برچسب: امنیت

این چند وقت بحث باگ های امنیتی سی پی یوها اینقدر عظیم بود که حتی روزنامه های زرد هم دارن درباره‌اش می‌نویسن. اما به نظرم فرصت خیلی خوبیه که اگر به مبحث امنیت علاقمند هستین، در این مورد سعی کنین مقاله های اصلی رو بخونین. چون تشریحی که وبلاگ گوگل از ماجرا منتشر کرده اینقدر خوب نوشته شده که احتمالا با کمی تلاش و جستجوی موازی در مورد مباحث، برای اکثر ما تا حدود خوبی قابل فهمه.

خلاصه باگ های اسپکتر و ملت داون در این سه شکل قابل طبقه بندی است:

• شکل یک: دور زدن بررسی محدوده (CVE-2017-5753)
• شکل دو: تزریق شاخه مقصد (CVE-2017-5715)
• شکل سه: گول زدن کش کننده دیتا (CVE-2017-5754)

در مقاله گوگل این سه روش تشریح شدن و در نهایت به سه نمونه ثابت کننده مفاهیم مطرح شده (ترجمه PoC چی می‌شه؟) رسیدن. مثلا محققین تونستن از داخل یک ماشین مجازی، حافظه هاست رو بخونن یا با یک یوزر معمولی، به حافظه کرنل دسترسی پیدا کنن.

از اونجایی که این باگ ها مربوط به سخت افزارهای سی پی یو هستن، عملا فیکس کردنشون نیازمند انواع بررسی و چک در کرنل ها است و نتیجه اش کند شدن و پیچیده تر شدن کرنل ها! اتفاقی که در حال حاضر داره می افته و مطمئن هستیم جایزه پاونی امسال که به حادترین باگ ها داده می شه، از حالا متعلق به این باگ خواهد بود. تنها کاری هم که خواهیم تونست بکنیم، آپدیت کردن کرنل هامون است به محدود کردن دائمی حالت های بیشتری از این باگ‌ها.

راستی.. کل ماجرا رو گفتم که بگم مقاله گوگل خواندنی است و قابل درک؛ با حوصله و سرچ های جانبی و حالا که خودمونی شدیم این بحث بامزه رو هم بگم که اول گوگل این باگ رو کشف می کنه و به اینتل گزارش می ده، و مدیر عامل اینتل چیکار می کنه؟ تمام سهامی اینتلی که داشت و می تونست بفروشه رو می فروشه! (:

نسخه های مک و لینوکس توربراوزر که یک براوزر مخصوص گشت زنی ناشناس بخصوص در وب تاریک است یک مشکل جدی امنیتی دارن که می تونه به راحتی آی پی شما رو لو بده.

این مشکل که اسمش رو TorMoil گذاشتن وقتی دیده میشه که کاربر روی لینکی کلیک کنه که به جای http یا https مرسوم، با file شروع بشه. در این حالت ممکنه سیستم عامل براوزر رو دور بزنه و خودش سعی کنه به اون آدرس بره. اطلاعات دقیق تر. البته این آپدیت هم یک فیکس سریع است که اصولا ممکنه کلیک کردن روی این لینک ها رو مشکل دار کنه ولی حداقلش اینه که از آی پی شما حفاظت می کنه (: برای دنبال کردن این باگ به باگ ۲۴۱۳۶ سر بزنین.

تور می گه که شواهدی نداره که نشون بده از این باگ به شکل فعال برای کشف آی پی ها استفاده شده ولی نبودن شواهد به معنی ناشناخته بودن این باگ تا این لحظه نیست. خلاصه اینکه اگر از تور براوزر استفاده می کنین بدونین هنوز امن ترین چیزی است که داریم ولی همیشه باید آپدیت بود تا باگ های قدیمی گریبانگیر آدم نباشن.

وقتی خواننده جادی.نت هستین، یعنی اطلاعاتتون در مورد بیت کوین و کریپتو کرنسی ها زیاده. اونجا رو کش نمی دم و فقط می گم که رمزارز ها یا کریپتوکرنسی هایی مثل بیت کوین، پول های دیجیتالی هستن که نسبتا ناشناس می مونن، مرکزیت ندارن و با انرژی ای که کامپیوترها مصرف می کنن به دست میان. برای اطلاعات دقیق می تونین پادکست رویای فریدمن یا پادکست رادیوگیک بلاک چین یا این ویدئوی توضیح شیوه کارکرد بیت کوین رو ببینین.

