img

راهنمایی‌های یک هکر حرفه‌ای

/
/
/

راهنمایی‌های یک هکر حرفه‌ایراهنمایی های یکی از بزرگ ترین هَکِر های دنیا، کِوین میتنیک (Kevin Mitnick)، برای بالا بردن امنیت تلفن های هوشمند و لپ تاپ ها

تمام کسانی که در دنیای فناوری نامی برای خودشان دست و پا کرده اند و آن ها یی که اخبار دنیای کامپیوتر را دنبال می کنند، کِوین میتنیک (Kevin Mitnick) که یکی از معروف ترین هَکِر (نفوذگر) های دهه های ۷۰، ۸۰ و ۹۰ میلادی به حساب می آمد و یکی از بد نام ترین آن ها در فهرست فراری های اداره ی تحقیقات فدرال یا همان پلیس فدرال آمریکا (FBI مخفف Federal Bureau of Investigation) بوده را می شناسند. برای آشنایی بیشتر با این هَکِر، می توانید کتاب معروفش با نام «روح در سیم ها: ماجرا های من به عنوان بزرگ ترین هَکِر تحت تعقیب دنیا» (Ghost in the Wires: My Adventures as the World›s Most Wanted Hacker) را بخوانید. بعد از آزاد شدن از زندان، به عنوان مشاور امنیتی مشغول به کار شد و زندگی اش را وقف کمک کردن به از بین بردن مشکلات امنیتی سیستم های کامپیوتری کرد.
میتنیک همیشه به اهمیت مهندسی اجتماعی (Social Engineering: سوء استفاده ی زیرکانه از تمایل طبیعی انسان به اعتماد کردن که به کمک مجموعه ‌ای از روش ها، فرد را به فاش کردن اطلاعات متقاعد می‌کند) در هَک کردن اشاره داشته که به عنوان یکی از کمبود های همیشگی در پیشنهادات امنیتی مطرح بوده است. همچنین، او همیشه بر روی امنیت افراد عادی جامعه تمرکز کرده و تلاش کرده که به دستگاه های کامپیوتری آن ها (البته با اجازه ی خودشان) نفوذ کند تا بتواند با بررسی مشکلات امنیتی، این دسته از کاربران را با خطرات احتمالی آشنا کند.
میتنیک در حال نوشتن کتاب «هنر نامرئی بودن» (The Art of Invisibility) است که می تواند یک مرجع کامل برای حفظ امنیت و حریم خصوصی افراد در مقابل خطرات اینترنتی و نفوذگر ها باشد. همچنین، نکاتی در مورد حفظ امنیت در تلفن های هوشمند نیز در این کتاب آورده شده است.
بیشترین تخصص میتنیک در جلب توجه افراد به مواردی است که تا به آن فکر نکرده اند. برای نمونه، شاید برخی از افراد گمان کنند که خرید تلفن های هوشمندی که قراردادی برای حریم خصوصی ندارند، می تواند آن ها را از دید ها پنهان کند که البته چنین نیست اما برخی دیگر که تلفن های هوشمند دارای قرارداد های حفظ حریم شخصی را خریداری می کنند نیز نباید از نظر امنیتی کوتاهی کنند چرا که استفاده از خدمات شبکه های مسافربری آنلاین یا اجاره کردن یک خودرو از طریق تلفن هوشمند نیز می تواند راهی برای وارد شدن به حریم خصوصی و دستیابی به اطلاعات محرمانه ی شما به وسیله ی نفوذگر ها باشد.
در KnowBe4، میتنیک به عنوان مدیر ارشد نفوذ (Chief Hacking Officer) مشغول به فعالیت بوده و به شرکت ها کمک می کند که در کنار حفظ امنیت داده هایشان، با مهلک ترین و دشتوار ترین حمله های اینترنتی، حمله ی فیشینگ (تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، کلمه ی عبور، اطلاعات حساب بانکی و مواردی مانند آن از طریق جعل یک وب ‌سایت، آدرس ایمیل و غیره)، نیز مقابله کنند. در حقیقت، این نوعی از مهندسی اجتماعی است که شامل فریب دادن یک نفر و متقاعد کردنش به قابل اعتماد بودن فرستنده ی یک ایمیل یا پیام است. برای نمونه می توان به ایمیلی که به نظر می رسد از طرف PayPal یا مدیر شخص قُربانی در شرکتی که در آن کار می کند فرستاده شده، اشاره کرد. تنها کاری که هَکِر باید انجام بدهد، جلب اعتماد قربانی است زیرا پس از آن، شخص مورد نظر به احتمال فراوان یک اپلیکیشن را باز کرده، یک فایل را دانلود نموده، اطلاعات مهمی مانند کلمه ی عبور را ایمیل کرده یا وب سایتی که دارای بد افزار های مختلفی است را مشاهده می کند.
میتنیک معتقد است که: «فریب دادن انسان ها از کامپیوتر ها ساده تر است. کامپیوتر ها از روش های کاری مشخص پیروی می کنند و شرایط مختلف بر روی آن ها اثری ندارد اما انسان ها از روی احساس تصمیم گیری می کنند وشرایطی که در طول روز داشته اند بر روی رفتار و تصمیماتشان اثر می گذارد. همچنین، فریب دادن کسی که پیش از این با چنین مشکلاتی برخورد نداشته، بسیار ساده تر است در حالی که در کامپیوتر ها، اطلاعات تمام مسیر های نفوذ احتمالی که پیش از این از آن ها استفاده شده، وجود دارد».
تلفن های هوشمند
میتنیک می گوید: «آدم ها تنبل هستند و این یک امتیاز برای نفوذگر ها است. من در کُنفراس امنیت RSA شرکت کردم و همان جا دیدم که بسیاری از متخصصان امنیتی، تلفن هوشمندشان را با یک کُد چهار رقمی بسیار ساده (مانند ۱۱۱۱) باز می کردند. هر کسی که بخواهد قفل یک تلفن هوشمند را باز کند، ابتدا رمز هایی که در آن ها چهار عدد تکراری وجود دارد را امتحان می کند».
در حقیقت، نرم افزار های دیواره ی آتش یا ضد ویروس ها به خودی خود بهترین راه مقابله با فیشینگ نبوده و باید از داشتن آگاهی، اطلاعات و آموزش در مورد این خطرات به عنوان بهترین روش های جلوگیری از دسترسی هَکِر ها به اطلاعات افراد نام ببریم.
شاید فکر کنید که یک هَکِر با سابقه مانند کِوین میتنیک باید از یک تلفن هوشمند به روز و جدید مانند Blackphone 2 یا Turing استفاده کند اما باید بدانید که تلفن هوشمند این نابغه ی نفوذ کردن به کامپیوتر ها و شبکه ها، یک iPhone معمولی است که به دلیل رفتار صحیح و انتخاب هایی که می کند از امنیت بالایی برخوردار است. میتنیک همیشه این نظر را داشته که آگاهی و رفتار درست در دنیای فناوری، از تمام نرم افزار های امنیتی بهتر است.
برای نمونه، او از یک کلمه ی عبور طولانی که ترکیبی از حرف و عدد است استفاده می کند (بر خلاف بیشتر ما که از رمز های چهار رقمی بسیار ساده استفاده می کنیم). همچنین جالب است بدانید که میتنیک فقط زمانی که در خارج از آمریکا است از اِسکَنِر لمسی ID استفاده می کند و زمانی که از سفر های کاری به کشورش بر می گردد، تلفن همراهش را راه اندازی مجدد (reboot) می کند تا تنها راه باز کردن قفل آن، وارد کردن کلمه ی عبور باشد. میتنیک می گوید: «در آمریکا، یک دادگاه اجازه دارد که شما را مجبور کند قفل تلفن همراهتان را با اثر انگشت باز کنید اما هیچ دادگاهی در این کشور نمی تواند از شما بخواهد که کلمه ی عبورتان را فاش کنید».
میتنیک تلفن هوشمند iPhone را ترجیح می دهد چرا که بیشتر به تلفن های هوشمند دارای سیستم عامل اندروید حمله می شود. اما به این نکته اشاره می کند که امکان مورد حمله قرار گرفتن iPhone نیز وجود داشته و هیچ تلفن هوشمندی صد در صد ایمن نیست.

