روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مثل همیشه از اینکه بگوییم قصههای پریان در خود لایهی پنهانی از امنیت فناوری دارند خسته نمیشویم. پیشتر داستانهایی از قبیل سفیدبرفی، بزبز قندی، شنل قرمزی، گربه چکمهپوش، ملکه برفی و سه خوک کوچک را از چشمانداز امنیت سایبری مورد بررسی قرار دادیم و حالا نوبت به قصهی علیبابا و چهل دزد بغداد رسیده است؛ یکی از داستانهای جذاب در دل داستان هزار و یک شب. فقط قصهگویان اروپایی نبودند که سعی داشتند تهدیدهای سایبری را گوشزد کنند بلکه اینطرف، کفهی شرقیها نیز سنگین است. در ادامه همراهمان باشید تا قصهی علیبابا و چهل تهدید سایبری را برایتان تعریف کنیم.
بعنوان مثال، شهرزاد قهرمان زن «هزار و یک شب» این داستان کلاسیک آنچه را که تنها میشود در قالب یک بلاگ امنیت اطلاعات روزانه به همراه پادکستهای ویدیویی توصیفش کرد نگاه میداشت. در این مقاله به طور خاص قصد داریم روی یکی از قصههایی که شهرزاد تعریف میکند تمرکز کنیم: علیبابا و چهل دزد بغداد. حتی کسانی که اصلاً این قصه را بلد نیستند هم باز تا حدی با ورد اجی مجی لاترجی آشنایی دارید!
کل ایده این قصه بر پایهی استفاده از رمزعبور برای محافظت در برابر دسترسیهای غیرقانونی بنا نهاده شده است. اما بعید میدانیم این فقط قرار بوده یک توصیه امنیت اطلاعاتی ساده نهفته در قصهی پریان باشد.
انتقال رمزعبور از طریق کانالی ناامن
بگذارید مروری کوتاه بر قصه داشته باشیم: یک دسته دزد، گنجی را در غاری که تنها با استفاده از رمزعبور اجی مجی لاترجی باز میشود پنهان کردهاند. مکانیزم محافظتی ایرادات زیادی دارد. ابتدای داستان، رهبر دزدها در قسمت ورودی غار میایستد و با صدای بلند میگوید: «اجی مجی لاترجی!». چندین مشکل همین اول کار به چشم میخورد: یک اینکه رمزعبور ساده و دم دستی است. دو اینکه خبری از احراز هویت دو عاملی (یا حتی یک نام کاربری ساده!) نیست. حتی بدتر اینکه، رمزعبور تنها از طریق کانالی باز انتقال یافته است. علیبابا –که در همین حوالی در حال جمع کردن هیزم است- ناخواسته صدای دزد را میشنود. در حقیقت، فقط از روی کنجکاوی و نه نیت شرورانه علیبابا هم رمزعبور را امتحان میکند. با این حال، وقتی غار باز میشود او وارد شده و بخشی از گنج را برای خود برمیدارد.
ماژول جاسوسافزار
علیبابا در راه بازگشت به خانه، سکههای طلا را به زنش میدهد تا بشمارد. زنش سعی میکند این کار را به صورت دستی انجام دهد اما شمارش خیلی از سکهها از دستش در رفت و به همین خاطر از جاریاش (زنِ برادر علیبابا که قاسم نام داشت) ابزاری برای شمارش قرض میگیرد. در برخی ترجمهها ذکر شده این وسیله ترازوی آشپزخانه بوده و برخی نیز میگویند یکجور گلدان بوده اما جزئیات دقیقی در این مورد در دست نیست. آنچه مهم است این است که زن قاسم که حالا شاخکهایش تکان خورده بود ته آن وسیله را به عسل آغشته میکند (در برخی ترجمهها میگویند پیه گوسفند بوده است) تا بفهمد چرا اقوامش به شدت به این وسیله نیاز پیدا کردند. و وقتی آن وسیله برگردانده میشود به تهش یک سکه چسبیده است و این یعنی زن علیبابا داشته با آن سکه میشمارده است! حتی کمهوشترین فرد در حوزه سایبری هم میتواند بفهمد که نویسنده دارد ماژول جاسوسافزاری را توصیف میکند که درون یک محصول قانونی جاسازی شده است. همسر قاسم دستگاهی را ارائه میدهد (تحت مدل سرویس خدماتی) و بعد با استفاده از همان دستگاه شروع میکند به جاسوسی کردنِ فعالیت کلاینت. نکته آموزنده این داستان: از ابزارهایی استفاده کنید که از منابع قابلاطمینانی بیرون آمدهاند. همینطور آسیبپذیریهای احتمالی و ایمپلنتهای آلودهشان را مورد بررسی قرار دهید.
