بررسی یک «فیلترشکن رایگان»

چند روز پیش ایمیلی با این متن به یک صفحه‌ی فیس‌بوکی فرستاده شد: «فیلترشکن رایگان، یوزر نیم و پسورد داخل فایل می باشد، جهت دانلود به سایت زیر مراجعه نمایید، www . freevpn . nazuka . net / vpn-kerio . zip» (روی این لینک کلیک نکنید مگر اینکه دقیقا از خطرات این کار آگاه باشید).

چند روز پیش ایمیلی با این متن به یک صفحه‌ی فیس‌بوکی فرستاده شد: فیلترشکن رایگان، یوزر نیم و پسورد داخل فایل می باشد، جهت دانلود به سایت زیر مراجعه نمایید…

تکنـــــــــــــازدانلود: باید دقت کنیم که، زمانی که درباره‌ی امنیت دیجیتال صحبت می‌کنیم، مقصود اصلی ما توجه به نکات امنیتی در زمان‌های پرفشار است. به تجربه می‌دانیم که در وقت عادی، که کمتر نگران هستیم و می‌توانیم به جزییات پیامدهای اقدامات فکر کنیم، رفتارهایمان بسیار سنجیده‌تر هستند. در مقایسه، در زمان استیصال، زمانی که حتما احتیاج داریم کاری روی اینترنت انجام دهیم و به‌دلیل فیلترینگ، عدم دسترسی، یا نظایر آن، قادر نیستیم، در این زمان‌ها است که رفتار خطرناک اتفاق می‌افتد. نکته‌ی اساسی این است که کسی که به‌دنبال طعمه در فضای آنلاین می‌گردد هم از این نکته کاملا آگاه است و بنابراین دامش را در همین موقعیت‌ها برای قربانیان پهن می‌کند.

چند روز پیش ایمیلی با این متن به یک صفحه‌ی فیس‌بوکی فرستاده شد: «فیلترشکن رایگان، یوزر نیم و پسورد داخل فایل می باشد، جهت دانلود به سایت زیر مراجعه نمایید، www . freevpn . nazuka . net / vpn-kerio . zip» (روی این لینک کلیک نکنید مگر اینکه دقیقا از خطرات این کار آگاه باشید).

قبل از هر تحلیلی، و بدون توجه به محتویات این فایل، چنین رفتاری یکی از بزرگ‌ترین خطرهای امنیتی در فضای دیجیتال است. گذشته از این‌که یک فایل اجرایی ادعا می‌کند که چه کاری انجام می‌دهد، این ذهنیت که فایلی که از ناکجاآباد آمده است را می‌توان روی تلفن همراه یا لپ‌تاپ اجرا کرد، ذهنیتی بسیار خطرناک است. قبل از این هم گفته‌ایم که ارسال و دریافت فایل‌های اجرایی در وب کار خطرناکی است. یک فایل اجرایی را تنها باید از منبع اصلی آن دانلود کرد و تنها زمانی باید به یک فایل اجرایی امکان اجراشدن روی سخت‌افزار را داد که به نویسنده‌ی آن اطمینان کافی داشته باشیم.

تلاش کردم فایل را دانلود کنم. جالب توجه است که مرورگر کروم چنین پیغام خطایی داد: «دانلود کردن این فایل کار پیشنهاد نمی‌شود و این فایل ممکن است خطرناک باشد!» به همین دلیل مرورگر فایرفاکس را باز کردم و تلاش کردم فایل را به کمک آن دانلود کند. انتظارم این بود که فایرفاکس هم خطا بدهد و مجبور شوم به کمک wget یا یک اسکریپ پایتان به فایل دسترسی پیدا کنم. در کمال تعجب من، فایرفاکس لینک را پذیرفت. شاید همین دلیل خوبی است که به استفاده از مرورگر کروم متمایل‌تر باشیم.

vpn-kerio.zip یک فایل فشرده است. ابتدا آن را به کمک نسخه‌ی رایگان Avira بررسی می‌کنم. فایل سالم تشخیص داده می‌شود. حالا آن را به کمک ۷-zip باز می‌کنم. درون فایل، یک فایل اجرایی خودبازشونده self-extracting به نام kerio.exe قرار دارد. همین جا دو چراغ خطر روشن شده‌اند. اول، برخلاف گفته‌ی نویسنده، در فایل «یوزر نیم و پسورد» وجود ندارد. دوم، یک فایل فشرده‌شده که در آن تنها یک فایل اجرایی وجود دارد، یک علامت خطر است: از آن‌جا که بسیاری از سرویس‌های ایمیل امکان ارسال مستقیم فایل‌های اجرایی را نمی‌دهند، یکی از روش‌های رایج، قراردادن این فایل‌ها در یک قالب فشرده‌شده است.

