هکرها آسوده خاطره می تازند

اگر چه در سال گذشته میلادی شرکت های امنیتی تلاش فراوانی را برای افزایش امنیت آنلاین کردند و سرمایه گذاری های فراوانی را در این زمینه انجام دادند اما آنچه از آخرین بررسی ها و مطالعات انجام شده به دست آمده نشان می دهد در طول سال ۲۰۰۸ میلادی بر حجم تهدیدها و حملات اینترنتی و سایبر افزوده شده است. سال ۲۰۰۸ شاهد جنبش های جدی در مقابل هکرها و کلاهبرداران بودیم به طوری که شرکت تولیدکننده نرم افزار امنیتی Sophos اعلام کرد در چند ماه پایانی سال ۲۰۰۸ بیش از ۲۰ هزار عامل مخرب اینترنتی را شناسایی کرده و سیمانتک شرکت تولیدکننده نرم افزار امنیتی نورتون نیز ادعا کرد توانایی شناسایی و نابودی بیش از یک میلیون ویروس را دارد.
در اوایل ماه نوامبر از سال گذشته میلادی شبکه ای به نام McColo شناسایی شد که گمان می رفت بزرگ ترین سرویس دهنده به هکرها و هرزنامه نویسان بوده است. با تعطیل شدن این شبکه ۷۰ درصد ویروس ها و تهدیدات آنلاین کاهش یافت اما با این وجود باز هم کاربران با مشکلات فراوانی در این زمینه مواجه بودند.
● کارت های اعتباری مظلوم
در بین تخلفات سایبر، کارت های اعتباری به یکی از سوژه های مورد علاقه هکرها و کلاهبرداران اینترنتی تبدیل شده اند، این جریان به قدری این روزها اهمیت پیدا کرده است که شرکت سیمانتک بر پایه یک مطالعه جدید اعلام کرد هکرها تاکنون کارت های اعتباری را با ارزش بیش از ۳/۵ میلیون دلار سرقت کرده اند. به گفته این شرکت امنیتی، در حال حاضر بیشترین خرید و فروش کالاهای دزدی اینترنتی مربوط به کارت های اعتباری می شود که ۳۱ درصد تمام کالاهای عرضه شده توسط کلاهبرداران را تشکیل می دهد. بعد از کارت های اعتباری، اطلاعات بانکی با ۲۰ درصد از میزان کالاهای دزدی به فروش گذاشته شده بیشترین میزان را به خود اختصاص می دهند.به عقیده کارشناسان امنیتی، اگر کلاهبرداران اینترنتی تمام حساب های دزدیده شده ای که برای فروش گذاشته شده را چپاول می کردند، تنها ۷/۱ میلیارد دلار به دست می آوردند و این در حالی است که هم اکنون با فروش این اطلاعات به اشخاص و مراکز مختلف توانسته اند ۳/۵ میلیارد دلار درآمد کسب کنند.به عقیده شرکت امنیتی سیمانتک روش هایی نظیر Phishing، حمله به بانک های اطلاعاتی و Magnetic Strip Skimmer که بین مجرمان اینترنتی بسیار رایج است به طور ویژه و مخصوص برای سرقت اطلاعات از کارت های اعتباری طراحی شده و بازار پررونق کلاهبرداری آنلاین باعث پرطرفداری و رایج شدن این روش ها شده است.
● نگرانی های دولتی
اما این جریانات فقط شرکت های امنیتی خصوصی و تولیدکنندگان نرم افزارهای ضدویروس و ضدهک را نگران نکرده است و باعث شده تا دولت های بزرگ نیز به این مساله به عنوان یک بحران کلی و بزرگ نگاه کنند. به دنبال افزایش ناامنی های سایبر، چندی پیش آژانس امنیت ملی آمریکا برای نخستین بار لیستی از خطرناک ترین خطا های برنامه نویسی را منتشر کرد. تعداد ۲۵ خطای برنامه سازی و برنامه نویسی که در این لیست منتشر شد، نشان می دهد هر کدام از آنها در صورت وجود در برنامه ها، سیستم های عامل، سرورها، نرم افزارها، ابزارهای اینترنتی، سرویس های آنلاین و ... می تواند باعث ایجاد حفره ها و محیط های آسیب پذیر امنیتی شده و کاربران را با مشکلات عدیده ای مواجه کند.
به عقیده کارشناسانی که این لیست را منتشر کرده اند، بیشتر برنامه نویسان و تولیدکنندگان نرم افزارها و سرویس های اینترنتی از این خطاها آگاه نیستند و این مساله باعث شده است به طور ناخواسته، سیستم مشتریان خود را ناامن کنند.
طبق آمارهای منتشر شده طی سال ۲۰۰۸ میلادی تنها دو خطا از این لیست باعث شد در بیش از ۵/۱ سایت اینترنتی حفره امنیتی ایجاد شود و این سایت ها آسیب پذیر و ناامن شوند.
