ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تکنولوژی

۳ دلیل برای اینکه چرا کروم بوک ها مشکلات امنیت دیجیتالی را حل نمی کنند

در نگاه اول، سیستم عامل کروم شرکت گوگل، به عنوان یک سیستم عامل امن پا به میدان نهاد. احتمالا این سیستم عامل امن ترین سیستم عامل دنیاست (از نظر هزینه و برخی قابلیت های محدود). ...

مجتبی بوالحسنی
نوشته شده توسط مجتبی بوالحسنی | ۲ مهر ۱۳۹۳ | ۲۳:۴۵

در نگاه اول، سیستم عامل کروم شرکت گوگل، به عنوان یک سیستم عامل امن پا به میدان نهاد. احتمالا این سیستم عامل امن ترین سیستم عامل دنیاست (از نظر هزینه و برخی قابلیت های محدود). اما متاسفانه برای از بین رفتن مشکلات امنیتی سیستم عامل ها، Chrome OS راه نجات نیست و نگرانی های امنیتی جدی در مورد این پلتفرم نیز وجود دارد.

ابتدا نکات مثبت

سیستم عامل کروم (نسخه ای تغییر یافته از لینوکس که بر روی نت بوک هایی ارزان قیمت، به نام کروم بوک اجرا می شود) یکسری ویژگی و امکانات خیلی خوب برای کاربرانی که نسبت به امنیت حساس هستند، ارائه می کند. به عنوان مثال کد اجرا کننده ی بوت (BootLoading) در حافظه ی رام (ROM) نگهداری می شود و امضای دیجیتالی هسته ی سیستم عامل را بررسی کرده و سپس بوت می شود (قابلیت بوت تایید شده). از آنجایی که کدهای بوت سیستم عامل در حافظه ی ROM قرار می گیرند، هکرها بدون دسترسی فیزیکی به آن نمی توانند به اطلاعات دسترسی داشته باشند و در آنها تغییر ایجاد کنند. اگر بررسی فایل های سیستمی انجام نشود، بوت لودر ریست شده و دستگاه مورد نظر به تنظیمات کارخانه ای بر می گردد و هرگونه کد مخرب احتمالی وارد شده به سیستم عامل را از بین می برد.

2

از آنجا که سیستم عامل کروم بر اساس اپلیکیشن های تحت وب ساخته شده امنیت آن بیشتر تقویت می گردد، زیرا هر کدام از برنامه ها در سندباکس مختص خود اجرا می شوند، بنابراین هر برنامه و حافظه ای که استفاده می نماید جدا از هم نگهداری می شوند و از لحاظ نظری، از دسترسی یک اپلیکیشن مخرب به اطلاعات یا کنترل سایر اپلیکیشن ها جلوگیری می شود. برای اطمینان از بروز بودن کروم بوک، بروزرسانی ها که حل مشکلات امنیتی بخشی از آنهاست، هنگامی که دستگاه به اینترنت متصل است، به صورت خودکار و مخفی در سیستم اعمال می شوند. حتی چند گزینه برای محافظت از دستگاه در مقابل حمله های فیزیکی در این سیستم عامل وجود دارد. تلاش برای قرار دادن یک Malware در سیستم عامل کروم، به احتمال زیاد ممکن نیست. برای کسب اطلاعات بیشتر در مورد امنیت این سیستم عامل به اینجا مراجعه کنید.

ادامه مطلب را از دست ندهید.

پس مشکل کجاست؟

شما نمی توانید به سندباکس اعتماد کنید

متاسفانه امنیتی که توسط سندباکس تحت وب برای سیستم عامل کروم ارائه شده، غیر رسمی بوده و کاملا ثابت نشده است. در بسیاری از سندباکس ها مانند جاوا، تعداد زیادی باگ کشف شده اند که به اپلیکیشن ها اجازه می دهند از آنها رد شده و دستورات خودسرانه ای را در دستگاه اجرا کنند. خود کروم بارها نشان داده که سندباکس آن توسط هکرهای کلاه سیاه مورد حمله قرار گرفته و آنها سندباکس را دور زده اند. البته این مشکلات اکنون رفع شده اند اما هیچ تضمینی مبنی بر عدم وجود باگ های مشابه نیست. آقای ریک فرگوسن (Rik Ferguson) یکی از محققان امنیت، این موضوع را اینگونه بیان کرده است:

«اکسپلویت هایی (Exploit) که سندباکس ها را دور می زنند در حال حاضر برای اینترنت اکسپلورر، جاوا و اندروید و البته برای مرورگر کروم (که البته در مورد کروم بسیار کم هستند) نیز وجود دارند. در حالیکه سندباکس گوگل برای جلوگیری از این مشکل موثر است، اما غیرقابل نفوذ نبوده و تکیه بر آن برای تامین امینت صد درصدی کافی نیست.»

