سینا پرسیده:

مگر همه جا نمیگن ایمیل هایی که طرف رو نمیشناسین رو حتی باز هم نکنین چون ممکنه بد افزار یا هرچیز دیگه داخل اون باشه. پس چرا شما و دیگران این نکته رو رعایت نمیکنین.

این چیزی بود که از قدیم هم مطرح بود و هنوزم هست. بعضی ها می گن اگر می خواین امن بمونین نباید هیچ ایمیل ناشناسی رو باز کنین. ولی چرا؟ چه اتفاقی ممکنه با باز کردن یک ایمیل بیافته؟ راستش رو بخواین در دنیای امروز تقریبا هیچ چیز.

این ماجرا و توصیه بر می گرده به دو نکته:

1. به زمان های قدیم که خیلی ها برای خوندن ایمیلهاشون از ابزارهایی مثل آوت لوک استفاده می کردن که باگ های امنیتی جدی داشت. این تیپ باگ ها به فرستنده های نامه اجازه می دن کدهای مخربی بفرستن که به محض باز شدن ممکن بود کارهای نافرم بکنن
2. مشکل دوم این بود – و هست – که ممکنه ایمیل لینکی به سایتی نامناسب داشته باشه، فایل پیوستی داشته باشه و شما رو به شکلی گول بزنه که دانلودش کنین و اجراش کنین یا مثلا توش اینقدر قانع کننده نوشته باشه «شما برنده صد میلیون دلار شدین، برامون هزار دلار بفرستین تا پولتون رو حواله کنیم» که شما واقعا گول بخورین.

نکته اول در این دنیا کاملا حل شده. اگر از یک ایمیل خون آپدیت مثل تاندربرد استفاده کنین یا حتی امن تر از اون به سراغ کلاینت های تحت وب مثل جیمیل برین، مورد یک کاملا حل شده است. مورد دو هم تا حدی حل شده چون جیمیل اینها رو چک می کنه و حتی خیلی وقت ها محتواها رو هم کش می کنه تا از سرور اصلی لود نشه و گوگل دقیقا بدونه چه اتفاقی در جریانه.

در نتیجه در دنیای فعلی، بازکردن ایمیل خطرناک نیست. البته باز کردن یک ایمیل دو تا کار نامناسب می تونه بکنه:

1. به فرستنده به شکلی خبر بده که ایمیل باز شده. البته گوگل جلوی بخشی از اینها رو می گیره و براش پلاگین هایی هم هست ولی در کل ممکنه فرستنده ایمیل بتونه بفهمه شما ایمیل رو باز کردین
2. محتوای ایمیل ممکنه باعث بشه شما گول بخورین و یک فایل رو دانلود و اجرا کنین، دستور مخربی روی کامپیوترتون بزنین، حساب بانکی تون رو برای کسی بفرستین، به سایتی برین که خیلی شبیه یاهو است و پسوردتون رو وارد کنین و …

و خب برای اولی باید پلاگین های متنوعی که برای عدم شنود هست رو نصب کنین و برای دومی از عقل سلیم در رفتارهاتون استفاده کنین که عملا فقط نیازمند کمی تفکر انتقادی و هیجان زده نشدن و عقلانی رفتار کردن است.

در حالی که همه دنیا با کلی انتخابات شلوغه، کنگره آمریکا شاهد یک اتفاق جالبه: صدور مجوز استفاده از سیگنال به عنوان مسنجر امن اعضای سنا. سیگنال یک اپلیکیشن آی او اس و اندروید است که توسط اوپن ویسپر سیستمز منتشر شده و رمزنگاری سر تا ته رو تضمین می کنه – شبیه چیزی که تلگرام در سکرت چت مدعی است ولی با اعتمادی بیشتر. این ماجرا ادامه حرکت اعضای کمپین اوباما و ترامپ به سمت مسنجر امن سیگنال است که بعد از اخبار مربوط به هک های روسیه اتفاق افتاد.