گفتنی است برای تهیه این لیست، بیش از ۳۰ آژانس دولتی و شرکت های بزرگ از جمله مایکروسافت و سیمانتک با یکدیگر همکاری کرده و تمامی آنها اطلاعات مندرج در این لیست را که در زیر آورده شده است، تایید کردند:
▪ CWE-۲۰ اعتبار نامناسب داده های ورودی
▪ CWE-۱۱۶بازکردن و رمزگشایی نا مناسب داده های خروجی
▪ CWE-۸۹نگهداری ناموفق ساختارهای جست وجوی SQL
▪ CWE-۷۹ نگهداری ناموفق ساختارهای صفحات وب
▪ CWE-۷۸ نگهداری ناموفق ساختارهای دستوری سیستم عامل
▪ CWE-۳۱۹ ارسال اطلاعات حساس به روش ClearText
▪ CWE۳۵۲ جعل اطلاعات به روش Cross-site
▪ CWE-۳۶۲ آسیب پذیری Race Condition
▪ CWE-۲۰۹ خروج اطلاعات پیغام های خطا
▪ CWE-۱۱۹ ضعف در اجرای دستورات و عملیات در محدوده بافر حافظه
▪ CWE-۶۴۲ کنترل خارجی اطلاعات با موقعیت حساس
▪ CWE-۷۳کنترل خارجی نام یا محل قرارگیری فایل ها
▪ CWE-۹۴ عدم کنترل بر تولید کدهای برنامه
▪ CWE-۴۹۴ بارگذاری کد بدون عبور از تست Integrity
▪ CWE-۴۰۴ نشر یا از کار انداختن نامناسب منابع برنامه
▪ CWE-۶۶۵ شروع نامناسب برنامه
▪ CWE-۶۸۲خطا های محاسباتی
▪ CWE-۲۸۵ کنترل نامتناسب سطوح دسترسی
▪ CWE-۳۲۷ استفاده از الگوریتم های شکسته شده یا آسیب پذیر کدگذاری
▪ CWE-۲۵۹استفاده از پسوردهای Hard-coded
▪ CWE-۷۳۲ ایجاد دسترسی ناامن برای منابع حساس اطلاعات
▪ CWE-۳۳۰ استفاده از مقادیر تصادفی ناکافی
▪ CWE-۲۵۰ اجرای دستورات با تخصیص امکانات و امتیازات غیرضروری
▪ CWE-۶۰۲ تحت فشار گذاشتن بخش امنیت سرور از سوی کاربران.
به طور کلی باید توجه داشت هکرها و افرادی که به هسته اصلی برنامه ها و سرورها نفوذ می کنند با استفاده از عدم آگاهی برنامه نویسان از همین خطاها به هدف خود می رسند. پیش بینی شده است که در صورت رعایت اصول امنیتی و بررسی این خطاها در برنامه ها، دسترسی تعداد زیادی از هکرها به منابع اطلاعاتی حساس غیر ممکن می شود.
اگر چه در گذشته حملات و انتشار نرم افزارهای مخرب با استفاده از ارسال پست الکترونیکی موضوعات محرک صورت می گرفت و هکرها طعمه های خود را تبدیل به پایگاه هایی برای حملات مجدد به کاربران دیگر می کردند اما فضای سایبر در سال ۲۰۰۸ شاهد تغییر استراتژی گسترده تری بود.
در حال حاضر میزان روبه رشد حملات مربوط به نوع جدیدی از آنهاست که بر اساس آن هکرها با دستکاری و نفوذ به سایت های معروف به طور نامحسوس، ویروس ها و برنامه های مخرب خود را در دل آنها جاسازی می کنند و به مقاصد خود دست می یابند.
به گفته Sophos، این شرکت امنیتی در هفته های پایانی سال ۲۰۰۸ میلادی هر چهار ثانیه یک وب سایت آلوده را شناسایی کرده است، جالب اینجاست نوع سایت هایی که به عنوان طعمه برای شکار کاربران مورد استفاده قرار می گرفتند و توسط Sophos شناسایی شدند نیز در حال تغییر است.
در سال های اخیر بیشتر نفوذ هکرها برای قرار دادن برنامه های مخرب در سایت های غمار، عکس ها و مطالب غیراخلاقی و فروش نرم افزارهای دزدی و قلابی بود در حالی که طی سال ۲۰۰۸ شرکت Sophos شاهد آلوده شدن سایت های معروف و پربیننده بوده است.
علاوه بر موارد یادشده در سال گذشته چند سایت کلاهبرداری برای جذب طعمه به ساخت نرم افزارهای امنیتی و ویروس یاب روی آوردند و نوآوری جالبی برای کلاهبرداری ایجاد کردند، به این ترتیب که کلاهبرداران با تبلیغ در سایت های معتبر و پربیننده، نرم افزارها و برنامه هایی را برای بارگذاری به کاربران معرفی می کردند که در هر بار جست وجو، ویروس ها و حفره های دروغینی را شناسایی کرده و برای پاک کردن آنها از کاربران می خواستند که وجهی را پرداخت کنند.
به هر حال باید اعتراف کرد سال ۲۰۰۸ برای هکرها و کلاهبرداران سال خوب و پردرآمدی بود ولی همچنان شرکت های سرویس دهنده اینترنت، شرکت ها و سازمان ها و عموم مردم در مورد خطراتی که متوجهشان است اطلاع چندانی ندارند و این خطرات در سال جاری میلادی نیز ادامه خواهد یافت.