3

بدترین چیز این است که وب تعاملی، WebGL ویژه، که از OpenGL منشع گرفته برای استفاده در مرورگر های وب تعبیه شده اند. WebGL به شما امکان مشاهده ی دموهای سه بعدی را در وب می دهد که امکانی بسیار خوب است (مثل این نمونه) اما متاسفانه از طرفی یک کابوس امنیتی نیز هست. WebGL به برنامه های تحت وب اجازه می دهد تا بتوانند دستورالعمل هایی را همراه با ویدئو ها، به حافظه ی دستگاه وارد کنند که خیال خام جلوگیری از نفوذ به سندباکس توسط اکسپلویت ها را از بین می برد. مایکروسافت نیز در مطلبی رسمی اعلام کرده که استفاده از WebGL برای وب بسیار نا امن است:

امنیت WebGL به سیستم عامل سطح پایین بستگی دارد که شامل درایورهای OEM بوده، و تضمین های امنیتی ای که قبلا واقعا نیاز به نگرانی در مورد آنها نبود را از بین می برد. حملات در گذشته ممکن بود فقط به صورت محلی تاثیر گذار باشند ولی در حال حاضر امکان دارد از راه دور نیز حملات هکرها تاثیرات مخرب داشته باشند. با اینحال امکان کم کردن چنین ریسک هایی وجود دارد. اما حملات زیادی که از طریق WebGL انجام می شود همچنان یک نگرانی مهم است. انتظار داریم که چنین باگ هایی را فقط در برخی پلتفرم ها و کارت های ویدئویی خاص مشاهده کنیم، زیرا چنین حملاتی را به طور بالقوه ای آسان می کنند.

 

شما نمی توانید به فضای ابری اعتماد کنید

چندی پیش درباره ی فضای ابری در دیجیاتو برایتان نوشتیم. فضای ابری بدترین مورد در بین تهدیدات امنیتی علیه سندباکس ها است. کروم بوک ها به نحوی طراحی شده اند که به فضای ابری نیاز اساسی دارند. اگر کروم بوک خود را از دست بدهید (ممکن است از دستتان بیفتد یا خیس شود و …) جای هیچگونه نگرانی برای از دست دادن اطلاعاتتان نخواهید داشت. کافیست یک کروم بوک دیگر تهیه کنید، به حساب کاربری خود وارد شده و همه ی اطلاعات و تنظیمات گذشته ی خود را مانند قبل خواهید داشت.

متاسفانه با استفاده از فضای ابری، کاربران در معرض خطرات مهمی قرار می گیرند. شان گالاگر مدیر توسعه ی فنی شرکت Ars در سرمقاله ای خود اشاره به این دارد که «چرا سازمان NSA به کروم بوک ها علاقه دارد؟». آقای گالاگر می گوید: «همه می دانند که NSA به فضاهای ابری گوگل دسترسی داشته (و ممکن است هنوز هم داشته باشد) و می تواند با دسترسی به فایل های کاربران، از آنها جاسوسی کند و بخش عظیمی از اطلاعات خصوصی کاربران توسط کروم بوک هایشان در فضای ابری گوگل ذخیره می گردد و این دلیل علاقه ی NSA به کروم بوک هاست.»

وی همچنین می گوید:

البته در این قضیه گوگل مقصر اصلی نیست، اما این ضعف استفاده از مرورگر به عنوان یک پلتفرم است، چرا که تقریبا تمام منابع محاسباتی برای برنامه های کاربردی از این طریق ارسال و دریافت می گردند، و اطلاعات در فضای ابری ذخیره شده که این یک ایستگاه توقف برای هکرهاست تا بتوانند به دنیای محاسباتی و اطلاعاتی شما نفوذ کنند.

البته مشکل فقط NSA نیست. با اینکه تاییدیه ی بوت لودر می تواند به طور دائمی از اطلاعات شما محافظت کند، اما تغییرات مخرب می توانند آنچه شما با کروم بوک خود انجام می دهید را گزارش کنند. حتی یک نقص امنیتی که ممکن است در برخی اپلیکیشن های کروم بوک وجود داشته باشد کافیست تا هکرها اطلاعات امنیتی و احراز هویت شما را سرقت کرده و همین برای دسترسی به اطلاعات شما کافیست و پس از آن هکرها می توانند با اطلاعات شما هر کاری می خواهند انجام دهند.

