نکاتی که هر کس باید در مورد امنیت کامپیوتر شخصی یا شرکت خود بداند
اتهام هک کردن کامپیوترهای شرکت های بازرگانی عمده آمریکا توسط عواملی در ارتش چین، به خودی خود واقعه منحصر به فردی نبود، هرچند مثل دیگر حملات سایبری، این حمله ها هم تکنیک نسبتاً پیچیده ای داشتند.
اما در اینجا یک پرسش آزار دهنده مطرح می شود: شرکت های عمده بین المللی مثل شرکت فولاد آمریکا، آلکوآ و دیگران که تنها دارایی های معنوی شان سر به میلیون ها دلار می زند، چطور هدف سرقت گروه کوچکی از هکرهای اینترنتی قرار می گیرند که با هزینه اندکی از چین حمله شان را هدایت می کنند؟
پاسخ این است: همین که این گونه حملات بیشتر رخ نمی دهد جای تعجب دارد.
وزارت دادگستری آمریکا در پرونده ای ۴۸ صفحه ای به شرح ۳۱ مورد اتهام علیه پنج افسر ارتش چین پرداخته که با هویت های جعلی اینترنتی مثل «گوریل بدترکیب»، «کاندیگو»، و «برنده خوشحال» به شبکه های کامپیوتری شش شرکت بزرگ تجاری آمریکا نفوذ کرده بودند.
بخش هایی از اتهام وزارت دادگستری آمریکا آنچنان به جزییات پرداخته که اگر کسی علاقمند باشد می تواند از آن به عنوان «راهنمای هک کردن اینترنت» استفاده کند. هرچند بعضی از واژگان به کار رفته در متن نیاز به توضیح فنی دارد، اما از اعلام جرم وزارت دادگستری مشخص است «خواندگان پرونده» اقدامی کرده اند که تحلیلگران آن را «مهندسی اجتماعی» می خوانند.
خلاصه کلام مهندسی اجتماعی تاکتیکی است که هکرها با استفاده از آن خود را به جای فرد دیگری جا می زنند و اعتماد طرف مقابل را در اینترنت جلب می کنند.
هدف از این کار به دست آوردن اطلاعاتی مثل رمز عبور به طور مستقیم از خود فرد، و آلوده کردن کامپیوترها به ویروس از طریق بازکردن پیوندها و پیوست هاست. خلاصه این که «مهندسی اجتماعی» برچسب محترمانه ای است برای «گول زدن».
هکرها از راه های مختلفی می توانند اعتماد فرد مورد نظرشان را جلب کنند؛ و وقتی اعتماد طرف جلب شد، کشیدن اطلاعات حساس از او کار مشکلی نیست.
برای مثال، وقتی کسی که به نظر شما یک همکار مورد اعتماد است ایمیلی اضطراری می فرستد و از شما می خواهد رمزعبوری را که فراموش کرده برایش بفرستید، احتمال این که شما بدون لحظه ای فکر کردن این کار را بکنید خیلی بیشتر از وقتی است که یک غریبه از شما چنین درخواستی بکند.
یک مورد ویژه از حقه های «مهندسی اجتماعی» که افسران چینی به انجام آن متهم شده اند، اصطلاحاً «spearphishing» یا «فیشینگ» خوانده می شود یعنی فرستادن پیوندها و پیوست هایی همراه با ایمیل، که اگر گیرنده روی آنها کلیک کند، بدون آن که خودش متوجه شود، بدافزاری وارد کامپیوترش می شود.
آن وقت است که بدافزار از «در پشتی» یا ورودی مخفی وارد سیستم کامپیوتر می شود و مدتها بدون آن که شناسایی شود، اطلاعاتی از آن کامپیوتر برداشت می کند.
در اعلام جرم وزارت دادگستری آمده است که یکی از متهمان ایمیل های حاوی این ویروس ها را ظاهراً از دو آدرس ایمیل شرکت فولاد آمریکا برای هشت نفر از کارکنان از جمله مدیرعامل این شرکت می فرستاده است.
ایمیل ها با عنوان «چشم انداز صنایع فولاد آمریکا» ارسال می شد و پیوندی به یک بدافزار داشت که وقتی روی آن کلیک می کردند، به طور پنهانی بدافزار را روی دستگاه کامپیوتر گیرنده نصب می کرد، و از آن طریق متهمان پرونده به اطلاعات کامپیوترهای شرکت دسترسی پیدا می کردند.
