ملکه‌ی برفی: گزارش امنیت سایبری به هفت روایت

29 اردیبهشت 1399 ملکه‌ی برفی: گزارش امنیت سایبری به هفت روایت

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فکر می‌کنید مَتَلِ «ملکه برفی[1]» نوشته‌ی هانس کریستین آندرسن، این متخصص امنیت سایبری واقعاً در مورد چیست؟ دختری شجاع که برای نجات دادن دوست عزیزش شخصیت زمستان را شکست می‌دهد؟ یک بار دیگر به این موضوع فکر کنید. بگذارید واقع‌گرا باشیم: قصه‌ی ملکه‌ی برفی گزارشی است کامل و با جزئیات از تحقیقات موفق گردا[2] متخصص امنیت اطلاعات در خصوص اینکه چطور کای[3] با یک تکه بدافزار پیچیده‌ی لعنتی آلوده شد. در ادامه با ما همراه شوید تا این قصه‌ی پریان را از چشم‌اندازی امنیت سایبری و آن هم به هفت روایت مورد بررسی قرار دهیم.

قصه‌ی 1: آینه و تکه‌هایش

اگر تا به حال وبلاگ‌های امنیت اطلاعات همچون سکیورلیست را دنبال کرده باشید احتمالاً می‌دانید که گزارشات تحقیقات اغلب با بررسی تاریخچه‌ی رخدادها شروع می‌شود. گزارش تحقیق آندرسن نیز از این قاعده مستثنی نیست: اولین قصه‌ی آن ماهیت اصلی پرونده‌ی کای را کنکاش می‌کند. روزی روزگاری (بنا بر اطلاعات آندرسن) یک ترول (موجود افسانه‌ای) آینه‌ای جادویی می‌سازد که قادر است خوبی را در مردم کم کرده و نیروی شر را در آن‌ها تقویت کند. این آینه توسط شاگردان نابلدش شکسته و هزار تکه شد؛ هر تکه به چشم و قلب آدم‌ها رخنه کرد و با این‌ حال آینه هنوز ماهیت ویرانگر خود را حفظ کرده بود. برخی این تکه‌ها را زدند به قاب‌های پنجره‌شان که این منظره پیش چشمانشان را زشت و منحرف کرد و برخی دیگر از آن‌ها به عنوان شیشه عینک استفاده کردند. ما از پیش در داستان سفیدبرفی فهمیده‌ایم که داستان‌نویسان اغلب از آینه به عنوان استعاره‌ای برای بازتاب (به معانی گسترده‌اش) استفاده می‌کردند: تلویزیون‌ها، کامپیوترها، تبلت‌ها، گوشی‌ها (یک‌جورهایی وسیله‌ای برای دریافت تصویر، اینطور نیست؟). بنابراین، ترجمه‌ی حرف‌های آندرسن از زبان تمثیلی به نثری ساده از قرار زیر می‌شود:

هکری قدرتمند سیستمی با یک مرورگر درون‌سازه‌ای ساخته بوده که می‌توانسته وبسایت‌ها را به انحراف بکشاند.

متعاقباً شاگردان ترول هم از تکه‌های کد منبع برای آلوده کردن تعداد زیادی از دستگاه‌های مایکروسافت ویندوز و حتی شیشه‌های واقعیت افزوده استفاده کردند. در واقع، این پدیده اصلاً هم غیرمرسوم نبوده است. نشت اکسپلویت EternalBlue نمونه‌ایست بارز. این نشتی باعث و بانی پاندمی‌های واناکرای و پتیا و نیز چندین باج‌افزار همه‌گیر دیگر (البته با میزان کمتری از تخریب) بود. بگذارید باری دیگر به قصه برگردیم.

قصه‌ی 2: پسر کوچولو و دختر کوچولو

در قصه‌ی دوم، آندرسن به سراغ شرح مفصل‌تری از یکی از قربانیان و بردار اولیه‌ی آلودگی می‌رود. بر طبق داده‌های موجود، کای و گردا از طریق پنجره‌های اتاق شیروانی‌شان که بهم نزدیک بود ارتباط برقرار می‌کردند (ارتباط مبتنی بر ویندوز!). کای یک زمستان از پنجره‌اش زنی زیبا و غریب را پیچیده‌ در خزی سفید و بسیار نرم دید. این اولین ملاقات کای با هکر (که از این بعد او را با نام ملکه‌ی برفی می‌شناسیم) بود. کمی بعد، کای درست وسط قلبش تیر کشید و چیزی انگار صاف به چشمش سیخ زد. اندرسن در آن لحظه آلودگی را اینطور توصیف کرده است. وقتی کد مخرب وارد قلب (کرنل سیستم‌عامل) و چشم (دستگاه ورودی اطلاعات) شد، واکنش کای به محرک‌های خارجی به طور قابل‌ملاحظه‌ای تغییر کرد و تمامی اطلاعات دریافتی ناگهان تحریف‌شده به نظر می‌رسیدند. کمی بعد، او کاملاً خانه را ترک کرد و سورتمه‌ی خود را با طناب به سورتمه‌ی ملکه‌ی برفی بست. کای که به دلایلی به ملکه اعتماد کرده بود به او می‌گوید چطور مو لا درز محاسبات ذهنی‌اش نمی‌رود و چطور ابعاد و جمعیت هر کشور را می‌داند. خوب به نظر می‌رسد اینها اطلاعاتیست کم‌اهمیت اما بعدتر خواهیم دید که چطور مهاجم به طور خاص به این اطلاعات علاقه نشان می‌دهد.

