Micah Zenko
کارشناس امنیت
چند سال اخیر را به مصاحبه با بیش از ۱۰۰ پژوهشگر در زمینهٔ امنیت سپری کردم که معمولاً خود را «هکر» مینامند و در کنفرانسهای امنیت شرکت میکنند. لذا شاهد بودم چگونه این اشخاص ضعفها و نواقص نرم افزارها و شبکههای کامپیوتری و تجهیزات روزمره را پیدا کرده تا آنها را بهبود بخشیده و به روز کنند. این هکرهای اخلاقی یا «کلاه سفید» اساساً با کنجکاوی ذاتی خود برای کشفِ هکهای ممکنِ مجاز و غیرمجاز شناخته میشوند. فعالیت آنها چه برای سرگرمی و چه به صورت حرفهای معمولاً مخلوتی از هر دو مورد است. سادهترین جمله برای توضیح عملکرد هکرها این است: گرفتن چیزی و استفاده از آن برای انجام یک کار دیگر.
هکرها اغلب به اشتباه در اذهان عمومی به عنوان افرادی عجیب و غریب که پیراهن کلاهدار (یا حتی بدتر، لباس نینجا) میپوشند و مهارتهای اجتماعی ضعیفی دارند شناخته میشوند. من به این نتیجه رسیدم که دقیقاً خلاف این حقیقت دارد. با اینکه فاقد سابقه فنّی مورد نیاز برای این حرفه بودم، آنها تمایل بسیار داشتند تا یافتههایشان را به اشتراک گذاشته، حرفهایشان را ساده سازی، نگرانیهای روزافزون خود را بیان کرده و به سوالات اجتناب ناپذیری که پیش میآید پاسخ دهند.
با به پایان رسیدن کنفرانس سالانه امنیت در لاس وگاس، به اشتراک گذاشتن مشاهدات متعددی در مورد هکرها و چگونگی برخورد با کار آنها خالی از لطف نیست. با توجه به نقش فزاینده آنها در حفظ امنیت مشتریان و عموم، حفاظت از زیرساختهای حیاتی و در نهایت امنیت ملی، در ادامه به شش موردی اشاره میشود که هرکسی باید در مورد هکرها بداند.
۱. زندگی شما به خاطر هکرها بهتر و امنتر شده است.
اینترنتِ چیزها (اکوسیستم همه وسایل متصل به اینترنت) بطور گستردهای رو به رشد است و بر اساس یک ارزیابی از ۱۳ میلیارد در ۲۰۱۳ به بیش از ۵۰ میلیارد در ۲۰۲۰ افزایش خواهد یافت. حضور تراشهها، حسگرها و ایمپلنتها در وسایل مختلف به کاربران این امکان را میدهد تا دائماً قابلیتها و امکانات جذابی را به وسایل خود اضافه کنند. مثلاً تشکهای هوشمند یوگا که حرکات را اصلاح میکنند و مکان یابهای وسایل نقلیه که به افراد کمک میکنند تا از ترافیک بپرهیزند. با این حال همانطور که یک هکر برایم توضیح داد «آنچه برای شما یک قابلیت مورد انتظار است برای من سطح حمله است». ضربان سازهای قلب، پمپهای انسولین، هواپیماهای تجاری، شبکههای کنترل صنعتی برای زیرساختهای حیاتی، کارت کلید هتلها، گاوصندوقها، یخچالها، دفیبریلاتورها و مسسلسلهای هوشمند همگی قبلاً توسط پژوهشگران امنیت هک شدهاند (و یافتههایشان قبل از نمایش عمومی به سازندهها عرضه شده است). این محصولات تنها بدین خاطر که ضعفهایشان توسط هکرهای خارجی کشف شدهاند ایمنتر و قابل اعتمادتر گشتهاند. دستاوردِ افرادی که معمولاً به صورت موردی و حق الزحمهای با کمپانیها کار میکنند و نه توسط کارمندان استخدامی بخش توسعه نرم افزار یا فن آوری اطلاعات آن کمپانیها.
