خطرات سایت های دانلود برای امنیت سازمان های کشور: دانلود را آسان کرد اما مشکلات کاهش یافت.

این کارشناس امنیتی در گفت و گو با دیجیاتو از سایت های دانلود نرم افزار به عنوان تهدیدی بالقوه برای سازمان های خصوصی و دولتی یاد کرد که می توانند دسترسی به شبکه های این مجموعه ها را تسهیل کنند. وی از سازمان های امنیت سایبری خواست وارد عمل شده و از بلایای احتمالی جلوگیری کنند.

حمله سایبری اخیر به سیستم سوخت هوشمند نگرانی های امنیتی بسیاری را ایجاد کرده است. وقتی صحبت از حملات سایبری به میان می‌آید، همه افکار معمولاً به سمت هک‌های عظیم و پیچیده‌ای می‌چرخند که روزها یا حتی ماه‌ها طول می‌کشد تا چندین بار به سیستم‌ها نفوذ کنند.

اما گاهی اوقات راه‌های ساده‌ای وجود دارد که فقط منتظر می‌مانید تا طعمه‌ها را بگیرند و سپس به راحتی به یک سازمان نفوذ کنند. نسخه های ESXi، ویندوز و کرک نرم افزارهای محبوب از جمله حیوانات شکاری هستند که می توان از آنها برای هک استفاده کرد.

مشکل ساده ای که در حال حاضر بسیاری از شرکت های دولتی و خصوصی آن را جدی نمی گیرند، مراجعه به هزاران سایت دانلود نرم افزار برای نصب نرم افزار بر روی سیستم کارکنان خود و استفاده از کرک های موجود در آن سایت ها.

اگر افرادی بخواهند به شرکت ها و سازمان های ایرانی نفوذ کنند، کافی است سرورهای یک یا چند سایت دانلود نرم افزار را هک کنند و بی سر و صدا یک در پشتی را به شکاف نرم افزار روی سرور آن سایت ها وارد کنند. “Backdoor” برنامه ای است که نفوذگر را قادر می سازد تا فرآیند امنیتی سیستم را دور بزند و منابع مختلف سیستم را به طور مناسب بین متجاوز توزیع کند.

هنگامی که مدیران سازمان نرم افزار مورد نیاز خود را از آن وب سایت ها دانلود می کنند، درهای پشتی در شبکه سازمان راه اندازی می شوند. به نظر می رسد که این نقض جدی امنیتی توسط مقامات امنیت سایبری کشور به طور کامل نادیده گرفته شده است و شواهدی وجود دارد که هیچ دستورالعملی برای ارائه نرم افزارهای غیراصیل در شرکت ها وجود ندارد.

اما این نفوذ تا چه حد امکان پذیر است و چه راهکارهایی در این زمینه وجود دارد؟ برای پاسخ به این سوالات به سراغ «علی کیایی فر» مدیر امنیت سیستم های کنترل صنعتی مدباران و کارشناس امنیت اطلاعات رفتیم.

حمله به نرم افزار مورد نیاز سازمان؛ هک مستقیم را جایگزین کنید

کیایی فر به دیجیاتو گفت: نفوذ در سازمان های دولتی و خصوصی نسبت به گذشته سخت تر شده است.

در حال حاضر، تقریباً همه سازمان‌های بزرگ در لبه شبکه خود، تجهیزات امنیتی مناسبی دارند و دائماً در حال رفع آسیب‌پذیری‌های دستگاه‌ها و نرم‌افزارهای خود هستند. به همین دلیل است که نفوذ در چنین سازمان هایی نسبت به گذشته دشوارتر است.

اما او می گوید در چند سال گذشته شکل جدیدی از حمله سایبری به شرکت ها به نام “حمله زنجیره تامین” وجود داشته است. در این روش هکر به جای حمله مستقیم به یکی از نرم افزارهای مورد استفاده در آن سازمان به آن حمله می کند.

برای روشن شدن این موضوع، کارشناس امنیتی یک مثال ساده از حمله زنجیره تامین را ذکر کرد:

فرض کنید هکری قصد دارد به سازمان X حمله کند.» در گام اول سعی می کند از نقاط ضعف شبکه X سازمان شکافی باز کند اما موفق نمی شود. در مرحله دوم وب سایت سازمان X کمی بررسی می شود و به راحتی می توان دریافت که این سازمان از (مثلا) نرم افزار اتوماسیون اداری شرکت Y استفاده می کند. “یا او آن شرکت Y را که نام سازمان X را در لیست مشتریان خود گذاشته است.”

این برای هکر کافی است تا شرکت Y را هک کند. اگر امنیت شرکت Y شکننده باشد، با کمی تلاش می توان آن را هک کرد و هکر به طور محتاطانه به منبع نرم افزار اتوماسیون اداری دسترسی پیدا کرده و درب پشتی را در آن تعبیه کرد.

هفته آینده، شرکت Y نسخه جدیدی از Office Automation را بدون اطلاع از آلوده بودن نسخه جدید به درب پشتی منتشر خواهد کرد. سازمان X همچنین در حال ارتقاء نسخه اتوماسیون اداری خود است، بنابراین به صورت دستی درب پشتی تعبیه شده هکر را در شبکه خود نصب می کند.

با این ابتکار، هکر اکنون نه تنها می تواند به شبکه سازمان X، بلکه به تمام شبکه هایی که از اتوماسیون اداری شرکت Y استفاده می کنند نیز دسترسی داشته باشد.

وب سایت ها را دانلود کنید و خطر حملات سایبری را افزایش دهید

همانطور که کیایی فر به دیجیاتو گفت، مشکل حملات زنجیره تامین در ایران بسیار حادتر است و این به دلیل نقص حق چاپ است:

در ایران وب سایت های زیادی برای دانلود نرم افزارهای کرک شده ایجاد شده است زیرا قانون کپی رایت وجود ندارد. می توان از نرم افزارهای مورد نیاز استفاده کرد.”