قصه‌ی 3: باغ گلِ زن جادوگر

گردا شروع کرد به انجام تحقیقاتش و از قضا به زنی برخورد که به هر دلیلی مانع تحقیق او شد. اگر بخواهیم بخش‌های مهم را اشاره کنیم، پس می‌رویم سراغ آن لحظه که عفریته موهای فر گردا را شانه زد و همین باعث شد که او کای را فراموش کند. به بیانی دیگر، عجوزه یک‌جورهایی اطلاعات مربوط به تحقیقِ گردا را خراب کرد. به یاد داشته باشید که اسلحه‌ی سایبری او (شانه) از پیش برای ما شناخته‌شده است.

 در گزارش برادران گریم در مورد رخداد سفیدبرفی، نامادری از ابزاری مشابه برای بلاک کردن قربانی‌اش استفاده کرد. می‌گویید تصادفی بوده یا این رخدادها به هم ربط دارند؟ در هر صورت –در خصوص پرونده سفیدبرفی بلاک ناشی از شانه زدن دائمی نبود- اطلاعات ریستور شد و گردا تحقیقات خود را ادامه داد. در آخر بخش سوم گزارش، گردا از گل‌های باغ جادوگر می‌پرسد آیا کای را دیده‌اند یا خیر. این محتمل‌ترین ارجاع به مسنجر قدیمی ICQ است که گل حکم لوگوی آن را دارد (و شاخص وضعیت کاربری). با برقراری ارتباط با جادوگر، گردا داشت سعی می‌کرد (به کمک کانتکت‌های خود) در مورد این رخداد اطلاعات اضافی دریافت کند.

قصه‌ی 4: پرنس و پرنسس

مرحله‌ی چهارم تحقیق کاملاً بی‌ربط به نظر می‌رسد. گردا سعی داشت کای را از طریق پایگاه اطلاعاتی دولتی مدیریت کند. او برای انجام این کار با یک سری کلاغ که به او اجازه دسترسی به ساختمان دولتی را می‌دادند (کاخ سلطنتی) طرح دوستی ریخت. گرچه شاید به نتایج خوبی نرسید اما گردا از سر وظیفه به دولت در مورد آسیب‌پذیری و کلاغ‌های ناامن گزارش داد. پرنس و پرنسس آسیب‌پذیری را پچ کردند و به کلاغ‌ها گفتند که از دست آن‌ها عصبانی نیستند اما دیگر نباید این کار را تکرار کنند. توجه داشته باشید که آن‌ها پرندگان را تنبیه نکردند؛ بلکه فقط از آن‌ها خواستند تا رفتارشان را تغییر دهند. پرنس و پرنسس به عنوان جایزه به گردا منابع دادند (یک کالسکه، لباس گرم و چندتایی خدمتکار). این نمونه‌ی بارزیست از نحوه‌ی واکنش‌دهی یک سازمان وقتی محققان آسیب‌پذیری‌ای را گزارش می‌دهند (بیایید امیدواریم باشیم این جایزه فقط یکبار نباشد و تبدیل به برنامه‌ای دائمی و انگیزشی شود).

قصه‌ی 5: دخترک دزد

در این قصه، گردا ظاهراً به چنگال مشتی راهزن می‌افتد و آندرسن در واقع از تمثیلی دیگر برای توضیح اینکه «گردا وقتی در مرحله قبلی به بن‌بست خورد، مجبور شد از کمک نیروهایی استفاده کند که شاید کاملاً هم قانونی نبودند» استفاده می‌کند. مجرمان سایبری می‌گذارند گردا با یک سری کبوترِ مخبر در تماس باشد؛ کبوترهایی که دقیقاً می‌دانستند مقصر رخداد کای کیست. همچنین گوزنی هم با گردا در تماس بود که آدرس برخی کانتکت‌های مفید دارک‌نت را داشت. کمک باارزشی هم بود؛ او اکثر منابع بدست‌آورده از داستان قبلی را از دست داده بود.

