روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فکر میکنید مَتَلِ «ملکه برفی[1]» نوشتهی هانس کریستین آندرسن، این متخصص امنیت سایبری واقعاً در مورد چیست؟ دختری شجاع که برای نجات دادن دوست عزیزش شخصیت زمستان را شکست میدهد؟ یک بار دیگر به این موضوع فکر کنید. بگذارید واقعگرا باشیم: قصهی ملکهی برفی گزارشی است کامل و با جزئیات از تحقیقات موفق گردا[2] متخصص امنیت اطلاعات در خصوص اینکه چطور کای[3] با یک تکه بدافزار پیچیدهی لعنتی آلوده شد. در ادامه با ما همراه شوید تا این قصهی پریان را از چشماندازی امنیت سایبری و آن هم به هفت روایت مورد بررسی قرار دهیم.
قصهی 1: آینه و تکههایش
اگر تا به حال وبلاگهای امنیت اطلاعات همچون سکیورلیست را دنبال کرده باشید احتمالاً میدانید که گزارشات تحقیقات اغلب با بررسی تاریخچهی رخدادها شروع میشود. گزارش تحقیق آندرسن نیز از این قاعده مستثنی نیست: اولین قصهی آن ماهیت اصلی پروندهی کای را کنکاش میکند. روزی روزگاری (بنا بر اطلاعات آندرسن) یک ترول (موجود افسانهای) آینهای جادویی میسازد که قادر است خوبی را در مردم کم کرده و نیروی شر را در آنها تقویت کند. این آینه توسط شاگردان نابلدش شکسته و هزار تکه شد؛ هر تکه به چشم و قلب آدمها رخنه کرد و با این حال آینه هنوز ماهیت ویرانگر خود را حفظ کرده بود. برخی این تکهها را زدند به قابهای پنجرهشان که این منظره پیش چشمانشان را زشت و منحرف کرد و برخی دیگر از آنها به عنوان شیشه عینک استفاده کردند. ما از پیش در داستان سفیدبرفی فهمیدهایم که داستاننویسان اغلب از آینه به عنوان استعارهای برای بازتاب (به معانی گستردهاش) استفاده میکردند: تلویزیونها، کامپیوترها، تبلتها، گوشیها (یکجورهایی وسیلهای برای دریافت تصویر، اینطور نیست؟). بنابراین، ترجمهی حرفهای آندرسن از زبان تمثیلی به نثری ساده از قرار زیر میشود:
هکری قدرتمند سیستمی با یک مرورگر درونسازهای ساخته بوده که میتوانسته وبسایتها را به انحراف بکشاند.
متعاقباً شاگردان ترول هم از تکههای کد منبع برای آلوده کردن تعداد زیادی از دستگاههای مایکروسافت ویندوز و حتی شیشههای واقعیت افزوده استفاده کردند. در واقع، این پدیده اصلاً هم غیرمرسوم نبوده است. نشت اکسپلویت EternalBlue نمونهایست بارز. این نشتی باعث و بانی پاندمیهای واناکرای و پتیا و نیز چندین باجافزار همهگیر دیگر (البته با میزان کمتری از تخریب) بود. بگذارید باری دیگر به قصه برگردیم.
قصهی 2: پسر کوچولو و دختر کوچولو
در قصهی دوم، آندرسن به سراغ شرح مفصلتری از یکی از قربانیان و بردار اولیهی آلودگی میرود. بر طبق دادههای موجود، کای و گردا از طریق پنجرههای اتاق شیروانیشان که بهم نزدیک بود ارتباط برقرار میکردند (ارتباط مبتنی بر ویندوز!). کای یک زمستان از پنجرهاش زنی زیبا و غریب را پیچیده در خزی سفید و بسیار نرم دید. این اولین ملاقات کای با هکر (که از این بعد او را با نام ملکهی برفی میشناسیم) بود. کمی بعد، کای درست وسط قلبش تیر کشید و چیزی انگار صاف به چشمش سیخ زد. اندرسن در آن لحظه آلودگی را اینطور توصیف کرده است. وقتی کد مخرب وارد قلب (کرنل سیستمعامل) و چشم (دستگاه ورودی اطلاعات) شد، واکنش کای به محرکهای خارجی به طور قابلملاحظهای تغییر کرد و تمامی اطلاعات دریافتی ناگهان تحریفشده به نظر میرسیدند. کمی بعد، او کاملاً خانه را ترک کرد و سورتمهی خود را با طناب به سورتمهی ملکهی برفی بست. کای که به دلایلی به ملکه اعتماد کرده بود به او میگوید چطور مو لا درز محاسبات ذهنیاش نمیرود و چطور ابعاد و جمعیت هر کشور را میداند. خوب به نظر میرسد اینها اطلاعاتیست کماهمیت اما بعدتر خواهیم دید که چطور مهاجم به طور خاص به این اطلاعات علاقه نشان میدهد.
