اثرات یک فرهنگ مدیریت ریسک ضعیف را نشان می دهد. شاید شرکت ها نگرانی های مصرف کنندگان در خصوص امنیت و ریسک های تکنولوژیک را دست کم گرفته اند.

شبکه پلی استیشن

سرویس شبکه پلی استیشن سونی پیشنهادی قدرتمند است که علاوه بر شرکت در بازی های آنلاین، به افراد امکان مرور اینترنت، پخش فیلم و غیره را نیز می دهد. عامل اصلی جذابیت این شبکه بازی های آماده قابل بارگذاری آن است. این بسته جذاب که به آسانی قابل استفاده است، در سراسر دنیا بیش از 77 میلیون و تنها در انگلستان 3 میلیون کاربر دارد.

اما در پشت آن چه چیزی قرار دارد؟

نکته 1: دسترسی ساده به یک سرویس اغلب به معنی تشخیص هویت سریع و سیستم پرداخت یکدست (بدون واسطه) است، یعنی اطلاعات کاربر - از جمله جزئیات اطلاعات کارت اعتباری وی - در جایی ذخیره می شود که به سادگی قابل دسترسی است. ذخیره چنین اطلاعاتی به این معنی است که چیزی دارید که ارزش دزدیدن دارد.
نکته 2: کاربران نهایی (بازیکنان PS3 در خانه) ممکن است تصور کنند محصولی ایمن خریده اند - چون برای استفاده نیاز به رمز عبور دارد - اما آنچه از دید آنها پنهان است زیرساخت غیر ایمن پشت این سرویس است.
نکته 3: اگر استفاده کنندگان محصول شما جوانان و افرادی با دانش فناوری بالا هستند و محصول تان نیز باید در تمام دنیا قابل دسترسی باشد، در واقع با گروه جمعیت شناختی طرف هستید که اغلب بیشترین اشتیاق را برای تخریب تکنولوژی دارد. هیچ کدام از اینها حقایقی محرمانه نیستند، پس مشکل (احتمالی) در کجا است؟

داستان سونی

بنا به اعلام سونی، حادثه یک نفوذ بیرونی به شبکه بود که منجر به افشای بخش های خاصی از اطلاعات کاربران از جمله موارد زیر منجر شد:
* نام کاربری
* آدرس (شهر، ایالت و کدپستی)
* کشور
* آدرس ایمیل
* تاریخ تولد
* نام و کلمه عبور PSN
علاوه بر این به نظر می رسد اطلاعات بیشتری از جمله جزئیات اطلاعات کارت اعتباری و اطلاعات حساب های تابع (از جمله محل حساب اصلی والدین که صورت حساب فرزندان را نیز پرداخت می کنند) نیز افشا شده باشند.
برخی از گزارشات رسانه ای مؤید این مسأله اند. پیشنهاد سونی این است که محتاطانه رفتار کنید یعنی به بانک گزارش کنید که ممکن است اطلاعات کارت اعتباری تان به سرقت رفته باشد. ادعای سونی مبنی بر سازماندهی این حمله توسط گروه نفودگر ناشناس (Anonymous)، همواره توسط این گروه رد شده است. گروه ناشناس به سرعت تکذیبیه ای بر این ادعا صادر کردند. به نظر می رسد که سونی با هدف فرار از بار مسئولیت چنین ادعای نامربوطی داشته است زیرا عوامل ریشه ای این حادثه، داخلی بودند، نه نتیجه تلاشی بیرونی.

ارزیابی امنیت باید چگونه باشد

در تئوری مجموعه ای از اصول مورد قبول برای سازمان ها (مثلاً دولت ها) و بنگاه های تجاری ای که یک تکنولوژی جدید (مثلاً یک فروشگاه آن لاین) ارائه می دهند، وجود دارد. این اصول به طور خلاصه عبارتند از:
* سازمان باید به طور مکتوب در سیاست هایش به نیاز به ارزیابی امنیتی محصولات جدید اشاره کند.
* در مراحل اولیه یک پروژه جدید باید با متخصصان امنیت صحبت کنند تا ببینند چه ویژگی های امنیتی را باید در محصول شان لحاظ کنند.
* پیش از ارائه نهایی محصول باید با آزمون از پاسخگویی به تمامی این نیازها اطمینان حاصل کنند. این آزمون ها می توانند شامل آزمون نفوذ (هک اخلاقی) نیز بشوند.
* پیش از عرضه محصول در بازار باید تمامی ایرادات، گزارش و رفع گردند.
واقعیت معمولاً کاملاً متفاوت است. اگر سازمانی فکر کند سایر مسایل، مثل عرضه سریع تر محصول مهم تر از ایمنی آن هستند، ممکن است از این اصول چشم پوشی کند. مشتریان معمولاً خواستار امنیت محصولی که می خرند، نمی شوند. فکر می کنید چند خریدار نوجوان موقع خرید PS3 به خطر لو رفتن اطلاعات کارت اعتباری والدین شان اندیشیده اند؟ گاهی اوقات یافته های متخصصین امنیت دشوار و پیچیده اند یا به وضوح بیان نشده اند.
گاهی اوقات نیز زمانی به پروژه وارد می شوند که دیگر برای تغییرات بزرگ بسیار دیر است.

