روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یکی از قدیمی‌ترین توصیه‌های امنیتی این است: «نرم‌افزارها را فقط از منابع رسمی دانلود کنید». منابع رسمی معمولاً فروشگاه اپ‌های اصلی در هر پلت‌فرم هستند اما برای میلیون‌ها اپ منبع‌باز رایگان و کارامد، رسمی‌ترین منبع، ذخیره‌گاه توسعه‌دهنده روی سایت جداگانه‌ای مانند گیت‌هاب یا گیت‌لب است. آنجاست که می‌توانید کد منبع پروژه، فیکس‌ها و افزونه‌های کد را پیدا کرده و اغلب سازه‌های حاضر و آماده‌ی آن اپ هم در اختیار شما قرار می‌گیرد. این سایت‌ها برای هر کسی که ذره‌ای به کامپیوتر، نرم‌افزار و برنامه‌نویسی علاقه داشته باشد آشناست.به همین دلیل است که برای بسیاری (از جمله متخصصین امنیت فناوری اطلاعات و خود توسعه‌دهندگان) کشف ناخوشایندی بود که فایلی قابل‌دسترسی در لینکی مانند github{.}com/{User_Name}/{Repo_Name}/files/{file_Id}/{file_name} قابل دسترسی می‌تواند توسط شخصی غیر از توسعه‌دهنده منتشر شود و حاوی ... هر چیزی باشد. البته مجرمان سایبری بلافاصله از این موضوع سوء استفاده کردند.

بیایید مشکل را بررسی کنیم

گیت‌هاب و خویشاوندش گیت‌لب بر پایه مشارکت روی پروژه‌های توسعه نرم‌افزار ساخته شدند. یک توسعه‌دهنده قادر است کد آن‌ها را آپلود نموده و بقیه می‌توانند افزونه، فیکس و حتی فورک (نسخه‌های جایگزین آن اپ یا آرشیو) را پیشنهاد دهند. اگر کاربری در اپ باگ پیدا کند، می‌تواند آن را با ساختن گزارشی که شرح معضل باشد آن را به توسعه‌دهنده گزارش دهد. بقیه کاربران می‌توانند مشکل را در کامنت‌ها تأیید کنند. همچنین می‌توانید در مورد نسخه‌های جدید اپ نیز نظر دهید. در صورت لزوم، می‌توانید فایل‌هایی را به کامنت ضمیمه کنید؛ برای مثال داکیومنت‌هایی که اپ را کرش یا خراب می‌کنند. این فایل‌ها با استفاده از لینک‌هایی از نوعی که بالاتر شرح داده شد روی سرورهای گیت‌هاب ذخیره می‌شوند. با این حال گیت‌هاب یک خصیصه دارد: اگر کاربری کامنتی تدارک دیده باشد و آن را به همراه فایل‌ها آپلود کند اما روی دکمه «نشر» کلیک نکرده باشد، اطلاعات در بخش پیش‌نویس باقی می‌ماند و هم برای دارنده اپ و هم کاربران دیگر گیت‌هاب غیرقابل‌رؤیت خواهد بود.  با این وجود، لینک مستقیم به فایلی که در کامنت آپلود شده ساخته شده و تماماً عملیاتی است و هر کسی که آن را فالو داشته باشد قادر به درک فایل از CDN گیت‌هاب خواهد بود. و صاحبان مخزنی که فایل در بخش کامنت‌ها پست شده نمی‌توانند آن را پاک یا مسدود کنند. آن‌ها اصلاً روحشان هم از این ماجرا خبر ندارد! همچنین هیچ تنظیماتی برای محدود کردن آپلود چنین فایل‌هاییبرای این مخزن به طور کلی وجود ندارد. تنها راهکار این است که تماماً کامنت‌ها غیرفعال شوند (روی گیت‌هاب، می‌توانید این کار را تا سقف 6 ماه انجام دهید) اما این توسعه‌دهندگان را از بازخورد محروم خواهد کرد. ساز و کار کامنت‌گذاریِ گیت‌لب هم مشابه است. فایل‌ها از طریق لینکی مانند gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name} قابل دسترسی‌اند. با این وجود، با توجه به این حقیقت که تنها کاربران ثبت‌نامی و لاگین‌کرده می‌توانند دست به آپلود فایل‌ بزنند شاید این مشکل کمی خوش‌خیم‌تر باشد.

هدیه‌ای برای کمپین‌های فیشینگ

به لطف توانایی در نشر فایل‌های دلخواه در لینک‌هایی که با گیت‌هاب/گیت‌لب شروع می‌شوند و حاوی نام‌های توسعه‌دهندگان مذکور و پروژه‌های محبوب هستند (به دلیل اینکه کامنت نشرنشده با یک فایل می‌تواند تقریباً در هر مخزنی باقی بماند)، مجرمان سایبری این فرصت را دارند که حملات فیشینگ متقاعدکننده‌ای را پیش ببرند. کمپین‌های آلوده از الان کشف کرده‌اند کدام کامنت‌های حاوی اپ‌های تقلب در بازی در مخازن مایکروسافت باقی مانده‌اند. کاربر هشیار ممکن است بماند چرا یک چیت گیم باید در مخزن مایکروسافت باقی مانده باشد:

https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip.

اما احتمالش زیاد است که کلیدواژه‌های گیت‌هاب و مایکروسافت، به قربانی‌ای که لینک را بیشتر از اینها بررسی نمی‌کند حس اطمینان و دل‌گرمی داده است. مجرمان باهوش‌تر ممکن است با زیرکی بیشتری بدافزار خود را نمایش دهند؛ برای مثال آن‌ها می‌توانند بدافزارشان را جای نسخه جدید اپی معرفی کنند که از طریق گیت‌هاب یا گیت‌لب توزیع شده و لینک‌ها را هم از طریق بخش کامنت همان اپ پست کنند.

راهکارهای امنیتی

با توجه به اینکه نقص طراحی مذکور برطرف نشده و هر کسی می‌تواند آزادانه فایل‌های دلخواه را در CDN GitHub و GitLab آپلود کند، کاربران این پلتفرم‌ها باید بسیار مراقب باشند. از این رو توصیه می‌کنیم:

•         فایل‌ها را از لینک‌های مستقیم GitHub/GitLab که در منابع خارجی - سایر وب‌سایت‌ها، ایمیل‌ها یا چت‌ها پیدا می‌کنید، دانلود ننموده و در عوض، صفحه پروژه (github{.}com/{User_Name}/{Repo_Name} یا gitlab{.}com/{User_Name}/{Repo_Name}) را باز کنید و مطمئن شوید واقعاً می‌توانید فایل را از آنجا دانلود کنید. فایل‌های رسمی توسعه‌دهندگان باید در مخزن منتشر شده و قابل مشاهده باشند.
•         مطمئن شوید که در صفحه توسعه‌دهنده مناسب هستید – در GitHub، GitLab و دیگر مخازن منبع باز، تایپسکوت رایج است: ایجاد پروژه‌های جعلی با نام‌هایی که با نام اصلی یک یا دو حرف متفاوت هستند (مثلا Chaddev به جای Chatdev).
•         از دانلود برنامه‌هایی که ستاره (لایک) کمی دارند و اخیراً ایجاد شده‌اند خودداری کنید.
•         از محافظت در برابر بدافزار و فیشینگ در همه رایانه‌ها و تلفن های هوشمند خود استفاده کنید. محصول ما به نام کسپرسکی پریمیوم محافظت جامعی را برای گیمرها و علاقه مندان به رایانه فراهم می‌کند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.