روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اخیراً توسعه‌دهندگان مدیر کلمه عبور KeePass، آسیب‌پذیری‌ای را که اجازه می‌داد پسوردِ مستر از RAM (جایی که در متن شفاف[1] ذخیره شده بود) بازیابی شود بست. آسیب‌پذیری در واقع اجازه می‌داد بخش‌هایی از اطلاعات مهم مانند پیام‌های اخیر یا داده‌هایی از پایگاه‌های داده سازمانی می‌توانند از مموری سرقت شوند. توسعه‌دهندگان KeePass سریعاً راه‌حل مشکل را پیدا کردند اما پسوردها در پیشتر اپ‌ها هنوز در RAM در حالت ذخیره‌شده در متن شفاف ذخیره شدند و همین می‌تواند پاشنه آشیل سیستم‌های امنیتی باشد. یک حمله مموری به نظر عجیب و پیچیده می‌آید اما برای مهاجمین سایبری پیش بردن موفقیت‌آمیز چنین حمله‌ای مثل آب خوردن می‌ماند (اگر ادمین‌ها نتوانند اقدامات پیشگیرانه ویژه‌ای اتخاذ کنند).

چطور کسی می‌تواند به مموری کامپیوتر دسترسی داشته باشد؟

محدوده‌های رم که توسط اپ‌های مختلف استفده می‌شود تا حد زیادی توسط سیستم عامل و هایپروایزر از همدیگر ایزوله هستند. از این رو امکان خواندن بخشی از مموری که در آن اپ دیگری در حال اجراست امکان‌پذیر نیست. با این وجود فرآیندهایی با مزیت‌های کرنل (سیستم در ویندوز، روت در *NIX) می‌توانند این کار را انجام دهند. و همچنین برای افزایش مزیت سطح لازم چندتایی روش و در این میان آسیب‌پذیری‌هایی هم در بخش سیستم عامل و هم درایورهای دستگاه که اکثرشان مشترک هستند وجود دارد. راه دیگر نفوذ به RAM با حمله DMA است. این نوع حمله مبتنی بر این حقیقت است که رابط‌های با سرعت بالا (USB 4.0, Thunderbolt, Firewire و غیره) دسترسی مستقیم به مموری دارند و می‌توانند فرآیندهای I/O را تسریع بخشند. دستگاهی که به طور ویژه‌ای طراحی شده باشد می‌تواند برای خواندن هر بخش مموری از این قابلیت سوءاستفاده کند و این تهدیدی فرضی نیست: موارد واقعی آن وجود دارد (FinFireWire). اما حتی بدون دستگاه‌های پیچیده و آسیب‌پذیری‌ها هنوز این کار شدنی است! به دلیل اینکه سیستم‌عامل محتوای RAM را داخل فایل‌ها می‌نویسد، اطلاعات داخلش می‌تواند براحتی با خواندن آن فایل‌ها مورد دسترسی قرار گیرند.

چندین فایل از این جنس در ویندوز وجود دارد:

•         فایل‌های Temporary swap (pagefile.sys)
•         فایل‌های Hibernation save (hiberfil.sys)
•         مموری دامپِ خرابی و دیباگ (memory.dmp, minidump). و چنین فایل‌هایی را می‌شود به طور دستی هم تولید کرد.

روی لینوکس، دو مورد سواپ (تغییر) و هیبرناسیون (خواب زمستانی) از بخش اختصاصیِ دیسک که برای این مقاصد به اشتراک گذاشته شده است استفاده می‌کنند. رسیدن به یکی از این فایل‌ها معمولاً نیازمند دسترسی فیزیکی به کامپیوتر است اما لازم نیست کسی به اطلاعات محرمانه نیاز داشته باشد یا حتی بخواهد دستگاه را روشن کند. می‌شود هارد درایو را حذف کرد و آن را روی کامپیوتر دیگری خواند.