آندرسن برای اینکه تلاش‌های این محقق جوان را دست‌کم نگیرد سعی می‌کند اینطور شرح دهد که روابط گردا با مجرمان اجتناب‌ناپذیر بوده است- او می‌‌گوید مجرمان گردا را ابتدا می‌دزدند و تنها بعد از سرقت اوست که بهش ترحم کرده و اطلاعات بدو می‌دهند. شاید خیلی متقاعدکننده به نظر نرسد. به احتمال زیاد این یک توافق متقابل دو سر برد بوده است.

قصه‌ی 6: زن فنی و زن لاندی

حالا می‌رسیم به مرحله‌ آخر جمع‌آوری اطلاعات لازم برای تحقیق از طریق کانتکت‌های دارک‌نت (تأمین‌شده توسط راهزن‌ها). گوزن گردا را با زنی لاندی[4] آشنا می‌کند که روی پوسته‌ی خشک‌شده‌ی ماهی توصیه‌نامه‌ای نوشت به مخبر بعدی (زنی فنی[5]). زن فنی در عوض آدرس باغ ملکه‌ی برفی را –که به وضوح همان نام سرور فرمان و کنترل است- داد. نکته‌ی ظریف این بخش: او که پیام را خوانده بود پوسته را در کاسه‌ای سوپ می‌اندازد. او اهمیت به جای نگذاشتن ردّی جزئی و غیرضروری را فهمیده بود و از همین رو به دقت قوانین OPSEC را دنبال کرد؛ درست مثل پیرهای باتجربه و حرفه‌ای.

قصه‌ی 7: چه اتفاقی برای قصر ملکه برفی افتاد و بعد از آن چه شد

داستان آخر این را توضیح می‌دهد که چرا ملکه‌ی برفی از همان اول کار کای را می‌خواست. او همانجا نشست و مشغولِ مرتب کردن تکه‌های یخی شد؛ سعی داشت کلمه‌ی «جاودانگی» را هجی کند. دیوانگی است نه؟ ابداً (اگر از کریپتوماینینگ خبر داشته باشید دیگر آن را به چشم دیوانگی نمی‌بینید). اینطور توضیح داده می‌شود که کریپتوماینرها در اصل کارشان مرتب‌سازی حجمی از اطلاعات است تا نه تنها هر نوع هش‌ را دریافت کنند که همچنین بتوانند به «زیباترین هش‌ها» برسند. در واقع، کای سعی داشت تکه‌های مجزای اطلاعاتی را طوری مرتب‌سازی کند که هش در قالب واژه‌ی «جاودانگی» بیرون بیاید.

در این مرحله، روشن می‌شود چرا در داستان دوم آندرسن روی قدرت رایانشیِ کای تمرکز کرده بود. این دقیقاً همان چیزی بود که کای دنبالش بود و کای تنها به خاطر مقاصد کریپتوماینینگ آلوده شده بود. همچنین این بخش دغدغه‌ی ملکه‌ی برفی را با هر چیزِ شمالی و سرد توجیه می‌کند؛ یک مزرعه‌ی ماینینگ با عملکرد بالا به سرمایش اساسی نیاز دارد. گردا سپس با اشک‌های خود قلب یخی کای را ذوب می‌کند (یعنی با استفاده از ابزارهای مختلف کد مخرب را پاک کرده و کنترل کرنل سیستم را باز پس می‌گیرد). سپس کای می‌زند زیر گریه و این یعنی او آنتی‌ویروس درون‌سازه‌ای‌اش را فعال کرده است (قبلاً با ماژولی آلوده در کرنلش بلاک شده بود). بعد دومین تکه‌ی کد آلوده‌اش را از چشمانش درمی‌آورد.

آخر گزارش کمی با توجه به استانداردهای امروزی نامعمول به نظر میرسد. نشانگرهای دستکاری سازمانی به جای ارائه توصیه‌هایی برای قربانیان احتمالی بی‌منطق و بی‌ربط در مورد بازگشت شخصیت‌ها به خانه حرف می‌زنند. شاید در قرن نوزدهم، گزارشات امنیت اطلاعات اینطوری همه‌چیز را رتق و فتق می‌کرد. همانطور که پیشتر هم گفتیم، نویسندگان قصه‌های پریان در حقیقت قدیمی‌ترین متخصصین امنیت سایبری در حوزه کسب و کارند. پرونده‌ی ملکه‌ی برفی نیز مهر تأییدی است بر این ادعا. همانطور که شرح داده شد، یک متل برداشتی است با جزئیات از تحقیق روی رخدادی پیچیده. 

 

[1] یک افسانه است که توسط هانس کریستین آندرسن نویسندهٔ دانمارکی داستان‌های کودکان نوشته شد.

[2] شخصیت دختربچه‌ی داستان

[3] شخصیت پسربچه‌ی داستان

[4] Lapland

[5] Finnish

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد