داستان کوتاهی از چند حمله هکری معروف در جهان

بعضی از این حملات معروفند مثل هک شبکۀ پلی استیشن سونی. بعضی مشکل واقعی ایجاد کردند، مثلا یکی از شرکت‌هایی که مورد حمله واقع شده بود ورشکست شد. بعضی‌ هم کمتر ضرر زدند و صرفا کارزارهای اسپمی به راه انداختند.

حملات کامپیوتری که واقعا «روز صفر»ی باشند نادرند. وقتی ایمنی را به درستی رعایت کنیم تقریبا همیشه می‌توانیم جلوی حملات را بگیریم و یا حداقل متوجه شویم که به سیستم مان حمله شده‌است.

تکنـــــــــــــــــــــــازدانلود: حتی استاکس‌نت را که شاید تا کنون از همه حملات پیچیده‌تر بوده و از چهار ضعف روز صفری استفاده کرده بود می‌شد بلاک کرد به شرط این که مقامات ایرانی از بهترین روش‌های امنیتی استفاده می‌کردند.

بسیاری از قربانیان این حملات شرکت‌های با پشتوانه (و مشتریانشان) هستند که از دستورالعمل‌های اواسپ (OWASP) که «پروژه امنیتی باز وب» و راهنمای اصلی این گونه مسائل است پیروی نمی‌کنند. بعضی از این حملات معروفند مثل هک شبکۀ پلی استیشن سونی. بعضی مشکل واقعی ایجاد کردند، مثلا یکی از شرکت‌هایی که مورد حمله واقع شده بود ورشکست شد. بعضی‌ هم کمتر ضرر زدند و صرفا کارزارهای اسپمی به راه انداختند.

هک شرکت تلفن «بل کانادا»

بهمن‌ماه سال گذشته یک گروه هکری به شرکت تلفن «بل کانادا» حمله کرد و هزاران اسم کاربر و پسورد مشتریان را دزدید و لو داد. هکرها خودشان جزئیات حمله را منتشر کردند. آنها از تکنیک تزریق اس.کیو.ال. استفاده کرده بودند. به این ترتیب که با استفاده از برنامه نویسی بد سایت، یک فرمان اس.کیو.ال وارد پایگاه داده‌های آن می‌کنند. اواسپ این گونه «تزریقات» را از حملات متداول به وب‌سایت‌ها ارزیابی می‌کند. البته جلوگیری از این نوع حمله کاملا ممکن است ولی بل کانادا از یک تکنولوژی عقب مانده و قدیمی استفاده می‌کرد.

هک شدن هویت دیجتال روزنامه نگاری به نام مت هونان بالکل 

یکی دیگر از هک‌های معروف، تابستان ۲۰۱۲ صورت گرفت که در عرض یک ساعت هویت دیجتال روزنامه نگاری به نام مت هونان بالکل دزدیده شد. حساب گوگل، حساب توئیتر و حساب آمازونش را گرفتند و بالاخره آی‌دی اپلش را هم گرفتند و با استفاده از آن از دور آیفون و آی‌پد و مک بوکش را کاملا پاک کردند. یکی از درس‌هایی که هونان از این مسئله گرفت این بود که مرتبط کردن حساب‌ها با یکدیگر یک ضعف بزرگ است. باید دانست که رویکرد بسیاری از کمپانی‌ها به مسئله امنیتی ضعیف است و وقتی حساب‌ها به هم مرتبط باشند کافی است یکی از این‌ها به دست هکرها بیفتد تا همه چیز شما لو برود.

سرقت اطاعات کاربران سونی 

هک و دزدی داده‌های «پلی اسیتشن» سونی یکی دیگر از نمونه‌هاست. در اوایل سال ۲۰۱۱ این شبکه دچار یک مصیبت بزرگ شد و ۷۷ پرونده کاربری دزدیده شد. ولی کاربران بی‌خبر ماندند و فقط متوجه شدند که شبکه کار نمی‌کند. چند ماه بعد «سونی پیکچرز» هک شد و ۲۵ میلیون پرونده به سرقت رفت و این جا بود که سونی لو رفتن پلی استیشن را هم برملا کرد. مشکل تکراری تزریق کیو.اس.ال این جا هم عمل کرد. سیستم حفاظت رمز گذاری پسوردها ضعیف و ناموجود بود. وقتی هکرها ضعفی را در یک نقطه از شرکت پیدا می‌کنند متوجه سهل‌انگاری شرکت شده و از این مسئله برای حمله به نقاط دیگرش هم استفاده می‌کنند. حل مسئله و جبران حملات برای سونی ۱۰۰ میلیون دلار خرج برداشت.