۲. تقریباً تمام هکهایی که شما از طریق روزنامه از آن اطلاع پیدا میکنید فاقد پیشینه و زمینهٔ لازم هستند.
حتماً تا به حال سرخطهای پر سرو صدای خبرها را خواندهاید: «هکرها از راه دور یک ماشین جیپ را از کار انداختند در حالی که من سوار آن بودم»، «ضربانساز قلب شما چگونه هک میشود»، «تختههای اسکیت، هواپیماهای بیسرنشین و مغز شما: همه چیز قابل هک شدن است»، «خودرو قابل هک شدن است. هواپیما چطور؟». این سرخطهای احساسی و داستانهای همراهشان این تصور را ایجاد میکنند که همه چیز آسیب پذیر است.
اما بیشتر تلاشها برای حملههای سایبری بینتیجه میماند و هرگز در کنفرانسها و اخبار گزارش داده نمیشود. یک هک موفق یعنی شکست، امتحان کردن راههای دیگر، شکست دوباره و سپس یافتن نقص یا ضعفی که میتواند مورد سوء استفاده قرار بگیرد. هکهایی که رسانهای میشوند اغلب نتیجه فعالیت گسترده گروهی از محققان با مهارتهای مختلف و دانش عمیق در مورد کدگذاری، سیستمهای عامل و بدافزارها است که میتواند برای پروژه کنونی شان دوباره مورد استفاده قرار بگیرد.
برای مثال گزارش هک پرجنجال «جیپ چرووکی» را در نظر بگیرید. این مورد توسط چارلی میلر و کریس والاسک انجام شده بود که دو از ماهرترین هکرها در جهان هستند. میلر دکترای ریاضیات دارد و در آژانس امنیت ملی شاغل است و اولین کسی بود که از راه دور یک آیفون را به علاوه دهها محصول ایمن دیگر هک کرد. ماجرای هک کردن جیپ توسط آنها، نتیجه سه سال تحقیق گسترده و پرهزینه بود که تعدادی از ضعفهای ماشینها را به همراه آسیب پذیری شبکه تلفنی شرکت «اسپرینت» که اینترنت بیسیم درون ماشین، آپدیتهای ترافیکی لحظهای و سایر جنبههای اتصالات راه دور را ارائه میدهد آشکار کرد. نکته اینجاست که تک تک هکهای رسانهای شده منحصر بفرد هستند و زمینهای گزارش نشدهای دارند که برای درک کامل عمق و گستره ضعفهای آشکار شده حیاتی هستند.
۳. هیچ چیز مادام العمر ایمن نیست، تنها موقتی وصلهٔ نرم افزاری (patch) شده است.
همانطور که «گابریلا کلمن» انسانشناس اجتماعی در مطالعه مهم خود دریافت، هکرها “دائماً در معرض ناامیدیهای شغلی و شادیهای شخصی/جمعی هستند”. آنها ضعفهای آشکار را شناسایی میکنند که بعد منجر به ” وصلهٔ نرم افزار”، تغییرات در ساختار شبکه و شاید تغییرات کوچک در تیم فناوری اطلاعات شود. بله، وقتی مشکلات اجتناب ناپذیر نرم افزار جای دیگری بروز میکند و یا مثلاً کارمندی ایمیلی را که به نظر حاوی اطلاعات مهمی در مورد حساب بازنشستگیاش است باز میکند و به جای آن کدهای مخرب و ناشناختهای را روی کامپیوتر خود نصب میکند، نقاط ضعف جدیدی بروز میکند. این پدیده آشنا را یک هکر قدیمی به نام «دینو دای زووی» به عنوان «امنیت سایبری در دور باطل» برای من توصیف کرد.
