از بازار سیاه تا بازار آزاد

تعدادی از شركت های امنیت كامپیوتر, بازار های قانونی ای را برای دادوستد دانش هكرها ایجاد كرده اند و می خواهند از كسانی كه این همه وقت برایشان دردسرساز بوده اند, اطلاعات بخرند

هكر روسی موسوم به "Bit" چیز ارزشمندی برای فروش داشت. زیرا یك نقطه‌ضعف امنیتی در اینترنت اكسپلورر و راه سوءاستفاده از آن برای نفوذ به سیستم را كشف كرده بود. در یك چت‌روم زیرزمینی كه هكرها و ویروس‌نویس‌ها در آن می‌پلكند، Bit بساط كاسبی را پهن كرد. متن اطلا‌عیه‌ای كه در شانزدهم جولای در http://forum.web-hack.ru گذاشته شده بود، از این قرار بود: یك رخنه امنیتی دست اول (zero-day) برای اینترنت اكسپلورر به فروش می‌رسد. قیمت؟ ۳۰۰ دلار. خیلی جا‌های دیگر هم هست كه Bit می‌تواند متاعش را بفروشد. Web-hack.ru فقط یكی از محل‌‌های دادو‌ستد در تجارت عظیم و زیرزمینی نقطه‌ضعف‌های كامپیوتری است. تحلیلگران امنیتی معتقدند جنایتكاران سازمان‌یافته و مافیا برای اطلاعاتی كه بتوان از طریق آن‌ها به بانك‌های اطلا‌عاتی مختلف نفوذ كرد و هویت افراد را دزدید، پول خوبی می دهند. چنین اطلاعاتی به وفور یافت می شوند. در Web-Hack.ru، صدها هكر مثل Bit وجوددارند كه به داد و ستد روش‌های نفوذ به تكنولوژی‌‌های مختلف آن‌ها و تخریب مشغولند؛ از ویندوز اكس‌پی مایكروسافت گرفته تا سیستم‌عامل Symbian كه در میلیون‌ها تلفن همراه به كار می رود.

شركت‌های فعال در زمینه امنیت كامپیوتر كه از مقابله با هكرها ناتوانند، دست دوستی به سمت آن‌ها دراز كرده‌اند و راهنمایی‌هایشان را می‌خرند.

تلاشی تازه درحال شكل گرفتن است كه طی آن شركت‌های فناوری دست در دست هكرها می‌گذارند. راه‌حل‌های تكنولوژیك نمی‌توانند به تنهایی جوابگوی سیل فزاینده ویروس‌ها، دسترسی‌های غیرمجاز و خراب‌كاری‌‌های كامپیوتری باشند.

برخلاف سیسكو، مایكروسافت سیاست كاملا متفاوتی را در پیش گرفته است. این شركت، به خاطر انحصار ویندوز و سابقه‌ای كه در حذف ظالمانه رقبا دارد، همیشه هدف خوبی برای هكرها بوده است و بیشتر اوقات هم آن‌ها را با دیده تحقیر نگریسته است. ولی مایكروسافت حالا رویه خود را كاملا عوض كرده و فعالانه به دنبال جلب توجه و محبت هكرهاست.

● حق و حساب‌

ولی حالا با تحولی تازه روبه‌رو هستیم. تعدادی از شركت‌های امنیت كامپیوتر، بازار‌های قانونی‌ای را برای دادوستد دانش هكرها ایجاد كرده‌اند و می خواهند از كسانی كه این همه وقت برایشان دردسرساز بوده‌اند، اطلاعات بخرند. این بازارها بسیار بحث‌برانگیز شده‌اند. چراكه در آن‌ها برای افشای نقاط ضعف سیستم‌های كامپیوتری به هكرها پول می‌دهند و به نظر بعضی‌ها این‌كار یك جور باج دادن است. ولی شركت‌های امنیتی هم در مقابل مطرح می‌كنند كه از طریق این بازار آزاد می‌توانند اطلاعات مهم و حیاتی موردنیاز برای افزایش امنیت مشتریانشان را به دست آورند.

