منبع‌باز، همه‌ی دردها را دوا نمی‌کند

22 دی 1398 منبع‌باز، همه‌ی دردها را دوا نمی‌کند

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ خیلی از افراد فکر می‌کنند نرم‌افزار اگر منبع‌باز باشد ایمن‌تر از نرم‌افزارهای مالکیتی است. در سی و ششمین کنگره‌ی ارتباطات آشوب (C3[1]36) که ماه گذشته برگزار شد، متخصصین اندرو هوانگ، شاین کراس و تام ماربل این موضوع چالش‌برانگیز را پیش کشیدند که آیا اساساً پیاده‌سازی طرح منبع‌باز برای حل مشکلات امنیتی در بخش سخت‌افزاری کافیست یا نه. در ادامه قرار است روشن کنیم چرا پدیده‌ی منبع‌باز نیز در نهایت نمی‌تواند چاره‌ی همه‌ی مشکلات باشد. پس با ما همراه شوید.

تفاوت‌های بین سخت‌افزار و نرم‌افزار از حیث اعتماد

ایمنیِ نرم‌‌افزارهای منبع‌باز نه تنها در باز بودنشان که همچنین در افزارهای پرکاربردشان نهفته است؛ ابزارهایی که به طور گسترده‌ای از آن‌ها استفاده می‌شود؛ ابزارهایی که تضمین می‌دهند برنامه‌ای که در اندپوینت اجرایش می‌کنید با کد منبع نشرشده صادق است. برای مثال، برنامه‌نویس‌ها با یک گواهی دیجیتال نرم‌افزارهای خود را امضا می‌کنند و سیستم پیش از اجرای این نرم‌افزار روی کامپیوتر کاربر گواهی را بررسی می‌کند. اما در خصوص بخش سخت‌افزاری این مسئله فرق دارد: کاربران اگر برای هش کردن و یا امضاهای دیجیتال به هیچ آنالوگ سخت‌افزاری دسترسی نداشته باشند دیگر ابزاری هم ندارند که با آن بتوانند صحت و صداقت سخت‌افزار را در مقابل اطلاعات نشرشده در خصوصِ آن بررسی کنند. آخرین باری که یک دستگاه یا قطعه در واقع مورد بررسی قرار می‌گیرد همان فکتوری (کارخانه) است. و هر قدر فاصله‌ی بین بررسی کارخانه‌ای با استفاده‌ی دستگاه بیشتر طولانی‌تر باشد، شانس یک حمله‌ی موفق MITM[2] نیز بیشتر است.

ایراد کار کجا می‌تواند باشد؟ 

اگر بخواهیم کلی صحبت کنیم، هر چیزی می‌تواند برای تراشه‌ها و یا کل دستگاه‌ها در فاصله‌ی بین ترک کردن کارخانه و استفاده شدن برای اولین بار بیافتد. نخست اینکه، سفت‌افزار[3] می‌تواند تعویض شود. (البته که سفت‌افزار در واقع می‌توان گفت یک مشکل نرم‌افزاری است؛ بنابراین می‌تواند مورد تأیید قرار گیرد اما شما همچنان باید در طول این تأییدیه به سخت‌افزار خود متکی باشید). از همین روست که هوانگ مرکز صحبت‌هایش مشکلات مرتبط با بخش سخت‌افزاری بود (تعویض، دستکاری و ایمپلنت اجزا).

افزودن اجزا

این روزها، ماژولی کاملاً غیرمجاز می‌تواند در یک رابط کابل شارژ یو‌اس‌بی جاساز شود. حتی این کار در تجهیزات پیچیده‌تر که متشکل از اجزای مختلفی هستند آسان‌تر نیز می‌شود زیرا این قِسم تجهیزات از فضای بیشتری برای ایمپلنت‌ها برخوردار هستند. تنها خبر خوب این است که به همان میزان که جاساز شدن آن‌ها راحت است به همان اندازه هم می‌توان براحتی تراشه‌های اضافه‌شده‌ی مزاحم را شناسایی نمود.

تعویض اجزا

ساده‌ترین ترفند جایگزینی، عوض کردن مارک است. نمونه‌ای بارز در زندگی واقعی: یک میکروکنترلرِ بدکارکرد در بررسی‌ای بصری چنین می‌نمود که گویی مارک درستی دارد (از شرکت STMicroelectronics) حال آنکه کل تراشه ساخت شرکت دیگری بود. آن زمان این تقلب در تعویض تراشه‌ای بسیار ارزان به جای تراشه‌ای بسیار گران بود اما این ترفند جایگزینی می‌تواند شامل هر دسیسه‌ای بشود؛ دسیسه‌هایی که عواقبش سنگین‌تر از اینها خواهد بود.

