چند روز پیش ایمیلی با این متن به یک صفحهی فیسبوکی فرستاده شد: «فیلترشکن رایگان، یوزر نیم و پسورد داخل فایل می باشد، جهت دانلود به سایت زیر مراجعه نمایید، www . freevpn . nazuka . net / vpn-kerio . zip» (روی این لینک کلیک نکنید مگر اینکه دقیقا از خطرات این کار آگاه باشید).
چند روز پیش ایمیلی با این متن به یک صفحهی فیسبوکی فرستاده شد: فیلترشکن رایگان، یوزر نیم و پسورد داخل فایل می باشد، جهت دانلود به سایت زیر مراجعه نمایید…
تکنـــــــــــــازدانلود: باید دقت کنیم که، زمانی که دربارهی امنیت دیجیتال صحبت میکنیم، مقصود اصلی ما توجه به نکات امنیتی در زمانهای پرفشار است. به تجربه میدانیم که در وقت عادی، که کمتر نگران هستیم و میتوانیم به جزییات پیامدهای اقدامات فکر کنیم، رفتارهایمان بسیار سنجیدهتر هستند. در مقایسه، در زمان استیصال، زمانی که حتما احتیاج داریم کاری روی اینترنت انجام دهیم و بهدلیل فیلترینگ، عدم دسترسی، یا نظایر آن، قادر نیستیم، در این زمانها است که رفتار خطرناک اتفاق میافتد. نکتهی اساسی این است که کسی که بهدنبال طعمه در فضای آنلاین میگردد هم از این نکته کاملا آگاه است و بنابراین دامش را در همین موقعیتها برای قربانیان پهن میکند.
چند روز پیش ایمیلی با این متن به یک صفحهی فیسبوکی فرستاده شد: «فیلترشکن رایگان، یوزر نیم و پسورد داخل فایل می باشد، جهت دانلود به سایت زیر مراجعه نمایید، www . freevpn . nazuka . net / vpn-kerio . zip» (روی این لینک کلیک نکنید مگر اینکه دقیقا از خطرات این کار آگاه باشید).
قبل از هر تحلیلی، و بدون توجه به محتویات این فایل، چنین رفتاری یکی از بزرگترین خطرهای امنیتی در فضای دیجیتال است. گذشته از اینکه یک فایل اجرایی ادعا میکند که چه کاری انجام میدهد، این ذهنیت که فایلی که از ناکجاآباد آمده است را میتوان روی تلفن همراه یا لپتاپ اجرا کرد، ذهنیتی بسیار خطرناک است. قبل از این هم گفتهایم که ارسال و دریافت فایلهای اجرایی در وب کار خطرناکی است. یک فایل اجرایی را تنها باید از منبع اصلی آن دانلود کرد و تنها زمانی باید به یک فایل اجرایی امکان اجراشدن روی سختافزار را داد که به نویسندهی آن اطمینان کافی داشته باشیم.
تلاش کردم فایل را دانلود کنم. جالب توجه است که مرورگر کروم چنین پیغام خطایی داد: «دانلود کردن این فایل کار پیشنهاد نمیشود و این فایل ممکن است خطرناک باشد!» به همین دلیل مرورگر فایرفاکس را باز کردم و تلاش کردم فایل را به کمک آن دانلود کند. انتظارم این بود که فایرفاکس هم خطا بدهد و مجبور شوم به کمک wget یا یک اسکریپ پایتان به فایل دسترسی پیدا کنم. در کمال تعجب من، فایرفاکس لینک را پذیرفت. شاید همین دلیل خوبی است که به استفاده از مرورگر کروم متمایلتر باشیم.
vpn-kerio.zip یک فایل فشرده است. ابتدا آن را به کمک نسخهی رایگان Avira بررسی میکنم. فایل سالم تشخیص داده میشود. حالا آن را به کمک ۷-zip باز میکنم. درون فایل، یک فایل اجرایی خودبازشونده self-extracting به نام kerio.exe قرار دارد. همین جا دو چراغ خطر روشن شدهاند. اول، برخلاف گفتهی نویسنده، در فایل «یوزر نیم و پسورد» وجود ندارد. دوم، یک فایل فشردهشده که در آن تنها یک فایل اجرایی وجود دارد، یک علامت خطر است: از آنجا که بسیاری از سرویسهای ایمیل امکان ارسال مستقیم فایلهای اجرایی را نمیدهند، یکی از روشهای رایج، قراردادن این فایلها در یک قالب فشردهشده است.
