برچسب: امنیت

این مطلب ، یکطرفه و نسبتا تند است. یک مطلب عادلانه نیست. من اینجا قاضی نیستم و نمی خواهم هم باشم. برای نقد موضع مخالف را گرفته ام و نقد کرده ام. گفتن اشکالات در کامنت ها برای متعادل شدن بحث خوب است ولی در کل این مطلب قرار نبوده قضاوت کند بلکه تلاشی است برای دیدن موضع مخالفی که در برنامه بی بی سی غایب بود

دیشب برنامه شصت دقیقه بی بی سی فارسی به سراغ آقای خسرو زارع پر سر و صدا رفت و چند دقیقه ای باهاش حرف زد. اینکه به سرعت طرف رو پیدا کردن و آوردن برنامه به عنوان یک کار خبری خوب بوده ولی از بی بی سی انتظاری خیلی بیشتر می‌رفت.

آقای زارع با افتخار توی برنامه نشست و صحبت کرد بدون اینکه از سابقه کارش حرفی زده بشه یا بعدش یک کارشناس امنیت نظر بده در مورد حرف هاش. بذارین قبل از بررسی کار بی بی سی خود جریان رو مرور کنیم:

• آقای زارع این اطلاعات رو از طریق پست مدیریتی در شرکت اجرا کننده پروژه به دست آورده نه به عنوان یک آدم فنی مستقل. خودش هم چند بار توضیح می ده که کسانی به این اطلاعات دسترسی داشتن که پیمانکاران همون شرکت بودن. اینکار خیانت در امانت است. درسته که باید جلوش گرفته می شد ولی کار ایشون اصلا به این معنی نیست که یک آدم غیرمورد اعتماد هم می تونست به همین اطلاعات دسترسی داشته باشه. پس این الزاما یک حفره امنیتی نیست بلکه مشکل امنیتی پروسه های مبتنی بر اعتماد به افراد دخیل در سیستم است.
• آقای زارع توی وبلاگش می گه که با این اطلاعات به سراغ مسوولین بانک ها رفته و درخواست کرده که به ازای هر پسورد که بهشون بده بهش پول بدن. اونها گفتن که اینکار رو قبول ندارن ولی حاضرن در مقابل نشون دادن محل نشت اطلاعات هزینه کنن. معامله صورت نگرفته و آقای زارع چاره رو در این دیده که از کشور خارج بشه و اطلاعات رو منتشر کنه. آیا اگر بهش پول می دادن الان با همون دسترسی که داشت بر اساس نیاز مالی هر روزش یکسری پسورد می داد و پولشون رو می گرفت و زندگی ادامه پیدا می کرد؟
• چیزی که من از صحبت ها و شنیده ها درک کردم این بود که پسوردها از از یک بانک اطلاعاتی که افراد مختلفی بهش دسترسی دارن درز می کنه. قبول نکردن پیشنهاد نفوذ اخلاقی به بانک و نشون دادن محل نشت پسوردها و در مقابل درخواست پول در مقابل پسوردهای کارت ها این حدس رو تقویت می کنه. به هرحال این حدس ممکنه درست نباشه ولی اگر درست باشه معنی اش اینه که شرکت مورد نظر کاملا مبتنی بر اعتماد به افراد و مشاوران کار می کنه. این کاملا اشتباهه ولی کسانی که به این بانک اطلاعاتی دسترسی دارن و اطلاعاتش رو کپی می کنن هم کارشون شدیدا غیراخلاقی است، بخصوص اگر شروع کنن به خاطر داشتنش درخواست پول بدن
• آقای زارع می گه پسورد رو بین ده رقم دیگه مخفی کرده و در پسورد قابل استفاده نیست. این کاملا اشتباهه. پایینتر در این مورد حرف می زنم. به نظر من اینکار شدیدا تجاوز است به حریم خصوصی افراد.
• ایشون بعد از اینکه با مدیر شرکت به مشکل برخورده و نتونسته از بانک ها هم به خاطر هر پسوردی که داره پول بگیره به خارج رفته و پسوردها رو لو داد و مدعی شده که باید مجامع جهانی ازش حمایت کنن یا مردم بهش کمک مالی کنن؟!! حمایت از کی؟ کسی که پسوردهایی که بهشون دسترسی داشته رو یکضرب منتشر کرده روی وب ؟ اینکار در قانون ایران و هر جایی از دنیا که قانونی مربوط به حفاظت اطلاعات، حریم خصوصی، نفوذ به اطلاعات غیر مجاز، انتشار اطلاعات محرمانه و … داشته باشه جرمه و جرم سنگینی هم هست. نظر شخصی ام اینه که هر قاضی ای حکم خواهد داد که این آدم رو به ایران پس بدن. از این جریان ناراحت می شم چون می دونم تو ایران عادلانه باهاش رفتار نمی شه.
• حرکت بی بی سی در بعد از مصاحبه با آقای زارع بسیار ضعیف بود. کسی که به وضوح مجرم است نباید بیاد توی تلویزیوین یک خبرگزاری و یکطرفه حرف بزنه و بعدش هم یک نفر در این مورد صحبت کنه که چقدر مهم است که پسوردها رو عوض کنیم هر چند وقت یکبار و توصیه های عمومی امنیتی بکنه – این توصیه ها بسیار لازمن و خوب بود همراه این خبر می بودن ولی به شرطی که یک منتقد یا متخصص هم در بعد از توضیحات یکطرفه و گمراه کننده آقای زارع، صحبت می کرد. من از رسانه و قواعد آوردن آدم ها توش سر در نمی یارم ولی به سادگی می فهمم که اگر به خاطر ابعاد خبر و نزدیکی اش به تک تک ما ایرانی ها این آدم لازم بود بیاد تو تلویزیون، بعدش باید یک متخصص امنیت یا یک نفر که حقوق سایبری بدونه میومد و صحبت می کرد و نظرات مخالف رو هم می گفت. الان جوری عمل شده انگار یک نفر آدم دلسوز مشکلی رو پیدا کرده و در داخل کشوری کسی بهش گوش نداده و حالا رفته بیرون داره سعی می کنه فسادی رو افشا کنه. این آدم دلسوز نیست. پایینتر حرف می زنم.
• آقای زارع خودش مسوول این برنامه بوده! اگر هم مشکلی هست مستقیم باید به خودش برگرده! این رو چرا کسی نمی گه؟ درسته که توی شرکت مدعی مشکلات متنوع و عدم همکاری و فساد و غیره است ولی مثل اینه که من کلیدساز باشم و بعد که کل کلیدهای شهر رو نصب کردم بگم «این قفل ها به یک روشی که من می دونم قابل باز شدن هست دوستان» و ادعا کنم که همه باید با من مهربون باشن و بهم باج بدن تا نرم از خونه شون دزدی و در ضمن رییس قبلی من هم خیلی آدم بدیه

اما گفته بودم یکی دو تا از نکات رو کاملتر توضیح می دم… اول اینکه آیا این آدم حریم خصوصی افراد رو نقض کرده و‌آیا این اطلاعات منتشر شده قابل استفاده و دوم صحبت در مورد خیرخواه بودن این آدم.

