نفوذ در یك چشم برهم زدن

سارقان اطلاعات چگونه ممكن است بتوانند از دیواره آتش شما عبور كرده و صدها مگابایت اطلاعات را به سرقت ببرند بدون این كه هیچ ردپایی از خود به جای بگذارند

سارقان اطلاعات چگونه ممكن است بتوانند از دیواره آتش شما عبور كرده و صدها مگابایت اطلاعات را به سرقت ببرند بدون این كه هیچ ردپایی از خود به جای بگذارند؟ یك راهِ ممكن، از طریق همین درایوهای كوچك USB است كه امروزه من و شما در جیب خود می‌گذاریم و به هر جایی می‌بریم.

همان طور كه می‌دانید، به این درایوها Flash Disk و Flash Drive هم می‌گویند، اما اسم‌شان هرچه كه باشد، بسیاری از شركت‌ها و سازمان‌ها هیچ سیاست مشخصی برای شناسایی این درایوها و قاعده‌مند كردن موارد استفاده آنها وضع نكرده‌اند. به همین جهت یك مشتری كه به ملاقات شما آمده، كارشناسی كه سیستم‌تان را چك می‌كند، همكاری كه هر روز به شما سر می‌زند، یا هر فرد باهوش دیگری، به آسانی می‌تواند فلش دیسك خود را در اولین فرصت به پورت USB كامپیوتر شما وصل كرده و صدها فایل اطلاعاتی مهم را با سرعت بالای USB ۲.۰ برای خود كپی كند. ظرفیت فلش دیسك‌های امروزی از مرز دو گیگابایت گذشته است و همچنان رو به بالا در حركت است و با ابعاد كوچكی كه دارند، خیلی راحت می‌توان آنها را پنهان كرد. پس چاره چیست؟

سرقت اطلاعات تنها تهدید از جانب این وسیله كوچك نیست. از آنجا كه كاربران فلش دیسك عمدتاً به خاطر قابل حمل بودن آن، به استفاده از این وسیله روی آورده‌اند، بنابراین در حال سفر یا مأموریت نیز از آن استفاده می‌كنند و زمانی كه به اداره برمی‌گردند، بدون توجه به احتمال ویروسی بودن فایل‌ها، فلش دیسك را به كامپیوتر خود وصل و سیستم را آلوده می‌كنند. نفوذگران می‌توانند انواع ابزارهای تخصصی خود را به این وسیله منتقل كنند، از جمله جاسوس‌افزارها، رمزشكن‌ها، كلیدنگارها، و پورت‌خوان‌ها، كه برای شروع نفوذ به یك سیستم اساسی‌ترین ابزار نفوذگر محسوب می‌شوند.

بعد از این كار، نفوذگر به شیوه‌های گوناگون مهندسی اجتماعی، سعی می‌كند به اتاق‌تان راه یافته یا به كامپیوترتان دست پیدا كند، تا از طریق درایو USB به اعمال شیطانی خود بپردازد. گذشته از اینها، در صورت مفقود شدن فلش دیسك، تمام فایل‌های موجود در آن به دست كسی می‌افتد كه آن را پیدا كرده و این می‌تواند برای كل سازمان خطرناك باشد.

چگونه می‌توان از شبكه سازمان در مقابل این تهدید محافظت كرد؟ اولین قدم، آموزش دادن به پرسنل است. ابتدا در مجموعه سیاست‌های امنیتی سازمان، استفاده صحیح و ناصحیح از درایوهای USB را تشریح كرده و لزوم داشتن مجوز برای استفاده از فلش دیسك را توضیح دهید. سپس این موارد را به پرسنل خود آموزش داده و دلایل وجودی هر كدام را برایشان بازگو كنید.

قدم بعدی این است كه كامپیوترها را طوری تنظیم كنید كه در صورت بی‌كار ماندن، بعد از ۳ تا ۵ دقیقه (یا هر مدتی كه خودتان صلاح می‌دانید) به طور خودكار قفل شوند. در ویندوز اكس‌پی آسان‌ترین راه برای این كار، استفاده از screen saver است. نرم‌افزارهای جانبی زیادی نیز وجود دارند كه از جمله می‌توان به Desktop Lock محصول شركت نرم‌افزای TopLang Software ،PC Lockup محصول Ixis ،SpyLock محصول Spytech Software و StayOut محصول Tomorroware اشاره كرد.

