خطرات سایت های دانلود برای محافظت از سازمان های کشور: که دانلود را آسان کرد، اما مشکلات کاهش یافت

این کارشناس امنیتی در گفت و گو با دیجیاتو از سایت های دانلود نرم افزار به عنوان یک تهدید بالقوه برای سازمان های خصوصی و دولتی یاد کرد که می تواند نفوذ شبکه به این آرشیوها را تسهیل کند. وی از سازمان های امنیت سایبری خواست تا مداخله کنند و از بلایای احتمالی جلوگیری کنند.

حمله سایبری اخیر به سیستم سوخت هوشمند چندین نگرانی امنیتی را ایجاد کرده است. معمولاً وقتی صحبت از حملات سایبری به میان می آید، ذهن همه به سمت هک های عظیم و پیچیده می رود که روزها یا حتی ماه ها طول می کشد تا در یک دوره زمانی به مجموعه ای از سیستم ها نفوذ کنند.

اما گاهی اوقات راه‌های ساده‌تری وجود دارد که می‌توان منتظر ماند تا قربانی به دام افتاد و سپس به سادگی وارد یک سازمان شد. نسخه های ESXi، ویندوز و کرک نرم افزارهای محبوب از جمله قربانیانی هستند که می توان از آنها برای هک استفاده کرد.

مشکلی ساده که در حال حاضر بسیاری از شرکت های دولتی و خصوصی آن را جدی نمی گیرند و با مراجعه به هزاران سایت دانلود نرم افزار بر روی سیستم کارکنان خود نرم افزار نصب کرده و از کرک این سایت ها استفاده می کنند.

اگر افرادی بخواهند به شرکت ها و سازمان های ایرانی نفوذ کنند، کافی است که بتوانند سرورهای یک یا چند سایت دانلود نرم افزار را هک کنند و بی سر و صدا یک Backdoor را به شکاف نرم افزار سرور این سایت ها تزریق کنند. “درپشتی” برنامه ای است که به یک نفوذگر اجازه می دهد تا فرآیند امنیتی سیستم را دور بزند و به منابع مختلف سیستم به روشی مناسب دسترسی پیدا کند.

پس از آن، زمانی که مدیران سازمان‌ها برای دانلود نرم‌افزار از این وب‌سایت‌ها می‌روند، درهای پشتی در شبکه سازمان نصب می‌شوند. به نظر می رسد این رخنه امنیتی بزرگ به طور کامل توسط سازمان های امنیت سایبری کشور نادیده گرفته شده است و شواهد نشان می دهد که سازمان ها هیچ دستورالعملی برای ارائه نرم افزارهای غیربومی ندارند.

اما این تاثیر تا چه حد امکان پذیر است و چه راهکارهایی در این زمینه وجود دارد؟ برای پاسخ به این سوالات به سراغ «علی کیفر» مدیر امنیت سیستم های کنترل صنعتی شرکت مدبران و متخصص امنیت اطلاعات رفتیم.

نرم افزار حمله مورد نیاز سازمان؛ حمله مستقیم هکرها

کیفر به دیجیاتو می گوید: «نفوذ سازمان های دولتی و خصوصی از همیشه سخت تر شده است.

در حال حاضر، تقریباً همه سازمان‌های بزرگ در لبه شبکه‌های خود از ابزارهای امنیتی مناسب استفاده می‌کنند و به طور مستمر به آسیب‌پذیری‌های تجهیزات و نرم‌افزارهای خود رسیدگی می‌کنند. بنابراین نفوذ به چنین سازمان‌هایی بیش از هر زمان دیگری دشوار شده است.»

اما او می‌گوید که شکل جدیدی از حمله سایبری به سازمان‌ها سال‌هاست که وجود داشته است که «حمله زنجیره تأمین» نامیده می‌شود. در این روش هکر به جای حمله مستقیم به آن سازمان، به یکی از نرم افزارهای مورد استفاده در آن سازمان حمله می کند.

برای نشان دادن این موضوع، کارشناس امنیتی یک مثال ساده از حمله زنجیره تامین ارائه کرد:

فرض کنید یک هکر سعی دارد به سازمان X حمله کند. در مرحله اول سعی می‌کند از طریق آسیب‌پذیری‌های شبکه سازمان ایکس خللی باز کند، اما موفق نمی‌شود. در مرحله دوم، وب سایت سازمان X کمی مورد بررسی قرار می گیرد و به راحتی می توان دریافت که این سازمان از نرم افزار اتوماسیون اداری ساخت (به عنوان مثال) شرکت Y استفاده می کند. یا متوجه می شود که شرکت Y سازمان X را در لیست مشتریان خود نامگذاری کرده است.

این برای یک هکر کافی است تا شرکت Y را هک کند. اگر امنیت شرکت Y آسیب پذیر باشد، با کمی تلاش هک می شود و هکر بدون اینکه متوجه شود به منبع نرم افزار اتوماسیون اداری می رسد و یک درب پشتی را درون آن تعبیه می کند.

هفته آینده، این شرکت نسخه جدیدی از Y Office Automation را منتشر خواهد کرد، غافل از اینکه نسخه جدید به درهای پشتی آلوده شده است. سازمان X همچنین نسخه اتوماسیون اداری خود را به روز می کند و بنابراین سازمان به صورت دستی درب پشتی تعبیه شده توسط هکر را در شبکه خود نصب می کند.

در حال حاضر، با این ابتکار، هکر می تواند نه تنها به شبکه سازمان X، بلکه شرکت Y با استفاده از اتوماسیون اداری به تمام شبکه ها دسترسی پیدا کند.

دانلود سایت ها و افزایش خطر حملات سایبری

همانطور که کیافر به دیجیاتو می گوید، موضوع حملات زنجیره تامین در ایران بسیار حادتر است و به عدم رعایت قانون کپی رایت بازمی گردد:

در ایران به دلیل اینکه قانون کپی رایت وجود ندارد، سایت های زیادی برای دانلود نرم افزارهای کرک شده ایجاد شده است. این سایت ها می توانند به عنوان مرجعی برای دانلود نرم افزار مورد نیاز خود استفاده شوند.”

حالا کافی است یک هکر یکی از این سایت های دانلود نرم افزار ایرانی را هک کند تا به سازمان های ایرانی نفوذ کند و یک درب پشتی را در داخل کرک نرم افزارهای رایج جاسازی کند. مهم‌ترین آسیب‌پذیری‌ها در سایت‌هایی که این کارشناس امنیتی در نظر می‌گیرد عبارتند از:

“کاربران و مدیران سازمان‌ها نیز این فایل‌ها را از طریق درب پشتی دانلود کرده و در شبکه‌های خود اجرا می‌کنند. دسترسی ادمین دامنه نیز دارد! جالب اینجاست که مدیران هنگام اجرای این کرک‌ها آنتی ویروس خود را غیرفعال می‌کنند. مطمئناً از نظر کاربران آنتی ویروس خوبی نیست، زیرا اجازه نمی دهد کرک های آلوده به راحتی اجرا شوند.”

او به دیجیاتو گفت: «این نوع حمله از نظر فنی ساده است و از نظر وسعت می تواند بسیار بزرگ باشد.

وی ادامه داد: با این نوع حملات در مدت زمان کوتاهی تعداد زیادی از شبکه‌های سراسر کشور نفوذ می‌کنند، بنابراین لازم است سازمان‌های متولی امنیت سایبری کشور به موضوع ورود کنند، به‌ویژه زمانی که ما می دانیم که رژیم اسرائیل در حال کنترل سیستم امنیتی کشور است و تمام قدرت سایبری خود را برای نفوذ به شبکه ها و زیرساخت های حیاتی متمرکز می کند و هیچ سنگی را بر روی زمین نمی گذارد. قادر به نصب درب است.”

