روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مثل همیشه از اینکه بگوییم قصه‌های پریان در خود لایه‌ی پنهانی از امنیت فناوری دارند خسته نمی‌شویم. پیشتر داستان‌هایی از قبیل سفیدبرفی، بزبز قندی، شنل ‌قرمزی، گربه چکمه‌پوش، ملکه برفی و سه خوک کوچک را از چشم‌انداز امنیت سایبری مورد بررسی قرار دادیم و حالا نوبت به قصه‌ی علی‌بابا و چهل دزد بغداد رسیده است؛ یکی از داستان‌های جذاب در دل داستان هزار و یک شب. فقط قصه‌گویان اروپایی نبودند که سعی داشتند تهدیدهای سایبری را گوشزد کنند بلکه اینطرف، کفه‌ی شرقی‌ها نیز سنگین است. در ادامه همراه‌مان باشید تا قصه‌ی علی‌بابا و چهل تهدید سایبری را برایتان تعریف کنیم.

بعنوان مثال، شهرزاد قهرمان زن «هزار و یک شب» این داستان کلاسیک آنچه را که تنها می‌شود در قالب یک بلاگ امنیت اطلاعات روزانه به همراه پادکست‌های ویدیویی توصیفش کرد نگاه می‌داشت. در این مقاله به طور خاص قصد داریم روی یکی از قصه‌هایی که شهرزاد تعریف می‌کند تمرکز کنیم: علی‌بابا و چهل دزد بغداد. حتی کسانی که اصلاً این قصه را بلد نیستند هم باز تا حدی با ورد اجی مجی لاترجی آشنایی دارید!

کل ایده این قصه بر پایه‌ی استفاده از رمزعبور برای محافظت در برابر دسترسی‌های غیرقانونی بنا نهاده شده است. اما بعید می‌دانیم این فقط قرار بوده یک توصیه امنیت اطلاعاتی ساده نهفته در قصه‌ی پریان باشد.

انتقال رمزعبور از طریق کانالی ناامن

بگذارید مروری کوتاه بر قصه داشته باشیم: یک دسته دزد، گنجی را در غاری که تنها با استفاده از رمزعبور اجی مجی لاترجی باز می‌شود پنهان کرده‌اند. مکانیزم محافظتی ایرادات زیادی دارد. ابتدای داستان، رهبر دزدها در قسمت ورودی غار می‌ایستد و با صدای بلند می‌گوید: «اجی مجی لاترجی!». چندین مشکل همین اول کار به چشم می‌خورد: یک اینکه رمزعبور ساده و دم دستی است. دو اینکه خبری از احراز هویت دو عاملی (یا حتی یک نام کاربری ساده!) نیست. حتی بدتر اینکه، رمزعبور تنها از طریق کانالی باز انتقال یافته است. علی‌بابا –که در همین حوالی در حال جمع کردن هیزم است- ناخواسته صدای دزد را می‌شنود. در حقیقت، فقط از روی کنجکاوی و نه نیت شرورانه علی‌بابا هم رمزعبور را امتحان می‌کند. با این حال، وقتی غار باز می‌شود او وارد شده و بخشی از گنج را برای خود برمی‌دارد.

ماژول جاسوس‌افزار

علی‌بابا در راه بازگشت به خانه، سکه‌های طلا را به زنش می‌دهد تا بشمارد. زنش سعی می‌کند این کار را به صورت دستی انجام دهد اما شمارش خیلی از سکه‌ها از دستش در رفت و به همین خاطر از جاری‌اش (زنِ برادر علی‌بابا که قاسم نام داشت) ابزاری برای شمارش قرض می‌گیرد. در برخی ترجمه‌ها ذکر شده این وسیله ترازوی آشپزخانه بوده و برخی نیز می‌گویند یک‌جور گلدان بوده اما جزئیات دقیقی در این مورد در دست نیست. آنچه مهم است این است که زن قاسم که حالا شاخک‌هایش تکان خورده بود ته آن وسیله را به عسل آغشته می‌کند (در برخی ترجمه‌ها می‌گویند پیه گوسفند بوده است) تا بفهمد چرا اقوامش به شدت به این وسیله نیاز پیدا کردند. و وقتی آن وسیله برگردانده می‌شود به تهش یک سکه چسبیده است و این یعنی زن علی‌بابا داشته با آن سکه می‌شمارده است! حتی کم‌هوش‌ترین فرد در حوزه سایبری هم می‌تواند بفهمد که نویسنده دارد ماژول جاسوس‌افزاری را توصیف می‌کند که درون یک محصول قانونی جاسازی شده است. همسر قاسم دستگاهی را ارائه می‌دهد (تحت مدل سرویس خدماتی) و بعد با استفاده از همان دستگاه شروع می‌کند به جاسوسی کردنِ فعالیت کلاینت. نکته آموزنده این داستان: از ابزارهایی استفاده کنید که از منابع قابل‌اطمینانی بیرون آمده‌اند. همینطور آسیب‌پذیری‌های احتمالی‌ و ایمپلنت‌های آلوده‌شان را مورد بررسی قرار دهید.