قدم دیگر این است كه برای پرسنل مورد نظر خود، USB درایوهای مطئمنی را تهیه كنید. به عنوان مثال،Lexar Media JumpDrive Secure یك فلش‌درایو USB است كه به صورت توكار با رمزعبور محافظت می‌شود. شركت SanDisk نرم‌افزاری به نام CruzerLock را همراه با فلش‌درایوهای خود عرضه می‌كند كه امكان گذاشتن كلمه عبور و رمز كردن فایل‌ها را به شما می‌دهد. حتی بعضی شركت‌ها محصولاتی دارند كه فقط با اثر انگشت صاحب اصلی كار می‌كنند.

نكته دیگر این است كه نرم‌افزار ویروس‌یاب خود را طوری تنظیم كنید كه تمام درایوها و ابزارهای جابه‌جا شدنی را در هنگام اسكن در نظر بگیرد. به كاربران یاد بدهید كه قبل از كپی كردن چیزی به كامپیوتر خود، ابتدا مطمئن شوند اسكن حتماً انجام گرفته یا خودشان به طور دستی به اسكن فلش دیسك بپردازند.

حتی برای تضمین امنیت بیشتر، می‌توانید پورت‌های USB را غیرفعال كنید. این یكی شاید زیادی امنیتی باشد، ولی اگر لازم است می‌توانید حتی از طریق رمزعبور BIOS كامپیوترها را قفل كنید. اما اگر به دنبال یك شیوه حفاظتی حرفه‌ای هستید، راه‌حلSecureNT محصول SecureWave را پیش بگیرید، كه اجازه می‌دهد دسترسی كاربران نهایی به بعضی قطعات ورودی-خروجی (از جمله پورت‌های USB) را تحت كنترل خود درآورید. با استفاده از این نرم‌افرار حتی می‌توانید فهرستی از قطعات مورد تأیید را ایجاد كنید تا دسترسی به هر وسیله‌ای خارج از این فهرست ممنوع شود. همچنین می‌توانید بر موارد استفاده تمام این وسایل نظارت داشته باشید.

نكته آخر این كه، به تمام كاربران بگویید یك فایل متنی حاوی اسم و نشانی خود روی فلش دیسك درست كنند تا در صورت مفقود شدن آن، یابنده بتواند آنها را پیدا كند. منتها دقت كنید كه خود این فایل نباید رمز شده باشد.

● امنیت از طریق ابهام

یكی از استدلال‌هایی كه طرفداران جنبش اپن‌سورس در حمایت از این حركت مطرح می‌كنند (اگر بخواهیم خیلی كلی و خودمانی بگوییم) این است كه می‌گویند شركت‌های closedsource، كه معروف‌ترین‌شان مایكروسافت است، در اشتباهند كه فكر می‌كنند در دسترس نبودن سورس كد برنامه‌های آنها امنیت محصولات‌شان را بالاتر می‌برد.

مدافعان اپن‌سورس با تحقیر چنین طرز فكری آن را تأمین <امنیت از طریق ابهام> security through obscurity می‌نامند و تأكید دارند كه اشكالات و حفره‌های موجود در محصولات، خواهی‌نخواهی برملا می‌شوند و در مقابل این استدلال كاملاً متضاد را می‌آورند كه محصولات اپن‌سورس اتفاقاً امنیت بیشتری خواهند داشت، چرا كه هر كس می‌تواند به معاینه آن‌ها پرداخته و اشكالات آن را برطرف كند.