رمزعبورهای فراموششده
آنچه بعدش اتفاق میافتد کمی دور از ذهن به نظر میرسد. علیبابا همهچیز را پیش قاسم اعتراف میکند و به او رمزعبور را هم میگوید. قاسم وارد غار میشود. درست وقتی توی غار است رمزعبور فراموشش میشود (این رمزعبور برای خروج از غار هم لازم بود). حالا او در غار گیر افتاده و دزدها که برگردند آنجا سرش را گوش تا گوش خواهند برید. پیام بازاریابی روشن است: «سر یک رمزعبور فراموششده سرت را به باد نده». البته میگویند شاید از مدام تکرار کردنش، ورد خاصیت خود را از دست داد. به هر حال آن زمان مدیر کلمهی عبوری در کار نبوده اما بعد از گذشت اندی سال سعی میکنیم آن را با Kaspersky Password Manager خود جبران کنیم. این محصول در کمال امنیت رمزعبورها و سایر اطلاعات محرمانه را ذخیره میکند.
رمزعبور ثابت
بگذارید برگردیم به داستان. بعد از اینکه قاسم نتوانست برگردد به خانه، اقوامش شروع میکنند به دنبال او گشتن. علیبابا برمیگردد به غار و جسد برادرش را آنجا پیدا میکند. او را میبرد خانه تا مراسم تدفینش را برگزار کند. در طول این فرآیند، به خواننده نمونه دیگری از خطمشی رقتانگیز رمزعبور نشان داده شد: دزدان بعد از این حادثه رمز را عوض نکردند. دلیلش هم هیچ معلوم نیست. شاید یک سهلانگاری ساده و یا تصور غلط از مختصات سیستم احراز هویت. در آن واحد این امکان نیز وجود دارد که آنها اصلاً خودشان هم حقوق ادمین نداشتند. اگر خودشان هم به غار دستبرد زده باشند (که خوب از اول اسم دزد رویشان بود) پس حتماً فقط و فقط یک رمزعبور بیشتر نداشتند.
حمله از طریق یک کنتراکتور
از آنجایی که علیبابا میخواهد ماجرا مخفی بماند نمیتواند جسد بیسر را خاک کند. برای همین او و همسر بیوهی قاسم و خدمتکارش مرجانه این کار را بر عهده میگیرند تا به اصطلاح مبهمسازی کد کنند. مرجانه چندین بار برای دارو به داروخانه میرود تا بلکه بشود قاسم جان گیرد اما رفتهرفته او نفسش قطع میشود. در همین اثنا مرجانه پینهدوزی را هم با خود آورده بود تا شاید بشود سر قاسم را به تنش وصله کرد. علاوه بر اینها چشم پینهدوز هم بسته بودند تا او نفهمد دارد کجا میرود و مسیر را یاد نگیرد. دزدان که در تلاش بودند منبع نشتی اطلاعات را پیدا کنند سعی میکنند به پینهدوز نزدیک شوند. آنها به او وعده طلا میدهند و مجبورش میکنند ردپایش را به آن مسیر ثبت کند. این نمونه نشان میدهد حتی اگر از طریق کانالی رمزگذاریشده و امن هم با کنتراکتور کار کنید همچنان اطلاعات حساس میتواند به دست مهاجمین درز پیدا کند. شاید مرجانه باید با پینهدوز در قراردادی عدم افشای اطلاعات را از قبل طی میکرد.