حالا یک هکر کافی است تا یکی از این سایت های دانلود نرم افزار ایرانی را هک کند تا در سازمان های ایرانی نفوذ کند و دریچه پشتی را در شکاف نرم افزارهای رایج جاسازی کند. وب‌سایت‌هایی که این کارشناس امنیتی معتقد است حیاتی‌ترین آسیب‌پذیری‌ها را دارند:

“کاربران و مدیران سازمان ها نیز این فایل ها را با Backdoor دانلود می کنند و در شبکه خود اجرا می کنند. دسترسی ادمین دامنه نیز دارد! نکته جالب این است که مدیران هنگام اجرای این کرک ها آنتی ویروس خود را غیرفعال می کنند.” اگر آن آنتی ویروس از کرک ها نیز جلوگیری می کند. در حال اجرا است و به کاربر هشدار می دهد که قطعاً از نظر کاربران آنتی ویروس خوبی نیست زیرا اجازه نمی دهد کرک های آلوده به راحتی اجرا شوند.”

او به دیجیاتو گفت: این نوع حمله از نظر فنی ساده است و می تواند بسیار گسترده باشد.

این نوع حمله در مدت زمان کوتاهی به تعداد زیادی شبکه در سراسر کشور نفوذ می کند. بنابراین لازم است سازمان های متولی امنیت سایبری کشور وارد این موضوع شوند. به خصوص زمانی که بدانیم رژیم اسرائیل تمام توان سایبری خود را برای نفوذ به شبکه ها و زیرساخت های حیاتی کشور متمرکز کرده و از هیچ تلاشی دریغ نمی کند. آژانس‌های جاسوسی اسرائیل ممکن است حتی با استفاده از روش‌های غیرفنی مانند اینسایدر به حافظه سایت دانلود دسترسی پیدا کرده و درهای پشتی نصب کنند.

“نه.” هدف این وب سایت ها کسب درآمد از طریق تبلیغات است و مسئولیتی در قبال عواقب استفاده از فایل های کرک شده ندارند.»

اما آیا فرهنگ استفاده از نرم افزارهای اصلی می تواند این خطر را تا حد زیادی کاهش دهد؟ دیجیاتو در پاسخ به این سوال معتقد است که باید چندین عامل را به طور همزمان در این زمینه در نظر گرفت. یکی از نکاتی که در بحث تحریم ها وجود دارد این است که کاربران ایرانی نمی توانند اکثر نرم افزارهای اصلی خارجی را خریداری کنند یا از خدمات پشتیبانی آن استفاده کنند: «حتی اگر سازنده متوجه شود که مجوز در ایران استفاده می شود، می تواند آن را غیرفعال کند. “

مشکل دیگر کاهش ارزش پول ملی است که خرید مجوز یک نرم افزار ساده خارجی را بسیار گران کرده و از قدرت خرید بسیاری از کاربران و حتی سازمان ها فراتر رفته است.

او گفت: «خرید نرم‌افزار اصلی لزوماً حملات زنجیره تامین صفر را از بین نمی‌برد. بنابراین به نظر من حداقل در شرایط فعلی نمی توان فرهنگ استفاده از مجوز اصلی برای نرم افزارهای عمومی خارجی را ایجاد کرد.»

نسبت بالایی از نرم افزارهای مورد استفاده سازمان ها در حملات سایبری

دیجیاتو به دیجیاتو گفت: «بر اساس آمار، 92 درصد از حملات به سازمان‌ها مربوط به نرم‌افزار مورد استفاده در سازمان است.»

او معتقد است که اکثر برنامه نویسان و حتی شرکت های نرم افزاری فاقد دانش لازم در مورد مسائل امنیتی هستند و هدف اصلی آنها تولید محصولاتی است که کارآمد باشند. با این حال، هدف اصلی باید این باشد که نرم افزار به طور ایمن کار کند:

«اگر اخبار حملات سایبری را به صورت روزانه دنبال کنید، موارد زیادی را خواهید دید که به دلیل عدم قطعیت در سطح نرم افزار به یک سازمان سرایت کرده است. از آسیب‌پذیری‌ها در نرم‌افزارهای محبوب مانند Microsoft Exchange گرفته تا نرم‌افزارهای ویژه مورد استفاده در سازمان‌های کوچک.»

بسته‌های نرم‌افزاری نیز در ادارات گسترده هستند. آیا امکان نفوذ از طریق این بسته ها نیز وجود دارد؟ این کارشناس امنیتی در پاسخ به سوال دیجیاتو گفت: «البته سایت‌های دانلود نرم‌افزار خطرناک‌تر هستند، زیرا کاربردهای گسترده‌تری دارند.

مشاوره امنیتی برای سازمان ها

کیایی فر بخش آخر سخنان خود را به توصیه های امنیتی برای سازمان ها اختصاص داد و به دیجیاتو گفت:

«در ابتدا باید لیست نرم افزارهای قابل نصب در سازمان مشخص و تعریف شود. دوم اینکه منبع نرم افزار نصب شده در شرکت باید معتبر باشد. این وام را می توان به روش های مختلفی دریافت کرد. یکی از امکان‌ها، انجام کرک‌های نرم‌افزاری توسط یک تیم مهندسی معکوس داخلی یا تجزیه و تحلیل فایل‌های کرک توسط کارشناسان امنیتی در جعبه‌های ماسه‌بازی مختلف به منظور بررسی عملکرد آنها است.

به گفته وی، این موضوع باید در تیم امنیتی سازمان بررسی شود و راهکار اجرایی برای آن در داخل سازمان تدوین شود.