چنین نظریه‌ای تا چه اندازه می‌تواند صحیح باشد؟ به زودی خواهیم فهمید، چرا كه قسمت‌هایی از سورس ویندوز NT۴ و ۲۰۰۰ به اینترنت نشت كرده است. پیش‌بینی شده است كه انتشار این كد موجب افزایش حملات به ویندوز خواهد شد. اگر این پیش‌بینی درست از آب در بیاید، پس باید قبول كنیم كه امنیت با ابهام تأمین می‌شود. اگر با پنهان كردن چیزی امنیت آن بیشتر نمی‌شود، پس با آشكار كردن آن نباید امنیتش كمتر شود.

توجه داشته باشید كه بحث ما بر سر كد دو محصولی است كه سال‌ها از عمرشان می‌گذرد. سورس NT۴ مربوط به سرویس پك ۳ ان‌تی است، كه IIS نداشت و IE آن هم ۴ بود. كد ویندوز ۲۰۰۰ هم زیرمجموعه بسیار كوچكی از سرویس پك ۱ ویندوز ۲۰۰۰ است كه شامل IE۵ ،SNMP ،PKI و یك سری كد SDK می‌شود. بعید است كه افشا شدن این كدها خطر جدید آنچنان مهمی برای ویندوزهای جدید باشد. با آن همه شلوغ‌كاری‌هایی كه برای نوشتن یك برنامه در آن زمان‌ها مجبور بودیم انجام دهیم، بعید است كسی حاضر شود كه میان ۵۵ هزار فایل به جستجو بپردازد تا حفره یا راه نفوذی پیدا كند.

اولاً كسی كه سیستمی با این نسخه‌های ویندوز داشته باشد، خود به خود در معرض خطر حمله به نقطه‌ضعف‌های شناخته شده‌ای قرار داد كه قبل از افشا این سورس‌ها كشف شده بودند. پس غیرمنطقی نیست كه فرض كنیم كسی از این سورس‌ها سوءاستفاده نخواهد كرد. ثانیاً مگر چه مقدار از كد ویندوز امروز با كد ویندوزهای نامبرده مشترك است؟ به عبارت دیگر، چه میزان از حملات امروز می‌تواند بر اساس سورس‌های ۳ یا ۴ سال گذشته پایه‌ریزی شده باشد؟ اگر این میزان زیاد باشد، پس باز هم باید قبول كنیم در ابهام است كه امنیت بهتر حفظ می‌شود. نفوذگران كلاه سیاه و كلاه سفید سال‌ها توان خود را برای شكستن این كدها صرف كردند و حالا اگر حمله قابل ملاحظه‌ای با افشای این كدها صورت بگیرد، پس باید بپذیریم كه سورس‌ها مهم بوده‌اند.

اگر به فهرست مؤسساتی كه مجوز سورس كد ویندوز را دارند نگاه كنید (در این نشانی) تعجب می‌كنید كه پس چرا درز كردن سورس‌های ویندوز این همه طول كشیده است. ولی با توجه به توافق‌نامه‌هایی كه مایكروسافت امضاء آن‌ها را هنگام ارائه مجوز از خریداران می‌گیرد و یك سری الزامات قانونی دیگر، معلوم است كه چرا چنین اتفاقاتی زود به زود رخ نمی‌دهند.

تحلیلگر دیگری در این رابطه معتقد است كه این حادثه همان قدر بی‌اهمیت است كه مثلاً یك ژنرال روسی جنگ جهانی دوم را امروز دستگیر كنیم. البته این حرف شاید خیلی اغراق‌آمیز باشد، ولی به هر ترتیب نشان‌دهنده این واقعیت است كه كد افشا شده تا حدود زیادی منسوخ شده است.

در مجموع، تمام حرف و حدیث‌هایی كه بعد از افشا شدن این كدها درباره افزایش احتمالی حملات به ویندوز در گوشه و كنار نقل می‌شوند (صرف‌نظر از صحت و سقم آن‌ها) نشان می‌دهند كه مردود دانستن استدلال امنیت از طریق ابهام زیاد هم آسان نیست. به هر ترتیب، در این رابطه حد میانی وجود ندارد بسته بودن كد یا موجب امنیت بیشتر می‌شود یا نمی‌شود. باید صبر كنیم ببینیم در آینده چه اتفاقی می‌افتد.