فناوری

خطرات سایت‌های دانلود برای امنیت سازمان‌های کشور: که دانلود آسان نمود اول ولی افتاد مشکل‌ها

کارشناس حوزه امنیت در گفتگو با دیجیاتو از سایت‌های دانلود نرم‌افزار به عنوان یک خطر بالقوه برای سازمان‌های خصوصی و دولتی یاد می‌کند که می‌توانند راه را برای نفوذ به شبکه‌ این مجموعه‌ها تسهیل کنند. او از سازمان‌های متولی امنیت سایبری خواست تا به این موضوع ورود کرده و مانع وقوع فاجعه‌های احتمالی شوند.

ماجرای حمله سایبری اخیر به سامانه هوشمند سوخت، نگرانی‌های بسیاری را در حوزه امنیت ایجاد کرده است. به طور معمول زمانی که از حمله سایبری صحبت می‌شود، ذهن همه به سمت هک‌های گسترده و پیچیده‌ای می‌رود که روزها و حتی ماه‌ها برای نفوذ به سیستم‌های یک مجموعه زمان گذاشته شده است.

اما گاهی روش‌های آسانی وجود دارد که تنها کافی است منتظر ماند تا طعمه به دام بیفتد و سپس به راحتی به یک سازمان نفوذ کرد. نسخه‌های ESXi ،Windows و کرک نرم‌افزارهای محبوب از جمله طعمه‌هایی هستند که می‌توان از آن‌ها برای نفوذ استفاده کرد.

موضوع ساده‌ای که در حال حاضر بسیاری از شرکت‌های دولتی و خصوصی آن را جدی نگرفته و برای نصب نرم‌افزار روی سیستم کارمندان خود به سراغ هزاران سایت دانلود نرم‌افزار رفته و از کرک‌های موجود در این سایت‌ها استفاده می‌کنند.

اگر افرادی قصد نفوذ به شرکت‌ها و سازمان‌های ایرانی را داشته باشند کافی است بتوانند سرورهای یک یا چند سایت مطرح دانلود نرم افزار را هک کنند و بدون سر و صدا داخل کرک‌های نرم افزارهای موجود روی سرورهای این سایت‌ها یک Backdoor تزریق کنند. «در پشتی» برنامه‌ای است که به نفوذگر این امکان را می‌دهد تا با دور زدن روند امنیتی سیستم، منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگر قرار دهد.

پس از این کار، زمانی که ادمین سازمان‌ها به سراغ دانلود نرم‌افزارهای مورد نیاز خود از این وبسایت‌ها بروند، Backdoorها در شبکه سازمان راه اندازی می‌شوند. به نظر می رسد این رخنه امنیتی بزرگ از دید دستگاه‌های متولی امنیت سایبری کشور کاملا مغفول واقع شده است و شواهد نشان می‌دهد هیچگونه دستورالعملی برای تامین نرم افزارهای غیراورجینال در سازمان‌ها وجود ندارد.

اما این نفوذ تا چه حد امکان‌پذیر است و چه راه‌حل‌هایی در این زمینه وجود دارد. برای پاسخ به این سوالات به سراغ «علی کیایی‌فر»، مدیر امنیت سیستم‌های کنترل صنعتی شرکت مدبران و کارشناس ‏امنیت اطلاعات رفته‌ایم.

حمله به نرم‌افزارهای مورد نیاز سازمان؛ جایگزین حمله هکری مستقیم

کیایی‌فر با بیان اینکه نفوذ به سازمان‌های دولتی و خصوصی نسبت به گذشته سخت‌تر شده است، به دیجیاتو گفت:

«در حال حاضر تقریبا همه سازمان‌های مهم روی لبه شبکه خود از تجهیزات امنیتی مناسب استفاده می‌کنند و آسیب‌پذیری‌های موجود در تجهیزات و نرم افزارهای خود را بطور مداوم برطرف می‌کنند. لذا نفوذ به چنین سازمان‌هایی نسبت به گذشته سخت‌تر شده است.»

اما به گفته وی چند سالی است که روش جدیدی از حمله سایبری به سازمان‌ها باب شده که به نام «حمله به زنجیره تامین» یا “Supply Chain Attack” شناخته می‌شود. در این روش، هکر به جای اینکه مستقیما به یک سازمان حمله کند به یکی از نرم‌افزارهای مورد استفاده در آن سازمان حمله می‌کند.