Tipping Point، یك موسسه فعال در زمینه امنیت كامپیوتری، بازاری را برای خرید نقطه‌ضعف‌های نرم‌افزاری به راه انداخته است. این بازار Zero-Day Initiative (طرح دست اول) نام گرفته است. اصطلاح zero-day بیانگر این‌است كه هدف هكرها پیدا كردن نقاط ضعف قبل از اطلا‌ع شركت‌های تولید كننده نرم‌افزار از این نقاط و درنتیجه اصلاح آن‌هاست. در بخشی از این طرح، TippingPoint به هكرها برحسب تعداد نقاط ضعفی كه معرفی كنند، امتیاز می‌دهد.

به‌طوری‌كه اگر كسی به طور مداوم نقاط ضعف نرم‌افزارها را افشا كند، به‌قدری امتیاز می‌گیرد كه جوایزی تا حد ۲۰‌هزار‌دلار را نصیب خود می‌كند. Mark Willebeek-LeMair، یكی از مدیران ارشد بخش تكنولوژی در شركت ۳Com، كه صاحب TippingPoint است، می‌گوید: "این نكته كه ما اطلاعاتی را از كسی می‌خریم كه ممكن بود آن‌را در بازار سیاه بفروشد، بسیار مهم است. این كار، راه و روش آینده است."

تلاشی تازه درحال شكل گرفتن است كه طی آن شركت‌های فناوری دست در دست هكرها می‌گذارند. راه‌حل‌های تكنولوژیك نمی‌توانند به تنهایی جوابگوی سیل فزاینده ویروس‌ها، دسترسی‌های غیرمجاز و خراب‌كاری‌‌های كامپیوتری باشند. به همین خاطر، بعضی از شركت‌ها در تلاشند ارتباط خود را با جامعه هكرها بیشتر كنند. هدف این است كه از كمك هكر‌های مسئول، كه با نام كلاه سفیدها (White Hat) شناخته می‌شوند، برای مقابله با هكر‌های بداندیش (كلاه سیاه‌ها) استفاده شود و جلوی سوءاستفاده از نقاط ضعف نرم‌افزارها گرفته شود.

Danil J. Larkin، مدیر مركز جرم‌های اینترنتی در FBI، می‌گوید: "برای مقابله با حملات كامپیوتری و كاهش اثرات آن‌ها، درك كردن كسانی كه پشت صفحه‌كلید می‌نشینند و كد می‌نویسند، بسیار اهمیت دارد."

اهمیت ارتباط با هكرها وقتی آشكار شد كه شركت سیسكو در جریان گردهمایی سالانه كلاه‌سیاه‌ها در لاس‌وگاس، درگیر ماجرایی ناخوشایند شد. در این گردهمایی سالانه، كه در آن هكرها و متخصصان امنیتی زیادی شركت می‌كنند، MichaelLynn، یك متخصص امنیت كامپیوتری، قصد داشت درباره نقاط‌ضعف یكی از محصولا‌ت سیسكو به نام Internet Operating System، سخنرانی كند تا مشتریان سیسكو بتوانند بهتر از سیستم‌‌هایشان محافظت كنند. ولی سیسكو و شركت Internet Security Systems، كه Lynn در آن كار می كرد، در توافقی پشت پرده تصمیم گرفتند این سخنرانی انجام نشود. Lynn از كارش استعفا داد و به هر ترتیب این سخنرانی را در ۲۷ جولای ارائه كرد. سیسكو هم روز بعد علیه او از دادگاه حكمی گرفت كه Lynn را موظف می‌كرد اسم كسانی را كه "هرگونه كد یا نقاط‌ضعف سیستم‌‌های سیسكو را برای آن‌ها افشا كرده بود، یا فروخته بود و یا پیشنهاد فروش داده بود"، در اختیار دادگاه بگذارد.

این‌كار به منزله اعلام جنگ علیه جامعه هكرها بود. كوین میتنیك، یك هكر معروف و باسابقه، كه به خاطر هك كردن زندانی شده و پس از آزادی از زندان یك شركت مشاوره در زمینه امنیت كامپیوتری تاسیس كرده است، در این رابطه می‌گوید: "آن‌ها خیلی غیر‌عادلانه و بد برخورد كردند و این‌كار جامعه هكرها را خیلی عصبانی كرد." متخصصان امنیت كامپیوتری معتقدند این جریان موجب شده‌است لشكری از برنامه‌نویسان برای درهم شكستن تكنولوژی‌های سیسكو تلاش كنند. سیسكو هم كه از این قضیه درس گرفته، اعلام كرده است كه می‌خواهد در سیاست‌های خود تجدید‌نظر كند و ارتباط خود را با هكرها افزایش دهد. Robert Gleichauf، یكی از مدیران ارشد بخش تكنولوژی‌های امنیتی سیسكو می‌گوید: "در داخل شركت صحبت از این است كه ما علاوه بر اقداماتی كه در حال حاضر انجام می‌دهیم، چه كار‌های دیگری باید بكنیم."

