حمله روز صفر چیست؟ آیا دفاعی در برابر آن وجود دارد؟
حمله روز صفر چیست؟ آیا دفاعی در برابر آن وجود دارد؟
سادهترین راه توصیف حمله روز – صفر تجزیه کردن آن به مؤلفهها و اجزاء مختلف است. در این نوع حمله شمارش از روز- صفر آغاز میشود و به تعداد روزهایی که آسیبپذیری در یک بخش از نرمافزار یا سختافزار شناخته شده و هنوز هیچ وصلهای از سوی توسعهدهندگان دستگاه یا نرمافزار که اکسپلویت روی آن انجام گرفته عرضه نشده باشد، شمارش ادامه پیدا میکند. یک روز- صفر به صورت یک تهدید ناشناخته تشخیص داده میشود، به دلیل اینکه هیچ وصلهای در زمان بروز آن وجود ندارد. روز – صفر به عنوان یکی از بزرگترین معضلات در بحث امنیت اینترنت بهشمار میرود. خاری در دل امنیت که دفاع مستقیم در برابر آن به سختی امکانپذیر است. البته با استفاده از ابزارها و تکنیکهای آماده شده از بروز این حملات میتوان تا حدودی ممانعت به عمل آورد. همانگونه که در دنیای صنعت زمان حرف اول را میزند، در امنیت شبکه نیز این زمان است که حرف اول را میزند. در زمان بروز حمله روز – صفر تمامی ساعات یک روز برای شناسایی و متوقف کردن یک حمله سازمانیافته توسط هکرها کافی به نظر نمیرسد. هرچند ممکن است قدرت هکرها محدود باشد، اما تخمینها نشان میدهند، هنوز هم ارزش بازار فعلی حملات روز – صفر در جهان در حدود سه میلیارد دلار است.
متاسفانه، در وهله اول عاملی که باعث میشود حملات روز – صفر تا به این حد سودآورد باشند، مهارت بسیار بالای هکرها در گذشتن و عبور از روترهای دفاعی، نرمافزارهای آنتیویروس و دیوارهای شخصی است. اگر مردم تصور نمیکردند سرمایهگذاری از طریق کارتهای به سرقت رفته، حسابهای بانکی هک شده، ارتباطات بیسیم ربوده شده قابل بازگشت است، حاضر به پرداخت دهها یا صدها هزار دلار برای کشف هر مشکل نبودند.
یک دفاع مشکل
اما یک خبر خوب، خوشبختانه هنوز هم مردمی در اقصی نقاط جهان وجود دارند که کار خود را به درستی انجام میدهند. در دنیای حرفهای شکار باگها، دو سازمان وجود دارند که یک سر و گردن بالاتر از دیگر شرکتها هستند.
Zero Day Initiative
گروه اول مستقل بوده و توسط شرکت TippingPoint یا از طریق کمکهای مالی تأمین اعتبار و حمایت میشود. در این سازمان محققان اطلاعات انحصاری درباره آسیبپذیریهای وصله نشده که شناسایی کردهاند را ارائه میدهند. در ادامه، سازمان اقدام به بررسی اصالت اخلاقی محقق و مسائل مالی مربوطه میکند و صحت این مشکل را در آزمایشگاه امنیتی خود مورد بررسی قرار میدهد و پولی را در خصوص این کشف به محقق پرداخت میکند. اگر محقق در ادامه اقدام به شناسایی و کشف آسیبپذیریهای بیشتر یا ارائه اطلاعات بیشتر کند، اضافه بر دستمزد مبلغی را در یک برنامه زمانی منظم به عنوان پاداش دریافت میکند. بعد از آنکه توافق نهایی با محقق به دست آمد، ZDA به طور همزمان به توسعه فیلترهای حفاظتی پیشگیری از نفوذ IPS ( سرنام Intrusion Prevention System) پرداخته و به سازندگان اطلاع میدهد که محصول آنها آلوده بوده تا اقدامات لازم برای طراحی وصلههای لازم برای محصولشان را اعمال کنند. البته این سازمان جزییات فنی شناسایی شده در رابطه با یک آسیبپذیری را با دیگر سازندگان امنیتی به اشتراک قرار میدهد. همچنین برای پیشگیری از هرگونه سوء استفاده مادامیکه شرکت سازنده وصلههای لازم را برای محصول خود ارائه نکند، اطلاعرسانی عمومی را بدون ارائه هرگونه جزییاتی انجام میدهد.