جاسوسی و سرقت یوزرنیم و پسورد فیس بوک در تونس

اواخر سال ۲۰۱۰ بود که اعتراضات در تونس بالا می‌گرفت و نوید بهار عربی را می‌داد. فعالان از فیس‌بوک استفاده می‌کردند و دولت می‌خواست جاسوسی‌شان را بکند. معمولا ارتباطات فیس‌بوک با SSL/HTTPS صورت می‌گیرد ولی در آن زمان برای لاگین صفحۀ اول از HTTP وارد می‌شد. در تونس هم مانند بسیاری از کشورها دولت صاحب آی‌اس‌پی‌ها (رساننده‌های خدمات اینترنتی) است که کنترل‌شان می‌کند. به خاطر همین قادر شد کدهای صفحۀ لاگین فیس‌بوک را دست‌کاری کند. یک اسکریپت جاوا داخل صفحه کردند که نام یوزری و پسورد همه کاربران را که از تونس وارد فیس‌بوک می‌شدند به دولت می‌فرستاد. جواب فیس‌بوک این بود که روی صفحه لاگین HTTPS بگذارد. امروز استفاده از HTTP نادر است و همین واقعه یکی از دلایلی بود که بسیاری از سایت‌ها از این پس همیشه از کدگذاری امن استفاده کنند.

هک گواهی‌های دیجیتال دیجی‌نوتار و ورشکستگی شرکت

در سال ۲۰۱۱ شاهد بودیم که ضعف مساوی است با ورشکستگی. شرکت دیجی‌نوتار شرکتی بود که گواهی‌های دیجیتالش مورد اطمینان پلت‌فرم‌های اساسی مانند مایکروسافت و اپل و گوگل و موزیلا و غیره بود. ولی سیستمش مورد حمله قرار گرفت و هکرها توانستند برای اسامی معروفی مانند گوگل و اسکایپ و توئیتر گواهی اطمینان صادر کنند. مشکل وقتی رو شد که متوجه شدند تعداد زیادی چک‌های باطل سازی گواهی‌های گوگل به ایران فرستاده می‌شود، جایی که گوگل در آن مرکز ندارد.

مشکلی از این دست، کل زیرساخت کلید عمومی را به خطر می‌اندازد و به همین خاطر شرکت‌ها سریعتر به تکاپو در آمدند. گوگل، موزیلا، مایکروسافت و بعداَ اپل، مقام اتوریتۀ صدور گواهی دیجی‌نوتار را پس گرفتند. در عرض دو هفته شهرت شرکت کاملا برباد رفت و اعلام ورشکستگی کرد. یکی از درس‌های این واقعه این است که SSL شدیدا برای امنیت اینترنت مهم است و امنیت اتوریته‌های صدور گواهی برای اعتبار SSL مرکزی است. علاوه بر این که نقص ایمنی می‌تواند عواقب جدی از جمله مرگ یک سازمان را به دنبال داشته باشد.

هارت بلید یا خونریزی قلبی 

هارت بلید یا همان خونریزی قلبی هم که فاجعه خوانده شد و عده‌ای از ۱ تا ۱۰، نمرۀ ۱۱ را به آن دادند ولی دیدیم که دنیا به آخر نرسید. معلوم شد که ضعفی نیست که به سادگی بتوان مورد سوء استفاده قرار داد و بسیاری از سایت‌ها هم تا به حال وصله‌اش کرده‌اند.

ولی از هارت بلید چه درسی می‌توان گرفت؟

درس هایی که برنامه نویسان از این تجربه می‌گیرند به جای خود ولی در سطوح پائین تر هم درس‌هایی هست. ادمین‌های سایت‌ها باید کاربران را مجبور کنند قبل از عملیات کلیدی دوباره هویت خود را تائید کنند، مثل وقتی که می‌خواهید پسورد خود را عوض کنید، باید اول پسورد قبلی را وارد کنید. ادمین‌ها نباید بگذارند کاربران مدت زیادی بیکار وصل بمانند، باید بتوانند جلسات فعال را قطع کنند و کاربر را مجبور به راه‌اندازی دوباره و وارد کردن پسورد بکنند. درسی که کاربران باید بگیرند این است که برای هر سایت یک پسورد جداگانه داشته باشند.