اما اصل ماجرای بحث فعلی اینه که «رمزپول از طریق تلاش کامپیوترها به دست میاد» – حداقل در بسیاری از شکل هاش. حالا یک رمز پول نسبتا جدید (از ۲۰۱۴) به اسم مونرو این امکان رو فراهم کرده که با برنامه های جاوااسکریپت هم ماین بشه و در نتیجه کافیه اونو توی سورس وبلاگ بذارین تا بیننده هایی که به سایت شما میان، حینی که توی سایت شما هستن براتون کریپتوکرنسی مونرو ماین کنن!‌ ایده جالبه و بحث در مورد اخلاقی یا غیراخلاقی، قانونی یا غیرقانونی و درست و نادرست بودنش خیلی سخت. من نمی تونم تصمیم دقیقی بگیرم. مطمئن هستم اینکار خوبی نیست و من نمی کنم ولی بعیده بتونم دفاع کنم که باید غیرقانونی باشه. به هرحال وقتی من به سایت شما می یام توش تبلیغ می بینم و جاوااسکریپت ران می کنم. حالا اگر یکی از این جاوااسکریپت ها برای شما پول در بیاره، آیا بده؟

راستش نظر من اینه که «بله بده». چون دارم یواشکی از ابزار بیننده برای پول در آوردن خودم استفاده می کنم بدون اینکه اون از این بحث خبر داشته باشه. در حال حاضر بعضی ها اینکار رو می کنن و قبلا هم سایت های بزرگی چند روزی اینکار رو کردن اما در نهایت هر وقت «لو رفته» حذفش کردن. یعنی توافق عمومی داریم که کار خوبی نیست. خود سایت کوین هایو هم ابزار نارضایتی کرده از اینکه اسکریپتش بدون اطلاع مراجعان سایت در سایت ها نصب شده.

اما مساله در یک شکل دیگه حادتر می شه: وقتی که یک اپ اینکار رو می کنه و مثلا با باز کردن یک پنجره براوزر در پشت صحنه، اسکریپت رو اجرا می کنه. این منطقا باید غیرقانونی باشه و شرکت انجام دهنده از مارکت ها حذف بشه. متاسفانه این روند در حال بیشتر شدن است و کاملا مهمه که آدم ها اپ های ناشناس و نامعتبر رو کمتر و کمتر روی گوشی نصب کنن.

اما آیا اینکار می صرفه؟ می شه گفت که «نه». تست های مستقل نشون می ده که حدود هزار کاربر می تونن برای شما روزی تقریبا یک دلار درآمد بیارن. منطقا اگر شما یک میلیون کاربر داشته باشین هم راه های بهتری برای درآمد زایی دارین و بخصوص اگر ماجرای احتمال حذف شدن اپ از بازارها یا بسته شدن اکانت توسط کلاودفلر رو به مساله اضافه کنین، بهتره اصولا سراغش نرین. بخصوص که در قوانین ایران چنین چیزی می تونه تحت عنوان «هک» هم طبقه بندی بشه و در صورت شکایت آدم ها، دردسرهای بزرگتری ایجاد کنه. از نظر فنی هم که این روزها ماین کردن روی سی پی یو تقریبا منقرض شده و تنها کسی که از چنین چیزهایی سود اصلی رو می بره، آدمی است که پشت این رمزپول جدید نشسته و سعی می کنه گسترش بده.

اگر شما هم به سایت یا اپی رسیدین که شدیدا باعث داغ شدن گوشی یا کم شدن باتری یا بالا رفتن صدای فن می شد، خوبه حواستون به این ماجرا باشه. اگر دوست داشتین بدونین چه سایت هایی دارن اینکار رو می کنن یا سایتی رو چک کنین می تونین از اینجا استفاده کنین یا اصولا شکایت خودتون رو به جاهایی که ممکنه بهش رسیدگی کنن – مثل مارکت ها – بفرستین.

ضرب المثل قدیمی می گه «اگر در شرکتی در مقابل چیزی که می گیرین پول نمی دین، شما مشتری نیستین، کالای اون شرکت هستین». این در اینترنت درست تر از همیشه شد. شرکت های بزرگ فقط برای اینکه شما رو بشناسن، حاضرن به شما سرویس بدن. گوگل حاضره رایگان به شما ایمیل بده به این شرط که محتوای اونها رو نگاه کنه. اینستاگرام حاضره عکس های شما رو نگه داره در مقابل اینکه بفهمه چیکاره هستین و چی دوست دارین و بهتون تبلیغ نشون بده و غیره و غیره. الگوریتم ها در این روزها شما رو می شناسن تا مثلا فیسبوک بتونه به یک تبلیغات چی اجازه بده انتخاب کنه که تبلیغاتش به «زنان سرپرست خانوار با میزان درآمد متوسط که یک فامیل درجه یک مبتلا به اوتیسم دارن» نشون داده بشه.

حالا کسپرسکی برای تایید روی اهمیت این اطلاعات مغازه به اسم «دیتا دلار» باز کرده. داخل این مغازه می تونین تی شرت، ماگ و پوستر پیدا کنین ولی به جای پول باید اطلاعات شخصی خودتون رو به صاحب مغازه بدین و بعد با کالایی که انتخاب کردین بیاین بیرون. مثلا اگر می خواین یه ماگ بردارین باید سه تا عکس یا اسکرین شات واتس اپ، اسمس ها و صفحه اول ایمیل خودتون رو ارائه بدین. اگر علاقمند به یک تی شرت هستین باید دقیقا سه تا عکس آخری که گرفتین رو بدین و سه تا مسیج آخرتون رو. اگر دنبال یک پرینت اوریجینال باشین باید تلفن رو کلا به مسوول فروشگاه بدین و اون می تونه تو عکس ها بچرخه و پنج تا عکس یا سه تا اسکرین شات به انتخاب خودش برداره.