“نه.” هدف این سایت ها کسب درآمد از طریق تبلیغات است و هیچ مسئولیتی در قبال عواقب استفاده از فایل های کرک شده ندارند.

اما آیا فرهنگ استفاده از نرم افزارهای بومی می تواند این خطر را تا حد زیادی کاهش دهد؟ دیجیاتو در پاسخ به این سوال بر این باور است که چند فاکتور را باید همزمان در این زمینه در نظر گرفت. یکی از موضوعاتی که در بحث تحریم ها وجود دارد این است که کاربران ایرانی نمی توانند اکثر نرم افزارهای اصلی خارجی را خریداری کنند یا از خدمات پشتیبانی آن ها استفاده کنند: «در بیشتر موارد، حتی اگر سازنده بداند که مجوز در ایران استفاده می شود، می تواند. آن را غیرفعال کنید.”

وی گفت: موضوع دیگر کاهش ارزش پول ملی است که خرید مجوز یک نرم افزار ساده خارجی را بسیار گران و از توان خرید بسیاری از کاربران و حتی سازمان ها خارج کرده است.

او گفت: “خرید نرم افزار بومی لزوماً حملات زنجیره تامین صفر را از بین نمی برد.” بنابراین به نظر من فرهنگ سازی برای استفاده از مجوز اصلی برای نرم افزارهای عمومی خارجی حداقل در شرایط فعلی امکان پذیر نیست.»

سهم بالای نرم افزار مورد استفاده سازمان ها در حملات سایبری

دیجیاتو به دیجیاتو گفت: «بر اساس آمار، 92 درصد از حملات به سازمان‌ها مربوط به نرم‌افزار مورد استفاده در سازمان است. به عبارت دیگر می توان گفت که اگر نرم افزار مورد استفاده در یک سازمان از امنیت کامل برخوردار باشد، «حملات درصدی اتفاق نمی افتد».

او معتقد است که اکثر برنامه نویسان و حتی شرکت های نرم افزاری از مسائل امنیتی آگاهی لازم را ندارند و هدف اصلی آنها تولید محصولات کارآمد است. در حالی که هدف اصلی باید این باشد که نرم افزار ایمن کار کند:

“به صورت روزانه، اگر اخبار حملات سایبری را دنبال کنید، موارد زیادی را خواهید دید که به دلیل ناامنی در لایه نرم افزار به یک سازمان سرایت کرده است.” از آسیب پذیری در نرم افزارهای محبوب مانند Microsoft Exchange تا استفاده در سازمان های کوچکتر تا نرم افزار خاصی که باید انجام شود.”

بسته های نرم افزاری نیز به طور گسترده در ادارات مورد استفاده قرار می گیرند. آیا امکان نفوذ از طریق این بسته ها نیز وجود دارد؟ این کارشناس امنیتی در پاسخ به سوال دیجیاتو گفت: به طور طبیعی سایت های دانلود نرم افزار به دلیل کاربرد گسترده تری خطرناک هستند.

توصیه های امنیتی به سازمان ها

کیایی فر بخش آخر سخنان خود را به ارائه چند توصیه امنیتی به سازمان ها اختصاص داد و به دیجیاتو گفت:

ابتدا باید لیست نرم افزارهایی که مجاز به نصب در سازمان هستند مشخص و تعریف شود. دوم اینکه منبع نرم افزار نصب شده در سازمان معتبر باشد. این اعتبار از راه های مختلفی قابل دریافت است. یکی از راه‌ها این است که نرم‌افزار را توسط یک تیم مهندسی معکوس داخلی کرک کنید، یا اینکه فایل‌های کرک توسط کارشناسان امنیتی در جعبه‌های شنی مختلف تجزیه و تحلیل شوند تا از سلامت عملکرد آن‌ها اطمینان حاصل شود.

به گفته وی این موضوع باید در تیم امنیتی سازمان بررسی شود و راه حل کاری برای آن در داخل سازمان ایجاد شود.