زندگی شما به خاطر هکر‌ها امن‌تر شده است

Micah Zenko

کارشناس امنیت

چند سال اخیر را به مصاحبه با بیش از ۱۰۰ پژوهشگر در زمینهٔ امنیت سپری کردم که معمولاً خود را «هکر» می‌نامند و در کنفرانس‌های امنیت شرکت می‌کنند. لذا شاهد بودم چگونه این اشخاص ضعف‌ها و نواقص نرم افزار‌ها و شبکه‌های کامپیوتری و تجهیزات روزمره را پیدا کرده تا آن‌ها را بهبود بخشیده و به روز کنند. این هکرهای اخلاقی یا «کلاه سفید» اساساً با کنجکاوی ذاتی خود برای کشفِ هک‌های ممکنِ مجاز و غیرمجاز شناخته می‌شوند. فعالیت آن‌ها چه برای سرگرمی و چه به صورت حرفه‌ای معمولاً مخلوتی از هر دو مورد است. ساده‌ترین جمله برای توضیح عملکرد هکر‌ها این است: گرفتن چیزی و استفاده از آن برای انجام یک کار دیگر.

هکر‌ها اغلب به اشتباه در اذهان عمومی به عنوان افرادی عجیب و غریب که پیراهن کلاهدار (یا حتی بد‌تر، لباس نینجا) می‌پوشند و مهارتهای اجتماعی ضعیفی دارند شناخته می‌شوند. من به این نتیجه رسیدم که دقیقاً خلاف این حقیقت دارد. با اینکه فاقد سابقه فنّی مورد نیاز برای این حرفه بودم، آن‌ها تمایل بسیار داشتند تا یافته‌هایشان را به اشتراک گذاشته، حرف‌هایشان را ساده سازی، نگرانی‌های روزافزون خود را بیان کرده و به سوالات اجتناب ناپذیری که پیش می‌آید پاسخ دهند.

با به پایان رسیدن کنفرانس سالانه امنیت در لاس وگاس، به اشتراک گذاشتن مشاهدات متعددی در مورد هکر‌ها و چگونگی برخورد با کار آن‌ها خالی از لطف نیست. با توجه به نقش فزاینده آن‌ها در حفظ امنیت مشتریان و عموم، حفاظت از زیرساخت‌های حیاتی و در ‌‌نهایت امنیت ملی، در ادامه به شش موردی اشاره می‌شود که هرکسی باید در مورد هکر‌ها بداند.

۱. زندگی شما به خاطر هکر‌ها بهتر و امن‌تر شده است.

اینترنتِ چیزها (اکوسیستم همه وسایل متصل به اینترنت) بطور گسترده‌ای رو به رشد است و بر اساس یک ارزیابی از ۱۳ میلیارد در ۲۰۱۳ به بیش از ۵۰ میلیارد در ۲۰۲۰ افزایش خواهد یافت. حضور تراشه‌ها، حسگر‌ها و ایمپلنت‌ها در وسایل مختلف به کاربران این امکان را می‌دهد تا دائماً قابلیت‌ها و امکانات جذابی را به وسایل خود اضافه کنند. مثلاً تشک‌های هوشمند یوگا که حرکات را اصلاح می‌کنند و مکان یاب‌های وسایل نقلیه که به افراد کمک می‌کنند تا از ترافیک بپرهیزند. با این حال همانطور که یک هکر برایم توضیح داد «آنچه برای شما یک قابلیت مورد انتظار است برای من سطح حمله است». ضربان سازهای قلب، پمپ‌های انسولین، هواپیماهای تجاری، شبکه‌های کنترل صنعتی برای زیرساخت‌های حیاتی، کارت کلید هتل‌ها، گاوصندوق‌ها، یخچال‌ها، دفیبریلاتور‌ها و مسسلسل‌های هوشمند همگی قبلاً توسط پژوهشگران امنیت هک شده‌اند (و یافته‌هایشان قبل از نمایش عمومی به سازنده‌ها عرضه شده است). این محصولات تنها بدین خاطر که ضعف‌هایشان توسط هکرهای خارجی کشف شده‌اند ایمن‌تر و قابل اعتماد‌تر گشته‌اند. دستاوردِ افرادی که معمولاً به صورت موردی و حق الزحمه‌ای با کمپانی‌ها کار می‌کنند و نه توسط کارمندان استخدامی بخش توسعه نرم افزار یا فن آوری اطلاعات آن کمپانی‌ها.

