روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نوامبر در آمریکا، ماه «آگاهی ملیِ صرع» شناخته شده است. نوامبر گذشته بیشک آگاهی بیسابقهای نسبت به بیماری صرع به خود دید البته دلیلش، حملات مهاجمین سایبری بود: ترولهای اینترنتی در توییتر از تصاویر انیمیشنیِ فلشدار (چشمکزن) استفاده نموده و برای آزار دادن افراد مبتلا به صرع، سازمان صرع را تگ کردند. در ادامه ضمن ارائهی راهکارهای امنیتی شما را با چند و چون این حمله آشنا کردهایم. با ما همراه باشید.
عملکرد حمله
صرع، -که یک اختلال عصبی است- به تشنجهای صرعیِ پیاپیاش شناخته شده است. هر ساله بیش از 100 هزار نفر بر اثر این بیماری جان خود را از دست میدهند. یکی از انواع رایج این بیماری، صرعِ حساس به تصویر است که طی آن، حملات میتوانند با استفاده از نورهای چشمکزن تحریک شوند. در حملهای که قصد داریم امروز شما را در جریانش قرار دهیم نیز همین نوع صرع مورد هدف مهاجمین سایبری قرار گرفته است. کاربران توییتر نه تنها میتوانند در این پلتفرم اجتماعی پیامهای متنی پست کنند که همچنین قادر به نشر تصاویر، ویدیو و تصاویر انیمیشنی نیز هستند. مورد آخر با دو گزینه ارائه میشود: گیف و PNG انیمیشنی (APNG). هر دو نوع فایل تا حد زیادی مانند هم هستند و تنها فرقشان در کیفیت و عمق رنگ تصویر است. اما در این مورد خاص، مهاجمین از قابلیت دور زدن تنظیمات اتوپلیِ توییرِ APNG سوء استفاده کردند.
کاربران ثبتنامیِ توییتر میتوانند انتخاب کنند به محض اینکه این مدیا در فیدهایشان پدیدار میشود، گیفها و ویدیوها شروع کنند به پخش شدن. کاربران مبتلا به صرع بهتر است این بخش اتوپلی را غیرفعال کنند چون ممکن است محتوای انیمیشنی تشنجهایشان را تحریک کند. اما تا همین اواخر تنظیمات، روی APNGها اجرایی نمیشد و همین باعث میشد آنها به طور خودکار شروع به پخش شدن کنند. استفادهی سوء از APNGها ایدهی اصلیِ این حملهی ترول بود. بر اساس گزارشات سیانان، بیش از 30 اکانت توییتهایی با تصاویر انیمیشنی و چشمکزن پست کردند که سازمان صرع نیز در آنها تگ شده بوده است (همچنین هشتگهای این سازمان نیز کپی پیست شده بوده). این تصاویر بیشتر در قالب APNG بودند بنابراین میتوانستند به طور خودکار شروع به پخش و حرکت کنند. در طول این ماهِ آگاهی ملی، افراد بیشتری اکانت سازمان صرع را دنبال کرده و از هشتگهای آن استفاده نمودند که میشود گفت احتمال اینکه خیلی از آنها مبتلا به صرع بودند بسیار زیاد است.
پیامد این حمله
در ماه بعد این حمله، پیامدها به شرح زیر بود:
- بسیاری از رسانههای مهم این حمله را تحت پوشش قرار داده و ماه آگاهی ملی صرع را به جد ماهِ آگاهی خواندند.
- سازمان صرع در پی این حمله شکایتی تنظیم کرد و در پاسخ به این هجوم سایبری خواستار انجام تحقیقات لازمه شد. هنوز کشمکشهای این ماجرا ادامه دارد اما سخت بشود انکار کرد این حمله هدفش آسیب رساندنِ جدی به بیماران صرع در سراسر جهان بوده است.
- توییتر هم به سهم خود روی پلتفرمش تغییراتی اعمال کرد و سعی نمود از تکرار چنین اتفاقی تا حد امکان جلوگیری کند. ابتدا این پلتفرم اجتماعی شروع کرد به ممنون کردن APNGها. بعد از آن اکنون توییتر نمیگذارد گیفها وقتی فرد دارد «صرع» یا «تشنج» را جستوجو میکند روی صفحه ظاهر شوند.
ما میخواهیم همه تجربهای مطمئن در توییتر داشته باشند.