لپ تاپ ها و کامپیوتر های دسکتاپ
میتنیک توضیح داده که چگونه کامپیوتر مادرش را با استفاده از ویژگی رمز ورود اَپِل در مقابل خطرات احتمالی ایمن کرد. مادر میتنیک هر هفته به او تلفن می زد و می خواست که کامپیوترش را دُرُست کند. از آن جایی که مادر میتنیک مورد حمله های مهندسی اجتماعی شده قرار می گرفت، میتنیک مجبور بود که هر هفته، ویندوز کامپیوتر را دوباره نصب کند. بنا بر این، میتنیک تصمیم گرفت یک iMac برای مادرش خریداری کرده و یک نرم افزار ضد ویروس را بر روی آن نصب کند و پس از انجام این کار ها، به بررسی شرایط پرداخت.
در تنظیمات Security & Privacy در سیستم عامل OS X یک زبانه (tab) با نام General، وجود دارد. در پایین این زبانه، تنظیماتی با نام Allow apps downloaded from دیده می شود که به صورت پیش فرض بر روی Mac App Store and identified developers قرار داده شده است. میتنیک این تنظیمات را در کامپیوتر مادرش به Mac App Store تغییر داد تا تنها دانلود برنامه ها و اپلیکیشن های مورد تایید اَپِل امکان پذیر باشد.
میتنیک معتقد است که تنظیمات پیش فرض ایمنی قابل قبولی ندارد زیرا مواردی که به عنوان توسعه دهنده (developer) شناخته می شوند بسیار زیاد بوده و بیشتر آن ها قابل اعتماد نیستند. با چنین تغییر کوچکی، مشکلات مادر میتنیک برطرف شد و دیگر نیازی به نصب مجدد هفتگی ویندوز نبود. اگر چه این تغییر از حمله های فیشینگ جلوگیری کرد اما نمی تواند محافظ خوبی در مقابل NSA یا نفوذگر های قوی تر و کار کشته تر باشد.

