آنچه در کمپ هکرها آموختم

از آنجا كه من هیچ‌گاه به پادگان نرفتم و لباس نظامی هم نپوشیدم و با اسلحه رژه نرفتم، تا به حال هیچ اردویی را تجربه نكرده‌ام. اما در یكی از همین روزها به یك اردوی آموزشی برای هكرها رفتم. یك روز را به طور كامل صرف فهمیدن نكات كاری هكرها كردم و دست نوشته‌هایی را گیر آوردم كه حاوی مطالب آموزشی برای به هم ریختن دنیای رایانه‌ها بود. هدف شركت میزبان، TechTrain، یك اردوی آموزشی اخلاقی بود و ۲۴ نفر را به آن دعوت كرده بود. مربی من در آن دوره، آندره ویتاكر، مدیر بخش امنیتی شركت بود كه ده سالی را در سیستم‌های امنیتی بانك‌ها و آموزش نكات لازم در ایمنی سیستم‌های الكترونیكی مؤسسات مالی گذرانده بود. او پیش از شروع مطالب كلاس، خلاصه‌ای از آنچه را كه قرار بود به من بیاموزد، گفت؛ چگونه ویروس بنویسم، چگونه شبكه‌های بی‌سیم را به هم بریزم و چگونه از دام دیواره‌های آتش بگریزم.
●چه شیرین!
شاگردان كلاسی كه من در آن بودم، مردان میانسالی بودند كه مدیریت سیستم‌های پیشرفته‌ای را بر عهده داشتند. آن‌ها در این دوره ۴۳۰۰دلا‌ری شركت كرده بودند تا بفهمند چه نكات تازه‌ای از تهدیدات رایانه‌ای مطرح شده است.
غالب این افراد برای شركت‌های سازنده رایانه، شركت‌های نرم‌افزاری یا برای افرادی كار می‌كردند كه حفظ امنیت كامپیوترهایشان برایشان اهمیت داشت. یك نفر از جدال تمام نشدنی خود با همسرش درباره كار با كامپیوتر حرف می‌زد و یكی دیگر برای خنداندن دیگران چیزی می‌گفت.
اما در این میان ویتاكر با نكته‌هایی كه درباره چگونگی فرار از تله‌های امنیتی یك شركت و مقابله با آن می‌گفت، تحسین همه را برمی‌انگیخت. خود وی نیز كه در اوقات فراغت، وقتش را صرف مقابله با هكرها می‌كند، می‌ایستاد و از ما می‌پرسید: مطالبش جالب است یا نه؟ شاید می‌خواست با این كار هیجان آموزش را بیشتر كند!
●تولد تازه‌
هیجان داشته باشد یا نه، این اردو كاملاً جدی است و افراد حاضر در آن، هدف خاصی را دنبال می‌كنند: كسب مدرك <هكر اخلاقمند> كه توسط انجمن بین‌المللی مشاوران تجارت الكترونیك داده می‌شود. این گروه سال‌هاست چنین برنامه‌ای را مدیریت می‌نماید، اما در حال حاضر بیش از هر زمان دیگر نیاز به متخصصانی احساس می‌شود كه بتوانند مانند هكرهای مخرب فكر كنند.
زمانی شركت‌ها برای مقابله با تهدیدات امنیتی، خود هكرها را به استخدام درمی‌آوردند. اما این كار باعث می‌شد آن‌ها با تجربه‌تر شوند و به تهدید بزرگ‌تری تبدیل شوند. اینجا بود كه آن‌ها به فكر پرورش متخصصانی در داخل سازمان خود افتادند كه به آن‌ها <هكر كلا‌ه‌سفید> می‌گفتند.
اغلب تهدیدات الكترونیكی بنا به اهداف مالی صورت می‌گیرد. آن‌ها تنها به نیت از كار انداختنِ شركت‌های تجاری یا آزاررسانی اقدام به ویروس‌نویسی نمی‌كنند. هدف آن‌ها دیگر معروف‌شدن هم نیست. آن‌ها به دنبال كسب درآمد بیشتر هستند. طبق آخرین آماری كه شركت سیمانتك منتشر كره است، حملات اینترنتی به منظور كشف اسرار محرمانه با رشدی ۷۴ درصدی در نیمه دوم ۲۰۰۵، هشتاددرصد كل تهدیدات را شامل شده است.
●واقعیت هشدار دهنده‌
نكته ترسناك این موضوع در آن است كه برای هك كردن دیگر لازم نیست متخصص سطح بالا یا برنامه‌نویس قهّاری باشید. خود من كه آخرین برنامه كامپیوتریم را در كلاس سوم دبیرستان و آن هم به زبان بیسیك نوشته بودم، با یك ساعت حضور در اردو، توانستم به پایگاه داده بانك مجازی مایكروسافت نفوذ كنم و شماره كارت‌های اعتباری را درآورم.
تنها لازم است عاشق دانستن ترفندها باشید. برای مثال، نام كاربری پیش فرض مایكروسافت SA است و برای كلمه عبور پیش فرض ندارد. خیلی از مدیران شبكه این نام كاربری را تغییر نمی‌دهند. از این رو خیلی از هكرها ابتدا آن را امتحان می‌كنند كه معمولاً موفق هم از آب در می‌آید.