APNGها سرگرمکننده بودند اما به تنظیمات پخش خودکار احترام نمیگذاشتند، از این رو قابلیت افزودن آنها به توییتها را از میان برداشتیم.
بدینترتیب، امنیت افرادی که به تصاویر متحرک و چشمکزن حساسند (شامل کسانی که مبتلا به بیماری صرع هستند) حفظ میشود. https://t.co/Suogtrop1u
-Twitter AccessibilityTwitterA11y@ -23 دسامبر 2019
آیا ممنوع کردن APNGها کافیست؟
اقداماتی که توییتر انجام داد به طور حتم برای جلوگیری از وقوع مجدد چنین حملاتی در آینده بسیار مؤثر واقع شده است اما شاید کافی نباشد. اینکه توییتر قصد دارد در این راستا اقدامات بیشتری بردارد دیگر به خود این شرکت بستگی دارد. به نقل از سازمان صرع، بسیاری از افراد تا وقتی تشنج نکنند متوجه نمیشود صرعشان از نوع حساس به تصاویر متحرک و چشمکزن است. با این حال، تنظیمات پخش خودکار توییتر به طور پیشفرض فعال است و این بدان معنا میباشد که برای کاربرانی که نوع صرعشان را نمیدانند و یا نسبت به تنظیمات اتوپلی توییتر آگاهی ندارند، گیفها و ویدیوها همچنان به طور خودکار پخش خواهد شد (حتی اگر حاوی محتوای متحرک و چشمکزن باشند که بسیار خطرناک است).
افزون بر این، افرادی که در توییتر لاگین نمیشوند و یا اکانتی ثبت نکردند هیچ گزینهای بهشان داده نمیشود. در صورتی که قابلیت پخش خودکار به صورت پیشفرض باشد، اگر فردی در توییتی به شما لینکی با تصاویر انیمیشنی بفرستد به طور خودکار پخش خواهند شد.
حملهی سال گذشته تلنگر دیگری بود برای اینکه یادمان باشد جهان فیزیکی و دیجیتالی ما از هم جدا نیستند و اتفاقاً پیوند عمیقی بین آنها وجود دارد. این دو جهان مدتهاست با هم عجین شدند، حالا دیگر چیزهای دیجیتالی روی سلامت افراد تأثیر میگذارد (و نه این تنها به بیولوژیمان محدود نمیشود، در آینده شاهد خواهیم بود چطور بُعد اکولوژیکیمان نیز پوشش داده خواهد شد)؛ درست همانطور که چیزهای فیزیکی میتواند سلامتی انسان را تحتالشعاع قرار دهد.
افرادی که صرعشان از نوع حساسیت به تصاویر متحرک و چشمکزن است به مهمانیهایی که در آنها نورپردازیهای شدید انجام میشود نمیروند. بسیاری از فیلمها و بازیهای ویدیویی نیز وقتی میخواهند نمایش داده شوند اخطار میدهند که ممکن است تشنجهای صرعی را تحریک کنند.
راهکارهای امنیتی
ما مشاورین پزشکی نیستیم و در تیم کسپرسکی چنین افرادی را نداریم؛ بنابراین پیشنهاد اصلی ما برای افراد مبتلا به این بیماری و یا کسانی که مشکوک به ابتلا بدان هستند این است که (در خصوص توییتر):
- اتوپلی را غیرفعال کنید. برای انجام این کار به بخش Settings and privacy در اکانت توییتر خود رفته، گزینهی Accessibility را انتخاب نموده سپس Autoplay را زده و بعد هم Never را برگزینید. همچنان قادر خواهید بود ویدیوها گیفهای انیمیشنی را ببینید ولی بعد از کلیک روی آنها شروع به اجرا خواهند کرد.
- به تنظیمات حریم خصوصی توجه کنید. برای اینکه نگذارید افراد برایتان پیامهای دایرکت بفرستند (با محتوایی ناخواسته مانند گیفهای چشمکزن) گزینهی Privacy and Safety را انتخاب کرده و تیک Receive messages را از روی همه بردارید.
- یادتان باشد اگر میخواهید برای همیشه با توییتر خداحافظی کنید اما همچنان توییتها را بخوانید، در معرض تنظیمات پیشفرض و اتوپلیها باقی خواهید ماند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.