حریم خصوصی آدم ها توسط این آدم نقض شده

پسوردها قابل پیدا کردن هستن. این «متخصص آی تی» باید قبل از انجام چنین کار بزرگی به این فکر می کرد که داره یک پسورد چهار رقمی رو بدون فاصله انداختن بین عددهاش «لای» یک عدد ده رقمی «مخفی» می کنه. یعنی چی؟ یعنی مثلا اگر پسورد من باشه 1111 اون به شکلی مخفی نوشته 5555511115555. درسته که الان من و شما راحت می بینیمش ولی اگر کسی ندونه چی؟ خب اگر کسی پسورد دقیق رو ندونه به راحتی می دونه که پسورد من هست 5555 یا 5551 یا 5511 یا 5111 یا 1111 یا 1115 یا 1155 یا … و ده حالت بیشتر نداره! یعنی احتمال درست بودن اولین حدس ۱۰٪ است و چون طرف سه تا حدس می تونه بزنه احتمال درست بودن یکی از حدس ها (با ضریب اشتباهی کوچیک) ۳۰٪ است. به عبارت دیگه یک دزد می تونه با خوندن اطلاعات یک کارت بانکی سالم، تغییر بخش شماره حساب خونده شده به یکی از کارت های منتشر شده توسط این فرد و نوشتن اطلاعات روی کارت جدید شانس این رو داشته باشه که در سی درصد مواقع از اون کارت پول برداره. دقت کنین که دزد روی شما تمرکز نکرده که حتما از کارت شما پول برداره بلکه کارت های مختلف رو امتحان می کنه و طبق محاسبات بالا از نظر آماری می تونه از یک سوم این کارت ها (سی درصدشون) یعنی تقریبا از یک میلیون کارت پول برداره.

این محاسبه فقط جنبه آماری داره. مطمئنا جلوی اینکار همین الان گرفته شده. شماره کارت من بین این کارت ها نبود ولی اگر هم بود امکان عوض کردن پسورد رو الان نداشتم و به هیچ وجه هم نگرانش نبودم چون می دونستم در عمل اتفاقی نمی افته. این بحث فقط به این سمته که این روش «مخفی کردن رمز چهار رقمی در یک عدد چهارده رقمی» بسیار بچه گونه است. قول هم می دم اگر این بخش رو یک متخصص آمار بازنویسی کنه فقط با داشتن چند پارامتر کوچیک مثل احتمال استفاده بیشتر از یک رقم خاص در پسورد (پسورد شما توش شش یا دو داره؟ (; )) می تونست احتمال حدس درست عدد پسورد در یک عدد چهارده رقمی رو بالاتر هم ببره.

در ضمن ! بحث فقط بانک نیست. آدم ها معمولا پسوردهای ثابت دارن. الان شماره گاوصندوق اتاق هتل من با شماره کارت بانکی ام یکیه و این آدم ممکن بود شماره گاوصندوق بانک من رو هم منتشر کرده باشه. همینطور رمز ورودم به داخل ساختمون شرکت رو. این آدم بدون شک حریم خصوصی آدم های زیادی رو نقض کرده. من کماکان برای کارش خطر اقتصادی فیزیکی قایل نیستم (سلب امنیت روانی و ایجاد استرس و احساس عدم امنیت و غیره به کنار.. منظورم اینه که حس نمی کنم الان ممکنه کسی که قبلا اینکار رو نمی کرده از حساب کسی پول برداره با این اطلاعات) ولی معتقدم این آدم با اینکار حریم خصوصی انسان ها رو نقض کرده

این آٔدم خیرخواه نیست – هکر هم نیست

هکر برای ما واژه مهمیه. رسانه ها به کسی می گن هکر که وارد سیستم های مردم بشه ولی ما به کسی می گیم هکر که دنیا و چیزهای توش رو عمیق تر از بقیه ببینه – مثل ماتریکس. این آدم هکر نیست و چیزی هم این وسط هک نشد. این آدم مسوول نوشتن یک نرم افزار بوده و الان می گه که اون نرم افزار مشکل امنیتی داره و من پسوردهای شما رو کپی کردم بردم پیش بانک ها و گفتم به ازای هر دونه اش باید بهم پول بدن و اونها گفتن نه و حالا من رفتم خارج و اینها رو منتشر کردم.

اینکار برای من شبیه انتقام گیریه و بدون شک جرم. درخواست هایی مثل «درخواست از سازمان های جهانی و حقوق بشر برای حفاظت از من» یا حتی درخواست مسخره تر از مردم برای کمک مالی فقط و فقط معنی همون توهمی رو می دم که وقتی کسی یک قاضی رو ترور کرد فکر کرد بعدش باید بره خارج خودش رو به سفارت آمریکا معرفی کنه تا اونها بهش پناهندگی سیاسی بدن. قتل جرمه و مجرم به کشوری که توش جرم انجام داده تحویل می شه. اینکار هم جرمه و هیچ ربطی به حقوق بشر نداره. به اون سناریو فکر کنین که بانک ها به اون پیشنهاد آقای زارع مبنی بر اینکه در مقابل هر پسوردی که نشون بده بهش پول بدن عمل می کردن تا بدونین چقدر خیرخواهی توی اینکار هست.