مثلاً «فمتوسِل» را در نظر بگیرید که در حقیقت یک برج تلفن همراه کوچک است که به یک مودم بیسیم اینترنت شباهت دارد. از این وسیله در مناطق روستایی و نواحی از ادارات که پوشش سیگنال تلفن ضعیف است برای تقویت آن استفاده میشود. هر تلفن همراهی که در محدودهٔ آن باشد میتواند بدون اطلاع صاحب تلفن به آن وصل شود. در سال ۲۰۱۱ تیم هکرهای THC توانستند به وسیله مهندسی معکوسِ مدیریتِ پسورد به یک فمتوسل شرکت «ودافون» دسترسی پیدا کنند. بدینوسیله تیم THC توانست صدا، اطلاعات و پیامکهای تمام تلفنهای متصل را بدزدد. در سال ۲۰۱۳ گروهی از شرکت امنیت سایبری iSEC نیز با ایجاد یک تاخیر درونی در فرایند راه اندازی دستگاه، همین کار را با فمتوسل شرکت «وریزون» انجام داد. امسال در کنفرانس امنیت دفکان، «یووی زنگ» و «هایوکی شان» با استفاده از نقطه ضعف پیچیده تری در فرایند راه اندازی فمتوسلی در چین، آن را هک کردند. من بعد از سخنرانی با آنها صحبت کردم. آنها گفتند که این هک به اندازه یک ماه کار شبانه و بعد از اتمام شغل روزانهشان زمان برده است. مطمئناً فمتوسلهای دیگر نیز در آینده هک شده، سپس وصلهٔ نرم افزاری میشوند و دوباره هک میشوند.
۴. هکرها دائماً در معرض تهدیدهای قانونی قرار دارند.
شما تصور میکنید که سازندهها از کسی که به آنها در مورد ضعف محصولاتشان هشدار میدهد استقبال میکنند و مسلماً توسط «پاداش برای گزارش خلل» هکرهایی را تشویق میکنند که مسئولانه نواقص امنیتی را افشا میکنند. خیر، بعضی تولیدکنندگان وجود نواقص را نمیپذیرند و محققان را تهدید میکنند که به اتهام اخاذی از آنها شکایت خواهند کرد. بسیار مهم است که هکرهای کلاه سفید مورد حمایت قرار گرفته و تشویق شوند. چراکه در ازای هر نفوذی که آنها به تولیدکنندگان گزارش میدهند، دولتهای دیگر یا تیمهای مجرمانهای وجود دارند که احتمالاً همین نواقص را کشف کرده ولی برای سوء استفاده یا فروش در بازار سیاه از آن استفاده میکنند.
دو مورد نگرانی قانونی و نظارتی وجود دارد. در سالی که «متیو برودریک» سیستم کامپیوتری دبیرستان خود را هک کرد تا نمرههایش را تغییر دهد قانون تقلب و تخلف کامپیوتری (CFAA) به تصویب رسید. هکرها معتقدند که این قانون بسیار قدیمی است و دادستانها با سوء استفاده از آن افرادی را گرفتار میکنند که هکهای غیرمخرب انجام میدهند. قانون، افراد را از دسترسی عامدانه به کامپیوتر یا شبکههای کامپیوتری «بدون اجازه» یا «بیش از حد مجاز» منع میکند. در یک مورد، سه دانشجوی مرکز فن آوری ماساچوست نقصی را در سیستم حمل و نقل خلیج ماساچوست (MBTA) پیدا کردند که به افراد اجازه میداد رایگان از سیستم استفاده کنند. در سال ۲۰۰۸ این سه نفر را از ارائه یافتههایشان منع کردند، چراکه به زعم آنها گزارش یک هک برابر با استفاده از آن است. غم انگیزتر این بود که در سال ۲۰۱۳ «آرون شوارتز» که به علت ۱۱ مورد نقض قانون CFAA به ۳۵ سال زندان محکوم شده بود خودکشی کرد. پیشنهادات معقول برای به روز رسانی و بهبود قانون CFAA متاسفانه تا بحال به جایی نرسیده است.