وقتی می گیم مسنجری سر تا ته امن است یعنی یک پیام در گوشی من رمز می شه و به گوشی شما می رسه و باز می شه. این باز و بسته شدن فقط توسط کلیدهایی ممکنه که فقط روی گوشی من و شما ذخیره شدن. در نتیجه حتی مسوول سیستم هم نمی تونه پیام های ما رو چک کنه. تلگرام هم مدعی چنین چیزی در چت سکرت است ولی چون پروتکل باز استفاده نشده، مساله قابل بررسی توسط افراد مستقل نیست.

اینم جالبه که اعضای سنا الزاما از گوشی های امن استفاده نمی کنن. اونها گوشی های معمولی دارن و مکالمات غیرمحرمانه خودشون رو درست مثل من و شما روی مسنجرهاشون انجام می دن. این مکالمات درسته که «محرمانه» نیستن ولی مطمئنا مهم هستن. در چنین شرایطی مطمئنا حرکت به سمت یک مسنجر کاملا امن یکی از پایه های امنیت ملی آمریکا است؛ بخصوص بعد از اخبار هک مربوط به کمپین ها و نفوذ هکرهای به جاهایی حساسی مثل شورای روابط بین الملل که به گفته نیویورک تایمز «می تونه آینده سیاست آمریکا رو شکل بده».

و خبر جذاب برای ما؟ این مسنجر امن که مشاوران امنیت سنا بهش رسیدن و برای استفاده بین اعضای سنا تایید شده، سیگنال است. سیگنال از پروتکلی شناخته شده استفاده می کنه و سورس کلاینت و سرورهاش همه آزاد و باز هستن و روی گیت هاب. یک جواب خوب به هر کسی که به خاطر ندونستن اصول علمی امنیت، مدعی می شه برنامه اوپن سورس امن نیست. جذابت دوم اینه که دقیقا در دوره ای این توصیه شده که خیلی از سازمان ها دارن می رن به سمت اصرار به استفاده از درهای عقبی و این تصور غلط داره بین سیاست مدارهایی که از امنیت اطلاعات چندانی ندارن جا می افته که اگر یک کلید همگانی درست کنیم که بشه باهاش همه درها رو باز کرد، همه امن تر هستن. این کاملا اشتباهه و امنیت تا حد زیادی یک چیز صفر و یک است. اگر سیستمی رو ذاتا ناامن طراحی کنیم تا مثلا پلیس ها بتونن توش وارد بشن، صد در صد دزدها هم توش وارد خواهند شد.

سنای آمریکا تصمیم جالبی گرفته و لازمه دنیای نرم افزار آزاد و امنیت دیجیتال متوجه باشه که چه قدم بزرگی به سمتش برداشته شده. همچنین این مساله جالبه که زیرساخت های عمومی و مرسوم چطوری میتونن برای بالاترین سطح استفاده از نظر امنیت سایبری استفاده بشن – اونهم با تکیه بر ابزارهایی که در اختیار همگان هستن.

تو جادی.نت خبرهای زرد کم داریم! ولی خب گاهی خبرهای زرد به ما مربوط می‌شن. عنوان این خبر در واقع باید باشه «شوهر دیو سیرتی که همسرش را کشت / به همراه عکس» ولی خب چون من ازش عکس نداشتم و ماجرای قتل هم خیلی مهم نبود، روی موضوع اصلی مرتبط به خودمون مانور دادیم: اطلاعات دستبند ضبط کننده حرکات یا همون فیت‌بیت.

ماجرا اینه که آقایی به پلیس زنگ زده، گفته یک دزد وار خونه شده، اونو به صندلی بسته و همسرش رو با گلوله کشته. اما این آقا تونسته در لحظه حساس خودش رو آزاد کنه، قاتل رو فراری بده و به پلیس زنگ بزنه. پلیس آقای دابات رو در حالی پیدا می کنه که یک دست و یک پاش به یک صندلی تاشو بسته شده بود و همسرش با گلوله به قتل رسیده بود. اما الان آقای دابات به اتهام قتل همسرش در حال دادگاهی شدن است.

شواهد تقریبا به طول کامل علیه دابات هستن: سگ پلیس اثری از بوی آدمی غریبه توی خونه پیدا نکرده، تفنگی که ازش شلیک شده دو ماه قبل توسط خود ایشون خریده شده و برای ما از همه جالبتر، اطلاعات فیت‌بیت بسته شده به مچ مقتول که نشون می ده مقتول یکساعت بعد از زمانی که شوهر مدعی شده دزد شلیک کرده، در حال راه رفتن بوده.

