منبع‌باز، همه‌ی دردها را دوا نمی‌کند

22 دی 1398 منبع‌باز، همه‌ی دردها را دوا نمی‌کند

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ خیلی از افراد فکر می‌کنند نرم‌افزار اگر منبع‌باز باشد ایمن‌تر از نرم‌افزارهای مالکیتی است. در سی و ششمین کنگره‌ی ارتباطات آشوب (C3[1]36) که ماه گذشته برگزار شد، متخصصین اندرو هوانگ، شاین کراس و تام ماربل این موضوع چالش‌برانگیز را پیش کشیدند که آیا اساساً پیاده‌سازی طرح منبع‌باز برای حل مشکلات امنیتی در بخش سخت‌افزاری کافیست یا نه. در ادامه قرار است روشن کنیم چرا پدیده‌ی منبع‌باز نیز در نهایت نمی‌تواند چاره‌ی همه‌ی مشکلات باشد. پس با ما همراه شوید.

تفاوت‌های بین سخت‌افزار و نرم‌افزار از حیث اعتماد

ایمنیِ نرم‌‌افزارهای منبع‌باز نه تنها در باز بودنشان که همچنین در افزارهای پرکاربردشان نهفته است؛ ابزارهایی که به طور گسترده‌ای از آن‌ها استفاده می‌شود؛ ابزارهایی که تضمین می‌دهند برنامه‌ای که در اندپوینت اجرایش می‌کنید با کد منبع نشرشده صادق است. برای مثال، برنامه‌نویس‌ها با یک گواهی دیجیتال نرم‌افزارهای خود را امضا می‌کنند و سیستم پیش از اجرای این نرم‌افزار روی کامپیوتر کاربر گواهی را بررسی می‌کند. اما در خصوص بخش سخت‌افزاری این مسئله فرق دارد: کاربران اگر برای هش کردن و یا امضاهای دیجیتال به هیچ آنالوگ سخت‌افزاری دسترسی نداشته باشند دیگر ابزاری هم ندارند که با آن بتوانند صحت و صداقت سخت‌افزار را در مقابل اطلاعات نشرشده در خصوصِ آن بررسی کنند. آخرین باری که یک دستگاه یا قطعه در واقع مورد بررسی قرار می‌گیرد همان فکتوری (کارخانه) است. و هر قدر فاصله‌ی بین بررسی کارخانه‌ای با استفاده‌ی دستگاه بیشتر طولانی‌تر باشد، شانس یک حمله‌ی موفق MITM[2] نیز بیشتر است.

ایراد کار کجا می‌تواند باشد؟ 

اگر بخواهیم کلی صحبت کنیم، هر چیزی می‌تواند برای تراشه‌ها و یا کل دستگاه‌ها در فاصله‌ی بین ترک کردن کارخانه و استفاده شدن برای اولین بار بیافتد. نخست اینکه، سفت‌افزار[3] می‌تواند تعویض شود. (البته که سفت‌افزار در واقع می‌توان گفت یک مشکل نرم‌افزاری است؛ بنابراین می‌تواند مورد تأیید قرار گیرد اما شما همچنان باید در طول این تأییدیه به سخت‌افزار خود متکی باشید). از همین روست که هوانگ مرکز صحبت‌هایش مشکلات مرتبط با بخش سخت‌افزاری بود (تعویض، دستکاری و ایمپلنت اجزا).

افزودن اجزا

این روزها، ماژولی کاملاً غیرمجاز می‌تواند در یک رابط کابل شارژ یو‌اس‌بی جاساز شود. حتی این کار در تجهیزات پیچیده‌تر که متشکل از اجزای مختلفی هستند آسان‌تر نیز می‌شود زیرا این قِسم تجهیزات از فضای بیشتری برای ایمپلنت‌ها برخوردار هستند. تنها خبر خوب این است که به همان میزان که جاساز شدن آن‌ها راحت است به همان اندازه هم می‌توان براحتی تراشه‌های اضافه‌شده‌ی مزاحم را شناسایی نمود.

تعویض اجزا

ساده‌ترین ترفند جایگزینی، عوض کردن مارک است. نمونه‌ای بارز در زندگی واقعی: یک میکروکنترلرِ بدکارکرد در بررسی‌ای بصری چنین می‌نمود که گویی مارک درستی دارد (از شرکت STMicroelectronics) حال آنکه کل تراشه ساخت شرکت دیگری بود. آن زمان این تقلب در تعویض تراشه‌ای بسیار ارزان به جای تراشه‌ای بسیار گران بود اما این ترفند جایگزینی می‌تواند شامل هر دسیسه‌ای بشود؛ دسیسه‌هایی که عواقبش سنگین‌تر از اینها خواهد بود.