همچنین «تشکیلات واسنار» که یک ساختار چند جانبه کنترل صادرات است به عنوان تهدیدی برای اثربخشی و کارایی برنامههای متداول «پاداش برای گزارش خلل» مورد انتقاد است. چراکه نه تنها میتواند برنامههای تا به حال موفق را به خطر بیندازد بلکه متاسفانه میتواند به هکرهای مستقل و خود-اشتغال که از این راه درآمد دارند ضربه بزند. دفتر صنعت و امنیت وزارت بازرگانی آمریکا اخیراً تغییراتی در واسنار پیشنهاد کرده که بر اساس آن برای صادرات تکنولوژی نرم افزارهای نفوذی نیاز به کسب مجوز است. به نظر میرسد این تغییر مانع تحقیق و توسعه شده و سرعت کشف نواقص را کاهش میدهد.
۵. شکاف عمیقی بین محققان امنیت سایبری و سیاست سایبری وجود دارد.
در کنفرانسها و نشستهای امنیت سایبری در واشنگتن عموماً تعداد کمی از حاضران از دانش تکنیکی مورد بحث برخوردارند و شخصاً در عمل هک دخیل بودهاند. در عوض کُل گراهای حوزه امنیت (مثل این حقیر) در این برنامهها شرکت میکنند. این افراد به شکل ناشیانه مفاهیم را از سایر حوزهها به حوزه سایبر انتقال میدهند. برای مثال، نظریه بازدارندگی که نظریهای است که نیم قرن پیش برای حل معضل جنگ هستهای آمریکا-شوروی به وجود آمد. همکار من «آدام سیگال» که مدیر شورای دیجیتال روابط خارجی (برنامه سیاست فضای سایبری و دیجیتال) است میگوید: “ما در تلاشیم تا این شکاف را با ایجاد شبکهای از افراد نکته بین در سیاست خارجی (که نماینده شرکتهای فن آوری هستند) و متخصصین فنآوری پُر کنیم. اما متاسفانه هنوز تفاوتهای زیادی در فرهنگ و چشم انداز وجود دارد.”
در این میان هکرها از کلمه «سایبر» متنفرند. چراکه پسوندی است بیمعنی برای هر چیزی که به اینترنت مربوط میشود و سایر جنبههای امنیت کامپیوتر از قبیل امنیت فیزیکی، مهندسی اجتماعی، تهدیدهای داخلی، مختل کردن فرکانس رادیویی، هک کردن و کلاه برداری را در نظر نمیگیرد. با این حال آنها با اکراه چنین واژه ای را می پذیرند تا حرفهایشان در واشنگتن شنیده شود. با این وجود، به ندرت به برنامههای دولتی و اتاقهای فکر دعوت میشوند و حتی نمیدانند چطور باید دعوت شوند. نتیجه این شکاف در طرحها و مباحث سیاستگزاری نمود مییابد و در نتیجه، دغدغههای هکرهای مسئول یا بدافزارهایی که به راحتی در دسترس هکرهای مخرب قرار دارد را به ندرت در نظر میگیرند.