Google Project Zero
Project Zero نام یک تیم از تحلیلگران امنیتی به رهبری کریس ایون بوده که در گوگل مستقر هستند. کریس ایوان شخصی است که رهبری تیم امنیتی مرورگر کروم را بر عهده دارد. وظیفه این تیم پیدا کردن اکسپلویتهای روز- صفر است. این پروژه در 15 جولای 2015 میلادی رسما آغاز به کار کرد. بعد از آنکه یک تعداد رخنه و آسیبپذیری در محصولاتی که توسط کاربران نهایی مورد استفاده قرار گرفتند و همچنین آسیبپذیریهای بحرانی همچون Heartbleed شناسایی شدند، گوگل را بر آن داشت تا یک تیم تمام وقت برای پیدا کردن اینگونه آسیبپذیریها تشکیل دهد. این تیم نه فقط آسیبپذیریهای احتمالی در محصولات گوگل بلکه در دیگر نرمافزارها را نیز مورد بررسی قرار میدهند. باگهایی که توسط این تیم شناسایی شوند به سازندگان گزارش داده شده و فقط یک تصویر کلی و عمومی بعد از آنکه وصله موردنظر عرضه شد یا اگر بعد از 90 روز از شناسایی هیچگونه وصلهای برای محصول از طرف شرکت سازنده عرضه نشد، منتشر میشود. از دستاوردهای بزرگ این تیم میتوان به رخنه امنیتی شناسایی شده در ویندوز 8.1 اشاره کرد که NtApphelpCacheControl نام داشت. این رخنه به یک کاربر عادی اجازه میدهد تا یک سطح مجوز مدیریتی را به دست آورد. مایکروسافت بلافاصله وجود این رخنه را تأیید کرد اما در بازه زمانی 90 روزه هیچگونه اقدامی برای اصلاح رخنه یاد شده انجام نداد، در نتیجه تیم شناسایی کننده این باگ در تاریخ 29 دسامبر 2014 اقدام به اطلاعرسانی عمومی کرد. این اطلاعرسانی عمومی واکنش مایکروسافت را به همراه داشت که اعلام کرد در حال کار روی این مشکل است.
هر دو شرکت بر انجمن امنیت شبکه به عنوان یک راهکار برای گرد هم آوردن اطلاعات مفید و مشارکت اطلاعاتی درباره باگهای روز- صفر کشف شده تایکد دارند. همچنین این انجمن میتواند اطلاعرسانی به طراحان نرمافزار و سازندگان سختافزار که این مخاطره محصولات آنها را تهدید میکند، قبل از آنکه تبدیل به یک مشکل خارج از کنترل شود، را صورت دهد. اما خبر بد برای ما این است که این مخاطره خارج از کنترل بوده و دقیقا همان چیزی است که اکسپلویتها برای آن طراحی شدهاند. در نتیجه هیچ روشی برای پیشبینی اینکه هک بزرگ بعدی قرار است به چه قسمتی ضربه وارد کند نداریم. اپل نیز مورد حمله روز- صفر قرار گرفته است. در تاریخ 21 آوریل سایت دیجیتال ترندز به نقل از سایت فوربس نوشت اکسپلویت Rootipe که توسط متخصصان امنیتی شناسایی شده است همچنان یک مشکل امنیتی برای OS X به شمار میرود. پاتریک والدر، کارشناس امنیتی اعلام کرده است اپل باید وصله لازم برای آسیبپذیری که به نام Rootpie نامیده میشود را عرضه کند. Emil Kvarnhammar در تاریخ 9 آوریل در وبلاگ خود نوشت اپل به صورت ریشهای این مشکل را با عرضه OS X 10.10.3 حل کرده است، اما والدر کشف کرد تمامی ماشینهای مک همچنان در معرض این آسیبپذیری قرار دارند. به طور مختصر و کوتاه Rootpipe به یک هکر که دسترسی محلی به یک محصول مک را دارد اجازه میدهد تا مجوز دسترسی به ریشه را به دست آورده که به او اجازه میدهد کنترل کامل ماشین را بدون نیاز به هیچگونه تصدیق هویت اضافی در اختیار بگیرد. متن کامل این خبر را از این آدرس مشاهده کنید.
بهترین دفاع
در حال حاضر، بهترین روش برای اجتناب و جلوگیری از حمله روز- صفر و باقی ماندن در یک حالت استوار و ثابت هوشیاری است. البته دنبال کردن مراحل سادهای که در ادامه به آنها اشاره خواهیم کرد، هر چند به طور قاطع در برابر تهدید روز – صفر شما را ایمن نمیکنند؛ اما حداقل میتوانید امکان اجرای این حمله را با کندی همراه سازید.