۲. تقریباً تمام هک‌هایی که شما از طریق روزنامه از آن اطلاع پیدا می‌کنید فاقد پیشینه و زمینهٔ لازم هستند.

حتماً تا به حال سرخط‌های پر سرو صدای خبر‌ها را خوانده‌اید: «هکر‌ها از راه دور یک ماشین جیپ را از کار انداختند در حالی که من سوار آن بودم»، «ضربانساز قلب شما چگونه هک می‌شود»، «تخته‌های اسکیت، هواپیماهای بی‌سرنشین و مغز شما: همه چیز قابل هک شدن است»، «خودرو قابل هک شدن است. هواپیما چطور؟». این سرخط‌های احساسی و داستان‌های همراه‌شان این تصور را ایجاد می‌کنند که همه چیز آسیب پذیر است.

اما بیشتر تلاش‌ها برای حمله‌های سایبری بی‌نتیجه می‌ماند و هرگز در کنفرانس‌ها و اخبار گزارش داده نمی‌شود. یک هک موفق یعنی شکست، امتحان کردن راه‌های دیگر، شکست دوباره و سپس یافتن نقص یا ضعفی که می‌تواند مورد سوء استفاده قرار بگیرد. هک‌هایی که رسانه‌ای می‌شوند اغلب نتیجه فعالیت گسترده گروهی از محققان با مهارت‌های مختلف و دانش عمیق در مورد کدگذاری، سیستم‌های عامل و بدافزار‌ها است که می‌تواند برای پروژه کنونی شان دوباره مورد استفاده قرار بگیرد.

برای مثال گزارش هک پرجنجال «جیپ چرووکی» را در نظر بگیرید. این مورد توسط چارلی میلر و کریس والاسک انجام شده بود که دو از ماهر‌ترین هکر‌ها در جهان هستند. میلر دکترای ریاضیات دارد و در آژانس امنیت ملی شاغل است و اولین کسی بود که از راه دور یک آیفون را به علاوه ده‌ها محصول ایمن دیگر هک کرد. ماجرای هک کردن جیپ توسط آن‌ها، نتیجه سه سال تحقیق گسترده و پرهزینه بود که تعدادی از ضعف‌های ماشین‌ها را به همراه آسیب پذیری شبکه تلفنی شرکت «اسپرینت» که اینترنت بی‌سیم درون ماشین، آپدیت‌های ترافیکی لحظه‌ای و سایر جنبه‌های اتصالات راه دور را ارائه می‌دهد آشکار کرد. نکته اینجاست که تک تک هک‌های رسانه‌ای شده منحصر بفرد هستند و زمینه‌ای گزارش نشده‌ای دارند که برای درک کامل عمق و گستره ضعف‌های آشکار شده حیاتی هستند.

۳. هیچ چیز مادام العمر ایمن نیست، تنها موقتی وصلهٔ نرم افزاری (patch) شده است.

همانطور که «گابریلا کلمن» انسان‌شناس اجتماعی در مطالعه مهم خود دریافت، هکر‌ها “دائماً در معرض ناامیدی‌های شغلی و شادی‌های شخصی/جمعی هستند”. آن‌ها ضعف‌های آشکار را شناسایی می‌کنند که بعد منجر به ” وصلهٔ نرم افزار”، تغییرات در ساختار شبکه و شاید تغییرات کوچک در تیم فناوری اطلاعات شود. بله، وقتی مشکلات اجتناب ناپذیر نرم افزار جای دیگری بروز می‌کند و یا مثلاً کارمندی ایمیلی را که به نظر حاوی اطلاعات مهمی در مورد حساب بازنشستگی‌اش است باز می‌کند و به جای آن کد‌های مخرب و ناشناخته‌ای را روی کامپیوتر خود نصب می‌کند، نقاط ضعف‌ جدیدی بروز می‌کند. این پدیده آشنا را یک هکر قدیمی به نام «دینو دای زووی» به عنوان «امنیت سایبری در دور باطل» برای من توصیف کرد.