بعضی هکرها و مسئولین دولتی در تلاش هستند تا این شکاف را پر کنند. نمایندگان جنبش مردمی «من سواره نظام هستم» تا به حال بیش از ۲۰۰ جلسه توجیهی در «کاپیتول هیل» برگزار کردهاند. این جنبش بر روی مسائل امنیت سایبری که بر امنیت عمومی و زندگی بشر اثر میگذارد تمرکز دارد تا از قابل اعتماد بودن فن آوریها اطمینان حاصل کند. در همین حال، بعضی مقامات دولتی مانند اشکان سلطانی، تکنسین ارشد کمیسیون تجارت فدرال دائماً به مباحث هکرها کمک میکند و سوزان شوارتز از اداره دارو و غذا در طول کنفرانس «Bsides Las Vegas» برای تشکر از جنبش «من سواره نظام هستم» فراخوانده شد. از طرف دیگر «رنلی ویلر» از اداره صنایع و امنیت در زمان نشست «بنیاد مرز الکترونیک» در کنفرانس DEF CON از طریق تلفن سوالاتی جدی در مورد طرح پیشنهادی واسنار پرسید. با این وجود هنوز هم تعداد بسیار کمی محقق امنیت و مسئول دولتی وجود دارند که حاضر باشند یا جرات کافی داشته باشند تا علنی صحبت کنند. با اینکه بیاعتمادی ناشی از ماجرای ادوارد اسنودن تقریباً از بین رفته است باز هم اعتماد سازی و گفتگوی بیشتری مورد نیاز است چرا که تهدیدهای اینترنتی رو به گسترشاند.
۶. هکرها جامعه متمایزی با اخلاقیات و ارزشهای خاص خود را دارند که بسیاری از آنها ضمنی بوده و بقیه از طریق خود-کنترلی اجرا میشوند.
عمدتاً هکرها تنها خواستار آزادی در کار خود و ناشناس باقی ماندن از نظر دولت و بخش تجاری هستند. آنها نسبت به همکارانی که ادعا میکنند نرم افزارهای کد گذاری یا گوشیهای همراه «غیرقابل رمزگشایی» تولید کردهاند دید مثبتی ندارند. همچنین آنهایی که به جای نمایش جدی دست آوردشان در مقالههای علمی وقت خود را صرف بزرگنمایی آن در روزنامهها میکنند چندان پذیرفته نیستند.
هکرها همچنین از تحقیرنفس و طنز سیاه هم استقبال میکنند. وقتی سخنرانی یکی از سخنرانان در کنفرانس DEF CON لغو شد صدای «پلیس رو پیدا کن» بلند شد. در آن زمان یکی از مسئولین که کارمندان دولتی زیادی را بین حاضرین میشناخت بقیه را تشویق کرد تا آنها را شناسایی کنند. آنها ناموفق بودند. همه تصور میکردند که کارمندان دولت و پلیس مردانی هستند که شلوار اتوکشیده پوشیدهاند (چندان بیراه هم نیست!). همچنین نشستی برای اولین بار برگزار شد که به درستی «تاریخچه هکر مست» نامیده شد. این نشست شامل داستانهای عجیب و غریب ار هکرهای معروف بود در حالی که «کیتی موسوریس» از گروه «هکر وان» ترانه خود به نام «یک موزیکال: سرگذشت افشای والن» را اجرا کرد. از آنجایی که بسیاری از سخنرانیهای DEF CON در نهایت روی یوتیوب قرار میگیرند، امیدواریم این نشست نیز به زودی در این سایت قرار بگیرد.
بنابراین دفعه بعد که خبری در مورد هکرها یا خلل امنیتی مهمی در لپ تاپ، تلفن همراه یا ماشین خود خواندید، متخصصانی را به یاد بیاورید که این امکان را فراهم کردهاند. با توجه به اهمیت اینترنت در تمام جوانب زندگی ما، قانونگزاران و شهروندان باید درک بهتری از عملکرد و طرز تفکر هکرها پیدا کنند. بار دیگری که به خدمات یک پژوهشگر امنیت نیاز داشتید، از آنها در مورد حرفهشان بپرسید. احتمالاً از به اشتراک گذاشتن دانستههای شان بسیار خوشحال خواهند شد.
ترجمه از رضا عرب وی فعال سابق دانشجویی و دبیر انجمن اسلامی دانشگاه مازندران، که در مقطع کارشناسی ارشد ستاره دار و از ادامه تحصیل محروم شد. رضا هم اکنون دانشجوی زبان شناسی اجتماعی دانشگاه ورشو لهستان است.