قصهی 3: باغ گلِ زن جادوگر
گردا شروع کرد به انجام تحقیقاتش و از قضا به زنی برخورد که به هر دلیلی مانع تحقیق او شد. اگر بخواهیم بخشهای مهم را اشاره کنیم، پس میرویم سراغ آن لحظه که عفریته موهای فر گردا را شانه زد و همین باعث شد که او کای را فراموش کند. به بیانی دیگر، عجوزه یکجورهایی اطلاعات مربوط به تحقیقِ گردا را خراب کرد. به یاد داشته باشید که اسلحهی سایبری او (شانه) از پیش برای ما شناختهشده است.
در گزارش برادران گریم در مورد رخداد سفیدبرفی، نامادری از ابزاری مشابه برای بلاک کردن قربانیاش استفاده کرد. میگویید تصادفی بوده یا این رخدادها به هم ربط دارند؟ در هر صورت –در خصوص پرونده سفیدبرفی بلاک ناشی از شانه زدن دائمی نبود- اطلاعات ریستور شد و گردا تحقیقات خود را ادامه داد. در آخر بخش سوم گزارش، گردا از گلهای باغ جادوگر میپرسد آیا کای را دیدهاند یا خیر. این محتملترین ارجاع به مسنجر قدیمی ICQ است که گل حکم لوگوی آن را دارد (و شاخص وضعیت کاربری). با برقراری ارتباط با جادوگر، گردا داشت سعی میکرد (به کمک کانتکتهای خود) در مورد این رخداد اطلاعات اضافی دریافت کند.
قصهی 4: پرنس و پرنسس
مرحلهی چهارم تحقیق کاملاً بیربط به نظر میرسد. گردا سعی داشت کای را از طریق پایگاه اطلاعاتی دولتی مدیریت کند. او برای انجام این کار با یک سری کلاغ که به او اجازه دسترسی به ساختمان دولتی را میدادند (کاخ سلطنتی) طرح دوستی ریخت. گرچه شاید به نتایج خوبی نرسید اما گردا از سر وظیفه به دولت در مورد آسیبپذیری و کلاغهای ناامن گزارش داد. پرنس و پرنسس آسیبپذیری را پچ کردند و به کلاغها گفتند که از دست آنها عصبانی نیستند اما دیگر نباید این کار را تکرار کنند. توجه داشته باشید که آنها پرندگان را تنبیه نکردند؛ بلکه فقط از آنها خواستند تا رفتارشان را تغییر دهند. پرنس و پرنسس به عنوان جایزه به گردا منابع دادند (یک کالسکه، لباس گرم و چندتایی خدمتکار). این نمونهی بارزیست از نحوهی واکنشدهی یک سازمان وقتی محققان آسیبپذیریای را گزارش میدهند (بیایید امیدواریم باشیم این جایزه فقط یکبار نباشد و تبدیل به برنامهای دائمی و انگیزشی شود).
قصهی 5: دخترک دزد
در این قصه، گردا ظاهراً به چنگال مشتی راهزن میافتد و آندرسن در واقع از تمثیلی دیگر برای توضیح اینکه «گردا وقتی در مرحله قبلی به بنبست خورد، مجبور شد از کمک نیروهایی استفاده کند که شاید کاملاً هم قانونی نبودند» استفاده میکند. مجرمان سایبری میگذارند گردا با یک سری کبوترِ مخبر در تماس باشد؛ کبوترهایی که دقیقاً میدانستند مقصر رخداد کای کیست. همچنین گوزنی هم با گردا در تماس بود که آدرس برخی کانتکتهای مفید دارکنت را داشت. کمک باارزشی هم بود؛ او اکثر منابع بدستآورده از داستان قبلی را از دست داده بود.