یك نكته دیگر هم این است كه در محل ورود كلمه عبور، علامت نقل قول (") را قرار دهید. اگر پیغام خطایی صادر شد، بدانید آن پایگاه داده را می‌توان به روشی به نام SQL Injection هك كرد. ویتاكر پس از گفتن این نكته دوباره با هیجان پرسید: جالب بود؟ دوست دارید باز هم از این نكات بدانید؟
●در دسترس همه‌
پایگاهی كه من هك كردم، یك پایگاه حقیقی نبود. برای یك كار واقعی به دستورالعمل‌های بسیار بیشتری نیاز است. اما ویتاكر گفت كه تعداد زیادی از پایگاه‌های موجود در شبكه از همین نوع هستند؛ زیرا مدیران از امنیت چیزی نمی‌دانند و مدیران امنیتی، پایگاه داده را خوب نمی‌شناسند. حال فكر بكنید اگر من می‌توانم روش هك كردن پایگاه داده‌های اولیه را به این سادگی بیاموزم، یك فرد ماهر چه بلایی می‌تواند بر سر آن‌ها بیاورد؟
با تعجب پرسیدم: آیا آن‌ها اطمینان دارند كه هكرهای اخلاقمندشان خطا نمی‌كنند؟ ویتاكر پاسخ داد: همیشه افرادی وجود دارند كه از تخصصشان سوء استفاده كنند، اما آن‌ها با تمامی توان، دانش‌آموختگان خود را تحت نظر دارند. آن‌ها را با حقوق خوبی استخدام می‌كنند و در ضمن ضمانت‌نامه‌ای نیز مبنی بر عدم تخطی از اصول اخلاق حرفه‌ای نیز امضا می‌كنند. در كلاس‌های سطح بالاتر، پیشینه افراد هم مورد بررسی قرار می‌گیرد. با این همه، این روزها كسی كه بخواهد هكر شود، راه خود را پیدا می‌كند؛ چه با این كلاس‌ها چه بدون این‌ كلا‌س‌ها!
حجم بالایی از مطالب آموزشی مربوط به این حوزه، در اینترنت یافت می‌شود. مانند بسیاری از نرم‌افزارهای عمومی كه افراد با نوشتن كدها و پایگاه داده آن‌ها را به صورت رایگان در شبكه قرار می‌دهند تا دیگران نیز با استفاده از آن در بسط و گسترش آن نرم‌افزار سهیم شوند، منابع باز بسیار زیادی را برای نگارش ویروس و تروجان می‌توان در اینترنت پیدا كرد.
●زیبای ترسناك!
پس از شش ساعت كلاس فشرده، نوبت به كاربرد آنچه كه تدریس شد رسید؛ هك شماره كارت‌های اعتباری از یك بانك و ایمیل آن به همان بانك! من باید می‌پذیرفتم برای كسی كه سال‌ها پیش تنها یك برنامه ساده آن هم به زبان بیسیك نوشته است، این كار پیچیده است. از این رو وقتی ویتاكر به سراغم آمد تا به من نشان دهد چگونه یك كامپیوتر دیگر را به تروجانی به نام Beast آلوده می‌كند، اصلاً میل و رغبتی نشان ندادم.
Beast را یك دانشجو نوشته بود كه می‌توانست اعمال طرف دیگر را تحت نظر بگیرد. بنابراین تا آنجا كه توانسته بود، روی آن كار كرده بود. این برنامه در اصل برای كنترل webcam اتاق قربانی نوشته شده بود، اما می‌توانست CD درایو، جست‌وجوگر اینترنت، پنجره‌های چت و هر چیز دیگری را كنترل كند. امروزه شما می‌توانید آن را به صورت رایگان دانلود كنید. البته اغلب برنامه‌های امنیتی می‌توانند آن را كشف كنند، اما نیمی از رایانه‌های ایالات متحده فاقد چنین برنامه‌هایی هستند و در هر حال افرادی هستند كه با دریافت كمی پول، برنامه‌هایی بنویسند كه قابل شناسایی هم نباشد.
●واقعیت و روِیا
طبق آمار سیمانتك، اغلب هكرها از دوشنبه تا جمعه از ساعت نُه صبح تا پنج بعدازظهر كار می‌كنند؛ گویی شغلشان این است! دیوید كول، مدیر سیمانتك كه خود ماه‌ها فعالیت آنلا‌ین هكرها را زیر نظر داشت می‌گوید: خونسردی آن‌ها در برابر تخلفات قانونی و میزان تخریبی كه از نظر اقتصادی وارد می‌كنند، برای ما تعجب برانگیز است.
چند روز پیش از ویتاكر پرسیدم: چه احساسی نسبت به فیلم سینمایی فایروال دارد؟ در این فیلم هریسون فورد داستان یك متخصص امنیت الكترونیك را به تصویر كشیده‌است كه دزدان وی را مجبور می‌كنند برای آزادی فرزندش، اطلاعات بانكی را هك كند كه خود مسئِولیت حفاظت از آن را بر عهده دارد. او با آرامش جواب داد: <اما چیزی كه در دنیای واقعی رخ می‌دهد، با دنیای فیلم تفاوت دارد.> بعد از یك روز حضور در اردوی هكرها، حرف او را درك كردم: دنیای واقعی ترسناك‌تر است!