در پرونده وزارت دادگستری شرح داده شده که متشاکیان (خوانده های پرونده) چطور به فهرست کارمندان فعلی و پیشین شش شرکت مورد نظر دسترسی پیدا کردند و بعد درباره آنها شروع به تحقیق کردند.
سپس چند دامنه وبسایتی با نام های مختلف خریداری کردند و محتوای آنها را به گونه ای طراحی کردند که قانونی و مشروع به نظر برسد، اما بدافزارهایی هم در لا به لای محتوای آن کارگذاشتند که هکرها با استفاده از آنها اطلاعات کامپیوتر مقصد را می دزدیدند و به چین منتقل می کردند.
اقدام هکرهای چینی از لحاظ پیچیدگی، به هیچ وجه با ویروس استاکس نت قابل مقایسه نبود. اما با درنظرگرفتن پشتکار و استفاده از قوه تخیل و سازماندهی، عملیاتی بسیار هوشمندانه بود.
به گفته استفن کاب، پژوهشگر ارشد امنیت اینترنتی در آمریکا «واقعیت این است: همه شرکت ها اطلاعاتی روز کامپیوترهایشان دارند که باید در برابر سرقت از آن محافظت کنند. اگر یک وبسایت داشته باشید، هر ۵ یا ۶ ثانیه یک بار سارقان اینترنتی از سراسر به آن حمله می کنند. این کار از طریق برنامه های خودکار صورت می گیرد که به دنبال منفذی برای وارد شدن به سیستم های کامپیوتری دیگران می گردند.»
با این همه، تحلیلگران می گویند درک کردن امنیت اینترنتی هنوز هم برای بیشتر مردم دشوار است. آقای کاب در توضیح بیشتر سرقت های اینترنتی می گوید: «اگر کارمند بانک باشید می دانید که ممکن است کسانی بخواهند بانک را بزنند، چون پول در آنجاست. اما اگر پزشک یا مهندسی باشید و کالایی را طراحی می کنید، لزوما فکر نمی کنید که آدم های بدی هستند که می خواهند طرح کالایتان را بدزدند.»
مسئله اصلی به نظر استفن کاب، تقسیم اطلاعات به رده های مختلف امنیتی است – به بیان دیگر، تا وقتی درباره یک مسأله اطلاعاتی ندارید، نمی توانید از آن محافظت کنید. این تحلیلگر اینترنتی می گوید «یکی از اولین نکات در فهرست توصیه ها و برنامه های من برای امنیت اینترنتی مشاغل تجاری بزرگ و کوچک این است که بدانید چه چیزی (روی اینترنت) دارید.»
اما در اینجا یک پرسش آزار دهنده مطرح می شود: شرکت های عمده بین المللی مثل شرکت فولاد آمریکا، آلکوآ و دیگران که تنها دارایی های معنوی شان سر به میلیون ها دلار می زند، چطور هدف سرقت گروه کوچکی از هکرهای اینترنتی قرار می گیرند که با هزینه اندکی از چین حمله شان را هدایت می کنند؟
پاسخ این است: همین که این گونه حملات بیشتر رخ نمی دهد جای تعجب دارد.
وزارت دادگستری آمریکا در پرونده ای ۴۸ صفحه ای به شرح ۳۱ مورد اتهام علیه پنج افسر ارتش چین پرداخته که با هویت های جعلی اینترنتی مثل «گوریل بدترکیب»، «کاندیگو»، و «برنده خوشحال» به شبکه های کامپیوتری شش شرکت بزرگ تجاری آمریکا نفوذ کرده بودند.
بخش هایی از اتهام وزارت دادگستری آمریکا آنچنان به جزییات پرداخته که اگر کسی علاقمند باشد می تواند از آن به عنوان «راهنمای هک کردن اینترنت» استفاده کند. هرچند بعضی از واژگان به کار رفته در متن نیاز به توضیح فنی دارد، اما از اعلام جرم وزارت دادگستری مشخص است «خواندگان پرونده» اقدامی کرده اند که تحلیلگران آن را «مهندسی اجتماعی» می خوانند.
خلاصه کلام مهندسی اجتماعی تاکتیکی است که هکرها با استفاده از آن خود را به جای فرد دیگری جا می زنند و اعتماد طرف مقابل را در اینترنت جلب می کنند.
هدف از این کار به دست آوردن اطلاعاتی مثل رمز عبور به طور مستقیم از خود فرد، و آلوده کردن کامپیوترها به ویروس از طریق بازکردن پیوندها و پیوست هاست. خلاصه این که «مهندسی اجتماعی» برچسب محترمانه ای است برای «گول زدن».