هانینت
یکی از اعضای گروه دزدها دروازه خانه قاسم را –جایی که علیبابا اکنون در آن زندگی میکند- علامتگذاری میکند و با همدستان خود آن شب برمیگردد تا هر که آنجاست را قلع و قمع کند. با این حال، مرجانه که زیرک بود علامت را میفهمد و روی همهی خانههای اطراف همین علامت را میکشد. در اصل مرجانه، از خیابان به عنوان نوعی شبکه هانیپات استفاده کرده تا دزدان را به دام بیاندازد. در تئوری، عملکرد چنین خواهد بود: مهاجمین در شبکه یکی از هانیپاتها را با هدف اشتباه میگیرند، شروع به حمله میکنند و بنابراین مقاصد و متودهای خود را رو میکنند. تا بخواهند متوجه خطاشان شوند، متخصصین واحد پاسخگویی به بخش سایبری دولت آمدند و حمله را خنثی کردند. تنها چیزی که مبهم میماند این است که استفاده از خانه مردمان بیگناه به عنوان هانیپات تا چه اندازه میتواند کار اخلاقی باشد. به هر روی، به کسی آسیبی وارد نشد.
کانتینرسازی[1]
سرکردهی دزدها تصمیم میگیرد خود به تنهایی مسئولیت حمله را بر عهده گیرد. او 40 کوزه بزرگ برمیدارد (ارجاعی احتمالی به .JAR همان فرمت فایل Java ARchive)، دو تا پر از روغن و بقیه خالی. کوزههای پرشده از روغن قرار است اسکن سطحی را دور بزنند و کوزههای خالی نیز با دزدها پر میشوند. او با این محموله در خانه علیبابا میرود. سرکرده دزدها خودش را فروشنده روغن جا میزند. خودش به عنوان مهمان به خانه راه پیدا میکند و قصد دارد با این کار بقیه دزدها را وقتی همه خوابند داخل کند. به طور کلی این توصیفی بود از حمله زیرساختی با استفاده از بدافزاری پنهان در کانتینرها (به این روش کانتینرسازی میگویند). از آنجایی که اسکنرهای درب ورودی داخل کانتینرها را وارسی نمیکنند، این تهدید به داخل زیرساخت راه پیدا میکند. حالا رئیس دزدها که نقش نفوذی را ایفا کرد بدافزار را به جریان میاندازد. اما مرجانه باری دیگر علیبابا را نجات میدهد و صدای یکی از دزدها را داخل کوزه میشنود. یک به یک کوزهها را وارسی میکند تا ببیند داخل کدامیک راهزن قایم شده است. بعد هم روغن داغ را میریزد توی کوزه و تهدید از بین میرود. به بیانی دیگر، حتی آن زمان هم مرجانه ابزاری برای اسکن محتوای داخل کوزهها داشت. راهکار Kaspersky Hybrid Cloud Security ما نیز به همین فناوری مجهز است با این تفاوت که 1500 سال بهروزتر شده است. در نهایت، عدالت پابرجا میماند. سرکردهی دزدها کشته میشود، مرجانه با پسر علیبابا ازدواج میکند (پسری که تا ته قصه نفهمیدیم کجا بود و چه کار میکرد) و علیبابا هم تنها کسی بود که ورد باز شدن غار پر از گنج را میدانست.
نتیجه اخلاقی قصه
- وقتی در حال طراحی سیستم احراز هویت هستید امنیت را مد نظر قرار دهید. استفاده از رمزعبوری هاردکدشده که از طریق کانالی رمزگذارینشده انتقال داده میشود آن هم بدون احراز هویت چند عاملی تنها به مخمصه افتادن است.
- تأمینکنندگان و کنتراکتورهای زیرمجموعه را به دقت انتخاب کنید. در صورت امکان ابزارها و سرویسهای آنها را بررسی کنید تا ببینید آیا آسیبپذیری یا ایمپلنتهای آلودهای پیدا میشود یا خیر. یادتان نرود همه طرفین باید پیماننامه عدم افشا را امضا کنند.
- از راهکار امنیتی استفاده کنید که کارش اسکن محتوای کانتینرها است وقتی که دارند بارگیری میشوند تا نگذارند کد آلوده از سوی منبعی دستکاریشده به پروژه راه پیدا کند.
[1] Containerization
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.