رمزعبورهای فراموش‌شده

آنچه بعدش اتفاق می‌افتد کمی دور از ذهن به نظر می‌رسد. علی‌بابا همه‌چیز را پیش قاسم اعتراف می‌کند و به او رمزعبور را هم می‌گوید. قاسم وارد غار می‌شود. درست وقتی توی غار است رمزعبور فراموشش می‌شود (این رمزعبور برای خروج از غار هم لازم بود). حالا او در غار گیر افتاده و دزدها که برگردند آنجا سرش را گوش تا گوش خواهند برید. پیام بازاریابی روشن است: «سر یک رمزعبور فراموش‌شده سرت را به باد نده». البته می‌گویند شاید از مدام تکرار کردنش، ورد خاصیت خود را از دست داد. به هر حال آن زمان مدیر کلمه‌ی عبوری در کار نبوده اما بعد از گذشت اندی سال سعی می‌کنیم آن را با Kaspersky Password Manager خود جبران کنیم. این محصول در کمال امنیت رمزعبورها و سایر اطلاعات محرمانه را ذخیره می‌کند.

رمزعبور ثابت

بگذارید برگردیم به داستان. بعد از اینکه قاسم نتوانست برگردد به خانه، اقوامش شروع می‌کنند به دنبال او گشتن. علی‌بابا برمی‌گردد به غار و جسد برادرش را آنجا پیدا می‌کند. او را می‌برد خانه تا مراسم تدفینش را برگزار کند. در طول این فرآیند، به خواننده نمونه دیگری از خط‌مشی رقت‌انگیز رمزعبور نشان داده شد: دزدان بعد از این حادثه رمز را عوض نکردند. دلیلش هم هیچ معلوم نیست. شاید یک سهل‌انگاری ساده و یا تصور غلط از مختصات سیستم احراز هویت. در آن واحد این امکان نیز وجود دارد که آن‌ها اصلاً خودشان هم حقوق ادمین نداشتند. اگر خودشان هم به غار دستبرد زده باشند (که خوب از اول اسم دزد رویشان بود) پس حتماً فقط و فقط یک رمزعبور بیشتر نداشتند.

حمله از طریق یک کنتراکتور

از آنجایی که علی‌بابا می‌خواهد ماجرا مخفی بماند نمی‌تواند جسد بی‌سر را خاک کند. برای همین او و همسر بیوه‌ی قاسم و خدمتکارش مرجانه این کار را بر عهده می‌گیرند تا به اصطلاح مبهم‌سازی کد کنند. مرجانه چندین بار برای دارو به داروخانه می‌رود تا بلکه بشود قاسم جان گیرد اما رفته‌رفته او نفسش قطع می‌شود. در همین اثنا مرجانه پینه‌دوزی را هم با خود آورده بود تا شاید بشود سر قاسم را به تنش وصله کرد. علاوه بر اینها چشم پینه‌دوز هم بسته بودند تا او نفهمد دارد کجا می‌رود و مسیر را یاد نگیرد. دزدان که در تلاش بودند منبع نشتی اطلاعات را پیدا کنند سعی می‌کنند به پینه‌دوز نزدیک شوند. آن‌ها به او وعده طلا می‌دهند و مجبورش می‌کنند ردپایش را به آن مسیر ثبت کند. این نمونه نشان می‌دهد حتی اگر از طریق کانالی رمزگذاری‌شده و امن هم با کنتراکتور کار کنید همچنان اطلاعات حساس می‌تواند به دست مهاجمین درز پیدا کند. شاید مرجانه باید با پینه‌دوز در قراردادی عدم افشای اطلاعات را از قبل طی می‌کرد.