هکرها از راه های مختلفی می توانند اعتماد فرد مورد نظرشان را جلب کنند؛ و وقتی اعتماد طرف جلب شد، کشیدن اطلاعات حساس از او کار مشکلی نیست.
برای مثال، وقتی کسی که به نظر شما یک همکار مورد اعتماد است ایمیلی اضطراری می فرستد و از شما می خواهد رمزعبوری را که فراموش کرده برایش بفرستید، احتمال این که شما بدون لحظه ای فکر کردن این کار را بکنید خیلی بیشتر از وقتی است که یک غریبه از شما چنین درخواستی بکند.
یک مورد ویژه از حقه های «مهندسی اجتماعی» که افسران چینی به انجام آن متهم شده اند، اصطلاحاً «spearphishing» یا «فیشینگ» خوانده می شود یعنی فرستادن پیوندها و پیوست هایی همراه با ایمیل، که اگر گیرنده روی آنها کلیک کند، بدون آن که خودش متوجه شود، بدافزاری وارد کامپیوترش می شود.
آن وقت است که بدافزار از «در پشتی» یا ورودی مخفی وارد سیستم کامپیوتر می شود و مدتها بدون آن که شناسایی شود، اطلاعاتی از آن کامپیوتر برداشت می کند.
در اعلام جرم وزارت دادگستری آمده است که یکی از متهمان ایمیل های حاوی این ویروس ها را ظاهراً از دو آدرس ایمیل شرکت فولاد آمریکا برای هشت نفر از کارکنان از جمله مدیرعامل این شرکت می فرستاده است.
ایمیل ها با عنوان «چشم انداز صنایع فولاد آمریکا» ارسال می شد و پیوندی به یک بدافزار داشت که وقتی روی آن کلیک می کردند، به طور پنهانی بدافزار را روی دستگاه کامپیوتر گیرنده نصب می کرد، و از آن طریق متهمان پرونده به اطلاعات کامپیوترهای شرکت دسترسی پیدا می کردند.
در پرونده وزارت دادگستری شرح داده شده که متشاکیان (خوانده های پرونده) چطور به فهرست کارمندان فعلی و پیشین شش شرکت مورد نظر دسترسی پیدا کردند و بعد درباره آنها شروع به تحقیق کردند.
سپس چند دامنه وبسایتی با نام های مختلف خریداری کردند و محتوای آنها را به گونه ای طراحی کردند که قانونی و مشروع به نظر برسد، اما بدافزارهایی هم در لا به لای محتوای آن کارگذاشتند که هکرها با استفاده از آنها اطلاعات کامپیوتر مقصد را می دزدیدند و به چین منتقل می کردند.
اقدام هکرهای چینی از لحاظ پیچیدگی، به هیچ وجه با ویروس استاکس نت قابل مقایسه نبود. اما با درنظرگرفتن پشتکار و استفاده از قوه تخیل و سازماندهی، عملیاتی بسیار هوشمندانه بود.
به گفته استفن کاب، پژوهشگر ارشد امنیت اینترنتی در آمریکا «واقعیت این است: همه شرکت ها اطلاعاتی روز کامپیوترهایشان دارند که باید در برابر سرقت از آن محافظت کنند. اگر یک وبسایت داشته باشید، هر ۵ یا ۶ ثانیه یک بار سارقان اینترنتی از سراسر به آن حمله می کنند. این کار از طریق برنامه های خودکار صورت می گیرد که به دنبال منفذی برای وارد شدن به سیستم های کامپیوتری دیگران می گردند.»
با این همه، تحلیلگران می گویند درک کردن امنیت اینترنتی هنوز هم برای بیشتر مردم دشوار است. آقای کاب در توضیح بیشتر سرقت های اینترنتی می گوید: «اگر کارمند بانک باشید می دانید که ممکن است کسانی بخواهند بانک را بزنند، چون پول در آنجاست. اما اگر پزشک یا مهندسی باشید و کالایی را طراحی می کنید، لزوما فکر نمی کنید که آدم های بدی هستند که می خواهند طرح کالایتان را بدزدند.»
مسئله اصلی به نظر استفن کاب، تقسیم اطلاعات به رده های مختلف امنیتی است – به بیان دیگر، تا وقتی درباره یک مسأله اطلاعاتی ندارید، نمی توانید از آن محافظت کنید. این تحلیلگر اینترنتی می گوید «یکی از اولین نکات در فهرست توصیه ها و برنامه های من برای امنیت اینترنتی مشاغل تجاری بزرگ و کوچک این است که بدانید چه چیزی (روی اینترنت) دارید.»