برخلاف سیسكو، مایكروسافت سیاست كاملا متفاوتی را در پیش گرفته است. این شركت، به خاطر انحصار ویندوز و سابقه‌ای كه در حذف ظالمانه رقبا دارد، همیشه هدف خوبی برای هكرها بوده و بیشتر اوقات هم آن‌ها را با دیده تحقیر نگریسته است. ولی مایكروسافت حالا رویه خود را كاملا عوض كرده و فعالانه به دنبال جلب توجه و محبت هكرهاست. در همان كنفرانس لاس‌وگاس كه برای سیسكو دردسرساز شد، مایكروسافت مهمانی مجللی ترتیب داد كه در آن ۴۵۰ هكر و متخصص امنیتی شركت داشتند. Keavin Kean، مدیر بخش پاسخگویی امنیتی مایكروسافت، می‌گوید: "می‌توان شیوه‌ای خشن و ستیزه‌جو نسبت به هكرها پیش گرفت. اما راه دیگر این است كه درك كنیم كه این افراد عاشق مسائل امنیتی هستند. مهمانی‌ای كه ما برگزار كردیم، تلاشی صادقانه برای برقراری ارتباط بهتر با جامعه هكرها بود."

● مقابله مثبت

مهمانی لاس‌وگاس فقط بخشی از رویكرد مثبت و دوستانه مایكروسافت بود. در ماه مارس این شركت میزبان نشست دو روزه هكرهای كلاهآبی بود (اسم كلاه آبی به خاطر رنگ آبی لوگوی مایكروسافت انتخاب شده است). در این نشست هكرها فرصت یافتند از نزدیك با بعضی از افراد رده‌بالای مایكروسافت از جمله سردار ویندوز، یعنیJames Allchin، ملاقات كنند. قرار است نشست دیگری هم با این هدف در ماه اكتبر برگزار شود.

به نظر می‌رسد این‌گونه ترفندها دست‌اندركاران مایكروسافت را در رسیدن به اهدافشان موفق كرده‌است.

Dan Kaminsky، یك هكر خود آموخته ۲۶‌ساله است كه از خانه‌اش در سیاتل، یك گروه از متخصصان امنیتی به نامDoxPara را رهبری می‌كند. Kaminsky می‌گوید: او و دوستان هكرش معمولا چندان دل خوشی از شركت‌‌هایی مثل مایكروسافت نداشته‌اند. ولی در ماه مارس مایكروسافت او را به نشست كلاهآبی‌ها دعوت كرد و حالا این تغییر رفتار و طرح‌‌هایی مثل Zero-Day Initiative بسیار مورد‌توجه Kaminsky واقع شده است. او می گوید: جامعه هكرها امیدوار است كه ZDI بتواند بعضی از خطرناك‌ترین كدها را از گوشه‌های تاریك وب بیرون بكشد و خطر آن‌ها را خنثی كند. او معتقد است: "بهترین راه برای خنثی كردن یك تهدید امنیتی این است كه بدانیم چطور نوشته شده‌است. شما باید برنامه‌نویسان این تهدیدها را به میان خود راه دهید.

Tipping Point در اجرای طرحش بسیار با احتیاط عمل می‌كند. این شركت برای جلوگیری از سوءاستفاده‌‌های احتمالی از بازاری كه ساخته‌است، از تمام هكر‌هایی كه در آن شركت می‌كنند می‌خواهد عكس و مدارك شناسایی خود را ارائه كنند و با بررسی دقیق سوابقشان هم موافقت داشته باشند. همچنین پرداخت‌ها نیز فقط از طریق شركت Western Union Financial Services یا نقل و انتقال بانكی انجام می‌شود و برای جلوگیری از جعل هویت، هیچ‌گونه پرداخت آنلاینی انجام نمی‌شود.

