امنیت مفهومی گران بها

[اذین25 1,494]

امنیت مفهومی گران بها

هکرها، محققان و مشاوران امنیتی و نمایندگان شرکت های امنیتی بزرگ در کنفرانس کلاه سیاه (بلک هت) گرد هم می آیند تا مباحث تازه امنیت رایانه را بررسی کنند.

 

 

● کنفرانس کلاه سیاه چیست؟

کنفرانس کلاه سیاه یک کنفرانس امنیت رایانه است که علاقه مندان به امنیت اطلاعات را گردهم می آورد. نمایندگان مراکز فدرال و شرکت ها نیز در کنار هکرها در این برنامه شرکت می کنند. کلاه سیاه معمولا در شهرهای لاس وگاس، بارسلونا و توکیو برگزار شده و قرار است در شهرهای دیگری نیز برپا شود. برنامه کلاه سیاه مختص مراکز فدرال هم در واشنگتن سازماندهی و برپا می شود.

کنفرانس کلاه سیاه در سال ۱۹۹۷ توسط جف ماس، هکر و مشاور امنیتی، بنا نهاده شد. ماس به غیر از این به خاطر بنیانگذاری DEF CON نیز شهرت دارد که آن هم یک گردهمایی هکرهاست که هرساله در لاس وگاس در ایالت نوادای امریکا برگزار می شود. کلاه سیاه و DEF CON به عنوان مهم ترین کنفرانس های امنیتی در جهان شناخته می شوند.

کلاه سیاه کنفرانسی بزرگ و خبرساز است، به طوری که سال ۲۰۰۹ میزبان ۴۰۰۰ متخصص و حرفه ای دنیای دیجیتال بود. این کنفرانس در ابتدا یک بار در سال در لاس وگاس برگزار می شد اما در حال حاضر در چندین محل مختلف در سراسر جهان برگزار می شود که از میان به شهرهای بارسلونا و توکیو اشاره کردیم. کلاه سیاه قرار است از ۸ تا ۱۱ نوامبر امسال برای اولین بار به خاورمیانه بیاید و در امارات متحده عربی در Emirates Palace واقع در ابوظبی برگزار شود.

کنفرانس کلاه سیاه از دو بخش اصلی سخنرانی ها و آموزش ها تشکیل شده که اشخاص مهمی در این همایش شرکت کرده و تازه های دنیای امنیت رایانه را عرضه می کنند.

این کنفرانس حواشی زیادی نیز به همراه خود دارد؛ هم به خاطر کارهای عجیب و غریبی که هکرهای حاضر در این همایش انجام می دهند و هم به خاطر افشاگری هایی که گاه و بی گاه در سخنرانی ها و در حاشیه برنامه اتفاق می افتد. شرکت کنندگان کنفرانس کلاه سیاه که در طول زمان همایش در هتل های مجلل و افسانه ای شهر لاس وگاس اقامت دارند، به خاطر در اختیار گرفتن اتصالات بی سیم، هک کردن سیستم پرداخت هزینه تلویزیون و حتی هک کردن دستگاه خودپرداز ( ATM) در لابی هتل خبرساز شده اند. به غیر از این، هکرها و محققان امنیتی در کلاه سیاه، دستاوردهای تازه خود را عرضه می کنند و همین گاهی اوقات باعث نگرانی شرکت ها می شود. در سال ۲۰۰۵ سیسکو تلاش زیادی کرد تا مایکل لین را از صحبت درباره یک آسیب پذیری که به هکرها اجازه می داد به صورت مجازی اینترنت را از کار بیندازند، منصرف کند. در هر صورت در سال های اخیر، تعامل بهتری بین این دو گروه به وجود آمده است.

کلاه سیاه ۲۰۱۰ در روزهای ۲۸ و ۲۹ جولای برگزار شد و مثل همیشه اخبار و درس های تازه ای با خود به همراه داشت که در ادامه به آن ها اشاره می کنیم.

 

 

● ۵ درسی که از کلاه سیاه ۲۰۱۰ می گیریم

۱) پول شما در امنیت نیست. بارنابی جک، محقق امنیتی، با هک کردن دستگاه خودپرداز این مساله را ثابت کرد. او هم با بازکردن فیزیکی دستگاه و نصب بدافزار (malware) موردنظر و هم با نصب آن از طریق شبکه این کار را انجام داد. این اتفاق ثابت کرد که حداقل بخشی از دستگاه های خودپرداز امن نیستند. در ادامه به این مورد بیشتر می پردازیم.

۲) تلفن همراه شما در امنیت نیست. کلاه سیاه ۲۰۱۰ کنفرانس ناگواری برای امنیت تلفن همراه ها بود. این کنفرانس نشان داد که لازم نیست صاحب شرکت خدمات تلفن همراه یا ارتباطات دولتی باشید تا بفهمید که یک شماره تلفن خاص متعلق به کیست و در کجا قرار دارد. همچنین کمپانی امنیتی Lookout فاش کرد که برنامه های کاغذ دیواری آندروید، اطلاعات شخصی شما را جمع آوری می کند در حالی که اصلا نیازی به این کار وجود ندارد. F-Secure هم اعلام کرد: «در نهایت ویروس نویسان در خواهند یافت که با آلوده کردن تلفن های همراه راحت تر از آلوده کردن رایانه ها می توانند پول به دست بیاورند.»

۳) خدمات الکترونیک شما در امنیت نیست. جاناتان پول، بنیانگذار شرکت امنیتی Red Tiger درباره ضعف سیستم های مدیریت و نظارت داده صحبت کرد و درباره آسیب پذیری هایی که مدت هاست در این سیستم ها وجود دارد و رفع نشده هشدار داد.