این کارشناس امنیت در ادامه برای شفاف‌تر شدن این موضوع با ذکر یک مثال، نمونه ساده‌ای از حملات Supply Chain Attack را تشریح کرد:

«فرض کنید یک هکر بخواهد به سازمان X حمله کند. در گام اول تلاشش را می‌کند تا از طریق آسیب پذیری‌های موجود در شبکه سازمان X بتواند حفره‌ای برای نفوذ باز کند، اما موفق نمی‌شود. در گام دوم وب سایت سازمان X را مقداری بررسی می‌کند و به راحتی متوجه می‌شود این سازمان (مثلا) از نرم افزار اتوماسیون اداری تولید شده توسط شرکت Y استفاده می‌کند. یا متوجه می شود شرکت Y در لیست مشتریانش، نام سازمان X را آورده است.»

همین موضوع کافی است تا هکر برای هک شرکت Y تلاش کند. اگر امنیت شرکت Y شکننده باشد با کمی تلاش هک شده و هکر بدون اینکه جلب توجه کند به منبع نرم افزار اتوماسیون اداری دست پیدا می‌کند و داخل آن یک Backdoor جاسازی می‌کند.

هفته بعد شرکت Y نسخه جدیدی از اتوماسیون اداری تولید می‌کند غافل از اینکه نسخه جدید آلوده به Backdoor شده است. سازمان X هم نسخه اتوماسیون اداری خود را آپدیت می‌کند و به این ترتیب سازمان با دستان خودش Backdoor جاسازی شده توسط هکر را در شبکه خود نصب می‌کند.

حالا هکر با این ابتکار توانسته نه تنها به شبکه سازمان X دست پیدا کند بلکه تمام شبکه‌هایی که از اتوماسیون اداری شرکت Y استفاده می‌کنند تحت کنترل او هستند.

سایت‌های دانلود و افزایش خطر حملات سایبری

آنطور که کیایی‌فر به دیجیاتو می‌گوید بحث حمله به زنجیره تامین در ایران بسیار حادتر است و این موضوع به عدم رعایت قانون کپی‌رایت باز می‌گردد:

«در ایران به دلیل اینکه قانون کپی‌رایت رعایت نمی‌شود، سایت‌های بسیاری برای دانلود نرم‌افزارهای کرک شده به وجود آمده‌اند. این سایت‌ها تقریبا به مرجع اصلی دانلود نرم‌افزارهای مختلف تبدیل شده‌اند و از کاربران خانگی گرفته تا وزارتخانه‌ها و سازمان‌های حساس از این سایت‌ها به عنوان مرجعی برای دانلود نرم افزارهای مورد نیاز خود استفاده کنند.»

حال یک هکر برای نفوذ به سازمان‌های ایرانی کافی است یکی از این سایت‌های ایرانی دانلود نرم‌افزار را هک کند و داخل کرک نرم‌افزارهای پر استفاده یک Backdoor جاسازی کند. سایت‌هایی که به اعتقاد این کارشناس امنیت، اکثرا آسیب‌پذیری‌های بحرانی دارند:

«کاربران و ادمین‌های سازمان‌ها نیز با دست خودشان این فایل‌های حاوی Backdoor را دانلود کرده و روی شبکه خود اجرا می‌کنند. آن هم با دسترسی Domain Admin! نکته جالب ماجرا این است که Adminها هنگام اجرای این کرک‌ها آنتی ویروس خود را غیرفعال می‌کنند. اگر آنتی ویروسی هم از اجرای کرک‌ها جلوگیری کند و به کاربر هشدار دهد حتما از دیدگاه کاربران آنتی ویروس خوبی نیست، چون اجازه نمی‌دهد کرک‌های آلوده بی دردسر اجرا شوند.»

او با بیان اینکه این نوع حمله به لحاظ فنی ساده است و به لحاظ وسعت می‌تواند بسیار وسیع باشد به دیجیاتو گفت:

«با این نوع حمله در مدت کوتاهی تعداد زیادی شبکه در سطح کشور مورد نفوذ واقع می‌شوند. از همین روی لازم است سازمان‌های متولی امنیت سایبری در کشور به این موضوع ورود کنند. به ویژه وقتی که بدانیم رژیم اسرائیل تمام توان سایبری خود را برای نفوذ به شبکه‌ها و زیرساخت‌های حیاتی کشور متمرکز کرده و از هیچ تلاشی فروگذار نخواهد کرد. سازمان‌های جاسوسی اسرائیل ممکن است حتی از روش‌های غیر فنی نظیر Insider بتوانند به فضاهای ذخیره‌سازی سایت دانلود دسترسی پیدا کنند و عملیات نصب Backdoor را انجام دهند.»

کیایی‌‌فر در پاسخ به سوال دیجیاتو مبنی بر اینکه آیا می‌توان سایت‌های دانلود را مقصر اصلی این موضوع دانست، گفت: « خیر. این سایت‌ها هدفشان کسب درآمد از طریق تبلیغات است و نسبت به عواقب استفاده از فایل‌های کرک هیچگونه مسئولیتی ندارند.»