از طرفی حتی اگر ایشون می خواست اینکار اشتباه رو بکنه می تونست بسیار با احتیاط تر و اخلاقی تر و کم ضربه زننده تر ثابت کنه که این اطلاعات رو داره. مثلا می تونست به جای اون روش بچگونه مخفی کردن یک عدد چهار رقمی لای ده رقم اضافی که ۳۰٪ احتمال حدس درست رو به هر کسی می ده (که روی سه میلیون شماره می شه حدس درست پسورد یک میلیون کارت) اینکار رو بکنه که هر کارت رو فقط با دو رقم اول پسوردش منتشر کنه. اینطوری دارنده کارت و مسوول بانک مطمئن می شدن که طرف پسورد رو داره (چون مثلا می دونه کارت من به شماره X پسوردش با 84 شروع می شه) و احتمال حدس صمیم توسط یک هکر رو هم ده برابر کمتر می کرد (در حد سه درصد بعد از سه تلاش). در عین حال این آدم اگر نیازمند توجه بود می تونست هر جمعه، مثلا صد هزار کارت رو منتشر کنه (با گفتن تنها دو رقم اول پین کد) و اینجوری هر هفته کلی آدم رو بکشه به وبسایتش و هر لحظه که توجه کافی بهش شد و به نتیجه دلخواهش (مثلا رفتن آبروی فلان شرکت یا اومدن مسوولین به میز مذاکره یا حمایت سازمان های حقوق بشری ازش یا هر چی) رسید کار رو متوقف کنه.

پس این آدم از نظر من به هیچ وجه خیرخواه نیست. بنا به گفته های خودش بعد از اینکه با شرکتش به مشکل برخورده ، اول سعی کرده از شرکت صاحبکارش که دسترسی به این اطلاعات رو از اون طریق داشته و بعد بانک ها که می تونستن متضرر بشن پول بگیره و وقتی پول ندادن با نقض حریم خصوصی دارنده سه میلیون کارت و افشای اطلاعات محرمانه سعی کرده ضربه محکمی بزنه.

جمع بندی

این رو نوشتم که بگم کار بی بی سی به نظرم حرفه ای نبود. باید از دیدگاه مقابل هم کسی می بود برای حرف زدن و باید به گذشته و پروسه رسیدن این جریان به اینجا هم توجه می کردن. به نظر من این آدم آدمی می یاد که به خاطر شغلش به اطلاعات مهمی دسترسی داشته – که دیگران هم داشتن و اون از این ناراحت بوده – و در لحظه ای فکر کرده می تونه پولدار بشه ولی بانک فقط قبول کرده در مقال نشون دادن دقیق محل مشکل پول بده و نه به ازای هر پسورد هر کارت و این معامله سر نگرفته. بعد این آدم سعی کرده ضربه ای کاری بزنه و به اشتباه ترین وجه ممکن حریم خصصوی یکسری آدم رو نقض کرده بدون اینکه واقعا بهش نیازی باشه. دیشب هم بی بی سی به خاطر خبر بزرگ و هیجان مصاحبه مستقیم با کسی که همه ایران دارن بهش نگاه می کنن به سراغش رفته بدون اینکه دقت کنه باید نظر مقابل و انگیزه طرف رو هم در این جریان لحاظ کنه. درسته که زارع توی برنامه کراوات زده بود و سنش بالا بود و سعی کرد از کسی اسم نبره و خودش رو خیرخواه مردم نشون بده ولی با استدلال های بالا این حداقل برای من شدیدا مورد شکه و خیلی خوب بود اگر بی بی سی بعدش به جای صحبت در مورد اینکه پوز چیه و چقدر عوض کردن پسورد کارت مهمه به سراغ این می رفت که یک نفر این جریان رو نقد کنه تا اعتبار خبری حرفه ای اش برای من حفظ بشه.

البته چلنج در مورد نقض حریم شخصی حین مصاحبه نسبتا خوب بود و بعدش هم گفته شد که تلاش کردن با اون شرکت تماس بگیرن که جواب نگرفتن. مشخصه. اون شرکت فعلا گیجه و تحت فشار. احتمالا کاملا مقصره در این جریان ولی این دلیل کافی نیست برای صحبت های یکطرفه و حق به جانب یک مجرم احتمالی توی بی بی سی.

این دو تا نکته رو هم نگم ممکنه خفه بشم:

• بی بی سی تنها رسانه ای است که من اگر بخوام اخبار فارسی رو دنبال کنم می خونم. اینها رو نوشتم که بهتر بشه. کلا قابل قیاس با بقیه رسانه های فارسی نیست ولی باید شدیدا مواظب باشه که نیافته توی تله VoA شدن . بی بی سی مین استریم مدیا است و مال و غیره و غیره ولی بین چیزهایی که من بهش دسترسی دارم اولویت اول رو داره برای گرفتن اخبار منطبق بر واقعیت.
• این اطلاعات روی سرورهای گوگل و بلاگ اسپات فرانسه منتشر شدن. احتمالا یک تذکر پلیس بین الملل می تونه این اطلاعات رو از این سایت حذف کنه و پروسه های قضایی مختلفی رو به جریان بندازه ولی ظاهرا ما واقعا آماده مقابله با تهدیدات سایبری نیستیم و جنگ سایبری رو کلا با دیفیس کردن سایت ها و کامنت گذاشتن تو وب اشتباه گرفتیم. احتمالا تو خیلی کشورها اینکه یک روز خودپردازها تعطیل بشن ضربه عظیمیه چه برسه به اینهمه ماجرای مرتبط با این اتفاق.

واقعا نمی دونم چند نفر ممکنه تا اینجا رو بخونن (((: به هرحال اگر تا اینجا رو خوندین یک مدال tl;dr بهتون تقدیم می شه با احترام

نگین من ضد مایکروسافت هستم ها (: من ازش تعریف هم کردم. خودش هی سوتی پشت سر هم می ده (: جدیدترینش هم این که هفته قبل هکرها با ماسک ناشناس تونستن به یک فروشگاه آنلاینش نفوذ کنن و این عکس رو بذارن سردرش:

تا اینجا چیزی خیلی عجیب نیست. دیفیس (Deface) کردن یک سایت اصلا کار عجیبی نیست اما جریان از جایی حساس شد که مشخص شد هکرها به بانک اطلاعاتی پسوردهای کاربران سایت هم دسترسی پیدا کنن: یک مجموعه پسورد متنی رمزگذاری نشده!

هدف اصلی هکرها مشخص نیست. روی صفحه نوشتن که «سیستم ناامن، غسل تعمید داده خواد شد» و فروشگاه چند روزی تعطیل شده. فایل منتشر شده از پسوردها این شکلی است:

هک شدن یک سایت اصلا غیرطبیعی نیست و پیش می یاد ولی این خیلی غیرطبیعی است که یک فروشگاه آنلاین – اونم متعلق به یک شرکت عظیم به اسم مایکروسافت – اطلاعات کاربرانش رو توی یک فایل متنی به شکل متنی و سر راست و قابل دسترس از طریق وب سروری هک شده، نگهداری کنه.