۴) مسیریاب خانگی (Home Router) شما در امنیت نیست. ترفند جدیدی توسط کرگ هفنر، محقق امنیتی، کشف شده که کار را برای دسترسی حمله کنندگان به شبکه خانگی شما آسان تر از پیش می کند. هفنر یک هک جاوااسکریپت نمایش داد که با استفاده از آن، حمله کننده می تواند با استفاده از DNS Rebiding یک نشانی داخلی در شبکه به دست آورد.

۵) خود کلاه سیاه هم در امنیت نیست! امسال برای اولین بار کلاه سیاه ویدیوهای کنفرانس را با هزینه ۳۹۵ دلار برای نمایش در اختیار مشترکان قرار داد. یک مشترک دریافت که با یک ترفند ساده می توان ویدیوها را به صورت رایگان تماشا کرد. این یک مورد منفی برای کنفرانسی به شمار می آید که بزرگان دنیای امنیت اطلاعات و رایانه در آن حضور دارند. البته خبرهای خوبی هم در برنامه امسال بود. مثل خبر اضافه شدن ادوبی به برنامه MAPP مایکروسافت که برای آگاهی بهتر شرکت ها از آسیب پذیری های محصولات شان است و در نهایت می تواند به امنیت بیشتر برای کاربران و مشتریان خدمات الکترونیک منجر شود.

 

 

● هک کردن دستگاه خودپرداز؟

پیش تر به هک شدن دستگاه خودپرداز در کلاه سیاه امسال اشاره کردیم که یکی از مهم ترین اخبار این همایش بود. لاس وگاس، شهری است مملو از دستگاه های بازی که اگر شانس داشته باشید می توانید برنده پول زیادی شوید؛ اما در این شهر هیچ کس تاکنون یک دستگاه خودپرداز ندیده بود که هرچقدر پول بخواهید به شما پرداخت کند! روز ۲۸ جولای و در روز اول کنفرانس، بارنابی جک، مدیر تحقیقات امنیتی IOActive Labs، دو سیستمی را در سخنرانی اش هک کرد که توسط Triton و Tranax ساخته شده بودند. هک Tranax از طریق یک آسیب پذیری در شناخت و تائید کاربر انجام شد که جک آن را در ویژگی نظارت از راه دور سیستم پیدا کرده بود که از طریق اینترنت قابل دسترسی است. برای انجام این هک از راه دور، مهاجم باید یک آدرس آی پی دستگاه خودپرداز یا شماره تلفن آن را بداند که برای یک هکر پیدا کردن آن از طریق مودم های تلفنی کار سختی نیست. هک Triton با استفاده از یک ضعف امنیتی انجام شد که به برنامه های تائیدنشده اجازه می داد روی سیستم کار کنند. هر دو خودپردازهای Triton و Tranax با ویندوز CE کار می کنند.

در مورد هک Tranax جک پس از استفاده از ضعف تائید کاربر، قادر بود که برنامه موردنظر را آپلود کند یا کل فرم ویر روی سیستم را بازنویسی کند. با این امکان، وی یک بدافزار به نام Scrooge که خودش نوشته روی آن نصب کرد. این بدافزار روی سیستم در کمین می ماند تا کاربری از خودپرداز استفاده کند. برای نمونه جک از سیستم استفاده کرد و پیغام موردنظرش نمایش داده شده و پول بود که از خودپرداز به بیرون سرازیر می شد! برای هک Triton جک از یک کلید برای باز کردن پنل جلویی دستگاه استفاده کرد و سپس یک قطعه USB که شامل بدافزار موردنظرش بود را به دستگاه متصل کرد و به هدفش رسید. خودپردازها از یک قفل معمول در تمامی سیستم هایشان استفاده می کنند که با یک کلید ۱۰ دلاری که از طریق اینترنت قابل خریداری است باز می شود.

همین کلید می تواند تمام خودپردازهای Triton را باز کند. در پاسخ به این مورد، دو نماینده Triton پس از این سخنرانی در کنفرانس خبری گفتند که برای راحتی مشتریانشان از یک قفل واحد استفاده کرده اند، اما مشتریانی که مایل باشند می توانند یک قفل با امنیت بالا را که توسط خود شرکت ارائه می شود، سفارش دهند و از آن استفاده کنند.

این اولین بار نیست که دستگاه های خودپرداز هک می شوند. سال گذشته در اروپای شرقی حمله های مشابهی به دستگاه های خودپرداز انجام شد که البته این حملات غالبا نیاز به یک همکاری از درون داشت، مثلا یک تکنسین خودپرداز یا هرکسی که کلید دستگاه را دارد، تا بتوان روی آن بدافزار را نصب کرد. این بدافزار شماره حساب ها و رمزعبورها را جمع آوری کرده و در یک فرمت رمزگذاری شده در فضایی که در داخل کارت خوان توسط هکرها قرار داده شده، ذخیره می کند. هکر دیگری پیش از این توانسته بود کاری کند که دستگاه کل پولی که درون آن است را بپردازد. یک دستگاه خودپرداز پر، می تواند تا ۶۰۰۰۰۰ دلار را ذخیره کند. جک بارنابی گفته که پیش از این نیز در مورد آسیب پذیری دستگاه های خودپرداز ابراز نگرانی کرده بود و با این کار قصد داشته به مردم هشدار دهد تا با دقت و نگرانی بیشتری به امنیت سیستم هایی که باید غیرقابل نفوذ باشند، بنگرند.

برگزاری چنین کنفرانس هایی قطعا به نفع کاربران و مشتریان خدمات الکترونیک است، هر شرکتی با آگاهی از ضعف های امنیتی سیستم هایش به فکر ترمیم و رفع نقص آن می افتد و همین تعامل مناسب باعث پیشرفت و در نتیجه امن تر شدن سیستم های الکترونیک می شود.