مثلاً «فمتوسِل» را در نظر بگیرید که در حقیقت یک برج تلفن همراه کوچک است که به یک مودم بی‌سیم اینترنت شباهت دارد. از این وسیله در مناطق روستایی و نواحی از ادارات که پوشش سیگنال تلفن ضعیف است برای تقویت آن استفاده می‌شود. هر تلفن همراهی که در محدودهٔ آن باشد می‌تواند بدون اطلاع صاحب تلفن به آن وصل شود. در سال ۲۰۱۱ تیم هکر‌های THC توانستند به وسیله مهندسی معکوسِ مدیریتِ پسورد به یک فمتوسل شرکت «ودافون» دسترسی پیدا کنند. بدینوسیله تیم THC توانست صدا، اطلاعات و پیامک‌های تمام تلفن‌های متصل را بدزدد. در سال ۲۰۱۳ گروهی از شرکت امنیت سایبری iSEC  نیز با ایجاد یک تاخیر درونی در فرایند راه اندازی دستگاه، همین کار را با فمتوسل شرکت «وریزون» انجام داد. امسال در کنفرانس امنیت دفکان، «یووی زنگ» و «هایوکی شان» با استفاده از نقطه ضعف پیچیده تری در فرایند راه اندازی فمتوسلی در چین، آن را هک کردند. من بعد از سخنرانی با آن‌ها صحبت کردم. آن‌ها گفتند که این هک به اندازه یک ماه کار شبانه و بعد از اتمام شغل روزانه‌شان زمان برده است. مطمئناً فمتوسل‌های دیگر نیز در آینده هک شده، سپس وصلهٔ نرم افزاری می‌شوند و دوباره هک می‌شوند.

۴. هکر‌ها دائماً در معرض تهدید‌های قانونی قرار دارند.

شما تصور می‌کنید که سازنده‌ها از کسی که به آن‌ها در مورد ضعف محصولاتشان هشدار می‌دهد استقبال می‌کنند و مسلماً توسط «پاداش برای گزارش خلل» هکر‌هایی را تشویق می‌کنند که مسئولانه نواقص امنیتی را افشا می‌کنند. خیر، بعضی تولیدکنندگان وجود نواقص را نمی‌پذیرند و محققان را تهدید می‌کنند که به اتهام اخاذی از آن‌ها شکایت خواهند کرد. بسیار مهم است که هکرهای کلاه سفید مورد حمایت قرار گرفته و تشویق شوند. چراکه در ازای هر نفوذی که آن‌ها به تولیدکنندگان گزارش می‌دهند، دولت‌های دیگر یا تیم‌های مجرمانه‌ای وجود دارند که احتمالاً همین نواقص را کشف کرده‌ ولی برای سوء استفاده یا فروش در بازار سیاه از آن استفاده می‌کنند.

دو مورد نگرانی قانونی و نظارتی وجود دارد. در سالی که «متیو برودریک» سیستم کامپیوتری دبیرستان خود را هک کرد تا نمره‌هایش را تغییر دهد قانون تقلب و تخلف کامپیوتری (CFAA) به تصویب رسید. هکر‌ها معتقدند که این قانون بسیار قدیمی است و دادستان‌ها با سوء استفاده از آن افرادی را گرفتار می‌کنند که هک‌های غیرمخرب انجام می‌دهند. قانون، افراد را از دسترسی عامدانه به کامپیو‌تر یا شبکه‌های کامپیوتری «بدون اجازه» یا «بیش از حد مجاز» منع می‌کند. در یک مورد، سه دانشجوی مرکز فن آوری ماساچوست نقصی را در سیستم حمل و نقل خلیج ماساچوست (MBTA) پیدا کردند که به افراد اجازه می‌داد رایگان از سیستم استفاده کنند. در سال ۲۰۰۸ این سه نفر را از ارائه یافته‌هایشان منع کردند، چراکه به زعم آنها گزارش یک هک برابر با استفاده از آن است. غم انگیز‌تر این بود که در سال ۲۰۱۳ «آرون شوارتز» که به علت ۱۱ مورد نقض قانون CFAA به ۳۵ سال زندان محکوم شده بود خودکشی کرد. پیشنهادات معقول برای به روز رسانی و بهبود قانون CFAA متاسفانه تا بحال به جایی نرسیده است.