نقطه نظر فرهنگی؛ تصمیم سازی در خلاء؟

شاید در این مورد فرهنگ کاری سونی عامل مهمی باشد. این اولین باری نیست که سونی دقت را فدای سرعت کرده است. در اکتبر 2005 ادعا شد که دیسک های فشرده موسیقی سونی برای مدیریت حقوق دیجیتال (www.en.wikipedia.org/wiki/Digital_Rights_Management) یک روتکیت (www.en.wikipedia.org/wiki/rootkit) بر روی کامپیوتر کاربر نصب می کنند. نصب روتکیت علاوه بر دشواری تشخیص و حذف، در بسیاری از کشورها جرم به حساب می آید. می توان نشان داد که این کار باعث تحمیل ریسک امنیتی قابل توجهی به کاربران می گردد.
پس آیا در این مورد امنیت قربانی ملاحظات بازار شده بود؟ ممکن است برنامه سازان به خاطر نوع تعریف کار یا فقدان آموزش های لازم مجبور شده باشند محصولی با امنیت کم یا فاقد امنیت تحویل دهند. اگر پروژه از لحاظ زمانی هم تحت فشار بوده باشد احتمالاً فرصت چندانی برای آزمون های امنیتی کافی زیرساخت ها وجود نداشته است. با این همه دستگاه های کاربران ایمن بود پس چرا باید خود را نگران مسایل دیگر می کردند؟
با این حال یک دیدگاه فرهنگی دیگر در مورد تصمیم سازی سازمانی وجود دارد. در سازمان های کاملاً سلسله مراتبی، قدرت تصمیم سازی واقعی بیشتر در بالای سلسله مراتب سازمانی - جایی که احتمالاً متخصصان فنی حضور ندارند و علاقه ای هم به حضور آنها نیست - متمرکز است.
ارزیابی ریسک کار ساده ای نیست و با عدم دسترسی به حقایق موجود مشکل تر هم می شود. این مسأله باعث می گردد که مدیران ارشد به جای ارزیابی ریسک (که کاری مشکل و پردردسر است) تصمیم بگیرند که چه ریسک هایی وجود دارد.
پس آیا مدیریت سونی چنین تصمیمی را به عنوان سیاستی کلی اتخاذ کرده است یا فقط برای بهترین محصولش از این روش استفاده می کند؟
این بدون شک مقدمه اتفاقاتی است که بعداً رخ داد.
آیا ارزیابی ریسک به درستی انجام شده است یا برای رسیدن به مهلت زمانی با میان بر زدن از این فرآیند عبور کرده اند؟ آیا شبکه به درستی میان بخش بازی و سیستم پرداخت تفکیک قایل شده بود؟ آیا زمان کافی برای تست کامل سیستم وجود داشته است؟ بسیاری از شرکت ها به جای این کار با انتشار یک کد بتا، گزارش ایرادات را به مشتریان شان محول می کنند. این روش با وجود سادگی و هزینه کم، همیشه روش مناسبی به حساب نمی آید.

درس های این حادثه

کاستن از اهمیت این حادثه با این توجیه که ریشه در بی کفایتی داشته است، کاری ساده است. اما این استدلال ساده انگارانه و غیر مفید است. بنابراین دلایل موجهی برای بررسی برخی از زمینه های اصلی این حادثه از نقطه نظر شرکت و افراد وجود دارد.

نقطه نظر شرکت

از زمانی که کاربران نهایی دستگاه پلی استیشن را می خرند، سونی دیگر تقریباً هیچ قدرتی بر تصمیمات و تغییرات کاربران ندارد. در نتیجه تمامی ساز و کارهای امنیتی تعبیه شده در دستگاه می توانند بلااستفاده شوند. وقتی محصول یا کد به مشتری تحویل داده می شود چقدر می توانید اطمینان داشته باشید که وی آن را دستکاری نکند؟
به گفته جرم شناسان برای وقوع جرم باید وسیله، انگیزه و فرصت آن فراهم باشد. یک پرتال آن لاین مانند شبکه پلی استیشن، یک وب سایت یا یک برنامه کاربردی بانک داری ساخته شده اند که در تمام دنیا قابل دسترسی باشند. آنها طراحی شده اند تا راه ورودی باشند برای دسترسی به چیزی ارزشمند، بنابراین حتماً مورد حمله قرار خواهند گرفت. دیگر پرسش این نیست که به شما حمله می شود یا نه.
بلکه پرسش این است که آیا قادر خواهید به موقع، حمله را تشخیص، ترجیحاً از آن جلوگیری یا اثرات مخرب آن را رفع کنید؟
با توجه به نکته اخیر، بررسی امنیت کلی محصول اهمیت می یابد. اینکه بخشی غیر قابل نفوذ بر روی زیر ساختی پر از حفره های امنیتی قرار بگیرد اصلاً مناسب نیست. به نظر می رسد مورد سونی نیز اینگونه باشد. هکرها مانند مدیران پروژه فکر نمی کنند. آنها به دنبال حفره های امنیتی می گردند، نه اینکه کدام پروژه مسئول کدام بخش است. سونی پس از کشف نفوذ تصمیم گرفت شبکه را از دسترس خارج کند. سونی به عنوان یک سازمان برای چند روز یا حتی چند هفته خارج کردن شبکه از دسترس بنیه مالی دارد. اما اگر شرکت شما تنها از طریق اینترنت با مشتریان در تماس باشد نیز می توانید پس از نفوذ سیستم را از دسترس خارج کنید؟ این پرسش به طور خاص در مورد شرکت های کوچک تر اهمیت دارد.