اما آیا فرهنگ استفاده از نرم‌افزارهای اورجینال می‌تواند تا حد زیادی از این ریسک بکاهد؟ وی در پاسخ به این سوال دیجیاتو اعتقاد دارد بایستی در این زمینه به چند فاکتور همزمان توجه کرد. یکی از مسائل بحث تحریم‌هاست که امکان خرید اکثر نرم‌افزارهای اورجینال خارجی یا استفاده از خدمات پشتیبانی آن‌ها برای کاربران ایرانی وجود ندارد: «حتی در اغلب موارد اگر تولید کننده متوجه شود که لایسنس در ایران استفاده می شود ممکن است آن را غیرفعال کند.»

مساله دیگر از نظر وی افت ارزش پول ملی است که موجب شده خرید لایسنس یک نرم‌افزار ساده خارجی بسیار گران تمام شود و خارج از قدرت خرید بسیاری از کاربران و حتی سازمان‌ها باشد.

این کارشناس امنیت در ادامه تاکید کرد خرید نرم‌افزار اورجینال لزوما حملات Supply Chain یا حلقه تامین را صفر نمی‌کند: «همچنان که دیدیم در سال قبل حملات گسترده Supply Chain از طریق نفوذ به نرم افزار معروف شرکت SolarWinds انجام شد. بنابراین به عقیده من فرهنگ سازی در خصوص استفاده از لایسنس اورجینال برای نرم‌افزارهای عمومی خارجی حداقل در شرایط کنونی امکان پذیر نیست.»

سهم بالای نرم‌افزارهای مورد استفاده سازمان‌ها در حملات سایبری

کیایی‌فر در ادامه با بیان اینکه براساس آمار، ۹۲ درصد از حملاتی که به سازمان‌ها می شود مرتبط با نرم‌افزارهایی است که در سازمان مورد استفاده قرار می‌گیرد، به دیجیاتو گفت: «به عبارتی می‌توان گفت اگر نرم‌افزارهای مورد استفاده در یک سازمان کاملا امن باشند ۹۲ درصد از حملات صورت نخواهند گرفت.»

خطر سایت دانلود

او اعتقاد دارد اغلب برنامه‌نویسان و حتی شرکت‌هایی که نرم‌افزار تولید می‌کنند نسبت به مسائل امنیتی اشراف لازم را ندارند و اصولا هدفشان این است که محصولی تولید کنند که کار کند. درحالی که که هدف اصلی باید این باشد که نرم افزار به صورت امن کار کند:

«به طور روزمره اگر اخبار حملات سایبری را دنبال کنید موارد متعددی پیدا می‌کنید که به دلیل ناامنی در سطح نرم افزار به یک سازمان نفوذ گسترده شده است. از آسیب‌پذیری‌های نرم افزارهای معروفی مثل Microsoft Exchange بگیرید تا نرم‌افزارهای خاص که در سازمان‌های اندکی مورد استفاده قرار می‌گیرند.»

پکیج‌های نرم‌افزاری نیز از موارد پرکاربردی در ادارات هستند. آیا احتمال نفوذ از طریق این پکیج‌ها نیز وجود دارد؟ این کارشناس امنیت در پاسخ به سوال دیجیاتو تاکید کرد هر نرم‌افزاری که از منابع نامشخص تامین شده باشد احتمال سوء استفاده از آن وجود دارد: «طبیعتا سایت‌های دانلود نرم‌افزار به دلیل اینکه دامنه استفاده وسیع‌تری دارند خطرآفرین‌تر هستند.»

توصیه‌های امنیتی به سازمان‌ها

کیایی‌فر بخش پایانی صحبت‌های خود را به بیان چند توصیه امنیتی به سازمان‌ها اختصاص داد و به دیجیاتو گفت:

«اولا لیست نرم‌افزارهایی که مجاز هستند در سازمان نصب شوند، باید مشخص و تعریف شده باشد. ثانیا منبع نرم‌افزارهایی که در سازمان نصب می‌شوند باید معتبر باشد. این اعتبار می‌تواند به روش‌های مختلفی حاصل شود. مثلا یک روش این است که کرک نرم‌افزارها توسط یک گروه مهندسی معکوس داخلی انجام شود یا اینکه فایل‌های کرک توسط متخصصان امنیتی در Sandboxهای مختلف آنالیز شوند و سلامت کارکرد آن‌ها تایید شود.»

به اعتقاد وی این موضوع بایستی در تیم امنیتی سازمان بررسی شود و برای آن راهکار اجرایی درون سازمانی تدوین شود.

نوشته های مشابه

دکمه بازگشت به بالا