همچنین «تشکیلات واسنار» که یک ساختار چند جانبه کنترل صادرات است به عنوان تهدیدی برای اثربخشی و کارایی برنامه‌های متداول «پاداش برای گزارش خلل» مورد انتقاد است. چراکه نه تنها می‌تواند برنامه‌های تا به حال موفق را به خطر بیندازد بلکه متاسفانه می‌تواند به هکرهای مستقل و خود-اشتغال که از این راه درآمد دارند ضربه بزند. دفتر صنعت و امنیت وزارت بازرگانی آمریکا اخیراً تغییراتی در واسنار پیشنهاد کرده که بر اساس آن برای صادرات تکنولوژی نرم افزارهای نفوذی نیاز به کسب مجوز است. به نظر می‌رسد این تغییر مانع تحقیق و توسعه شده و سرعت کشف نواقص را کاهش می‌دهد.

۵. شکاف عمیقی بین محققان امنیت سایبری و سیاست سایبری وجود دارد.

در کنفرانس‌ها و نشست‌های امنیت سایبری در واشنگتن عموماً تعداد کمی از حاضران از دانش تکنیکی مورد بحث برخوردارند و شخصاً در عمل هک دخیل بوده‌اند. در عوض کُل گراهای حوزه امنیت (مثل این حقیر) در این برنامه‌ها شرکت می‌کنند. این افراد به شکل ناشیانه مفاهیم را از سایر حوزه‌ها به حوزه سایبر انتقال می‌دهند. برای مثال، نظریه بازدارندگی که نظریه‌ای است که نیم قرن پیش برای حل معضل جنگ هسته‌ای آمریکا-شوروی به وجود آمد. همکار من «آدام سیگال» که مدیر شورای دیجیتال روابط خارجی (برنامه سیاست فضای سایبری و دیجیتال) است می‌گوید: “ما در تلاشیم تا این شکاف را با ایجاد شبکه‌ای از افراد نکته بین در سیاست خارجی (که نماینده شرکت‌های فن آوری هستند) و متخصصین فنآوری پُر کنیم. اما متاسفانه هنوز تفاوت‌های زیادی در فرهنگ و چشم انداز وجود دارد.”

در این میان هکر‌ها از کلمه «سایبر» متنفرند. چراکه پسوندی است بی‌معنی برای هر چیزی که به اینترنت مربوط می‌شود و سایر جنبه‌های امنیت کامپیو‌تر از قبیل امنیت فیزیکی، مهندسی اجتماعی، تهدید‌های داخلی، مختل کردن فرکانس رادیویی، هک کردن و کلاه برداری را در نظر نمی‌گیرد. با این حال آن‌ها با اکراه چنین واژه ای را می پذیرند تا حرف‌هایشان در واشنگتن شنیده شود. با این وجود، به ندرت به برنامه‌های دولتی و اتاق‌های فکر دعوت می‌شوند و حتی نمی‌دانند چطور باید دعوت شوند. نتیجه این شکاف در طرح‌ها و مباحث سیاستگزاری نمود می‌یابد و در نتیجه، دغدغه‌های هکر‌های مسئول یا بدافزارهایی که به راحتی در دسترس هکر‌های مخرب قرار دارد را به ندرت در نظر می‌گیرند.

