خطرات سایتهای دانلود برای امنیت سازمانهای کشور: که دانلود آسان نمود اول ولی افتاد مشکلها
کارشناس حوزه امنیت در گفتگو با دیجیاتو از سایتهای دانلود نرمافزار به عنوان یک خطر بالقوه برای سازمانهای خصوصی و دولتی یاد میکند که میتوانند راه را برای نفوذ به شبکه این مجموعهها تسهیل کنند. ...
در دیجیاتو ثبتنام کنید
جهت بهرهمندی و دسترسی به امکانات ویژه و بخشهای مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.
عضویت در دیجیاتوتازههای تکنولوژی
کارشناس حوزه امنیت در گفتگو با دیجیاتو از سایتهای دانلود نرمافزار به عنوان یک خطر بالقوه برای سازمانهای خصوصی و دولتی یاد میکند که میتوانند راه را برای نفوذ به شبکه این مجموعهها تسهیل کنند. او از سازمانهای متولی امنیت سایبری خواست تا به این موضوع ورود کرده و مانع وقوع فاجعههای احتمالی شوند.
ماجرای حمله سایبری اخیر به سامانه هوشمند سوخت، نگرانیهای بسیاری را در حوزه امنیت ایجاد کرده است. به طور معمول زمانی که از حمله سایبری صحبت میشود، ذهن همه به سمت هکهای گسترده و پیچیدهای میرود که روزها و حتی ماهها برای نفوذ به سیستمهای یک مجموعه زمان گذاشته شده است.
اما گاهی روشهای آسانی وجود دارد که تنها کافی است منتظر ماند تا طعمه به دام بیفتد و سپس به راحتی به یک سازمان نفوذ کرد. نسخههای ESXi ،Windows و کرک نرمافزارهای محبوب از جمله طعمههایی هستند که میتوان از آنها برای نفوذ استفاده کرد.
موضوع سادهای که در حال حاضر بسیاری از شرکتهای دولتی و خصوصی آن را جدی نگرفته و برای نصب نرمافزار روی سیستم کارمندان خود به سراغ هزاران سایت دانلود نرمافزار رفته و از کرکهای موجود در این سایتها استفاده میکنند.
اگر افرادی قصد نفوذ به شرکتها و سازمانهای ایرانی را داشته باشند کافی است بتوانند سرورهای یک یا چند سایت مطرح دانلود نرم افزار را هک کنند و بدون سر و صدا داخل کرکهای نرم افزارهای موجود روی سرورهای این سایتها یک Backdoor تزریق کنند. «در پشتی» برنامهای است که به نفوذگر این امکان را میدهد تا با دور زدن روند امنیتی سیستم، منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگر قرار دهد.
پس از این کار، زمانی که ادمین سازمانها به سراغ دانلود نرمافزارهای مورد نیاز خود از این وبسایتها بروند، Backdoorها در شبکه سازمان راه اندازی میشوند. به نظر می رسد این رخنه امنیتی بزرگ از دید دستگاههای متولی امنیت سایبری کشور کاملا مغفول واقع شده است و شواهد نشان میدهد هیچگونه دستورالعملی برای تامین نرم افزارهای غیراورجینال در سازمانها وجود ندارد.
اما این نفوذ تا چه حد امکانپذیر است و چه راهحلهایی در این زمینه وجود دارد. برای پاسخ به این سوالات به سراغ «علی کیاییفر»، مدیر امنیت سیستمهای کنترل صنعتی شرکت مدبران و کارشناس امنیت اطلاعات رفتهایم.
حمله به نرمافزارهای مورد نیاز سازمان؛ جایگزین حمله هکری مستقیم
کیاییفر با بیان اینکه نفوذ به سازمانهای دولتی و خصوصی نسبت به گذشته سختتر شده است، به دیجیاتو گفت:
«در حال حاضر تقریبا همه سازمانهای مهم روی لبه شبکه خود از تجهیزات امنیتی مناسب استفاده میکنند و آسیبپذیریهای موجود در تجهیزات و نرم افزارهای خود را بطور مداوم برطرف میکنند. لذا نفوذ به چنین سازمانهایی نسبت به گذشته سختتر شده است.»
اما به گفته وی چند سالی است که روش جدیدی از حمله سایبری به سازمانها باب شده که به نام «حمله به زنجیره تامین» یا "Supply Chain Attack" شناخته میشود. در این روش، هکر به جای اینکه مستقیما به یک سازمان حمله کند به یکی از نرمافزارهای مورد استفاده در آن سازمان حمله میکند.
این کارشناس امنیت در ادامه برای شفافتر شدن این موضوع با ذکر یک مثال، نمونه سادهای از حملات Supply Chain Attack را تشریح کرد:
«فرض کنید یک هکر بخواهد به سازمان X حمله کند. در گام اول تلاشش را میکند تا از طریق آسیب پذیریهای موجود در شبکه سازمان X بتواند حفرهای برای نفوذ باز کند، اما موفق نمیشود. در گام دوم وب سایت سازمان X را مقداری بررسی میکند و به راحتی متوجه میشود این سازمان (مثلا) از نرم افزار اتوماسیون اداری تولید شده توسط شرکت Y استفاده میکند. یا متوجه می شود شرکت Y در لیست مشتریانش، نام سازمان X را آورده است.»
همین موضوع کافی است تا هکر برای هک شرکت Y تلاش کند. اگر امنیت شرکت Y شکننده باشد با کمی تلاش هک شده و هکر بدون اینکه جلب توجه کند به منبع نرم افزار اتوماسیون اداری دست پیدا میکند و داخل آن یک Backdoor جاسازی میکند.
هفته بعد شرکت Y نسخه جدیدی از اتوماسیون اداری تولید میکند غافل از اینکه نسخه جدید آلوده به Backdoor شده است. سازمان X هم نسخه اتوماسیون اداری خود را آپدیت میکند و به این ترتیب سازمان با دستان خودش Backdoor جاسازی شده توسط هکر را در شبکه خود نصب میکند.
حالا هکر با این ابتکار توانسته نه تنها به شبکه سازمان X دست پیدا کند بلکه تمام شبکههایی که از اتوماسیون اداری شرکت Y استفاده میکنند تحت کنترل او هستند.
سایتهای دانلود و افزایش خطر حملات سایبری
آنطور که کیاییفر به دیجیاتو میگوید بحث حمله به زنجیره تامین در ایران بسیار حادتر است و این موضوع به عدم رعایت قانون کپیرایت باز میگردد:
«در ایران به دلیل اینکه قانون کپیرایت رعایت نمیشود، سایتهای بسیاری برای دانلود نرمافزارهای کرک شده به وجود آمدهاند. این سایتها تقریبا به مرجع اصلی دانلود نرمافزارهای مختلف تبدیل شدهاند و از کاربران خانگی گرفته تا وزارتخانهها و سازمانهای حساس از این سایتها به عنوان مرجعی برای دانلود نرم افزارهای مورد نیاز خود استفاده کنند.»
حال یک هکر برای نفوذ به سازمانهای ایرانی کافی است یکی از این سایتهای ایرانی دانلود نرمافزار را هک کند و داخل کرک نرمافزارهای پر استفاده یک Backdoor جاسازی کند. سایتهایی که به اعتقاد این کارشناس امنیت، اکثرا آسیبپذیریهای بحرانی دارند:
«کاربران و ادمینهای سازمانها نیز با دست خودشان این فایلهای حاوی Backdoor را دانلود کرده و روی شبکه خود اجرا میکنند. آن هم با دسترسی Domain Admin! نکته جالب ماجرا این است که Adminها هنگام اجرای این کرکها آنتی ویروس خود را غیرفعال میکنند. اگر آنتی ویروسی هم از اجرای کرکها جلوگیری کند و به کاربر هشدار دهد حتما از دیدگاه کاربران آنتی ویروس خوبی نیست، چون اجازه نمیدهد کرکهای آلوده بی دردسر اجرا شوند.»
او با بیان اینکه این نوع حمله به لحاظ فنی ساده است و به لحاظ وسعت میتواند بسیار وسیع باشد به دیجیاتو گفت:
«با این نوع حمله در مدت کوتاهی تعداد زیادی شبکه در سطح کشور مورد نفوذ واقع میشوند. از همین روی لازم است سازمانهای متولی امنیت سایبری در کشور به این موضوع ورود کنند. به ویژه وقتی که بدانیم رژیم اسرائیل تمام توان سایبری خود را برای نفوذ به شبکهها و زیرساختهای حیاتی کشور متمرکز کرده و از هیچ تلاشی فروگذار نخواهد کرد. سازمانهای جاسوسی اسرائیل ممکن است حتی از روشهای غیر فنی نظیر Insider بتوانند به فضاهای ذخیرهسازی سایت دانلود دسترسی پیدا کنند و عملیات نصب Backdoor را انجام دهند.»
کیاییفر در پاسخ به سوال دیجیاتو مبنی بر اینکه آیا میتوان سایتهای دانلود را مقصر اصلی این موضوع دانست، گفت: « خیر. این سایتها هدفشان کسب درآمد از طریق تبلیغات است و نسبت به عواقب استفاده از فایلهای کرک هیچگونه مسئولیتی ندارند.»
اما آیا فرهنگ استفاده از نرمافزارهای اورجینال میتواند تا حد زیادی از این ریسک بکاهد؟ وی در پاسخ به این سوال دیجیاتو اعتقاد دارد بایستی در این زمینه به چند فاکتور همزمان توجه کرد. یکی از مسائل بحث تحریمهاست که امکان خرید اکثر نرمافزارهای اورجینال خارجی یا استفاده از خدمات پشتیبانی آنها برای کاربران ایرانی وجود ندارد: «حتی در اغلب موارد اگر تولید کننده متوجه شود که لایسنس در ایران استفاده می شود ممکن است آن را غیرفعال کند.»
مساله دیگر از نظر وی افت ارزش پول ملی است که موجب شده خرید لایسنس یک نرمافزار ساده خارجی بسیار گران تمام شود و خارج از قدرت خرید بسیاری از کاربران و حتی سازمانها باشد.
این کارشناس امنیت در ادامه تاکید کرد خرید نرمافزار اورجینال لزوما حملات Supply Chain یا حلقه تامین را صفر نمیکند: «همچنان که دیدیم در سال قبل حملات گسترده Supply Chain از طریق نفوذ به نرم افزار معروف شرکت SolarWinds انجام شد. بنابراین به عقیده من فرهنگ سازی در خصوص استفاده از لایسنس اورجینال برای نرمافزارهای عمومی خارجی حداقل در شرایط کنونی امکان پذیر نیست.»
سهم بالای نرمافزارهای مورد استفاده سازمانها در حملات سایبری
کیاییفر در ادامه با بیان اینکه براساس آمار، 92 درصد از حملاتی که به سازمانها می شود مرتبط با نرمافزارهایی است که در سازمان مورد استفاده قرار میگیرد، به دیجیاتو گفت: «به عبارتی میتوان گفت اگر نرمافزارهای مورد استفاده در یک سازمان کاملا امن باشند 92 درصد از حملات صورت نخواهند گرفت.»
او اعتقاد دارد اغلب برنامهنویسان و حتی شرکتهایی که نرمافزار تولید میکنند نسبت به مسائل امنیتی اشراف لازم را ندارند و اصولا هدفشان این است که محصولی تولید کنند که کار کند. درحالی که که هدف اصلی باید این باشد که نرم افزار به صورت امن کار کند:
«به طور روزمره اگر اخبار حملات سایبری را دنبال کنید موارد متعددی پیدا میکنید که به دلیل ناامنی در سطح نرم افزار به یک سازمان نفوذ گسترده شده است. از آسیبپذیریهای نرم افزارهای معروفی مثل Microsoft Exchange بگیرید تا نرمافزارهای خاص که در سازمانهای اندکی مورد استفاده قرار میگیرند.»
پکیجهای نرمافزاری نیز از موارد پرکاربردی در ادارات هستند. آیا احتمال نفوذ از طریق این پکیجها نیز وجود دارد؟ این کارشناس امنیت در پاسخ به سوال دیجیاتو تاکید کرد هر نرمافزاری که از منابع نامشخص تامین شده باشد احتمال سوء استفاده از آن وجود دارد: «طبیعتا سایتهای دانلود نرمافزار به دلیل اینکه دامنه استفاده وسیعتری دارند خطرآفرینتر هستند.»
توصیههای امنیتی به سازمانها
کیاییفر بخش پایانی صحبتهای خود را به بیان چند توصیه امنیتی به سازمانها اختصاص داد و به دیجیاتو گفت:
«اولا لیست نرمافزارهایی که مجاز هستند در سازمان نصب شوند، باید مشخص و تعریف شده باشد. ثانیا منبع نرمافزارهایی که در سازمان نصب میشوند باید معتبر باشد. این اعتبار میتواند به روشهای مختلفی حاصل شود. مثلا یک روش این است که کرک نرمافزارها توسط یک گروه مهندسی معکوس داخلی انجام شود یا اینکه فایلهای کرک توسط متخصصان امنیتی در Sandboxهای مختلف آنالیز شوند و سلامت کارکرد آنها تایید شود.»
به اعتقاد وی این موضوع بایستی در تیم امنیتی سازمان بررسی شود و برای آن راهکار اجرایی درون سازمانی تدوین شود.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
مگه Backdoor رو میشه تزریق کرد؟ 😐
اینککه چند وقت پیش دوربین زندان ها و حالا وزارت نفت میگند هک شده دروغ
این سیستم ها افلاین حساب میشه
و اینترنت دسترسی ندارند
دوم اینکه اگر هکری نفوذ کنه به وزارت نفت
اول میاد بنزین رایگان میده بعد سرور از بین میبره
چندسال پیش بعد هک انرژی اتمی اون وقت هک شد وزرات نفت ایران صداش در نیاورد سرور وزارت نفت به مهنای واقعی کلمه سوزونندن که اتش گرفت
در مورد هک دوربین زندان ها افلاین و اینجوری نیست که بشه نفوذ کرد و بخشهای
دیدید که بعدش فیلم نیامد بیرون و برای ایجاد خبر در رسانه ها فقط چندتا ویدیو را اپلود کردن تو اینترنت
سازمانی که از ویندوز استفاده میکنه، حقشه ویروس بگیره!
"داخل کرکهای نرم افزارهای موجود روی سرورهای این سایتها یک Backdoor تزریق کنند"
چقدر به این جمله خندیدم. عجب کارشناسی.😂 😂 😂 😂 😂 😂