● بستن رخنه‌ها

طرح TippingPoint به این‌صورت است كه هرچه رخنه‌های امنیتی بیشتری معرفی كنید، امتیاز بیشتری می‌گیرید. چهار سطح امتیاز وجود دارد: برنز، نقره، طلا و پلاتین. هكر‌هایی كه رتبه آن‌ها به سطح پلاتین می‌‌رسد، علاوه بر جایزه ۲۰‌هزار دلاری، به ازای هر نقطه ضعف امنیتی كه در سال معرفی كنند، سه امتیاز می‌گیرند. در مهمانی‌ای كه به مناسبت شروع برنامه ZDI برگزار شد، ۷۵۰ نفر شركت داشتند. Willebeek-LeMair از شركت ۳Com می‌گوید: "حاصل كار هكرها گنجینه عظیمی از تحقیقات پراكنده و هدایت نشده است. با گردآوری این تحقیقات در چهارچوب یك برنامه مشخص، این اطمینان به‌وجود میآید كه از آن‌ها به‌درستی استفاده شود."

شواهد اولیه نشان می‌دهند كه چنین بازار‌هایی به نتیجه می‌رسند. iDEFENSE، یك شركت امنیتی كه اولین‌بار در سال ۲۰۰۲ در خرید نقطه‌ضعف‌های امنیتی پیش‌قدم شد، اعلام كرده‌است كه تا به حال ۲۰۰ هكر از سی كشور، ۱۱۰۰ حفره امنیتی را برای این شركت افشا كرده‌اند. یعنی حدود ۳۵۰ مورد در سال در مقایسه با آمار ۳۷۸۰ مورد ویروسی كه سال گذشته بنابر آمار موسسه Computer Emergency Response Team متعلق به دانشگاه Carnegie Mellone كشف شد. شركت iDEFENSE اعلام كرده است كه فقط با هكر‌هایی كار می كند كه سابقه كارهای غیرقانونی و خرابكاری نداشته باشند.

Vladimir Dubrovin یكی از هكر‌هایی است كه با این رویكرد جدید كاملا موافق است و با iDEFENSE همكاری می‌كند. این متخصص امنیت روسی بعد از این‌كه حفره‌‌های امنیتی را به اطلاع شركت سازنده نرم‌افزار می‌رساند، آن‌ها را روی سایت شخصی خودش منتشر می كند. او حالا با عضویت در برنامه <ایراد بگیر-‌جایزه ببر> شركتiDEFENSE از این كارش درآمد هم كسب می‌كند و اطلاعات مربوط به حفره‌های امنیتی كه هنوز بسته نشده‌اند را نیز از دسترس سایر هكرها دور نگه می‌دارد. او می‌گوید: "پول گرفتن برای تغییر رویه در نحوه افشای حفره‌‌های امنیتی كار بسیار خوبی است."

با این‌حال، پرداخت پول برای افشای حفره‌های امنیتی موجب نگرانی و نارضایتی بسیاری از فعالان این حوزه است. آن‌ها نگرانند این رویكرد باعث شود عده زیادی از هكر‌های كلاه سیاه به طمع پول، حفره‌های امنیتی را افشا كنند و به این ترتیب حفره‌های امنیتی زیادی، قبل از این‌كه به‌وسیله شركت‌‌های سازنده نرم‌افزار اصلاح شوند، در معرض دید عموم قرار بگیرند. (درواقع به‌این ترتیب، عده زیادی از مردم و هكرها از بازبودن حفاظ مطلع می‌شوند) بدتر از همه این‌كه، هكرهایی كه در چنین برنامه‌هایی شركت می‌كنند، می‌توانند دو دوزه بازی كنند و در حالی‌كه تعداد اندكی از نقطه ضعف‌ها را افشا می‌كنند، به جمعآوری اطلاعات درباره رخنه‌‌های امنیتی بپردازند و از آن‌ها سوءاستفاده كنند.

Gene Hodges، مدیر شركت McAfee، سازنده مشهور نرم‌افزارهای امنیتی می‌گوید: "شركت‌هایی كه به كسانی پول می‌دهند كه می‌دانند می‌توانند دست به كار‌های خلاف بزنند، باید خیلی در این رابطه فكر كنند. من فكر نمی‌كنم تحت هیچ شرایطی این‌كار درست باشد و هر شركتی كه به چنین كاری دست می زند، باید در سیاست‌‌هایش تجدید نظر كند."

ترجمه: زردشت هدایی

منبع: بیزنس‌ویك - آگوست ۲۰۰۵