kerio.exe را به کمک Avira آزمایش میکنم. سالم تشخیص داده میشود. آن را باز میکنم و به یک فایل Host میرسم. نکتهی مهم این است که فایل Host یک فایل متنی است و کد اجرایی در آن وجود ندارد، اما چنین فایلی یکی از روشهای رایج ایجاد خطر است. به کمک چنین فایلی میتوان در ارتباط url-IP در یک مرورگر مداخله کرد و زمانی که مرورگر میخواهد وبسایتی را باز کند، آن را به وبسایتی جعلی فرستاد. در این مورد، فایل Host برای تغییر مسیر facebook.com تنظیم شده است.
فایل kerio.exe را به کمک یک ابزار بررسی جمعی تحلیل میکنم. چنین ابزاری این امکان را میدهد که نتیجهی بررسی یک فایل مشکوک را بهکمک ابزارهای ویروسیاب مختلف بهدست آوریم. از ۵۴ ویروسیابی که روی فایل اعمال میشوند، سه مورد گزارش خطر میدهند. یکی از این سه مایکروسافت است که در فایل SettingsModifier:Win32/PossibleHostsFileHijack را پیدا میکند. خطر اصلی، تغییر فایل Host است.
فایل را برای دوستی متخصص در این زمینه میفرستم و از او میخوام که بصورت مستقل آن را بررسی کند. او هم تایید میکند که این فایل بدون اطلاع کاربر فایل Host را تغییر میدهد و با دور زدن تنظیمات ایمنی از کاربر برای این کار اجازه نمیگیرد. نکتهی اساسی این است که چنین اقدامی ممکن است در عمل خطرناک نباشند، اما با توجه به منشا فایل، چنین رفتاری باید جدی گرفته شود.
«آدرس IP که به جای فیسبوک قرار داده میشود بدافزار ندارد، ولی یه شمارندهی وبگذر به آن اضافه شده است. تنها هدف این صفحه این است که به کمک شمارنده، آماری از تعداد کاربران جمعآوری شود و اطلاعات وارد شده توسط کاربر (نام کاربری و اسم روز) مستقیم برای فیسبوک ارسال میشود و تا جایی که من بررسی کردم دزدی هم صورت نمیگیرد.»
اما نکتهی اساسی این است که در این اتفاق هیچ فیلتری دور زده نمیشود و صرفا یک تغییر آدرس صورت میگیرد و کاربر برای دسترسی به فیسبوک به سرور اصلی فرستاده میشود. دوستم اسم این کار را میگذارد «یک بداخلاقی تکنولوژیک» که «بهراحتی میتوانست منجر به فیشینگ بشود».
نکتهی کلیدی این است که، فارغ از اینکه فرستندهی این پیغام یا سازندهی این فایل چه اهدافی داشتهاند، هرگز نباید به یک فایل اجرایی ناآشنا که از یک نشانی نامعلوم دانلود شده است، اجازهی دسترسی به سختافزارهایی را داد که اطلاعات شخصی ما روی آنها قرار دارند. به همین دلیل، حتما باید از فرستادن لینک فایلهای اجرایی در ایمیل و روی شبکههای اجتماعی خودداری کنیم و اگر کسی چنین لینکی را توییت کرد به او اینطور جواب بدهیم «نه تنها این فایل ممکن است خطرناک باشد، که مهمتر از آن، طبیعیکردن یک رفتار پرخطر برای کاربران است.» دقت کنیم که ایننکته که این لینک در آن صفحهی فیسبوکی فرستاده شده است نیز بخشی از سناریوی خطر است. نویسندهی پیام حدس میزدهاست که گردانندگان و مخاطبان صفحه در وضعیت آرامش نیستند و خطرپذیری بیش از معمولی دارند.