منبع

با کمک پلیس بین المللی، بیست و پنج نفر به اتهام همکاری با گروه هکرهای ناشناس در اسپانیا و سه کشور آمریکای جنوبی دستگیر شده‌اند. اتهام این آدم ها دیفیس کردن سایت‌های دولتی و شرکت‌ها اعلام شده. به نقل از رویترز:

پلیس اسپانیا همچنین یکی از چهار مظنون دستگیر شده در شهرهای مادرید و مالاگا متهم کرده است به افشار اطلاعات شخصی افسران پلیس و محافظانی که از خانواده سلطنتی اسپانیا و نخست وزیر حفاظت می‌کنند.

دستگیری‌های دیگر در آرژانتین، شیلی و کلمبیا بوده‌اند که در کل از پانزده شهر، بیست و یک نفر دستگیر و تقریبا ۲۵۰ ابزار دیجیتال ضبط شده است.

و خب همزمان هم صفحه صفحه پلیس بین المللی، پایینه:

هکرهای انانیموس یا ناشناس یک مفهوم عمومیه که این روزها برای مجموعه ای از عملیات استفاده می شه. در اصل یک جور امضای جمعی است که زیر یک شکل از عقیده و عمل گذاشته می شه. این هکرها اکثرا دارن از DDOS برای پایین آوردن سایت های مهم استفاده می کنن و در مواردی هم اطلاعات بسیار عظیم یا حساسی رو به رایگان با همه به اشتراک می ذارن. اولی واقعا نیاز به سطح سواد فنی بالا نداره و دومی احتمالا فقط یک امضای مشابه است پشت یک عقیده عمومی یعنی الزاما همون هایی که دی.داس می کنن، نفوذ و افشا هم نمی کنن ولی چون تیپ ایده‌هاشون شبیه است، با هم از یک امضا استفاده می کنن.

دوستی ایمیل کناری رو به همین شکل عکس دریافت کرده و برای من فوروارد کرده و پرسیده که به نظرش این جریان فیک (fake یا تقلبی) است و نظر من چیه.

نظر من که معلومه… می دونم که نظر شما هم معلومه ولی می خوام یک راهنمایی کوچیک بکنم که بتونین راحت همه اینها رو تشخیص بدین.

ذهن توانایی قوی ای داره توی دروغ گفتن به خودش و گول زدن خودش. اما یک روش هست که جلوی اینکار رو می گیره: تکرار شفاف فاکت ها. فاکت چیزی است که بهش اطمینان داریم… حینی که ذهن داره می گه شاید واقعا شما ۸۰۰۰۰۰ پوند برنده شده باشین و زندگیتون عوض شده باشه و غیره یک لحظه توقف کنین و واقعیت هایی که ازشون اطمینان دارین رو تکرار کنین. اینکار معمولا می تونه جلوی هر گول خوردنی رو بگیره. من این واقعیت ها رو می بینم:

من یک ایمیل دریافت کردم از یک فرستنده ناشناس که توش یک عکس اتچ شده که دوبار عکس لوگوی گوگل توش هست و توش نوشته که من به مناسبت پونزدهمین سال گوگل به شکل اتفاقی انتخاب شدم تا ۸۰۰ هزار پوند بگیرم و برای اینکار فقط کافیه که مشخصات فردی خودم رو برای فرستنده ایمیل که درست هم نمی دونم کی است ارسال کنم. راستی! من قبل از این عکس که به عنوان ایمیل برام فرستاده شده نه چیزی از پونزده سالگی گوگل و دادن چند میلیون پوند جایزه به اون دلیل شنیده بودم و نه توی هیچ مسابقه ای شرکت کرده بودم.

جواب من به دوستم یک خط بیشتر نبود و اونم با خنده مطمئن شد که تشخیص خودش درست بوده و این تقلبی است:

به اصل اول مقابله با دروغ های اینترنتی رجوع کن: محاله کسی در مسابقه ای که شرکت نکرده، برنده بشه.

اسمش رو هم بذارین اصل اول جادی (: درسته که این مسابقه نیست ولی گوگل اگر می خواست چند میلیون پوند جایزه بده، مطمئن باشین با سر و صدای خیلی بیشتری اینکار رو می کرد و اینجوری نبود که شما هیچ چیز نشنیده باشین و یکهو یک عکس براتون ایمیل بشه که با دو بار تکرار لوگوی گوگل (که البته یک علامت قفل هم بهش اضافه شده یعنی خیلی امنه!) یواشکی بگه شما برنده شدین و حالا باید مشخصات فردی و مشخصات حساب بانکی خودتون رو برای اونها بفرستین.

اما چرا؟

اگر ده سال پیش بود، بهتون می گفتن که سریع مشخصات بانک و پسورد اینترنتی اونو براشون بفرستین تا پول رو به حسابتون بریزن. الان همه می دونن که نباید پسورد اینترنتی بانک یا مشخصات کارت اعتباری رو به کسی بدن پس در قدم اول کسی از شما اینو نمی خواد تا مغزتون بتونه شما رو گول بزنه. وقتی مغز گولتون زد و یکسری مشخصات نیمه بی ضرر مثل آدرس و اسم و حساب بانکی و اینها رو بهشون دادین، می گن «اوه! ما اومدیم پول رو بریزیم ولی بانک گفت این حساب مشکوکه و باید پسوردش رو هم بدین، پس ممکنه پسورد اینترنتی تون رو هم لطف کنین؟» یا شاید هم اگر طمع کمتری داشته باشن بگن «اوه! ما اومدیم پول رو بریزیم ولی طبق مقررات گفتن که هزینه انتقال هشتصد هزار پوند انگلیس به حساب شما تقریبا چهار هزار دلار مالیات می خوره. ما این رو پیش بینی نکرده بودیم و براش بودجه نداریم پس خوشحال می شم اگر لطف کنین و این چهار هزار دلار رو به حساب ما بریزین تا ما سریعا یک ساعت بعدش هشتصد هزار تا رو منتقل کنیم. اگر امروز نتونین اینکار رو بکنین شاید فردا گوگل کلا با انتقال مخالف کنه».