دستکاری تراشه

افراد گمان می‌کنند تراشه‌ را وقتی از کارخانه بیرون می‌آید دیگر نمی‌شود دستکاری کرد؛ اما چنین چیزی اصلاً حقیقت ندارد. در بسیاری از موارد آنچه ما به عنوان یک تراشه‌ی واحد می‌بینیم در واقع چندین ریزمدار[4] است قرار گرفته در یک بسته. یک مهاجم خبره می‌تواند از همین فناوری برای گذاشتن قطعات بیشتری از سیلیکون در همان بسته استفاده کرده و این ایمپلنت را به کانکت‌های موجود وصل کند. در حقیقت، تجهیزاتی که برای انجام این کار لازم است نسبتاً کم‌هزینه بوده و خیلی زود هم فراهم می‌شود (بر طبق گفته‌های این سخنگو، یک دستگاه سیم‌کشی از چین حدود 7000 دلار قیمت دارد)، هرچند نتایج جعلی در X-rayها قابل‌شناسایی خواهند بود. بسته‌ها یا پکیج‌هایی که در مقیاس تراشه و در سطح ویفر[5] هستند برای دستکاری هزینه‌ی بیشتری برمی‌دارند اما X-ray‌ها دیگر قادر به نمایش این فریب‌ها نیستند.

اصلاح مدار مجتمع (IC)

عموماً، شرکت‌ها برای امور مخصوص به حوزه‌ی خود تراشه طراحی می‌کنند اما آن‌ها را برای تولید برون‌سپاری می‌نمایند؛ تنها مهره‌های اصلی و به اصطلاح کله‌گنده‌ی بازارند که توان تولید تراشه‌های خود را دارند. در چنین آرایشی، بیش از یک روش برای دستکاری محصول نهایی وجود دارد. علاوه بر اینها، بعد از اینکه تراشه یا دستگاه از دستان طراح خارج می‌شود دیگر کسی به خودش زحمت بررسی کردن محصول نهایی برای مطابقت دادن ریزه‌کاری‌ها نمی‌دهد (به ندرت پیش می‌آید اینطور باشد).

در چه نقطه‌ای سخت‌افزار می‌تواند عوض شود؟

متخصصین در این کنگره چندین سناریوی تعویض ارائه دادند- از سناریوهای بسیار ساده گرفته تا بسیار ظریف و فریب‌دهنده. اگر بخواهیم به طور وسیع در این باره صحبت کنیم، هر کسی می‌تواند محصولی را بخرد، آن را دستکاری کند و به فروشنده برش گرداند (همان کسی که آن را دوباره می‌فروشد). حکماً، در مراحل مختلف تدارکات، تیم بسته‌بندیِ شرکت تولیدکننده، نماینده‌های سفارشی‌سازی و طرفین مختلف به این تجهیزات دسترسی دارند (و البته هر کسی که بتواند در صورت انتخاب آن‌ها را دستکاری کند). هدف و مقصود هر چه که باشد، استفاده از سخت‌افزار منبع‌باز نمی‌تواند تا حد زیادی امنیت را به ارمغان اورده و ابعاد ایمنی را قوی‌تر سازد.

نتیجه‌گیری

هوانگ در پایان سخنرانی‌اش اشاره کرد تغییرات در تولید سخت‌افزار می‌تواند کاربران نهایی را قادر به تأیید امنیت تراشه‌ها و دستگاه‌ها کند. همه‌ی راه‌های خطرناک‌سازیِ سخت‌افزار هم گران و پرزحمت نیستند و از همه مهمتر اینکه بین پیچیدگی حمله و اینکه شناسایی‌اش تا چه حد می‌تواند سخت باشد هیچ همبستگی مستقیمی وجود ندارد. در مورد کاربران تجاری هم فقط باید گفت مراقب این تهدید باشید و صرفاً به محصولات امنیتی اندپوینت تکیه نکنید.

 

[1] Chaos Communication Congress

[2] حمله مرد میانی

[3] firmware

[4] microcircuit

[5] یک برش نازک از یک نیمه‌رسانا مانند سیلیکون بلورین است که در ساخت تراشه‌های الکترونیکی و در فتوولتائیک برای ساخت سلول‌های خورشیدی کاربرد دارد

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    4,566,050 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,521,050 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    6,088,550 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,282,300 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,282,300 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    3,043,550 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    5,481,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد