همه‌ چیز در دنیای مجازی ناامن بوده و ناامن خواهد ماند

 

در طول یک سال گذشته، بدافزار Heartbleed، کتاب‌خانه‌ی گنو‌سی (glibc)، آسیب‌پذیری OpenSSL، و FREAK را شاهد بودیم. ما پایگاه کدی داریم که همه از آن استفاده می‌کنند، اما کسی به آن توجهی ندارد.

در طول نمایشگاه استرالیایی Cisco Live! واقع در ملبورن وب‌گاه خبری The Register ملاقاتی با برت هارتمن (Bret Hartman)، نایب رئیس و مدیر ارشد فناوری Cisco داشته، که در ادامه گفت‌وگوی آنها در مورد امنیت شبکه و ضعف همیشگی آن در برابر مهاجمان را می‌خوانید.

به گزارش تکنــــــــــــــــــازدانلود: مروری بر رویدادهای دوازده‌ ماه گذشته به ما نشان می‌دهد که دستگاه‌های ناامن بسیاری به دروازه‌های شبکه‌های متصل به اینترنت وصل شده‌اند و اطلاعاتی را به شرکت‌های ناامن ارسال کرده‌اند …

و ما همچنان در صدد هستیم با وجود این خطر، همه‌ چیز را اینترنتی کنیم. آیا تصمیم درستی گرفته‌ایم؟

بخشی از وظیفه‌ی شغلی من این است که به این سؤال فکر کنم … این وظیفه‌ی من است که مسیرهای فناوری در آینده را پیش‌بینی کنم، تعیین کنم کجا باید سرمایه‌گذاری کنیم، و مشتریان چه نیازهایی دارند.

از نظر شما، داشتن شغلی در حوزه امنیت بسیار ایده‌آل است، حداقل امنیت شغلی تضمین‌ شده‌ای دارید. پسرم علاقه‌مند ورود به حوزه‌ی نرم‌افزار است، به او توصیه می‌کنم به حوزه‌ی امنیت وارد شود، اما مانند بسیاری از دیگر کودکان دوست دارد بازی طراحی کند.

اما یک مسئله‌ی بسیار اساسی وجود دارد … ما انسان‌ها همیشه در مورد فناوری‌های نو هیجان‌زده عمل می‌کنیم، چرا که با کمک آن‌ها می‌توانیم تجربه‌های نویی داشته باشیم-از جمله آن‌ها، فناوری‌های قابل حمل و پوشیدنی، خانه‌های هوشمند و متصل، در دسترس بودن اطلاعات همه جا و در همه‌ی زمان‌ها. این موضوع برای نسل جدید دیگر امری بدیهی تلقی می‌شود.

من به عنوان کسی که در حرفه‌ی امنیت شبکه فعالیت می‌کنم، می‌دانم که تهدیدات بسیاری وجود دارند. و تهدیدات و چالش‌های مقابله با آن‌ها بدون توقف در حال رشد است.

من بیش از ۳۰ سال است که در این حرفه مشغول هستم. مردم از من می‌پرسند، آیا اوضاع امنیت بهتر می‌شود؟ پاسخ من این است که نه، فکر نمی‌کنم.

در مورد تهدیدات موجود در اتصالات باید بگویم که این موضوع حل نشدنی است. سؤال این است که چه کاری از دستمان بر می‌آید که حداقل بتوانیم زندگی خصوصی خود را به عنوان یک شهروند عادی داشته باشیم؟

فرض پایه بر این است که این مشکلی ذاتاً مهارنشدنی است. همه‌ چیز به شما بر می‌گردد که چگونه این تهدیدات را کنترل و مدیریت می‌کنید.

در طول یک سال گذشته، بدافزار Heartbleed، کتاب‌خانه‌ی گنو‌سی (glibc)، آسیب‌پذیری OpenSSL، و FREAK را شاهد بودیم. ما پایگاه کدی داریم که همه از آن استفاده می‌کنند، اما کسی به آن توجهی ندارد.

این موضوع به دلیل پیچیدگی زیاد اجتناب ناپذیر است. احتمال امن بودن هر سکوی رایانش تقریباً صفر است. تقریباً در همه‌ی زیربنای شبکه‌ای، آسیب‌پذیری‌های ذاتی وجود دارد.

همه‌چیز با این پیش‌فرض همراه است که محیط نر‌م‌افزاری اساساً آسیب‌پذیر بوده و جای گریزی هم نیست.

OpenSSL نقطه‌ای حساس بوده و مدت زیادی است که از آن استفاده می‌شود اما خیلی به آن پرداخته نشد.

همیشه به نرم‌افزارهای منبع‌باز توجه کمی می‌شود، استفاده از آن‌ها رایگان است، و کار را راه می‌اندازند. همیشه میان کارکردی یک نرم‌افزار، که فقط کار می‌کند، و امنیت و قابل اعتماد بودن آن تمایز وجود دارد.

کارکرد OpenSSL در سطح عالی قرار دارد. به خوبی کار می‌کرد و امکان برقراری ارتباطات را هم به خوبی فراهم می‌کرد، اما چند ویژگی دیگر هم در آن وجود داشت که کسی از آن خبر نداشت.

از کدام نقطه است که می‌توانیم بگوییم، ارزشش را دارد که دوباره از نو شروع کنیم؟

غیر ممکن است. نرم‌افزارهای قدیمی بسیاری وجود دارند که تغییر همه‌ چیز را غیر ممکن می‌کنند. اگر بتوان محیطی امن را برقرار کرد، حتی اگر اجزای غیر قابل اعتمادی هم در آن وجود داشته باشند، می‌توانیم بگوییم که مشکل اساسی حل شده است.

آیا این همان بازتاب تلاش‌های اخیر گروه ویژه‌ی مهندسی اینترنت (IETF) نیست؟

هرچه IETF به این کار ادامه می‌دهد، بیشتر در مسیر صحیح قرار می‌گیرد. اما به طور همزمان با مشکل بی‌نظمی‌ هم دست به گریبان هستند. وضعیت طبیعی جهان به همین بی‌نظمی است.

هر کجا که شبکه نقش اساسی داشته باشد، که به طور خاص Cisco در آن حرف اول را می‌زند، ما فناوری لازم برای نظارت بر آن اجزای غیر قابل اعتماد را داریم و از آن‌جا که می‌توانیم به ترافیک ورودی و خروجی این محدوده‌های پرخطر نظارت داشته باشیم، به محض اطمینان از در خطر بودن آن اجزا می‌توانیم آن را از محدوده خارج کنیم.

پس اگر دنیای شبکه‌ای با تقریباً بینهایت نقطه‌ی پایانی را در نظر بگیرید، و اگر نتوانید امنیت را از جانب همین نقاط پایانی تضمین کنید، چاره‌ای جز تکیه به زیربنای شبکه برای حفاظت از/در برابر نقاط پایانی نداریم.

این موضوع قدیمی مربوط به دهه‌ی ۱۹۹۰ که با ورود دیواره‌ آتش مطرح می‌شد: «ما می‌توانیم شبکه را امن کنیم» در برابر ادعای Unix «میزبان‌ها باید امن شوند». هنوز وجود دارد، آیا از آن فراتر رفته‌ایم؟

در حقیقت نه. همین است که من در Cisco به این نتیجه رسیده‌ام که با گذر زمان و اتصال بیشتر جهان به هم، تنها راه کاهش تهدیدات، امن کردن شبکه و تکیه به آن برای مدیریت این تهدیدات است.

نظارت بر رفتارها، بر نقاط پایانی، آیا آن‌ها قابل اعتمادند؟ آیا در حال انجام فعالیت مخربی هستند؟ آیا این نشانه‌ها می‌توانند بیان‌گر به خطر افتادن اجزا باشند؟

این‌ها همه سؤالاتی هستند که در کارم با آن‌ها مواجه می‌شوم. و بعد از آن تصمیم درست را باید اخذ کنم: اجزای آسیب‌پذیر را مجزا کرده و دسترسی به آن را ببندم.

در بازی بین مهاجمین و دفاع‌کننده‌ها، مهاجمین سعی در از بین بردن نقاط پایانی بیشتری دارند، و به طور مشابه نقش شبکه در توان دفاعی مقابل این حملات در حال افزایش است.

این توان را داریم که هسته‌هایی امن از نظر برنامه‌نویسی و ریاضی داشته باشیم. آیا شانسی هم برای اجرای عملی آن داریم؟

ایده‌ی هسته‌های ذاتاً امن مدت زیادی است که وجود دارد. مثلاً سامانه عامل لینوکس می‌تواند گامی در جهت صحیح برای تحقق این هدف باشد. مشکل در این است که در بسیاری از موارد کاربردی در اینترنت اشیاء (Internet of Things یا IoT) پیشرفت‌های بزرگی رخ داده و دیگر دیر است که بخواهیم از نو شروع کنیم. تمامی وسایل به گونه‌ای طراحی شده‌اند که بتوانند انعطاف‌پذیر بوده و قابلیت ارتقاء از دور را داشته باشند، همه‌ی این امکانات سبب می‌شوند که امنیت در آن‌ها در اولویت‌های پایین‌تری قرار بگیرد.

به دلیل همه‌ی مواردی که گفتم اصلاً خوش‌بین نیستم که در نسل‌های بعدی شاهد ابزارهای ذاتاً امن باشیم. فکر نمی‌کنم حتی یک زیرمجموعه‌ی قابل توجه هم چنین ویژگی را پیدا کند. حتی در جواب به سؤالاتی مانند: «آیا دستگاه‌های آینده توان پردازشی برای رمزگذاری را دارند؟ می‌توانند گواهی‌نامه‌ای در خود ذخیره کنند؟» پاسخ می‌دهم خیر. هرچه دستگاه‌ها کوچک‌تر می‌شوند، احتمال امن بودن‌شان کمتر می‌شود، و باید بیشتر بر امنیت زیربنای شبکه‌ای تکیه کرد. من با مشاهده‌ی روند پیش رو تقریباً مطمئن هستم که همه چیز به سمت امنیت کمتر پیش می‌رود، نه بیشتر. و شما هم در آن دنیای غیر قابل اعتمادها کار خواهید کرد.