نفوذ در اعماق ذهن یک هکر

اولین چیزی که باید درباره هکرهای کامپیوتری بدانیم این است که خود این کلمه نیز مورد بحث و تردید قرار دارد.
بسیاری از افرادی که به سیستم ها نفوذ می کنند و آن را دستکاری می کنند متوجه جنایتی که مرتکب شده اند نمی باشند و با افتخار نام خود را هکر می گذارند و می گویند
اولین چیزی که باید درباره هکرهای کامپیوتری بدانیم این است که خود این کلمه نیز مورد بحث و تردید قرار دارد.
بسیاری از افرادی که به سیستم ها نفوذ می کنند و آن را دستکاری می کنند متوجه جنایتی که مرتکب شده اند نمی باشند و با افتخار نام خود را هکر می گذارند و می گویند که آنها اشخاص خوب و یا بدی هستند در صورتیکه باید آنها را کراکر یا چیزی شبیه به آن نامید زیرا که به سیستم ها آسیب می رسانند و به کامپیوترها صدمه می زنند در صورتیکه یک هکر دست به اعمال شیطانی نمی زند و به سیستم های کامپیوتری صدمه ای وارد نمی کند و یا رمز های عبور اشخاص را نمی دزدد. هکرها از کراکرها متنفرند.
عده ای اعتقاد دارند که هکر ها به دو دسته ، هکرهای خوب و هکرهای بد تقسیم می شوند. دسته اول یک سیستم را تست می کنند و در صورتیکه آسیب پذیری مشاهده کنند آن را به اطلاع مدیر شبکه می رسانند در صورتیکه دسته دوم به این سیستم ها آسیب می رسانند و اطلاعات مهم و حیاتی را از بین می برند و یا در معرض عموم قرار می دهند تا بدین وسیله مشهوریتی کسب کنند و یا از دیگران سوءاستفاده کنند. شبیه آن را در جادوگران می توانید مشاهده کنید.
در واقع همه هکرها جنایتکار نیستند و بین خوب و بد آنها ، وجه تمایز زیادی وجود دارد . در بیشتر جلسات سالانه هکرها ، آنها درباره چیزهای مختلفی بحث و تبادل نظر می کنند ، مانند شبکه هایی که مورد سوءاستفاده قرار گرفته اند و یا بخشهای پنهان پایگاههای داده و یا ابزارهایی که سوراخهای امنیتی را پیدا می کنند. از جمله این افراد می توان Marc Maiffret را نام برد که لقب سلطان هکرها را گرفته است و در حال حاضر در بخش امنیتی eEye فعالیت می کند. آنها نیز ابتدا مانند تمامی نوجوانان راههایی را برای نفوذ به شبکه ها پیدا می کردند و سپس راه حلهایی برای رفع این آسیب پذیری را نیز ارائه می دادند ، حال به عنوان مشاوران امنیتی در شرکت های معتبر و بزرگ استخدام شده اند.
من در این مقاله قصد دارم درباره افرادی صحبت کنم که با هدف و انگیزه وارد سیستم ها می شوند و پس از آن راه حل های جامعی را برای رفع مشکلات احتمالی این شبکه های ارائه می دهند. اینها افراد ماهر و کارکشته ای می باشند که توانایی ارائه راه حل برای رفع سوراخ های امنیتی در شبکه ها و سیستم های کامپیوتری را دارا می باشند.
مهمترین چیزهای که لازم است درباره این افراد بدانیم:
به طور کلی هکرها و به خصوص جنایتکاران کامپیوتری دوست دارند توانایی هایشان را امتحان کنند.
Richard Ford کارشناس بخش امنیتی یک شرکت کامپیوتری اظهار می دارد که بسیاری از آنها دوست دارند به جنگ تکنولوژیها بروند و در برابر آنها قدرت نمایی کنند و به هیچ عنوان قصد خرابکاری ندارند . بیشتر آنها این کارها را به عنوان یک بازی می پندارند. البته در بین آنها افرادی هم وجود دارند که این کارها را به خاطر پول انجام می دهند( هکرهای روسی در این زمینه مشهور عامه هستند)
Simon Garfinkel مولف چندین کتاب درباره امنیت اطلاعات ، در این زمینه می گوید : « این دسته افراد می خواهند با نفوذ به سیستمها و کنترل آنها به نوعی قدرت نمایی کنند که بسیاری از آنها این کار را فقط به عنوان سرگرمی انجام می دهند. البته دسته ای دیگر هم وجود دارد که با هدف خاصی این کارها را انجام می دهند. آنها برای نفوذ در شبکه های شرکتهای رقیب اجیر می شوند ولی اکثر آنها فقط برای سرگرمی این کار را انجام می دهند.