این جمع آوری دائمی اطلاعات چیزی شبیه به یک شمشیر دو لبه است. از یکطرف به ما اجازه می ده در مواردی که لازم داریم بهش رجوع کنیم و از اونطرف باید بدونیم مرزش کجا باید متوقف بشه تا یکسری آدم مدعی نباشن حق دارن همه اطلاعات یکسری دیگه رو به بهانه امنیت، سلامت، رفاه و … خودشون جمع کنن. در واقع این جمع آوری لازمه در پروسه ای دموراتیک،‌ مورد توافق و شفاف انجام بشه و پروسه ای از بالا به پایین نباشه.

مرتبط: اگر هنوز در هیجان بیگ دیتا هستین،‌ باید بگیم که در همین لحظه قشنگ، یادگیری ماشینی در گوگل ترندز به بیگ دیتا رسیده (:

یک خانم شصت ساله رو تصور کنین که با چند میلیون پول نقد می خواد بره سفر. کیف دستی و چمدونش رو می ذاره روی نقاله ایکس ری و خودش رد می شه… اونطرف ایکس ری کیفد دستیش نیست، با چند میلیون پول توش. چک پول‌ها توی یک پاکت هستن، در یک زیپ از جیب کناری کیف. کاملا دور از دسترس.

حینی که خانم داره به مامور دستگاه اشعه ایکس اعتراض می کنه که کیف دستیش نیست و از مامور ایکس رای می شنوه که غیرممکنه اینجا چیزی گم بشه. در همین حین ماور ازش می پرسه «چمدون شما کدوم بود؟» و بعد از مشخص شدن چمدون می گه مشکوک است و باید دوباره روی ایکس رای گذاشته بشه، توسط خود خانم. خود خانم حین اعتراض به نبودن کیف دستی و اینکه چرا باید کیف رو دوباره رد کنه، با چمدونش به پشت دستگاه ایکس رای بر میگرده و چمدون رو می ذاره روی نوار نقاله و دوباره بر می گرده مساله کیف رو پیگیری کنه که مامور، کیف رو بسته ولی دست خورده و کثیف رو زمین نشون می ده و می گه «این نیست کیف شما؟‌ از کنار نوار افتاده بود پایین ندیدینش».

سوار هواپیما می شن، پرواز می کنن، فرود می یان و وقتی می خوان به تاکسی پول بدن معلوم می‌شه که پاکت پول ها هم نیست.

من آخر هفته خیلی شلوغی داشتم. درست‌تر بگم، هفته خیلی شلوغی و اگر دقیق تر بخوام حرف بزنم؛ ماه خیلی شلوغی! این وسط هم کلی خبر خوب داشتیم که خب نرسیدیم در موردشون حرف بزنیم. اما به نظرم یکی از جالبترین‌هاش که جاش اینجا بود، بحث مشکل امنیتی نشت اطلاعات کلاودفلر بود. توضیحات اشتباه هم در موردش خیلی زیاد داده شده، حتی سایت های معتبر خارجی.

کلاودفلر یک سیستم دی ان اس است که کنار دی ان اس کلی سرویس دیگه هم می ده. مثل فشرده کننده صفحات، جلوگیری کننده از حملات، ریدایرکت اچ تی تی پی اس و خیلی چیزهای دیگه. در واقع کلاودفلر صفحه شما رو دریافت می کنه، به دلایل مختلف تغییرش می ده و اونو برای کاربر می فرسته. مثل یک کش خیلی خوب و کارا.

اما چند روز قبل کلاودفر یک خبر بزرگ منتشر کرد: باگ گزارش شده توسط تاویس اورماندی از پروژجت زیرو گوگل بهشون خبر داده که در بعضی صفحات اطلاعات غیر عادی وجود داره! خیلی غیرعادی؛ در حد توکن لاگین یوزرها، پسوردهاشون، ای پی آی کال ها و غیره و غیره. در واقع اطلاعاتی که باید بین هر یوزر کاملا مخفی باشه، حالا به عنوان بخشی از یک صفحه وب در گوشه ای از اینترنت قابل دیدن است!