و اگر فکر می کنین همین که چهار هزار تا رو ریختین اینها غیب می شن اشتباه می کنین! بعد از ریختن چهار هزار تا یکی دو روز ازشون خبری نمی شه و بعد می گن «اوه! حساب منتقل شده اما بلاک است چون شما برای انتقال از حساب دیگه ای استفاده کردین و اون چهار هزار تا هم بلاک شده. لطف کنین هشت هزار تای دیگه از همین حسابی که دریافت کننده پول است منتقل کنین تا ما بتونیم همه پول که الان در حساب شما است ولی بلاک شده رو آزاد کنیم»

و اگر فکر می کنین بعد از این هشت هزار تای دوم اینها غیب می شن بازهم اشتباه می کنین… این ماجرا تا لحظه که شما به امید برگردوندن پول اولیه و بعد به امید حداقل برگشت پول دوم و غیره و غیره در حال واریز پول هستین ادامه خواهد داشت… پس از همین اول، اصل اول جادی در کلاهبرداری‌های اینترنتی رو فراموش نکنین: محاله کسی در مسابقه ای که شرکت نکرده، برنده بشه.

الان یک ایمیل دیگه گرفتم از طرف ظاهرا گوگل که بهم می گه دیتابیس‌هاشون رو تغییر دادن و من باید دوباره لاگین کنم تا اکانتم بسته نشه. چون دفعه پیش یکی از دوستان خوب تو تله‌اش افتاده بود گفتم اسکرین شات بگیرم و بنویسم. من یک ایمیل گرفتم به این مضمون:

در بخش ۱ می بینین که می گه «اخطار! روی فلان کلیک کنید دو باره به سیستم ارد بشین تا اطلاعاتتون رو در دیتابیس سال ۲۰۱۲ گوگل نگه داریم». بخش دو هم که می گه ایمیل از بخش هشداردهی گوگل اومده.

اینکه باید چیکار کنم با یک قانون ساده حل می شه: گوگل هیچ وقت به کسی ایمیل نمی زنه که لطفا بیا فلان جا لاگین کن (: گوگل مطلقا دیتابیس هاش رو سر هر سال آپدیت نمی کنه. اکانت هیچ کس بدون اطلاع رسانی درست در تمام گوگل اکسپایر نمی شه و غیره و غیره. پس من نباید اینجا لاگین کنم و باید ایمیل رو بدون شک پاک کنم. وانمود کردن اینکه ایمیل از کس دیگه می یاد کار بسیار راحتی است (برای مثال نگاه کنید به مطلب « نکته امنیتی : به فرستنده ایمیل اعتماد نکنید)

ولی بذارین ببینیم با کی طرفیم. توی ایمیل یک لینک کوچولو هست (۳). من ماوسم رو روش نگه داشتم و نقطه چهار می بینم که این لینک به کجا می ره. ساده است دیدن اینکه این لینک به گوگل نیست. اون لینک رو کپی پیست می کنم توی براوزر (به عنوان یک نکته امنیتی روش کلیک نمی کنم بلکه کپی پیست می کنم تا مطمئن باشم می رم همونجا) و می رسم به این صفحه:

بامزه نیست؟ به دایره قرمز نگاه کنید. من حتی توی سایتی شبیه اسم گوگل هم نیستم ولی ناکس صفحه اولش رو شبیه گوگل درست کرده تا من گول بخورم. به اینکار می گن فیشینگ یا ماحی گیری (ماهی گیری تقلبی مثلا (: ))‌ اما من که توی دامش نیفتادم. شما هم نیافتین.. با همون قاعده ساده: هیچ کس به هیچ کس ایمیل نمی زنه که روی این لینک کلیک کن و اکانتت رو بده چون من دیتابیسم رو گم کردم، سال جدید شده، دوستت دارم، می خوام برات جایزه بفرستم، دارم اکانت های قدیمی رو پاک می کنم و …

نینجا شوید: من قبلا هم در مورد ایمنی نوشتم، همچنین درسنامه که سیستم رایگان آموزش داخل ایمیل است درسی داره در مورد استادبزرگی ایمیل و جیمیل و درسی به اسم مبانی امنیت در کامپیوتر و اینترنت که گذروندن هر دوشون می تونه مفید باشه. ساده و سریع و ایمیلی (:

پ.ن. اینکار هک نیست (: دزدی است. هک به معنی استفاده هوشمندانه از یک ابزار یا کشف جزییات عمیق یک چیز است (:

آپدیت:
یک دوست تذکر داد که همیشه بهتره از براوزرهای به روز و امن‌تری مثل فایرفاکس (بخصوص با افزونه اچ تی تی پی اس اوری ور) یا گوگل کروم استفاده کنیم. آدم ها ریپورت می کنن که این سایت ها دنبال دزدی پسورد هستن و بعد از مدتی این مرورگرهای معقول به شما در این مورد اخطار می دن. الان که چند ساعت از نوشتن اصل این مطلب گذشته، اون آدرس توی مرورگر موزیلا فایرفاکس اینطوری شده:

راستش حتی اینقدر مهم نبود که بخوام در موردش بنویسم ولی دیدم شاید به شکل عمومی توصیه خوبی باشه. این دو روز دوستان ایمیل هایی از من می گیرن به این مضمون:

یک ایمیل است ظاهرا از طرف من برای یکسری از دوستان که می گه یک فایل اجرایی رو از سرور یک دانشگاه توی کانادا (که احتمالا ادمین از دسترسی هاش برای این آماتور بازی ها سوء استفاده می کنه) دانلود کنند و اجرا.

به اینکار می گن مهندسی اجتماعی: دزدی از طریق جلب اعتماد شما. از نظر فنی جعل آدرس ایمیل کار بسیار ساده ای است و هیچوقت کار غیرمعولی که از شما می خوان رو نباید با اعتماد به صاحب ایمیل انجام بدین. هویت در اینترنت چیز مسخره ای است و مگر اینکه واقعا از تکنیک های تایید هویت سر در بیارین و طرفتون هم یک دولت نباشه به هیچ وجه به هیچ هویتی اعتماد نکنین. چه برسه به آدرس ایمیل و عکس توی چت و این چیزها (:

در ضمن! حتی اگر عمو جادی هم گفت یک فایل اجرایی رو دانلود کنین و اجرا کنین، اینکار رو نکنین! شوخی که نداریم با کسی (: حالا این مورد خیلی خنده دار و بچه گونه بود (کی واقعا ممکنه برای خود جیمیل آدرس جیمیل رو جعل کنه و یک فایل اجرایی با پسوند اجرایی هم معرفی کنه!؟) ولی در کل ممکنه این کارها واقعا از طرف آدم های باهوشی انجام بشه که شما رو مطمئن کنه به انجام یک کار اشتباه. مواظب باشین و امن (: اگر هم واقعا به نظرتون مورد مهمی بود، یک تلفن به طرف بزنین یا توی چت ازش بپرسین یا بهش یک ایمیل جدا بنویسین (ریپلای نکنین!)