آنها باعث می شوند که بیشترین خسارت ها از طریق دزدی اطلاعات و یا کلاهبرداری در اینترنت به وجود آید
امروزه با گسترش اینترنت و تکنولوژی های نا امن آن ، این دسته افراد از ضعف های موجود بهره جسته و در صدد نفوذ در سیستم ها بر می آیند جنایتکاران اینترنتی نیز به دنبال فرصتی برای اجرای اهداف پلیدشان بر می آیند. بر اساس آماری از دانشگاه Carnegie Mellon ، تعداد نفوذگران کامپیوتری و حملات ویروسها در سایل ۲۰۰۱ دو برابر شده است و حدود ۵۳۰۰۰ مورد رسیده است. در سه ماهه اول سال ۲۰۰۲ تعداد ۲۷۰۰۰ مورد از این دسته حملات گزارش شده است. بخش امنیتی FBI در گزارش دقیقی در آپریل ۲۰۰۲ به این نتیجه رسیده است که اکثر ویروس ها آسیب پذیر نمی باشند. در بررسی از ۵۰۰ مورد گزارش این حملات خسارتهای ناشی از انواع این حملات به صورت زیر می باشد:
▪ ۱۷۰.۸ میلیون دلار سرقت اطلاعات خصوصی
▪ ۱۱۵.۷ میلیون دلار کلاهبرداری های مالی
▪ ۵۰ میلیون دلار سوءاستفاده از اطلاعات محرمانه
▪ ۴۹.۹ میلیون دلار ویروسها و کرمهای اینترنتی
طبق گزارشی دیگر در سرتاسر جهان این حملات تا ۲۸ درصد افزایش یافته است و در ۶ ماهه اول سال ۲۰۰۲ این حملات بیشتر روی صنایع آمریکا ، سرویس های مالی و شرکت های بزرگ روی داده است.
بیشتر شرکتها از هکرها برای محافظت از سیستم هایشان استفاده می کنند
در بررسی های FBI ، مشخص شده است که از کل حملاتی که به سازمانها و شرکت انجام می شود تنها ۳۷ درصد آنها گزارش داده می شود و بسیاری از آنها به خاطر ترس از تبلیغات سوء ، از این کار خودداری می کنند.
Sulliven در MSNBC توضیح می دهد که بسیاری از هکر ها از شرکتهای فوق امتیازات فراوانی را کسب می کنند. در یک مصاحبه که از طریق میل با Ziltrio - کسی که بیش از یک سال هنوز هویتش برای بسیاری نا معلوم می باشد - انجام گرفت او مدعی شده است که با نفوذ در شبکه ها و به دست آوردن اطلاعات مهم و کلیدی آنها ، اقدام به اخاذی می کند. حتی او ادعا کرد در یک مورد بیش از ۱۵۰ هزار دلار دریافت کرده است! البته Ziltrio به خاطر شکایت شرکت Sulliran تحت تعقیب FBI می باشد.
● برای نفوذگران وب ، هر تجارتی در وب یک هدف می باشد
بسیاری از نفوذگران می توانند به راحتی یک پویشگر را طوری تنظیم کنند که در کمتر از چند دقیقه صدها سایت و شبکه را برای پیدا کردن یک نقطه ضعف، پویش کند. Garfinkel در مقاله ای نوشته بود که در سایت شخصی اش که به وسیله یک فایروال محافظت می گردد ، گزارشی از تمامی مسیرهایی که توسط مزاحمان پیمایش شده است را نمایش می دهد. در یکی از روزهای اخیر این دیواره آتش بیش از ۲۸۹ هزار پیمایش را ثبت کرده بود که شامل ۱۰۴۴ نفوذ بوده است. این افراد به راحتی می توانند سایت آسیب پذیری را پیدا کنند و با امکاناتی که دارند به راحتی در آن نفوذ کرده و تغییرات دلخواه خود را در آن پیاده کنند. فقط باید یک چیز را دانست و آن اینکه شما هم می توانید یک هدف باشید.