هانی‌نت

یکی از اعضای گروه دزدها دروازه خانه قاسم را –جایی که علی‌بابا اکنون در آن زندگی می‌کند- علامت‌گذاری می‌کند و با همدستان خود آن شب برمی‌گردد تا هر که آنجاست را قلع و قمع کند. با این حال، مرجانه که زیرک بود علامت را می‌فهمد و روی همه‌ی خانه‌های اطراف همین علامت را می‌کشد. در اصل مرجانه، از خیابان به عنوان نوعی شبکه هانی‌پات استفاده کرده تا دزدان را به دام بیاندازد. در تئوری، عملکرد چنین خواهد بود: مهاجمین در شبکه یکی از هانی‌پات‌ها را با هدف اشتباه می‌گیرند، شروع به حمله می‌کنند و بنابراین مقاصد و متودهای خود را رو می‌کنند. تا بخواهند متوجه خطاشان شوند، متخصصین واحد پاسخگویی به بخش سایبری دولت آمدند و حمله را خنثی کردند. تنها چیزی که مبهم می‌ماند این است که استفاده از خانه مردمان بی‌گناه به عنوان هانی‌پات تا چه اندازه می‌تواند کار اخلاقی باشد. به هر روی، به کسی آسیبی وارد نشد.

کانتینرسازی[1]

سرکرده‌ی دزدها تصمیم می‌گیرد خود به تنهایی مسئولیت حمله را بر عهده گیرد. او 40 کوزه بزرگ برمی‌دارد (ارجاعی احتمالی به  .JAR همان فرمت فایل Java ARchive)، دو تا پر از روغن و بقیه خالی. کوزه‌های پرشده از روغن قرار است اسکن سطحی را دور بزنند و کوزه‌های خالی نیز با دزدها پر می‌شوند. او با این محموله در خانه علی‌بابا می‌رود. سرکرده دزدها خودش را فروشنده روغن جا می‌زند. خودش به عنوان مهمان به خانه راه‌ پیدا می‌کند و قصد دارد با این کار بقیه دزدها را وقتی همه خوابند داخل کند. به طور کلی این توصیفی بود از حمله زیرساختی با استفاده از بدافزاری پنهان در کانتینرها (به این روش کانتینرسازی می‌گویند). از آنجایی که اسکنرهای درب ورودی داخل کانتینرها را وارسی نمی‌کنند، این تهدید به داخل زیرساخت راه پیدا می‌کند. حالا رئیس دزدها که نقش نفوذی را ایفا کرد بدافزار را به جریان می‌اندازد. اما مرجانه باری دیگر علی‌بابا را نجات می‌دهد و صدای یکی از دزدها را داخل کوزه می‌شنود. یک به یک کوزه‌ها را وارسی می‌کند تا ببیند داخل کدامیک راهزن قایم شده است. بعد هم روغن داغ را می‌ریزد توی کوزه و تهدید از بین می‌رود. به بیانی دیگر، حتی آن زمان هم مرجانه ابزاری برای اسکن محتوای داخل کوزه‌ها داشت. راهکار Kaspersky Hybrid Cloud Security ما نیز به همین فناوری مجهز است با این تفاوت که 1500 سال به‌روزتر شده است. در نهایت، عدالت پابرجا می‌ماند. سرکرده‌ی دزدها کشته می‌شود، مرجانه با پسر علی‌بابا ازدواج می‌کند (پسری که تا ته قصه نفهمیدیم کجا بود و چه کار می‌کرد) و علی‌بابا هم تنها کسی بود که ورد باز شدن غار پر از گنج را می‌دانست.

نتیجه اخلاقی قصه

• وقتی در حال طراحی سیستم احراز هویت هستید امنیت را مد نظر قرار دهید. استفاده از رمزعبوری هاردکدشده که از طریق کانالی رمزگذاری‌نشده انتقال داده می‌شود آن هم بدون احراز هویت چند عاملی تنها به مخمصه افتادن است.
• تأمین‌کنندگان و کنتراکتورهای زیرمجموعه را به دقت انتخاب کنید. در صورت امکان ابزارها و سرویس‌های آن‌ها را بررسی کنید تا ببینید آیا آسیب‌پذیری یا ایمپلنت‌های آلوده‌ای پیدا می‌شود یا خیر. یادتان نرود همه طرفین باید پیمان‌نامه عدم افشا را امضا کنند.
• از راهکار امنیتی استفاده کنید که کارش اسکن محتوای کانتینرها است وقتی که دارند بارگیری می‌شوند تا نگذارند کد آلوده از سوی منبعی دستکاری‌شده به پروژه راه پیدا کند.  

[1] Containerization

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.