اول از همه اطمینان حاصل کنید نرمافزار آنتیویروس شما بهروز باشد و جدیدترین تعاریف و امضاء مربوط به ویروسها را در خود جای داده باشد. آنتیویروس میتواند از هر سازنده ثالتی همچون کسپرسکی یا سیمانتک باشد، اما همه راهها به Windows Update در سیستمعامل ویندوز مایکروسافت ختم میشوند. این بخشی است که متخصصان امنیت اینترنت آن را چند لایه کاهشی مینامند، که در آن عمل انباشته کردن سبکهای مختلف از مکانسیمهای دفاعی روی یکدیگر، یک پوشش چند لایه ایجاد کرده قبل از آنکه روز- صفر بتواند از روی آنها پرش کند و تبدیل به یک خطر واقعی شود.
در ادامه این موضوع، هرگز فراموش نکنید سفتافزار فریمویر روتر خانگی خود را بهروز نگه دارید؛ عدم توجه به این نکته یکی از رایجترین اشتباهاتی که مصرفکنندگان مرتکب میشوند.
رمویر روتر همان سیستمعامل دستگاه روتر است که فعالیتهای روتر را تنظیم و مدیریت میکند. زمانیکه یک روتر آلوده شود نه تنها امکان باز کردن سایتهای معتبر و اصلی را ندارید، بلکه اطلاعات ورودی شما نیز به سرقت میرود. در صورتیکه روتر شما مورد یک حمله هکری قرار گرفت به سایت روتر خود مراجعه کرده و اقدامات لازم برای پاکسازی و بازگرداندن آن به تنظیمات اولیه کارخانه را انجام دهید. تجهیزات شبکه همچنان یکی از با ارزشترین اهداف هکرهایی به شمار میرود که به دنبال حمله روز- صفر هستند.
گام بعدی که هرگز نمیتوانید درباره آن به اندازه کافی محتاط باشید در ارتباط با دانلودها، ضمیمههای ایمیل یا لینکهایی است که در ظاهر خطرناک به نظر نمیرسند. مگر زمانیکه دانلود یک فایل از یک منبع کاملا معتبر انجام شود. همیشه از صحت منبع مورد استفاده قبل از آنکه به آن فرصت انتقال محتوایی به خارج از سرور و انتقال آن محتوا به شبکه خانگی خود را بدهید، مطمئن شوید.
سرانجام، مطلع باشید هر چند منابع رسمی برای ردیابی روز- صفر از آوریل سال گذشته فقط در وبلاگ BeyondTrust اطلاعرسانی میکنند، اما تمرکز روی بولتنهایی که در ارتباط با تهدیدات و تحولات به وجود آمده در فضای امنیتی منتشر شده و به لطف شبکههای مجازی و Google New دسترسی به آنها خیلی سادهتر از قبل شده است، کمک کننده است. Setup alerts هرگونه خبری فوری که روی اینترنت با عنوان zero-day منتشر شود را به همراه اخبار شرکتهایی همچون RSASecurity@ و VirusBulletin@ و ادارات US-CERT@ را رصد میکند که این راهکار نیز میتواند راهگشا باشد.
چرخه کامل
آیا ما برای همیشه محکوم به یک زندگی سخت از دست هکرها و ظرفیت به ظاهر بی پایان آنها برای حرص و طمع هستیم؟
در پایان، روز صفر در ارتباط با مهندسان یا برنامهنویسانی که زمان کافی برای پروژه شما وقت نگذاشتهاند نیست، تا آنجا که به هکرها مربوط میشود، آنها به اندازه کل زمان جهان وقت کافی برای سودآوری و عبور از سیستمهای حفاظتی دارند. این یک بازی کامل موش و گربه است، هر دو طرف در یک سمت قرار دارند و هیچ یک نمیتوانند ادعا کند که از طرف دیگر یک قدم جلوتر است، بلکه این جایزه است که از هر دو طرف جلوتر است. از آنجا که بانکها هنوز هم به حیات خود ادامه میدهند، سارقان نیز وجود دارند. تا زمانیکه پول روی اینترنت قرار داشته باشد؛ هکرها نیز وجود خواهند داشت. در حالی که یک طرف از برش الماس برای شکستن نقاط امن استفاده میکند، طرف دیگر، از حملات روز – صفر که با نشستن روی یک صندلی کامپیوتری و سرقت آسان پولها انجام میشود استفاده میکند.
هر چند ممکن است یک سیستم کامل وجود نداشته باشد، در حال حاضر بهترین کاری که میتوانیم انجام دهیم فعال نگهداشتن سازمانهایی است که بهترین قفلها و قویترین درها را برای ما طراحی میکنند.