اشتباه اول خیلی خبرگزاری ها این بود که فکر می کردن این اطلاعات یک‌جا نشست کرده و در دسترس است. اینطور نبود. مساله این بود که اطلاعات برخی سایت های خیلی بزرگ که از کلاودفلر استفاده می کردن در بعضی صفحات بی ربط پخش در اینترنت قابل دیدن بود و هنوزم هست. در واقع مثل این بود که زیر یکی از صفحات جادی.نت بتونین پسورد یک نفر رو ببینین (یا توکن لاگین کردنش رو) و با داشتن اون بتونین به جاش لاگین کنین.

این مساله به خاطر باگ موسوم به Buffer Overrun ایجاد شده بود. باگی که در زبان های سی و سی پلاس پلاس برنامه نویس موظف به مواظب بودن در موردش است و در نتیجه بارها و بارها اشتباها از زیر دست تست ها در می ره و باعث مشکلات امنیتی بزرگ می شه. این باگ اینطوری کار می کنه که یک متغیر از جای تعیین شده برای خودش بیرون می زنه و با بقیه حافظه قاطی می شه! کد زیر دقیقا خطی است که باعث شد کلاودفلر دچار مشکل بشه:

if ( ++p == pe )
    goto _test_eof;

یک ابزار که قراره صفحه رو بهینه کنه، این رو صدا می زنه و تا وقتی که پوینتر به جای مورد نظر «برسه». حالا چی می شه اگر پوینتر در یک حالت خاص از اینجا بپره؟ تا مدت ها پیش می ره و بقیه اطلاعات حافظه رو توی متغیر مورد نظر می ریزه! همین می شه که سرور کلاود فلری که مثلا صفحه من رو بر می گردونه ممکنه بخشی از حافظه خودش که حاوی اطلاعات حساسه رو هم ته صفحه من برگردونه!

کلاود فلر می گه فقط در ۷ ساعت این مشکل رو حل کرد؛ از طریق درگیر کردن تیم‌هاش در تمام جهان. البته این باگ از هر سه میلیون و سیصد درخواست اچ تی تی پی فقط ۱ دونه رو درگیر می کرد ولی همین هم کافی بود که هنوزم اگر توی گوگل بگردین، ممکنه بتونین توکن های مشابهی رو پیدا کنین!

چه باید کرد

این هم یکی دیگه از اشتباه‌های بعضی منابع است؛ در واقع من و شما به عنوان یوزر کار چندانی نمی تونیم بکنیم. عوض کردن پسورد همیشه ایده خوبیه ولی در بسیاری از این موارد چیزی که لو می ره پسورد نیست (چون اون فقط یکبار رد و بدل می شه). اکثر سرورها برای نگهداری اطلاعات از توکن ها استفاده می کنن (مثلا قسمت هفتم بستون رو ببینین) و این توکن ها دائما دست به دست می شن. حتی اگر شما پسورد رو عوض کنین این توکن احتمالا کماکان در سرور فعال و معتبر است.

پیشنهاد اصلی در مورد وب مسترها و مدیر سیستم ها است و نه یوزرها. برای مقابله و امن شدن در مقابل این اتفاق امنیتی، لازمه مسوولین سایت ها توکن ها رو ریست کنن یا به یوزرها اجبار کنن که دوباره لاگین کنن و پسورد رو تغییر بدن تا حتی جلوی رو رفتگی های پسوردها هم گرفته بشه. شاید کار خیلی راحتی نباشه ولی چاره ای نیست. به احتمالا به همین دلیله که گوگل و چندین سرویس دیگه در طول دیروز از ما خواستن که دوباره وارد سیستمشون بشیم و توکن های قبلی رو غیر معتبر اعلام کردن.