4

 

اپلیکیشن های بومی می آیند

مشکل دیگر این است که سندباکس سیستم عامل کروم، الگویی کاملا خصوصی ندارد. افزونه هایی مانند Adblock Plus و Google Translate که در نوار بالای مرورگر اینترنت قرار می گیرند، کدهای بومی ای هستند که در دستگاه اجرا می شوند و در این صورت نیز می توانند هر کاری را انجام دهند ( مثلا نمایش تبلیغات یا به دست آوردن رمزهای عبور شما). حتی افزونه هایی برای شناسایی و حذف افزونه های مخرب ساخته شده اند که می توان آنها را نوعی آنتی ویروس برای سیستم عامل کروم تلقی نمود، هر چند که قرار بود این سیستم عامل اساسا نیازی به آنتی ویروس ها نداشته باشد. می توانید این افزونه ها را از فروشگاه کروم دانلود نمایید. البته در حال حاضر فقط امکان نصب اپلیکیشن هایی وجود دارد که قبلا پروسه ی تاییدیه را از سوی گوگل گذرانده و در فروشگاه افزونه های کروم قرار گرفته اند. متاسفانه پروسه ی تاییدیه توسط نیروی انسانی انجام می پذیرد و تضمین امن بودن اپلیکیشن هایی که توسط انسان تایید می شوند بسیار کمتر از تایید شدن آنها توسط سندباکس ها است.

اگر فکر می کنید این پایان ماجراست باید بگوییم وضعیت بدتر هم می شود، زیرا گوگل قصد دارد کاری کند تا برای اجرای برنامه های بومی در قالب برنامه های اندروید در کروم، از طریق یک لایه رابط کاربری اجرا شوند. این برنامه های بومی باعث ایجاد نگرانی های بیشتری در مورد امنیت در سیستم عامل کروم شده که نسبت به آسیب پذیری های فضای ابری اهمیت بیشتری دارد.

5

در حال حاضر هر اپلیکیشن اندرویدی ای که بخواهد اجازه ی اجرا در سیستم عامل کروم را داشته باشد به دقت توسط تیم امنیتی گوگل بررسی شده تا اطمینان حاصل شود که اپلیکیشن مذکور عاری از هرگونه کد مخرب است، اما باز هم تضمینی کامل مبنی بر عدم ایجاد اختلال در دستگاه توسط این اپلیکیشن ها وجود ندارد. حتی اگر کد مخربی هم وجود نداشته باشد اکثر اپلیکیشن هایی که قصد دسترسی به بخش های مختلف سیستم عامل را دارند از طریق اکسپلویت های خود، اینکار را انجام می دهند.

سیستم عامل کروم امن است، اما نگرانی همچنان باقیست

در اینجا باز هم تاکید می کنیم که سیستم عامل کروم واقعا امن است. اگر شما از ویندوز، لینوکس یا OSX استفاده می کنید، سیستم عامل کروم نسبت به آنها از امنیت بالاتری برخوردار است. در حقیقت، این گفته در مورد تمام سیستم عامل ها نیز صدق می کند، به جز Plan 9، که یک سیستم عامل بسیار بسیار امن بوده و می توان گفت هیچگونه بد افزاری تا کنون نتوانسته به آن نفوذ کند و در عملکرد این سیستم عامل اختلال ایجاد نماید. بحرحال نگرانی های امنیتی هنوز در سیستم عامل کروم وجود دارند، و اگر اطلاعات محرمانه و شخصی را در کروم بوک خود نگهداری می کنید، باید این مسائل امنیتی را نیز در نظر داشته باشید.

دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (17 مورد)
  • LG Forever
    LG Forever | ۶ مهر ۱۳۹۳

    واقعا امنیت تو گوگل 0

  • shayan_Q9
    shayan_Q9 | ۴ مهر ۱۳۹۳

    امنیت مطلق نیست! بلکه نسبیه!
    با این اوصاف اصلا امنیتی نیست! :(

  • bozorgmehr96
    bozorgmehr96 | ۳ مهر ۱۳۹۳

    تو اینترنت و کلا هر چی که به اینترنت وصل میشه امنیت یعنی کشک
    امنیت میخوای dos هستش خیلیم عالی
    بیشتر امنیت میخوای کاغذ با خودکار

  • هادی سرلک
    هادی سرلک | ۳ مهر ۱۳۹۳

    همیشه از این مقاله های آموزشی تحلیلی خوش آمده
    قبلا یه بخش آموزش نرم افزار و برنامه نویسی در نارنجی بود امیدوارم دوباره ادامه پیدا کنه

  • Divan Greedy
    Divan Greedy | ۳ مهر ۱۳۹۳

    پست بلاخره اوردش، don't get scroogled

نمایش سایر نظرات و دیدگاه‌ها
مطالب پیشنهادی