آندرسن برای اینکه تلاشهای این محقق جوان را دستکم نگیرد سعی میکند اینطور شرح دهد که روابط گردا با مجرمان اجتنابناپذیر بوده است- او میگوید مجرمان گردا را ابتدا میدزدند و تنها بعد از سرقت اوست که بهش ترحم کرده و اطلاعات بدو میدهند. شاید خیلی متقاعدکننده به نظر نرسد. به احتمال زیاد این یک توافق متقابل دو سر برد بوده است.
قصهی 6: زن فنی و زن لاندی
حالا میرسیم به مرحله آخر جمعآوری اطلاعات لازم برای تحقیق از طریق کانتکتهای دارکنت (تأمینشده توسط راهزنها). گوزن گردا را با زنی لاندی[4] آشنا میکند که روی پوستهی خشکشدهی ماهی توصیهنامهای نوشت به مخبر بعدی (زنی فنی[5]). زن فنی در عوض آدرس باغ ملکهی برفی را –که به وضوح همان نام سرور فرمان و کنترل است- داد. نکتهی ظریف این بخش: او که پیام را خوانده بود پوسته را در کاسهای سوپ میاندازد. او اهمیت به جای نگذاشتن ردّی جزئی و غیرضروری را فهمیده بود و از همین رو به دقت قوانین OPSEC را دنبال کرد؛ درست مثل پیرهای باتجربه و حرفهای.
قصهی 7: چه اتفاقی برای قصر ملکه برفی افتاد و بعد از آن چه شد
داستان آخر این را توضیح میدهد که چرا ملکهی برفی از همان اول کار کای را میخواست. او همانجا نشست و مشغولِ مرتب کردن تکههای یخی شد؛ سعی داشت کلمهی «جاودانگی» را هجی کند. دیوانگی است نه؟ ابداً (اگر از کریپتوماینینگ خبر داشته باشید دیگر آن را به چشم دیوانگی نمیبینید). اینطور توضیح داده میشود که کریپتوماینرها در اصل کارشان مرتبسازی حجمی از اطلاعات است تا نه تنها هر نوع هش را دریافت کنند که همچنین بتوانند به «زیباترین هشها» برسند. در واقع، کای سعی داشت تکههای مجزای اطلاعاتی را طوری مرتبسازی کند که هش در قالب واژهی «جاودانگی» بیرون بیاید.
در این مرحله، روشن میشود چرا در داستان دوم آندرسن روی قدرت رایانشیِ کای تمرکز کرده بود. این دقیقاً همان چیزی بود که کای دنبالش بود و کای تنها به خاطر مقاصد کریپتوماینینگ آلوده شده بود. همچنین این بخش دغدغهی ملکهی برفی را با هر چیزِ شمالی و سرد توجیه میکند؛ یک مزرعهی ماینینگ با عملکرد بالا به سرمایش اساسی نیاز دارد. گردا سپس با اشکهای خود قلب یخی کای را ذوب میکند (یعنی با استفاده از ابزارهای مختلف کد مخرب را پاک کرده و کنترل کرنل سیستم را باز پس میگیرد). سپس کای میزند زیر گریه و این یعنی او آنتیویروس درونسازهایاش را فعال کرده است (قبلاً با ماژولی آلوده در کرنلش بلاک شده بود). بعد دومین تکهی کد آلودهاش را از چشمانش درمیآورد.
آخر گزارش کمی با توجه به استانداردهای امروزی نامعمول به نظر میرسد. نشانگرهای دستکاری سازمانی به جای ارائه توصیههایی برای قربانیان احتمالی بیمنطق و بیربط در مورد بازگشت شخصیتها به خانه حرف میزنند. شاید در قرن نوزدهم، گزارشات امنیت اطلاعات اینطوری همهچیز را رتق و فتق میکرد. همانطور که پیشتر هم گفتیم، نویسندگان قصههای پریان در حقیقت قدیمیترین متخصصین امنیت سایبری در حوزه کسب و کارند. پروندهی ملکهی برفی نیز مهر تأییدی است بر این ادعا. همانطور که شرح داده شد، یک متل برداشتی است با جزئیات از تحقیق روی رخدادی پیچیده.
[1] یک افسانه است که توسط هانس کریستین آندرسن نویسندهٔ دانمارکی داستانهای کودکان نوشته شد.
[2] شخصیت دختربچهی داستان
[3] شخصیت پسربچهی داستان
[4] Lapland
[5] Finnish
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.