نقطه نظر فردی

ضعیف ترین لینک دفاعی نباشید. مثلاً بسیاری از افراد از یک کلمه عبور در بیش از یک سیستم استفاده می کنند. بنابراین کلمه عبورشان در PSN احتمالاً همان کلمه عبور ایمیل، بانک، آمازون، Ebay, Paypal و... آنها است. این بدان معنا است که نفوذ به یکی از این سیستم ها به طرق مختلفی بر فرد تأثیر می گذارد و بیشتر اثرات فوری حادثه بر دوش او قرار می گیرد زیرا او است که باید کارت های بانکی و... خود را از اعتبار ساقط کند. چند نفر از والدینی که اطلاعات کارت شان را در اختیار PSN قرار می دادند به این مسأله فکر کرده بودند؟
پیش از آنکه اطلاعات تان را در اختیار یک شرکت آن لاین قرار دهید فکر کنید که چقدر اطمینان دارید آنها از این اطلاعات به خوبی محافظت کنند. حتی شرکت هایی که خدمات و محصولاتی ارزان قیمت عرضه می کنند نیز به اندازه بانک تان باید از اطلاعات شما محافظت کنند. لطف بزرگی می کنید اگر ابتداً بپرسید که "محصول آنلاین شما تا چه میزان ایمن است؟" این کار به شرکت ها نشان می دهد که امنیت مسأله مهمی است. به یاد داشته باشید که از حقوقی قانونی برخوردارید. در بسیاری از کشورها به ویژه در اتحادیه اروپا قوانینی وجود دارند که نحوه مجاز جمع آوری، ذخیره، پردازش و ایمن سازی اطلاعات شخصی شما توسط سازمان ها را مشخص می کنند. البته این به خودی خود جلوی پیشامدهای امنیتی را نمی گیرد - حداقل نه بیشتر از آن چیزی که قوانین جلوی بقیه جرایم را گرفته اند - اما از این نظر که به سازمان ها و بنگاه ها یادآوری می کند که باید ملاحظات شما را جدی بگیرند، مفید است.

آینده

سونی در نهایت از این مشکل خلاص می شود. شبکه پلی استیشن دوباره فعالیت آنلاین خود را از سر می گیرد و کاربران به ندرت این چند هفته ای را که مجبور بودند بدون قابلیت های آنلاین سیستم سر کنند، به یاد می آورند. با افزایش تعداد نفوذها، امنیت محصول یا خدمات شما به یکی از تقاضاهای اصلی مشتریان بدل خواهد شد، زیرا به هر حال این داده های آنها است که به خطر می افتد و آنها هستند که باید زحمت از اعتبار ساقط کردن کارت هایشان را به دوش بگیرند. این باید محرکی باشد تا تصمیماتی تجاری در خصوص امنیت اتخاذ شود، نه اینکه فقط به جزئیات حقوق کاربران در قوانین افزوده شود. به نظر می رسد که رسانه ها نیز این مسأله را درک کرده اند و امروز بیش از هر زمان دیگری مشتاق افشای مشکلات امنیتی هستند. صنعت اتومبیل سازی در چند دهه گذشت با تأکید بر ایمنی خودرو پیشرفت های قابل توجهی داشته است. همان طوری که رانندگان در حین تصادف به کمربند ایمنی، کیسه هوا و سایر ساز و کارهای ایمنی خودرو برای نجات از مرگ اعتماد دارند، شرکت ها باید اعتماد کاربران را جلب کنند که حتی در صورت بروز مشکل، داده های آنها ایمن خواهد بود. NatWest یکی از بزرگ ترین بانک های انگلستان و یکی از اعضای گروه RBS است. یکی از مثال های مناسب تشخیص امنیت به عنوان بخشی از ارزش محصول، شمول شاخص های امنیتی در استاندارد خدمات مشتریان (Customer Charter) این بانک است.
در این گزارش که به صورت سالیانه منتشر می شود عملکرد سازمان در گستره ای از معیارها اندازه گیری می شود و از نتایج آن در تبلیغات تلویزیونی هم استفاده می کنند. در نهایت اینکه آثار بلند مدت خطاهای امنیتی را در نظر بگیرید. حال که ضعف ایمنی PSN آشکار شده است، هکرها در کدامیک از محصولات، خدمات و زیرساخت های دیگر سونی به دنبال مشکلات امنیتی می گردند؟
و وقتی تمامی کاربران 14 ساله PSN بخواهند خرید تکنولوژی بعدی شان را انجام دهند چه اتفاقی می افتد؟
منبع: نشریه بزرگراه رایانه شماره 143