● آیا نفوذگران روز به روز قوی تر می شوند ؟
این مساله ای است که موجب نگرانی خانم Sarah Gardon رییس بخش تحقیقات Symantec ، شده است. او می گوید : « با پیدا شدن چندین سوراخ امنیتی و پس از آن آلوده شدن سیستم ها با انواع ویروسها ، یک شبکه در عرض چندین دقیقه از کار می افتد و مختل می شود. Ford عقیده دارد که تعداد سیستم های آسیب پذیر روز به روز در حال افزایش می باشد و این موضوع خوشایند نمی باشد. البته بعضی از ابزارها وجود دارند که در این مواقع به نفوذگران «نه» می گویند ولی از طرفی هم بسیاری از نرم افزارهای تجاری شبیه به هم می باشند و وجود یک سوراخ در این نرم افزارها برای کامپیوتر های دیگر هم مشکل محسوب می شود.
Garden می گوید که با اضافه شدن تلفن همراه و دیگر وسایل ارتباط عمومی به شبکه ها و اینترنت ، نفوذگران راههای بیشتری برای نفوذ دارند.
بنابراین این سوال مطرح می شود که حال چگونه از خودمان می توانیم محافظت کنیم. اینجاست که متخصصان پاسخگو می باشند:
۱) بهترین سیاستهای امنیتی که در توان دارید اجرا کنید : اولین چیزی که می توان مطرح کرد همین مساله می باشد. اما شرکتهایی که داده هایی با حساسیت بالا دارند، علاوه بر این اقدامات مقدماتی ، باید برای سیستم های حیاتی خود اهمیت بالاتری قائل شوند و با استفاده از نرم افزارهایی که می تواند نقاط ضعف امنیتی را پیدا کند این سوراخها را پیدا کرده و در صدد ترمیم آنها در کمترین زمان ممکن بر آیند. در این زمینه می توانید سایت eEye را مشاهده کنید. هرگز از خود راضی نشوید زیرا که نفوذگران نسبت به نفوذ در سیستم های شما جری تر می شوند.
۲) معیارهای عملی و سیاستهای امنیتی شرکت خودتان را گسترش دهید: این سیاستها را برای به دست آوردن امنیت کامل به تمامی کارمندان خود ابلاغ کنید. به آنها بگویید که اجازه افشای اطلاعات شخصی و غیر شخصی خود را برای دیگران ندارند.
۳) برای افراد بخشهای امنیتی سرمایه گذاری بیشتری کنید: آنها به ابزارها ، کارآموزی و تا حدودی منابع و مراجع تخصصی نیاز دارند. برای بسیاری از تجارتخانه های کوچک استفاده از سرویس های امنیتی مدیریت شده بهترین گزینه می باشد.
۴) تمامی سوراخهای امنیتی را گزارش دهید و اجازه اخاذی به دیگران را ندهید: اگر شما قربانی یک نفوذگر شدید آن را به افراد متخصص در این زمینه گزارش دهید هر چند این کار برای شما مشکل باشد. اگر به نفوذگری برخورد کردید که قصد اخاذی از شما را دارد اینگونه فرض نکنید که نفوذگر تمامی اطلاعات مهمی که برای نابود کردن شما لازم را در اختیار دارد. ممکن است که این فقط یک شوخی مضحکانه باشد . Sullivan در این زمینه می گوید: « اگر شما خودتان را کنترل کنید و خیلی عادی نشان دهید ، ممکن است نفوذگر چیزی برای اخاذی نداشته باشد‌، یا اینکه او می خواهد شما را تست کند و ببیند که اطلاعات شما چقدر برایتان اهمیت دارد»
۵) افراد جوان را با اخلاق و معنویات در رابطه با کامپیوتر آموزش دهید: اگر چه حرفهای زیادی درباره ویروسها گفته می شود و مقالات فراوانی نوشته می شود اما Garden معتقد است که افراد جوان امروزه نیاز بیشتری به آموزش توسط اولیا و مربیان خود دارند. اهمیت فراوان در این زمینه ، می تواند باعث کاهش جرایم کامپیوتری شود.