بهترین نکته؟ شفافیت کلاودفلر که حتی کدهای مشکل دار رو هم نشونمون داد (:

امسال شب یلدای دیجیتال جالبی داشتیم. مشکلات جدی سایت دیجی‌کالا و تلاش فروشگاه‌ها برای راه انداختن چیزی مثل «جمعه سیاه» پر از خرید خارجی ها و پروموشن‌های همزمان با الکامپ. تقریبا هر کدوم از اینها کلی داستان همراهش هست ولی در این مورد خاص می‌خوام با اشاره ای به سایت تبلیغات ای نتورک، در مورد این بگم که ما هنوز برامون جا نیافتاده که چطوری باید به خبرهایی که در مورد مشکلات امنتیی سایتمون می‌دن، عکس العمل نشون بدیم.

مساله اینه که بازی شب یلدای ای نتورک هم دقیقا اشتباه بازی سنگ کاغذ قیچی دلیون رو داره. این بازی هم کلاینت ساید است با متغیری به بامزگی winnings که مشخصه می‌کنه چند بار برنده شدین و ریکوئست هایی که بعد از یک تابع encrypt به سرور خبر می‌دن شما چی برنده شدین. این مساله رو سه چهار نفر از دوستان با ایمیل بهم گفتن و به شکل‌های مختلفی هم تونسته بودن مساله رو حل کنن.

خب دفعه قبل که دقیقا روش رو نشون داده بودم و به نظرم اینبار کار جالبتر این بود سعی کنیم تماس بگیریم و مساله امنیتی رو توضیح بدیم. من شب به پشتیبانی ایمیل زدم و گفتم مشکل امنیتی هست و اگر خودشون خبر ندارن بگن که فردا صبح اطلاعات بیشتری بفرستم. امروز صبح ایمیلی داشتم که درخواست کرده بود اطلاعات بیشتر بدم. دو شیوه حمله به این اسکریپت رو نوشتم و اضافه کردم که برام جالبه که علاوه بر کاربر پشتیبانی، یکی از مدیرها هم به ایمیل اضافه بشه چون برام جالبه که بدونم آیا اگر کسی چنین مشکلاتی رو به ای.نتورک اطلاع بده می تونه انتظار مثلا یکی از جوایز همون بازی رو داشته باشه یا نه.

بعد از مدتی جواب ساده ای گرفتم که تشکر کرده بود از ایمیلم و می گفت «اگر در مسابقه شرکت کنید و برنده یکی از جوایز باشید خوشحال خواهیم شد». امیدوارم که حداقل در پشت صحنه به یک مدیر خبر داده باشن. در واقع اصلی ترین دلیل پیگیری من این بود که ببینم آیا پشتیبانی در یک مدیر رو به این رفت و آمد ایمیلی اضافه می کنه یا نه.

تجربه مشابه زیاد هست – بخصوص موارد حادتر. مثلا یکی از دوستان اخیرا یکی از این به اصطلاح فایروال‌های وطنی رو هک کرده بود. این فایروال‌ها معمولا یک کامپیوتر هستن که یک لینوکس دارن و کمی تنظیم شدن و توی یک جعبه گذاشته شدن و [معمولا] به زور به عنوان فایروال ساخت کشور به شرکت ها فروخته می‌شن. این دوستمون تونسته بود از راه دور با استفاده از یک حفره امنیتی شناخته شده از فایروال رد بشه و وقتی فیلم این کار رو به شکل خصوصی برای اون شرکت فرستاده بود تهدیدش کرده بودن به شکایت به جرم نفوذ غیرمجاز و آموزش هک و غیره و غیره.

شاید تنها تجربه‌های مثبت من در این موارد دوبار بوده. دفعه اول دلیون که اجازه داد فیلمش رو منتشر کنم و جایزه ها رو هم داد و دفعه دوم کسی که یک با هک یک دیتابیس قدیمی به ایمیل من رسیده بود و بهم خبر داد که اون سرویس که من نوشته ام هک شده (:

این در حالیه که توی دنیا شرکت های بزرگ برنامه هایی باگ باونتی برگزار می کنن که توش اگر بتونین به سیستمشون نفوذ کنین،‌جایزه‌های بزرگ می‌دن یا حتی اگر خارج از این مسابقات هم باگی رو پیدا و ریپورت کنین، جایزه دارین. امن بودن از طریق باز بودن نسبت به گزارش ها و علاقمندی به دیدن اشکالات پیش می‌یاد. سیستم های بگیر و ببند و «هیچ کس حرف نزنه تا کسی چیزی نفهمه» و … در نهایت با مشکلات بزرگ روبرو هستن و نتایج خوبی هم نمی دن.