بعضی هکر‌ها و مسئولین دولتی در تلاش هستند تا این شکاف را پر کنند. نمایندگان جنبش مردمی «من سواره نظام هستم» تا به حال بیش از ۲۰۰ جلسه توجیهی در «کاپیتول هیل» برگزار کرده‌اند. این جنبش بر روی مسائل امنیت سایبری که بر امنیت عمومی و زندگی بشر اثر میگذارد تمرکز دارد تا از قابل اعتماد بودن فن آوری‌ها اطمینان حاصل کند. در همین حال، بعضی مقامات دولتی مانند اشکان سلطانی، تکنسین ارشد کمیسیون تجارت فدرال دائماً به مباحث هکر‌ها کمک می‌کند و سوزان شوارتز از اداره دارو و غذا در طول کنفرانس «Bsides Las Vegas» برای تشکر از جنبش «من سواره نظام هستم» فراخوانده شد. از طرف دیگر «رنلی ویلر» از اداره صنایع و امنیت در زمان نشست «بنیاد مرز الکترونیک» در کنفرانس DEF CON از طریق تلفن سوالاتی جدی در مورد طرح پیشنهادی واسنار پرسید. با این وجود هنوز هم تعداد بسیار کمی محقق امنیت و مسئول دولتی وجود دارند که حاضر باشند یا جرات کافی داشته باشند تا علنی صحبت کنند. با اینکه بی‌اعتمادی ناشی از ماجرای ادوارد اسنودن تقریباً از بین رفته است باز هم اعتماد سازی و گفتگوی بیشتری مورد نیاز است چرا که تهدید‌های اینترنتی رو به گسترش‌اند.

۶. هکر‌ها جامعه متمایزی با اخلاقیات و ارزش‌های خاص خود را دارند که بسیاری از آن‌ها ضمنی بوده و بقیه از طریق خود-کنترلی اجرا می‌شوند.

عمدتاً هکر‌ها تنها خواستار آزادی در کار خود و نا‌شناس باقی ماندن از نظر دولت و بخش تجاری هستند. آن‌ها نسبت به همکارانی که ادعا می‌کنند نرم افزارهای کد گذاری یا گوشی‌های همراه «غیرقابل رمزگشایی» تولید کرده‌اند دید مثبتی ندارند. همچنین آن‌هایی که به جای نمایش جدی دست آوردشان در مقاله‌های علمی وقت خود را صرف بزرگنمایی آن در روزنامه‌ها می‌کنند چندان پذیرفته نیستند.

هکر‌ها همچنین از تحقیرنفس و طنز سیاه هم استقبال می‌کنند. وقتی سخنرانی یکی از سخنرانان در کنفرانس DEF CON لغو شد صدای «پلیس رو پیدا کن» بلند شد. در آن زمان یکی از مسئولین که کارمندان دولتی زیادی را بین حاضرین می‌شناخت بقیه را تشویق کرد تا آن‌ها را شناسایی کنند. آن‌ها ناموفق بودند. همه تصور می‌کردند که کارمندان دولت و پلیس مردانی هستند که شلوار اتوکشیده پوشیده‌اند (چندان بیراه هم نیست!). همچنین نشستی برای اولین بار برگزار شد که به درستی «تاریخچه هکر مست» نامیده شد. این نشست شامل داستان‌های عجیب و غریب ار هکر‌های معروف بود در حالی که «کیتی موسوریس» از گروه «هکر وان» ترانه خود به نام «یک موزیکال: سرگذشت افشای والن» را اجرا کرد. از آنجایی که بسیاری از سخنرانی‌های DEF CON در ‌‌نهایت روی یوتیوب قرار می‌گیرند، امیدواریم این نشست نیز به زودی در این سایت قرار بگیرد.

بنابراین دفعه بعد که خبری در مورد هکر‌ها یا خلل امنیتی مهمی در لپ تاپ، تلفن همراه یا ماشین خود خواندید، متخصصانی را به یاد بیاورید که این امکان را فراهم کرده‌اند. با توجه به اهمیت اینترنت در تمام جوانب زندگی ما، قانونگزاران و شهروندان باید درک بهتری از عملکرد و طرز تفکر هکر‌ها پیدا کنند. بار دیگری که به خدمات یک پژوهشگر امنیت نیاز داشتید، از آن‌ها در مورد حرفه‌شان بپرسید. احتمالاً از به اشتراک گذاشتن دانسته‌های شان بسیار خوشحال خواهند شد.

منبع: فارین پالیسی

ترجمه از رضا عرب وی فعال سابق دانشجویی و دبیر انجمن اسلامی دانشگاه مازندران، که در مقطع کارشناسی ارشد ستاره دار و از ادامه تحصیل محروم شد. رضا هم اکنون دانشجوی زبان شناسی اجتماعی دانشگاه ورشو لهستان است.

#امنیتسایبری #دیدگاهنو #رضاعرب #فارینپالیسی

© 2020 New Vision Research Institute

  • White Facebook Icon