آپدیت ۳ زانویه: اگر دوست دارین یک کرکر ببینین، کامنت ها رو هم بخونین (:

می‌دونین که من سفر کاری خیلی زیاد می رم . در یکی از از سفرها قرار شد یک دستگاه رو با یک دستگاه دیگه عوض کنن ولی یک سوال مهم باقی موند:

جادی عزیز، ما یک دیتابیس از ۳۰۰ هزار کاربر داریم که هش شده‌اند. حالا قرار است این افراد به یک سیستم جدید منتقل شوند اما لازم است پسوردهای آنان را داشته باشیم. شرکت سازنده نرم افزار اول و شرکت نویسنده نرم افزار جدید گفته‌اند که امکان کشف اینکه یک هش چه چیزی بوده وجود ندارد. شما راه حلی می‌شناسید؟

راه حل ساده است و مجموعه ای از اسکریپت نویسی جذاب (اینبار پایتون) و ترکیب کردن دستورات خط فرمان گنو/لینوکس. جریان چیه؟‌ اینها سیصد هزار شماره تلفن و پسورد دارند که مال یک سیستم خاص است. پسوردها هش شده‌اند. یعنی چنین چیزی:

9370333**** ea9bf866d98db73eb0909fa9c1cc1b11
9370050**** fcbfab2f4cda26061ed9e3ee96a4fd61
9370750**** 6a130f1dc6f0c829f874e92e5458dced
9370001**** 9ad97add7f3d9f29cd262159d4540c96

هش یک الگوریتم یکطرفه است که می‌تونه یک استرینگ رو به یک استرینگ پیچیده تبدیل کنه. مثلا الان پسورد نفر اول بعد از هش شدن (با الگوریتم md5) تبدیل شده به ea9bf866d98db73eb0909fa9c1cc1b11. این هش غیرقابل برگشت به پسورد اصلی است اما وقتی طرف مثلا سعی می کنه لاگین کنه و پسوردش رو لاگین می‌کنه، سیستم می‌تونه پسورد جدیدا وارد شده رو هش کنه و ببینه بازهم به همون هش سابق که ذخیره کرده (یعنی ea9bf866d98db73eb0909fa9c1cc1b11) می‌رسه یا نه. این تکنیک اجازه می‌ده ما چک کنیم طرف پسورد صحیح رو داره یا نه بدون اینکه مجبور باشیم پسوردش رو جایی ذخیره کنیم. حالا قراره این سیستم با یک سیستم دیگه که با هش متفاوتی کار می کنه جایگزین بشه و لازمه بی دردسر بودن جریان اینه که بشه پسوردها رو از این هش‌ها استخراج کرد. اما هش ساخته شده تا معکوس نشه – یعنی از نظر علمی از هش نمی شه به هش‌شده رسید.

خب حالا راه حل ما چیه؟ یک راه که بهش «بروت فورث» می‌گن اینه که یکی یکی هر چیز ممکن رو هش کنیم. یعنی اول ۱ رو هش کنیم ببنیم به اون چیزی که اونجا هست می‌رسیم یا نه. بعد ۲ رو هش کنیم. بعد ۱۲ رو بعد ۱۱ رو و خلاصه هر چیز ممکن رو. اینکار یک نیروی کور است و بسیار وقت گیر. اما یک راه هوشمندانه تر هم داریم که بهش می‌گن رنگین کمان / rainbow. تکنیک رنگین کمان اینه که تمام کارهای بالا رو بکنیم (یعنی مثلا اگر اکثر افراد در موبایل از پسوردهای عددی استفاده می کنن از ۰ تا ۹۹۹۹۹ رو هش کنیم و رمز و هش اون رو بریزیم توی یک دیتابیس) و بعد یکی یکی هش ها رو توی دیتابیس سرچ کنیم و پسورد رو نشون بدیم… خب آماده‌اید؟

برای ایجاد همه پسوردهای ۰۰۰۰۰ تا ۹۹۹۹۹ و هش کردن اونها این برنامه پایتون رو نوشتم. مطمئنا می‌تونه بهتر هم نوشته بشه ولی این کار من رو راه انداخت:

#!/usr/bin/python

import MySQLdb

db = MySQLdb.connect("localhost","jadi","password","break" )

# prepare a cursor object using cursor() method
cursor = db.cursor()


for i in range(0, 10000):
    pre = '';
    if i < 10:
        pre += '0';
    if i < 100:
        pre += '0';
    if i < 1000:
        pre += '0';
    num = "%s%s" % (pre, i);
    print num;
    # execute SQL query using execute() method.
    cursor.execute("insert into rainbox values ('%s', md5('%s'));"%(num,num));

# Fetch a single row using fetchone() method.
#data = cursor.fetchone()

# disconnect from server
db.close()

همین برنامه رو برای پسوردهای ۰۰۰۰۰ تا ۹۹۹۹۹ و ۰۰۰ تا ۹۹۹ و ۰۰ تا ۹۹ و ۰ تا ۹ هم کم و زیاد کردم و رنگین کمانی شامل ۱۱۱۱۱۰ پسورد و هش اون ساختم:

mysql> select count(*) from rainbox;
+----------+
| count(*) |
+----------+
|   111110 |
+----------+
1 row in set (0.07 sec)

بعد کلیدی روی هش تعریف کردم که سرچ سریعتر بشه:

mysql> ALTER TABLE rainbox ADD primary index (hash);

حالا وقت شکستن رمزها است. فایلی دارم به اسم users.csv که این شکلی است (چهار رقم آخر تلفن ها رو ستاره کردم که پرایوسی آدم‌ها حفظ بشه):

9370333**** ea9bf866d98db73eb0909fa9c1cc1b11
9370050**** fcbfab2f4cda26061ed9e3ee96a4fd61
9370750**** 6a130f1dc6f0c829f874e92e5458dced
9370001**** 9ad97add7f3d9f29cd262159d4540c96

کافیه این رو با لایبری csv پایتون بخونم، و بعد هش هر خط رو از دیتابیسم کوئری بزنم و اگر جواب داشت توی خروجی تلفن و هش و پسورد شکسته شده رو بنویسم و اگر هم جواب این هش توی دیتابیس من نبود، جلوش بنویسم later تا بعدا از یک جای دیگه پیداش کنم.