درایو های USB و دیگر راه های نفوذ
میتنیک در کنفرانس های مختلف، در کنار سخنرانی هایش، چگونگی نفوذ کردن به سیستم ها را نیز نمایش می دهد. در کنفرانس CeBIT در کشور آلمان، چند مورد از نفوذ کردن را به صورت عملی انجام داد تا نشان دهد که چگونه با اتصال یک درایو فِلَش USB به لپ تاپ یا کامپیوتر، به یک هَکِر اجازه می دهید که کنترل کامل یک دستگاه کامپیوتری (مانند امکان فعال کردن و بررسی دوربین و میکروفون یا اجرا کردن برنامه ها) را به دست بگیرد. در این نفوذ، لپ تاپ یا کامپیوتر به جای این که USB را به عنوان یک حافظه ی خارجی در نظر بگیرد، آن را به عنوان یک صفحه کلید خارجی شناسایی می کند. بنا بر این، هَکِر می تواند هر کاری که شما با صفحه کلیدتان انجام می دهید را انجام دهد.
میتنیک می گوید: «هدف من این بود که به همه بگویم اگر فکر می کنند با خاموش کردن یا غیر فعال کردن auto-run می توانند به یک درایو USB به عنوان یک ابزار ایمن نگاه کنند، سخت در اشتباه هستند».
بیشتر مردم فکر می کنند که فایل های PDF ایمن ترین فایل های موجود در دنیای کامپیوتر هستند اما میتنیک به صورت عملی نشان داد که یک هَکِر چگونه می تواند با استفاده از یک فایل PDF، کنترل کامل یک دستگاه کامپیوتری را به دست بگیرد.
دسته ی دیگری از هَکِر ها وجود دارند که به مکان های عمومی مانند رستوران ها، کتاب خانه ها یا کافی شاپ ها می روند، به شبکه ی Wi-Fi آن جا متصل شده و با تغییر در تنظیمات روتِر، اتصال کاربران دیگر را قطع می کنند. زمانی که کاربران بخواهند دوباره به شبکه وارد شوند، نفوذگر می تواند یک شبکه ی Wi-Fi قُلابی با همان نام را در اختیار آن ها قرار دهد. وقتی کاربر فریب این شبکه را بخورد و وارد آن شود، تمام اطلاعاتش در اختیار هَکِری که شبکه را ایجاد کرده قرار می گیرد.
فقط شنیدن حرف های متخصصی مانند کِوین میتنیک می تواند رفتار و نگاه شما را برای همیشه عوض کند.
با توجه به خطرات احتمالی و وجود مهندسی اجتماعی، هیچ کدام از ما نمی خواهیم که یک درایو USB را به لپ تاپ یا کامپیوترمان متصل کنیم. دانلود کردن فایل های PDF با وجود اطمینان داشتن از منبع آن ها نیز نمی تواند از امنیت کامل برخوردار باشد. بیشتر ما این موضوع را پیش از این شنیده بودیم اما با توضیحات میتنیک بدون تردید اطمینان پیدا کردیم که نباید به شبکه های Wi-Fi مکان های عمومی متصل شویم.
بیشتر کسانی که در نهاد های امنیتی کار می کنند، بر روی جنبه ی سخت افزاری و نرم افزاری امنیت سیستم ها تمرکز کرده اند اما توجه میتنیک بیشتر بر روی مهندسی اجتماعی معطوف شده است. میتنیک اعتقاد دارد که نفوذگر ها از طریق مهندسی اجتماعی به اطلاعات کاربران دسترسی پیدا می کنند و به بیان دیگر، حفظ امنیت و حریم خصوصی یک فرآیند «تنظیم کُن و فراموشش کُن» نبوده و نخواهد بود. نکته ی قابل توجه دیگر این است که در کنار یاد گرفتن از متخصصان ایمنی و حریم خصوصی، باید به نکات مطرح شده از سوی هَکِر ها که با ترفند های مهندسی اجتماعی برای دسترسی به اطلاعات آشنایی دارند نیز توجه داشت.
و در نهایت، هوشمندانه رفتار کنید، اعتماد نکنید و موفق باشید.

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text