چطور جلوی حمله به مموری را بگیریم؟

از آنجایی که راه‌های مختلفی برای دستکاری مموری وجود دارد باید از خود همزمان روی چندین سطح محافظت کنید. برخی راهکارها کاربرپسند نخواهند بود پس پیش از اعمال آن‌ها سناریوهای کاربردیِ هر کامپیوتر را در شرکت خود بررسی کرده و حواستان به ریسک‌ها نیز باشد.

اقداماتی سرراست

بیایید با یک سری اقدامات ساده و سرراست که در همه موارد می‌شود به کارشان برد شروع کنیم:

پیاده‌سازی اصلِ اقلِ مزیت

همه کاربران باید بدون حقوق ادمین کار کنند. حتی خود ادمین‌ها باید فقط در طول مدت روندهای تعمیر وقتی واقعاً به حقوق‌شان نیاز است به چنین مزیت‌هایی دسترسی داشته باشند.

بکارگیری سیستم‌های محافظتی

روی همه کامپیوترهای فیزیکی و مجازی باید سیستم‌های محافظتی باشد. شرکت‌ها باید به سیستم‌های EDR مجهز باشند. ممطئن شوید خط‌مشی‌های امنیتی نمی‌گذارند کارمندان ابزارهای ای بسا قانونی اما بالقوه خطرناک را که می‌توانند برای افزایش مزیت به کار روند اجرا کنند.

به روزرسانی

سیستم عامل و همه اپ‌های کلیدی را به روز نگه دارید.

حصول اطمینان از بوت کامپیوترها در حالت UEFI

مطمئن شوید کامپیوترها در حالت BIOS بوت نمی‌شوند. مرتباً سفت‌افزار UEFI خود را روی همه کامپیوترها به روز کنید.

پیکربندی تنظیمات امن UEFI

واحد مدیریت خروجی/ورودی مموری (IOMMU) را برای پیشگیری از حملات DMA غیرفعال کنید. از UEFI با پسورد محافظت کرده برای کاهش ریسک اینکه سیستم از مدیای مخرب خارجی شروع شود و ستنیگ به حالت ناامنی تغییر داده شود، ترتیب بوت صحیح سیستم عامل را تعریف کنید. دو قابلیت Secure Boot و   Trusted Boot همچنین جلوی اجرا شدن کد غیرقابل‌اطمینان سیستم‌عامل را می‌گیرند.

اقداماتی مبهم

همه اقدامات فهرست‌شده در این بخش به طور قابل‌ملاحظه‌ای امنیت سیستم را بالا می‌برند اما گاهی به طور منفی روی عملکرد کامپیوتر، کاربرپسند بودن و/یا قابلیت ریکاوری بعد از فاجعه تأثیر می‌گذارند. هر یک از این راهکارها به دقت لازم در بطن نقش‌های خاص داخل شرکت نیاز دارند و پیاده‌سازی اقدامات باید همراه با دقت فراوان و انجام مرحله به مرحله‌ی تست باشد.