kerio.exe را به کمک Avira آزمایش می‌کنم. سالم تشخیص داده می‌شود. آن را باز می‌کنم و به یک فایل Host می‌رسم. نکته‌ی مهم این است که فایل Host یک فایل متنی است و کد اجرایی در آن وجود ندارد، اما چنین فایلی یکی از روش‌های رایج ایجاد خطر است. به کمک چنین فایلی می‌توان در ارتباط url-IP در یک مرورگر مداخله کرد و زمانی که مرورگر می‌خواهد وب‌سایتی را باز کند، آن را به وب‌سایتی جعلی فرستاد. در این مورد، فایل Host برای تغییر مسیر facebook.com تنظیم شده است.

فایل kerio.exe را به کمک یک ابزار بررسی جمعی تحلیل می‌کنم. چنین ابزاری این امکان را می‌دهد که نتیجه‌ی بررسی یک فایل مشکوک را به‌کمک ابزارهای ویروس‌یاب مختلف به‌دست آوریم. از ۵۴ ویروس‌یابی که روی فایل اعمال می‌شوند، سه مورد گزارش خطر می‌دهند. یکی از این سه مایکروسافت است که در فایل SettingsModifier:Win32/PossibleHostsFileHijack را پیدا می‌کند. خطر اصلی، تغییر فایل Host است.

فایل را برای دوستی متخصص در این زمینه می‌فرستم و از او می‌خوام که بصورت مستقل آن را بررسی کند. او هم تایید می‌کند که این فایل بدون اطلاع کاربر فایل Host را تغییر می‌دهد و با دور زدن تنظیمات ایمنی از کاربر برای این کار اجازه نمی‌گیرد. نکته‌ی اساسی این است که چنین اقدامی ممکن است در عمل خطرناک نباشند، اما با توجه به منشا فایل، چنین رفتاری باید جدی گرفته شود.

«آدرس IP که به جای فیسبوک قرار داده می‌شود بدافزار ندارد، ولی یه شمارنده‌ی وبگذر به آن اضافه شده است. تنها هدف این صفحه این است که به کمک شمارنده، آماری از تعداد کاربران جمع‌آوری شود و اطلاعات وارد شده توسط کاربر (نام کاربری و اسم روز) مستقیم برای فیسبوک ارسال می‌شود و تا جایی که من بررسی کردم دزدی هم صورت نمی‌گیرد.»

اما نکته‌ی اساسی این است که در این اتفاق هیچ فیلتری دور زده نمی‌شود و صرفا یک تغییر آدرس صورت می‌گیرد و کاربر برای دسترسی به فیس‌بوک به سرور اصلی فرستاده می‌شود. دوستم اسم این کار را می‌گذارد «یک بداخلاقی تکنولوژیک» که «به‌راحتی می‌توانست منجر به فیشینگ بشود».

نکته‌ی کلیدی این است که، فارغ از این‌که فرستنده‌ی این پیغام یا سازنده‌ی این فایل چه اهدافی داشته‌اند، هرگز نباید به یک فایل اجرایی ناآشنا که از یک نشانی نامعلوم دانلود شده است، اجازه‌ی دسترسی به سخت‌افزارهایی را داد که اطلاعات شخصی ما روی آن‌ها قرار دارند. به همین دلیل، حتما باید از فرستادن لینک فایل‌های اجرایی در ایمیل و روی شبکه‌های اجتماعی خودداری کنیم و اگر کسی چنین لینکی را توییت کرد به او این‌طور جواب بدهیم «نه تنها این فایل ممکن است خطرناک باشد، که مهم‌تر از آن، طبیعی‌کردن یک رفتار پرخطر برای کاربران است.» دقت کنیم که این‌نکته که این لینک در آن صفحه‌ی فیسبوکی فرستاده شده است نیز بخشی از سناریوی خطر است. نویسنده‌ی پیام حدس می‌زده‌است که گردانندگان و مخاطبان صفحه در وضعیت آرامش نیستند و خطرپذیری بیش از معمولی دارند.