#!/usr/bin/python

import MySQLdb
import csv

db = MySQLdb.connect("localhost","jadi","password","break" )

# prepare a cursor object using cursor() method
cursor = db.cursor()

spamReader = csv.reader(open('users.csv', 'rb'), delimiter=' ', quotechar='|')
for row in spamReader:
    tofind = row[1];
    try:
        cursor.execute("select pass from rainbox where hash = '%s'"%tofind);
        data = cursor.fetchone()[0];
        print row[0], tofind, data;
    except: #this hash was not in db
        print row[0], tofind, "later" 

# disconnect from server
db.close()

برنامه بالا رو اجرا می‌کنم و زمان می‌گیرم:

jadi@jubun:~/w$ wc -l users.csv && time python break.py > out.txt
316590 users.csv

real    0m57.226s
user    0m25.362s
sys 0m4.856s

واو! سیصد و شونزده هزار پسورد رو توی کمتر از یک دقیقه شکستیم (: یک نگاه به فایل آوت.تکست می‌گه:

jadi@jubun:~/w$ head out.txt 
93703334*** ea9bf866d98db73eb0909fa9c1cc1b11 7523
93700508*** fcbfab2f4cda26061ed9e3ee96a4fd61 8510
93707500*** 6a130f1dc6f0c829f874e92e5458dced 7496
93700013*** 9ad97add7f3d9f29cd262159d4540c96 9538
93700177*** c902514ac30b6e23dbb0c3dc80ec7d4a later
93700858*** ee676ed9ce5bd51b4452ddfbdf962ef7 later
93707848*** 8c249675aea6c3cbd91661bbae767ff1 1986

ظاهرا پسوردهای چهار رقمی مد هستن (: ظاهرا تعداد later ها هم کم نیست. بذارین یک نگاه هم به اونها بندازیم:

jadi@jubun:~/w$ grep later out.txt | wc -l 
1558

خب... شش هزار نفر هستن که پسوردشون شکسته نشده. اما من و شمای هکر می دونیم که شش هزار نفر به معنی شش هزار پسورد نیست. معمولا آدم‌ها پسوردهای تکراری می ذارن. بذارین ببینیم اگر پسوردهای تکراری رو حذف کنیم، چند تا پسورد منحصر به فرد توی این گروه می مونه. دستور cut می تونه یکسری از فیلدهای اضافی رو حذف کنه. مثلا الان کات میکنم بر اساس فیلد ۲ و با جدا کننده اسپیس (بعد از دش دی، اسپیس می‌ذارم). بعد نتیجه قسمت اول که هش ها هستن رو می دم به دستور یونیک (که با سوییچ یو، فقط خط های غیرتکراری رو نشون می ده)‌ و بعد تعداد خطوط رو می شمرم:

jadi@jubun:~/w$ grep later out.txt  > later.txt && \
                                cut later.txt -f2 -d' ' | uniq -u | wc -l 
5536

نتیجه طبیعی نیست... یعنی از شش هزار نفر فقط پونصد ششصد نفر پسورد تکراری داشتن؟ هر کسی که یک مقاله در مورد رفتار پسوردی آدم‌ها خونده باشه می دونه که این عدد غیر واقعی است.. مشکل! قبل از استفاده از دستور یونیک، باید داده‌ها رو مرتب کرد. پس یک سورت بین دستور اضافه می کنم:

jadi@jubun:~/w$ cut later.txt -f2 -d' ' | sort | uniq -u | wc -l 
767

هها! نگفته بودم؟ کل این شش هزار نفر باقیمونده، فقط از ۷۶۷ پسورد استفاده کردن. این ۷۶۷ پسورد رو می‌ریزیم توی یک فایل مجزا برای کشف کردنشون در پست بعدی.

توجه مهم! کمی از این مقاله گم شده! بعله درست خوندین ! به شکل عجیبی بخشی از مقاله در این قسمت غیب شده و نیست (: من این مقاله رو مدت های مدید قبل نوشتم ولی به خاطر احتمال لو دادن اطلاعات مشتری ها و هکربازی بچه اسکریپتی ها ارسالش نکردم. حالا چون آرمین به دردش می خورد گفتم بفرستمش ولی ظاهرا یک بخش کوچیکی اش نیست! مهم هم نیست. فدای سرمون. روش کشف بقیه پسوردها این بوده که بقیه رو از منابع اینترنت صدا بزنیم. یک سایت داریم که می شه براش یک هش فرستاد و پرسید که آیا این جواب رو داره یا نه. من اول یک تست با اون می زنم و بعد یک برنامه می نویسم که همه پسوردهای باقی مونده رو از اون صدا بزنه

و در نیتجه کافیه من یک برنامه بنویسم که همه هش‌های هنوز کشف نشده رو از فایل ورودی بخونه و اونها رو به این سایت پست کنه و منتظر خروجی بمونه. بعد توی خروجی اچ تی ام ال دنبال چنین خطی بگرده:

Found: md5("zaka") = 00a3b206c4ad2cae515e28745423093a

و zaka رو یک جایی ذخیره کنه. کافیه این کار رو برای همه هش‌هایی که هنوز کشف نشدن ادامه بدیم. مشخصه که هنوز یکسری کشف نشده خواهند موند ولی بذارین ببینیم به چی می رسیم. این مرحله به خاطر فرستادن درخواست به اینترنت کندتر است و یک راه حل خوبه اینه که فایل hard.txt و برنامه رو روی یک سرور وی پی اس آپلود کنیم و اونجا اجراش کنیم. همین کار رو می کنم و برنامه پایتون رو هم اینجوری می‌نویسم که یکی یکی هش ها رو برداره، به اون سایت بفرسته و توی خروجی اچ تی ام ال که بر می گرده، خطی که پسورد رو نشون می ده رو جدا کنه. اگر این هش اونجا هم نبود می نویسیم too difficult و از خیرش می گذریم (: بریم ببینیم چی می شه:

#!/usr/bin/python

import urllib
import csv
import re

spamReader = csv.reader(open('hard.txt', 'rb'), delimiter=' ', quotechar='|')
for row in spamReader:
    try:
        # This is here for copy/pasters....
        # Originally by Jadi at jadi.net
        params = urllib.urlencode({'term':row[0], 'crackbtn': 'Crack that hash baby!'})
        f = urllib.urlopen("http://md5crack.com/crackmd5.php", params)
        page = f.read()
        password = re.search('Found: md5\("(.*)"\) = %s' % row[0], page)
        print row[0], password.group(1)
    except: 
        print "too difficult"

و برای اجرا می‌زنیم:

user@remotehost:/tmp$nohup python onlinebreak.py > easy.txt & 

که خروجی پسوردهای شکسته شده رو بریزه توی easy.txt و حتی اگر من هم قطع شدم کار رو در پشت زمینه ادامه بده. تقریبا بعد از یازده دقیقه کار، همه پسوردها با این بانک اطلاعاتی هم چک می‌شن. بعد از اضافه کردن این‌ها به موارد شکسته شده قبلی توی دیتابیس خودمون، یک نگاه می‌ندازیم ببینیم چند تا از پسوردها هنوز باقی موندن.

jadi@jubun:~/w$ time python break.py > out.txt &&  grep later out.txt | wc -l 

real    0m58.863s
user    0m27.706s
sys 0m5.756s
1558

عالی (: حالا دیگه فقط ۱۵۵۸ نفر داریم که پسوردشون کشف نشده. از سیصد هزار نفری که اول داشتیم، پیشرفت عالیی است (: این هزار و پونصد نفر که پسوردهای غیرمعمول گذاشتن هم می‌تونن زنگ بزنن به پشتیبانی و بگن از امروز پسوردشون کار نمی کنه و اونها براشون ریست می کنن (:

نتیجه: از سیصد و خورده‌ای هزار نفر، فقط ۱۵۵۸ نفر پسوردهایی دارن که جزو پسوردهای استانداردی که هر هکری چک می کنه نیست. در پسوردهاتون عدد و حروف کوچیک و بزرگ بذارین و پسوردتون از هشت حرف هم بیشتر باشه. اصلا بذارن این یک دستور دیگه هم بدیم: فایل خروجی رو نشون بده، ستون سومش (پسورد) رو جدا کن (ستون‌ها رو اسپیس از هم جدا می کنه) بعد خروجی رو مرتب کن (پسوردها مرتب می شن) بعد بشمر هر پسوردی چند بار تکرار شده و خروجی و مرتب کن به شکل عددی معکوس و اسپیس های اول خط رو هم بیخیال شو و بعد ده خط اول رو نشون بده.

jadi@jubun:~/w$ cut out.txt -f3 -d' ' | sort | uniq -c | sort -b -n -r | head
 192019 1234
  11780 2222
  10532 123
   9734 1111
   7547 5555
   5293 12345
   4512 4444
   4473 0000
   2568 3333
   2192 444

و این شما و این پر استفاده‌ترین پسوردهای این سیصد هزار نفر. جالبه که ۶۰٪ از کاربران پسوردشون رو گذاشتن ۱۲۳۴۵. فوق العاده نیست؟

دلخوشی‌ها

مرکز خرید Bondi Wsetfield چند وقت قبل اعلام کرد که هر کس می‌تواند با وارد کردن پلاک ماشینش در اپلیکیشن موبایلی فروشگاه، وضعیت آن در پارکینگ را بررسی کند.

برای اینکار کافی است اپ مورد نظر را نصب کنید، وارد آن بشوید و با دادن شماره ماشین، دقیقا ببینید که کجا پارک شده و با دوربین به خودرویتان نگاه کنید. یک ایده جذاب و جالب برای احساس امنیت.

این سیستم با استفاده از چنین دوربین‌هایی ممکن شده:

دوربین‌های پارک اسیست می‌تواند پلاک خورویی که مقابل دوربینشان می‌گذرد را بخوانند و به یک کامپیوتر مرکزی گزارش دهند. بعد کامپیوتر مرکزی با گرفتن شماره پلاک از کاربر، چک می‌کند که این پلاک از کدام پارک-اسیست‌ها رد شده و در نتیجه حالا کجاست و در نهایت دوربین مورد نظر را به کاربر نشان می‌دهد.

دل نگرانگی‌ها

مساله این است که هیچ کس چک نمی‌کند آیا شما صاحب فلان خودرو هستید یا نه. هر کسی می‌تواند هر شماره‌ای را بدهد تا آن را مشاهده کند. هنوز هم خیلی وحشتناک نیست. اما اگر شروع به اسنیف کردن اطلاعات بکنید چنین ارتباطی را در پشت صحنه این برنامه می‌بینید:

و کمی کار بیشتر نشان می‌دهد که کلا یک درخواست JSON به آن آدرس فرستاده می‌شود و اطلاعات برمی‌گردد. مثلا چنین درخواستی می‌تواند نشان بدهد که وضعیت خودرو با پلاک abc123 چیست:

http://120.151.59.193/v2/bays.json?visit.plate.text=abc123~0.3&is_occupied=true&limit=4&order=-similarity

در اطلاعات برگشت داده شده، نه فقط مکان که ساعت ورود و حضور خودرو در پارکینگ هم قابل تشخیص اس تو این کوئری (درخواست) را هر کسی از هر کجای جهان می‌تواند بفرستد.

از یکطرف به دزدی فکر کنید که می‌تواند با یک برنامه بسیار ساده همین که شما پارکینگ فروشگاه را ترک کردید یک اخطار دریافت کند که احتمالا در حال برگشت به خانه هستید تا دوست پسر / دختر مشکوکی که می‌تواند چک کند آیا شما واقعا به فلان جا رفته‌اید یا نه. جامعه پلیسی، جامعه بدی است و عدم درک آدم‌ها از سیستم‌هایی که نصب می‌کنند یا استفاده می‌کنند جامعه را بیشتر و بیشتر پلیسی می‌کند.

در این مورد هم فروشگاه و هم سازنده دستگاه اقدامات لازم برای جلوگیری از این شنود ناخواسته افراد بر همدیگر را انجام دادند ولی فکر می‌کنید چند تا از دوربین‌هایی که دور و بر ما هستند، چنین مشکلاتی دارند؟

منبع اصلی با اطلاعات بیشتر