•         ذخیره‌گاه کلید سخت‌افزاری مبتنی بر TPM 2.0 به نام Trusted Platform Module احراز امن سیستم عامل را ارائه داده، برای ورود به اکانت از بیومتریک استفاده کرده و استخراج کلید را سخت‌تر می‌کند. TMP همچنین تا حد زیادی محافظتی را که رمزگذاری تمام دیسک بر عهده دارد ارتقا می‌دهد زیرا کلیدهای آن همچنین در ماژول نیز ذخیره می‌شوند. عیوب احتمالی: نبود TPM روی برخی کامپیوترها؛ عدم ناسازگاری ترکیب‌های سیستم‌عامل/سخت‌افزار، مشکلاتی با مدیریت متمرکز کلید (به دلیل سیستم‌های متفاوت و نسخه‌های مختلف TPM).
•         این اقدام به طور شایانی ریسک نشت داده را خصوصاً از لپ‌تاپ‌های مفقودشده یا سرقت‌گشته پایین می‌آورد. پس آن را حتی برای آن‌هایی که انقدرها هم از حملات مموری نمی‌ترسند توصیه نمی‌کنیم. پیاده‌سازی بومی مایکروسافت،  BitLocker نام دارد اما راهکارهای طرف‌سومی هم هستند. FDE (رمزگذاری تمام دیسک) نیز بخشی از بسیاری از سیستم‌های مبتنی بر لینوکس شده است (برای مثال نسخه اوبونتو 20 به بالا) و معمولاً بر پایه‌ی  LUKS است. ترکیبی از TPM و FDE بالاترین میزان قابلیت اطمینان را به ارمغان می‌آورد. عیوب احتمالی: اگر خرابی بزرگی به بار آید هیچ‌چیز از درایو قابل‌ریستور نیست. از این رو حتماً باید سیستم بک آپی با کارکرد عالی در نظر گرفته شود. گاهی در عملکرد درایو، کندی فاحشی پیش می‌آید خصوصاً موقعی که کامپیوتر دارد بوت‌آپ می‌کند.
•         غیرفعالسازی حالت خواب/استندبای. اگر حالت خواب را غیرفعال کنید وضعیت‌هایی که در آن مهاجمین به کامپیوتر بوت‌شده و نیمه رمزگذاری‌شده آسیب‌پذیر در مقابل حمله DMA و سایر متودها، به شدت نادر خواهد شد. عیب این راهکار واضح است: زیرا مود خواب از قضا سریع‌ترین و راحت‌ترین روش خاموش کردن کامپیوتر بعد از کار و یا تغییر لوکیشن در اداره است. اگر تصمیم دارید این مسیر را پیش روید همیشه FDE را اجرا کنید که در غیر این صورت، کارمندان احتمالاً از خواب زمستانی استفاده کرده و فایل خواب زمستانی در برابر حملات بی‌دفاع باقی خواهد ماند.
•         غیرفعالسازی مود خواب زمستانی. چنانچه خواب زمستانی غیرفعال شد، تصویر مموری نمی‌تواند از یک فایل روی کامپیوتر خاموش کپی شود. برای کامپیوترهای مهم هم می‌توانید هم حالت خواب زمستانی و هم حالت خواب را غیرفعال کنید. چنین دستگاه‌هایی فقط باید خاموش شوند. اگر FDE، TPM و سایر اقدامات با هم ادغام شوند احتمال حمله به مموری به پایین‌ترین حالت خودش خواهد رسید. اما کاربران حسابی به زحمت خواهند افتاد پس باید به طور جدی فکر کنید کدام مورد چنین رویکردی را توجیه می‌کند.

بی‌پرده بگوییم

اگر تصمیم داشتید به خاطر امنیت هم که شده دو حالت خواب، و خواب زمستانی را غیرفعال کنید به دقت بررسی کنید این خط‌مشی برای چه کارمندانی باید اجرایی شود. بعید است 100 درصد کارمندان بدان نیاز داشته باشند. بیشتر این سیاست برای کسانی است که با اطلاعات حیاتی سر و کار دارند. باید به آن‌ها توضیح دهید پسوردها و سایر داده‌ها به طرق مختلف می‌توانند سرقت شوند پس اقداماتی چون استفاده از آنتی‌ویروس و جلوگیری از فلان سایت برای پیشگیری از وقوع رخدادهای جدی امنیت سایبری کافی نیستند. همینطور خوب است اگر با کارمندان خود در مورد یکایک این اقدامات امنیتی کوتاه و مختصر صحبت کنید.

رمزگذاری تمام دیسک محافظت در برابر کپی کردن ساده داده‌ها از یک رایانه به حال خود رهاشده یا سرقت شده و همچنین در برابر حملات "evil maid" - یعنی یک غریبه با دسترسی فیزیکی به دستگاه را ارائه می‌دهد. غیرفعال کردن خواب و خواب زمستانی این حفاظت‌ها را تقویت می‌کند، بنابراین پنج دقیقه اضافی مورد نیاز برای روشن و خاموش کردن کامپیوتر به کارمند کمک می‌کند تا در صورت استفاده از رمز عبور خود در یک حمله سایبری، قربانی نشود.

[1] cleartext

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.