اگر شرکت دارین خیلی خوبه اگر مکانیزمی برای دریافت مشکلات امنتیی داشته باشین و با دادن جایزه به هکرها، اونها رو از آدم های خطرناک پر دردسر به دوست های باحالی که بی دردسر مشکلات شما رو کشف و حل می کنن، تبدیل کنین. امنیت از طریق باسوادی عمومی ارزشمنده و ماندگار وگرنه اگر هر تلاشی برای هر کاری مجازات مرگ و تهدید و دستگیری داشته باشه که نمی شه مدعی امنیت بود (:

آپدیت: کامنت ها رو هم بخونین. بعضی ها می گن این مساله به خاطر رسانه ها بزرگ نمایی شده و از اونی که هست خطرناکتر نشون داده شده

سه روز هم از مشکل حاد امنیتی لینوکس با عنوان گاو کثیف که با آپدیت حل می شد نگذشته که مشکلی پیچیده‌تر در ویندوز نشون داده شده؛ اینبار ظاهرا غیرقابل حل با آپدیت‌های فعلی: اتم بمبینگ یا همون AtomBombing.

محققین امنیتی تکنیکی رو نشون دادن که حمله کننده می‌تونه کد مخربش رو در ویندوزهای مختلف (حتی ده آپدیت آخر) تزریق کنه بدون اینکه ابزارهای معمول آنتی ویروس بتونن چیزی تشخیص بدن. مشکل اصلی اینجاست که این مساله مربوط به یک باگ خاص نیست که بشه حلش کرد بلکه ظاهرا معماری اشتباه باعث این مساله شده.

حمله از طریق جدول‌های اتم (Atom Tables) اتفاق می‌افته؛ قابلیتی که ویندوز به برنامه‌ها می‌ده تا اطلاعات مربوط به رشته‌های کاراکتری، آبجکت‌ها و بقیه انواع داده‌ رو ذخیره کنن و بهشون دسترسی داشته باشن. این جدول‌ها مشترک هستن و همه برنامه‌ها بهشون دسترسی پیدا می‌کنن (برای اطلاعات بیشتر وبلاگ مایکروسافت رو بخونین).

محققین شرکت امنیتی ان سیلو حالا روشی نشون دادن که به خاطر اشتباه طراحی این جداول، اجازه می‌ده کد مخرب بتونه این جدول‌ها رو تغییر بده و باعث بشه برنامه‌های معتبر بتونن کدهای مخرب رو به جای اون اجرا کنن. این مساله باعث می شه عملا آنتی ویروس ها و غیره با روش های فعلی شون نتونن جلوی اجرای این کدها رو بگیرن.

چنین حمله‌ای می تونه در شکل های دیگه باعث حملات مرد میانی، اسکرین شات گرفتن از صفحه دسکتاپ یوزر و دسترسی به پسوردهای ذخیره شده توی براوزر بشه.

در حال حاضر همه نسخه‌های ویندوز نسبت به این مساله آسیب پذیر هستن و به گفته لیبرمن

متاسفانه این مساله قابل پچ نیست چون مشکل در یک باگ نرم افزار یا کد اشتباه نیست – این مساله به خاطر شیوه طراحی سیستم عامل پیش اومده.

که البته امیدوارم مایکروسافت سریعا راه حلی براش پیدا کنه.

آیا نگران باشیم؟

بله ولی در عمل نمی‌تونیم کاری بکنیم. مطمئنا کسی به شما پیشنهاد نمی ده در این لحظه به لینوکس سوییچ کنین ولی خب در نهایت .. چه می دونم. راستش توصیه من به یک آدم معمول در جهان اینه که «نگران نباشین، زندگی همینه». اگر یک آدم مرسوم در دنیا هستین، منتظر بشین ببینین شرکت های بزرگ چه می کنن به زودی.

• منبع اصلی
• اطلاعات فنی تر
• سورس روی گیت هاب