کسانی که برای خرید اومدن ظاهرا میزان قابل توجهی استرس نشون دادن و خارج شدن و اکثرا قبل از خرید، گشتی تو گوشی زدن تا ببینن چی روش هست. نکته جالب؟ شرکت ها تقریبا به همه اینها دسترسی دارن. این فروشگاه هم مثل یک اثر هنری است و قبل از اینکه آدم ها با تلفن های خالی راهی اینجا بشن جمع می شه ولی مدیرش می گه «کسپرسکی امیدواره که مردم بفهمن چه اطلاعاتی رو دارن به رایگان به شرکت ها می دن؛ هر لحظه و هر ساعت و هر روز شما مشغول به اشتراک گذاشتن این اطلاعات با شرکت ها هستین و فعلا هم که کسی جایزه ای در مقابل این به اشتراک گذاری نگرفته».

یکی از ایده های جالبی که هم خوب پیاده شد و هم خوب ازش استقبال شد، ربات حرف ناشناس تلگرام بود. شما می تونین عضوش بشین و لینکی درست می شه که از طریق اون بقیه می تونن بهتون ناشناس پیام بدن. اگر بخواین جواب بدین باید پول بدین ولی خب شما دقیق نمی دونین دارین به کی جواب می دین بلکه فقط می تونین متنی رو تایپ کنین و به دست اون ناشناس می رسه.

طبق گزارش های خودشون خیلی خوب استقبال شده و درآمد قابل توجهی هم داره. از نظر فنی هم پیاده سازی خوبه و هم زیرساخت. بحث های فرهنگی هم هست که چرا ما دوست داریم ناشناس پیام بگیریم یا چرا فکر می کنیم باید ناشناس پیام بدیم و این چیزها. یا مثلا فکر میکنیم لابد اگر آدم ها می تونستن بهمون ناشناس پیام بدن حتما چه حرف های مگویی داشتن که بگن ولی خب در عمل حداقل برای من که بخشی از پیام ها تشکر است و بخشی سوال! که خب من نمی تونم بهشون جواب بدم.

اما… اما آیا این امنیت داره؟ این سوال بارها از من پرسیده شده. جواب کلی اش اینه که «هر چیزی که در اینترنت می ذارین رو باید تصور کنین روزی توسط همه قابل دسترسی باشه». در خصوصی ترین و امن ترین جاها هم می شه تصور کرد که اطلاعات لو بره، پخش بشه یا دسترسی غیرمجاز بهش باشه. پس امنیت کلی اصولا روی اینترنت نداریم.

اما این ربات تا جایی که من می دونم امنیتی که ادعا می کنه رو داره. یعنی فرستنده و گیرنده نمی تونن با پول یا کلک یا روش دیگه ای هویت همدیگه رو کشف کنن. ولی خب مطمئنا نویسنده برنامه و کسانی که به دیتابیس ها دسترسی دارن (چه مجاز چه غیر مجاز چه به زور)‌ احتمالا می تونن به سادگی همه پیام ها رو بررسی کنن، هویت ناشناس ها رو ببینن و یا حتی به شکل معکوس ببین چه کسانی برای فلان شخص پیام فرستادن و پیامشون چی بوده. نمی گم این اتفاق روزمره می افته ولی از نظر برنامه نویسی این باید کاملا ممکن باشه.

حالا باید دید که خود گردانندگان ربات ناشناس، چه ادعایی در این مورد دارن. انتظار من اینه در چنین سازمان هایی میزان و شکل دسترسی به این اطلاعات کاملا تعریف شده باشه. این چیزی است که من معمولا در ایران ندیدم. مثلا اگر بانک ایکس پروژه اش رو می ده به شرکت ایگرگ، چیزی در این مورد که چه رده هایی از افراد شرکت ایگرگ به چه شکلی می تونن روی دیتابیس خریدهای آدم ها کوئری بزنن صحبتی نمی شه. در مورد ربات ناشناس هم خوبه چنین بحثی باشه که بدونیم توی اون شرکت چه آدم هایی به چه دلایلی ممکنه بتونن به دیتابیس دسترسی پیدا کنن و مثلا آیا یک برنامه نویس که اونجا کار می کنه می تونه تمام پیام های خصوصی که من فرستاده ام رو بخونه یا نه. این رو می شه هم از نظر اخلاقی و هم از نظر فنی محدود کرد.

پس به شکل خلاصه، پیام های ربات ناشناس مثل هر چیز دیگه روی اینترنت شاید روزگاری برای همه قابل دسترسی بشن ولی در حال حاضر تا جایی که ما می دونیم تنها کسانی که به دیتابیس ها دسترسی دارن (چه قانونی چه غیرقانونی چه به زور) می تونن پیام ها و هویت فرستنده ها رو کشف کنن – که احتمالا باید محدودیت هایی در شرکت برای این شکل از دسترسی تعریف شده باشه.

اگر حرفی هست در کامنت ها بگین و با وجودی که من طرفدار شفافیتم، برای ارتباط موضوعی اینم این لینک ربات ناشناس منه ((: