IRCRE201201087
در حاليكه در اوايل سال 2012 ميلادي به سر مي بريم، خوب است نگاهي به مهمترين اتفاقات امنيتي 12 ماه گذشته بيندازيم. در اينجا به رخدادهايي اشاره مي كنيم كه يا نشان دهنده روندهاي اصلي در دنياي امنيت سايبر و يا نمايانگر وارد شدن بازيگران جديد در عرصه امنيت اطلاعات هستند. از طرف ديگر نيز با نگاه كردن به روندها و جريانات امنيتي سال 2011، تصويري از اتفاقات مورد انتظار در سال 2012 را به دست خواهيم آورد.
1- فزوني يافتن هك با انگيزه هاي سياسي (Hacktivism)
بعيد به نظر مي رسد كه خوانندگان اين گزارش تا به حال اسمي از گروه هكرهاي ناشناس (Anonymous)، LulzSec يا Mp0ison نشنيده باشند. در طول سال 2011 اين گروه ها به همراه ديگران در عمليات هاي مختلفي بر عليه نهادهاي قانوني، بانك ها، دولت ها، شركت هاي امنيتي و شركت هاي بزرگ نرم افزاري شركت كرده اند. گروه هاي مذكور كه برخي اوقات با يكديگر همكاري و گاهي اوقات نيز در برابر يكديگر صف آرايي كرده اند، يكي از بازيگران اصلي در رخدادهاي امنيتي سال 2011 همچون نشت اطلاعات شبكه هاي متعلق به سازمان ملل، موسسه امنيتي و انديشگاه Stratfor، شركت پيمانكار FBI به نام IRC، شركت پيمانكار نيروي دفاعي آمريكا ManTech و يا وب سايت CIA به حساب مي آيند. جالب است كه برخي از اين رخدادها، مانند هك Stratfor نمايانگر مشكلات امنيتي اساسي همچون ذخيره شماره هاي نمايانگر مشكلات امنيتي اساسي همچون ذخيره شماره هاي CVV(Card Verification Value) بدون رمزنگاري آنها و يا استفاده از رمزهاي عبور بسيار ضعيف توسط مديران است.
به طور كلي، افزايش هك با ريشه هاي سياسي يكي از روندهاي اصلي امنيتي در سال 2011 بوده است و بدون شك در سال 2012 نيز با رخدادهاي مشابهي ادامه خواهد يافت.
2- هك HBGary Federal در آمريكا
با وجود اينكه اين موضوع مربوط به مورد اول در ليست مي شود، ولي به دليلي متفاوت آن را مستقلاً نيز در ليست قرار داديم. در ژانويه 2011، گروه هكرهاي ناشناس توانستند با استفاده از يك حمله تزريق SQL به وب سرور hbgaryfederal.com دسترسي پيدا كنند. آنها در جريان اين حمله توانستند چندين درهم سازي MD5 رمزهاي عبور متعلق به مدير عامل شركت Aaron Barr و مدير اجرايي Ted Vera را استخراج كنند و متأسفانه آنها از رمزهاي عبور بسيار ضعيف استفاده كرده بودند كه حاوي تنها شش حرف كوچك و دو عدد مي شد. اين رمزهاي عبور ضعيف به هكرها اجازه داد تا به پرونده هاي تحقيقاتي و ده ها هزار ايميل ذخيره شده بر روي Google Apps دسترسي پيدا كنند.
اين موضوع از آنجا اهميت پيدا مي كند كه نشان دهنده اينست كه استفاده از رمزهاي عبور ضعيف و نرم افزارهاي قديمي همراه با برنامه هاي ابري (cloud application) مي تواند منجر به يك كابوس امنيتي گردد. اگر مديران مذكور از رمزهاي عبور قوي تري استفاده كرده بودند، ممكن بود هيچكدام از اين رخدادها اتفاق نمي افتاد، يا اگر تأييد هويت چند مرحله اي را بر روي Google Apps فعال كرده بودند، هكرها نمي توانستند به حساب كاربري با حق دسترسي بالا دسترسي پيدا كرده و همه ايميل هاي شركت را كپي كنند. مهم است توجه كنيم كه لزوماً استفاده از ابزارهاي امنيتي بهتر باعث نمي شود اين احتمال را كه هكرهاي سمج راه ديگري را براي ورود به شبكه پيدا خواهند كرد، نفي كنيم. پشتكار و انگيزه همراه با زمان باعث مي شود هكرها دست بالا را بگيرند.
3- تهديدات پايدار و پيشرفته
با وجود اينكه بسياري از متخصصان امنيتي اين موضوع را كوچك مي انگارند ولي واقعيت اينست كه اخبار برخي رخدادهاي امنيتي سال 2011 همچون نشت اطلاعات RSA و رويدادهاي امنيتي Night Dragon، Lurid و Shady Rat در صدر اخبار خبرگزاري ها قرار گرفت. جالب است كه بسياري از اين حملات كه مورد توجه رسانه ها هستند از نوع پيشرفته نبوده اند. از طرف ديگر بسياري موارد نيز وجود دارند كه در آنها از آسيب پذيري هاي جديد و اصلاح نشده (Zero-day) استفاده شده است.
براي مثال مي توان به نشت اطلاعات RSA اشاره كرد كه در آن از آسيب پذيري CVE-2011-0609 در Adobe Flash Player براي اجراي كد خرابكار بر روي سيستم قرباني سوءاستفاده شده است.
ديگر آسيب پذيري جديد و اصلاح نشده جالب نيز مربوط به Adobe است. اين آسيب پذيري به نام CVE-2011-2462 كه در Adobe Reader وجود دارد، در حملات هدفدار عليه شركت پيمانكار نيروي دفاع آمريكا، ManTech، مورد سوءاستفاده قرار گرفته بود.
به علاوه، بسياري از اين حملات هدفدار بوده و براي مثال شركت هاي همكار نيروهاي نظامي آمريكا، كشورهاي اروپاي شرقي و روسيه (Lurid) هدف قرار داده بودند كه اين امر نشان دهنده وارد شدن سازمان هاي جاسوسي كشورها به عرصه ي حملات سايبري است. اين امر كم كم جاسوسي هاي سايبري را به امري عادي در دنيا بدل مي كند. همچنين به نظر مي رسد كه بسياري از اين حملات به هم مربوط بوده و انشعاباتي در سراسر جهان دارند. براي مثال، در حمله نشت اطلاعات RSA، مهاجمان پايگاه داده حاوي مجوزهاي SecurID را سرقت كردند كه بعدها در يك حمله سطح بالاي ديگر مورد استفاده قرار گرفت.
4- رخدادهاي امنيتي Comodo و DigiNotar
در 15 مارس 2011، يكي از شركت هاي اقماري Comodo كه در زمينه توليد نرم افزارهاي امنيتي و گواهينامه هاي SSL فعاليت مي كند، هك شد. مهاجم به سرعت از زيرساخت موجود براي توليد نه گواهينامه ديجيتال SSL جعلي براي وب سايتهايي همچون mail.google.com، login.yahoo.com، addons.mozilla.com و login.skype.com استفاده كرد. شركت Comodo در اثناي تحليل اين رخداد امنيتي متوجه شد كه فعاليت هاي مهاجم از يك آدرس IP در تهران انجام شده است. در حالي كه در رخداد امنيتي Comodo ، تنها نه گواهينامه امنيتي جعل شد، اما نشت اطلاعات DigiNotar كه يك مركز صدور گواهي ديجيتالي هلندي است، بسيار بزرگ تر از آن بود. در 17 ژوئن 2011، هكرها شروع به فضولي كردن در سرورهاي DigiNotar كردند و توانستند ظرف مدت پنج روز به زيرساخت آن دسترسي پيدا كرده و بيش از 300 گواهينامه امنيتي جعلي را توليد كنند. هكرها يك پيغام را به زبان فارسي به عنوان امضاي خود در قالب يك گواهينامه امنيتي باقي گذاشتند. چندين روز بعد، از گواهينامه هاي مذكور در حملات man-in-the-middle بر عليه بيش از 100 هزار كاربر ايراني جيميل سوءاستفاده شد.
حملات بر عليه Comodo و DigiNotar نشان دهنده دو روند رو به رشد در امنيت سايبر است: اولاً در حال حاضر اعتماد به ارائه دهندگان گواهينامه هاي ديجيتال (CA) از بين رفته است و در آينده احتمالاً سوءاستفاده از CA ها بيشتر نيز خواهد شد و ثانياً بيش از پيش شاهد بدافزارهايي خواهيم بود كه به صورت ديجيتالي امضا شده اند.
5- Duqu
در ژوئن 2010، محققي به نام سرگي اولاسن، از شركت بلاروسي VirusBlokada يك بدافزار پيشرفته را كشف كرد كه به نظر مي رسيد از يك طرف از گواهينامه هاي ديجيتالي به سرقت رفته براي امضاي درايورهايش استفاده مي كند و از طرف ديگر از يك آسيب پذيري جديد و اصلاح نشده (Zero-day) نيز براي حمله به قربانيان بهره مي برد. اين آسيب پذيري جديد از فايلهاي .lnk براي تكثير خود از طريق اجراي اتوماتيك يا AutoRun سوءاستفاده مي كرد. اين بدافزار كه به استاكس نت معروف شده است، تأسيسات هسته اي ايران را هدف قرار داده بود. اما محققان امنيتي پاسخي براي چگونگي دسترسي استاكس نت به اطلاعات مورد نظر آن نداشتند.
يكي از پاسخ هاي ممكن در تروجان Duqu نهفته است كه توسط همان سازندگان استاكس نت ايجاد شده است. اين بدافزار در آگوست 2011 توسط يك آزمايشگاه مجارستاني به نام CrySyS كشف شد. در ابتدا مشخص نبود كه قرباني چگونه توسط Duqu آلوده مي شود، ولي بعداً فايلهاي word خرابكاري به عنوان ابزار Duqu براي ورود به سيستم قرباني شناسايي شدند كه از يك آسيب پذيري به نام CVE-2011-3402 سوءاستفاده مي كردند. در مقايسه با استاكس نت، هدف Duqu كاملاً متفاوت بود. اين تروجان در واقع يك حمله كامل بود كه از آن براي نفوذ به سيستم و بازيابي سيستماتيك اطلاعات آن استفاده مي شد. ماژول هاي جديد مي توانستند بدون اينكه ردپايي از خود در فايلهاي سيستمي به جا گذارند، اجرا شوند. معماري بسيار ماژولار همراه با تعداد كم قربانيان در سراسر جهان باعث شد تا اين بدافزار براي سالها مخفي بماند. اولين ردپايي كه محققان امنيتي توانسته اند از فعاليتهاي Duqu كشف كنند به آگوست 2007 باز مي گردد. در تحليل همه رخدادهاي امنيتي كشف شده، مهاجمان از زيرساخت هاي سرورهاي هك شده براي انتقال صدها مگابايت اطلاعات از رايانه قرباني سوءاستفاده كرده اند. ويروس هاي Duqu و استاكس نت نمايانگر قدرت نمايي در جنگ هاي سايبر بوده و نشانگر ورود به مرحله اي از جنگ سرد در دنياي سايبر هستند، جايي كه ابرقدرت ها مي توانند بدون محدوديت هاي دنياي واقعي با يكديگر زورآزمايي كنند.
در قسمت بعدي به ديگر رخدادها و روندهاي امنيتي مهم سال 2011 خواهيم پرداخت.
- 5