دستکاری تراشه

افراد گمان می‌کنند تراشه‌ را وقتی از کارخانه بیرون می‌آید دیگر نمی‌شود دستکاری کرد؛ اما چنین چیزی اصلاً حقیقت ندارد. در بسیاری از موارد آنچه ما به عنوان یک تراشه‌ی واحد می‌بینیم در واقع چندین ریزمدار[4] است قرار گرفته در یک بسته. یک مهاجم خبره می‌تواند از همین فناوری برای گذاشتن قطعات بیشتری از سیلیکون در همان بسته استفاده کرده و این ایمپلنت را به کانکت‌های موجود وصل کند. در حقیقت، تجهیزاتی که برای انجام این کار لازم است نسبتاً کم‌هزینه بوده و خیلی زود هم فراهم می‌شود (بر طبق گفته‌های این سخنگو، یک دستگاه سیم‌کشی از چین حدود 7000 دلار قیمت دارد)، هرچند نتایج جعلی در X-rayها قابل‌شناسایی خواهند بود. بسته‌ها یا پکیج‌هایی که در مقیاس تراشه و در سطح ویفر[5] هستند برای دستکاری هزینه‌ی بیشتری برمی‌دارند اما X-ray‌ها دیگر قادر به نمایش این فریب‌ها نیستند.

اصلاح مدار مجتمع (IC)

عموماً، شرکت‌ها برای امور مخصوص به حوزه‌ی خود تراشه طراحی می‌کنند اما آن‌ها را برای تولید برون‌سپاری می‌نمایند؛ تنها مهره‌های اصلی و به اصطلاح کله‌گنده‌ی بازارند که توان تولید تراشه‌های خود را دارند. در چنین آرایشی، بیش از یک روش برای دستکاری محصول نهایی وجود دارد. علاوه بر اینها، بعد از اینکه تراشه یا دستگاه از دستان طراح خارج می‌شود دیگر کسی به خودش زحمت بررسی کردن محصول نهایی برای مطابقت دادن ریزه‌کاری‌ها نمی‌دهد (به ندرت پیش می‌آید اینطور باشد).

در چه نقطه‌ای سخت‌افزار می‌تواند عوض شود؟

متخصصین در این کنگره چندین سناریوی تعویض ارائه دادند- از سناریوهای بسیار ساده گرفته تا بسیار ظریف و فریب‌دهنده. اگر بخواهیم به طور وسیع در این باره صحبت کنیم، هر کسی می‌تواند محصولی را بخرد، آن را دستکاری کند و به فروشنده برش گرداند (همان کسی که آن را دوباره می‌فروشد). حکماً، در مراحل مختلف تدارکات، تیم بسته‌بندیِ شرکت تولیدکننده، نماینده‌های سفارشی‌سازی و طرفین مختلف به این تجهیزات دسترسی دارند (و البته هر کسی که بتواند در صورت انتخاب آن‌ها را دستکاری کند). هدف و مقصود هر چه که باشد، استفاده از سخت‌افزار منبع‌باز نمی‌تواند تا حد زیادی امنیت را به ارمغان اورده و ابعاد ایمنی را قوی‌تر سازد.

نتیجه‌گیری

هوانگ در پایان سخنرانی‌اش اشاره کرد تغییرات در تولید سخت‌افزار می‌تواند کاربران نهایی را قادر به تأیید امنیت تراشه‌ها و دستگاه‌ها کند. همه‌ی راه‌های خطرناک‌سازیِ سخت‌افزار هم گران و پرزحمت نیستند و از همه مهمتر اینکه بین پیچیدگی حمله و اینکه شناسایی‌اش تا چه حد می‌تواند سخت باشد هیچ همبستگی مستقیمی وجود ندارد. در مورد کاربران تجاری هم فقط باید گفت مراقب این تهدید باشید و صرفاً به محصولات امنیتی اندپوینت تکیه نکنید.

 

[1] Chaos Communication Congress

[2] حمله مرد میانی

[3] firmware

[4] microcircuit

[5] یک برش نازک از یک نیمه‌رسانا مانند سیلیکون بلورین است که در ساخت تراشه‌های الکترونیکی و در فتوولتائیک برای ساخت سلول‌های خورشیدی کاربرد دارد

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد