هیأت دولت اوباما در ابتدا با نظر شرکتهای فنآوری در سیلیکونولی همرأی بود اما در پی وقوع حملات تروریستی اخیر در پاریس، رئیسجمهور اوباما در آخرین سخنرانی خود از رمزنگاران درخواست کمک کرد.
مرور سال: تنشها مدت زیادی در مورد افشاگریهای کارمند سابق NSA ادوارد اسنودن ادامه پیدا کرد اما سال ۲۰۱۵ را باید یک مبارزهی خصمانه میان شرکهای فنآوری در سیلیکون ولی و دولت های غربی دانست.
به گزارش تکنـــــــــــــازدانلود: مأموران قضایی و سیاستمداران در هر دو سوی اقیانوس اطلس پیوسته شکایت میکنند که اینترنت در حال تاریک شدن است (اصطلاحی که اولین بار جیمز کومی، رئیس FBI آن را اعلام نمود) و این مشکل به خاطر رمزنگاری انتها به انتها است و در نتیجهی آن تحقیقات در مورد تروریسم و دیگر جنایات بزرگ به نتیجه نمیرسد.
کاربرد رمزنگاری انتها به انتها به این معنی است که کلیدهای رمزنگاری خصوصی تنها در دستگاههای ارسالکننده و گیرندهی پیام قرار دارند و نه در کارگزارهای ارائهکنندهی خدمات و بنابراین در این کارگزارها چیزی برای ارائه به نیروهای پلیس نیست – حتی اگر خدمات را خود انجام دهند.
متخصصان فنآوری نظیر Tim Cook از شرکت اپل و رمزنگاران استدلال میکنند که دولتها سعی میکنند رمزنگاری را ضعیف کنند. هر تلاشی برای دسترسی فوقالعادهی دولت به دستگاهها – نظیر ایجاد یک در پشتی- بیتردید سامانهی رمزنگاری را ضعیف کرده و آنها را در برابر حملاتی که از سوی آژانسهای اطلاعاتی دولتهای خارجی و جنایتکاران صورت میگیرد، آسیبپذیر میکند.
هیأت دولت اوباما در ابتدا با نظر شرکتهای فنآوری در سیلیکونولی همرأی بود اما در پی وقوع حملات تروریستی اخیر در پاریس، رئیسجمهور اوباما در آخرین سخنرانی خود از رمزنگاران درخواست کمک کرد.
دولت بریتانیا تحت نخستوزیری دیوید کامرون یک سیاست تهاجمی را در پیش گرفته و عنوان میکند که نیروهای اجرایی و قضایی باید دسترسی به ارتباطات رمزنگاری شده را داشته باشند تا بتوانند در برابر تروریستها از دیگران حفاظت کنند. این سیاست در قالب یک لایحهی دولت به مجلس قانونگذاری ارائه شده است.
قانون ارائهشده توانایی امکانات موجود را یکپارچه کرده و برای مقابله با رمزگذاری و از بین بردن آن در جهت کمک به نیروهای قانون آنها را به روزرسانی و تقویت میکند که شامل جمعآوری اطلاعات و ورود تجهیزات و ارائهی خدمات به این نیروهای اجرایی و پلیس هستند.
IPB به ارائهدهندگان خدمات ارتباطی CSP احتیاج دارند تا اطلاعات مربوط به مکالمات را در اختیار آنان قرار دهند و برای مسدود کردن مکالمات و حفظ قابلیت مسدودسازی مکالمات و حفظ توانایی حذف هر نوع رمزنگاری بلکه توسط ارائهدهندگان خدمات ارتباطی صورت میگیرد به آنان کمک کنند.
با وجود آنچه منتقدان به عنوان فشار برای تضعیف رمزنگاری عنوان میکنند، دولت بریتانیا به رهبری حزب محافظهکار جاهطلبی خود را برای حفظ بریتانیا در میان بالاترین کشورهایی که از تجارت الکترونیک استفاده میکنند ادامه میدهد.
وزیر بریتانیا جورج آسبورن، اخیراً اعلام کرده است که دولت بریتانیا برنامهای را طراحی کرده است تا امنیت فضای مجازی را دو برابر کند و در این راه برای ایجاد مرکز ملی فضای مجازی سرمایهگذاری کرده است. هزینهکردن برای امنیت فضای مجازی به ۱.۹ میلیارد پوند در سال ۲۰۲۰ افزایش خواهد یافت در حالیکه بودجهی عمومی در همین زمان کاهش مییابد. این تعهد هزینه در پی سخنرانی روبرت هنیگان مدیرعامل یک شرکت خصوصی صورت میگیرد که از دولت انتقاد کرد بود که تلاشی برای بهبود امنیت فضای مجازی انجام نمیدهد.
افتخار بیشتر در نفوذ تا در نظارت
در حالیکه نبرد دوم رمزنگاری قوس اصلی داستان امنیت سال است، روایتهایی از نفوذهای امنیتی چندی در سال گزارش شده است.
نفوذ به دفتر مدیریت کارکنان دولت ایالات متحدهی آمریکا در ماه ژوئن اطلاعات شخصی بسیاری از کارمندان را در معرض افشاء قرار داد. چین برای این نفوذ مورد سرزنش قرار گرفت ولی به طور جدی مورد هجوم انتقادات قرار نگرفت. این دفتر OPM یک سامانهی دولتی ایالات متحدهی آمریکا بود و بنابراین برای جاسوسی مورد مناسبی بود. حتی این نفوذ تحسینهایی را برای چین در بر داشت.
با نفوذ به OPM دادههای اطلاعاتی مربوط به بیش از ۲۱.۵ میلیون نفر از شهروندان در معرض خطر قرار گرفت که نفوذگر را قادر میساخت تا به اطلاعات پشتپرده در پژوهشها دسترسی پیدا کند.
در برابر آن چین، ادعا کرده است که نفوذ به شرکتهای این کشور برای سرقت اطلاعات صنعتی صورت گرفته است و باعث خشم و سالها درگیریهای دیپلماتیک شده است. دولت آمریکا اعلام کرده است که در جاسوسیهای تجاری درگیر نیست. (نفوذ به Petrobras در برزیل که به وسیله اسنودن افشاء شده است ممکن است چیز دیگری را نشان بدهد.)
این اختلاف سالها ادامه داشت. هر چند ممکن است با امضای قراردادری میان چین و ایالات متحده که به دنبال سفر رسمی رئیسجمهور چین Xi Jinping به ایالات متحده صورت گرفت، تغییری در مواضع دو طرف صورت گرفته باشد. چنین موارد مشابهی از جاسوسی میان چین و انگلستان و آلمان نیز وجود داشته است.
با وجودی که نفوذ به OPM جدی بود اما این واقعه چیزی بیشتر از شرمساری ناشی از نفوذ به وبگاه اشلی مدیسون در ماه جولای نبود. تیم نفوذگران ادعا کردند که به دادههای کاربران، اطلاعات اقتصادی و دیگر اطلاعات خصوصی کاربران اشلی مدیسون دسترسی دارند که تعداد آنها بالغ بر ۳۷ ملیون نفر میشود. نفوذگران تهدید کردند که اگر دارندهی وبگاهAvid Life Media این وبگاه را نبندد، این اطلاعات را افشاء خواهند کرد.
ALM از پذیرش این درخواست اخاذی سر باز زد که موجب شد یک هفته بعد تیم نفوذگران دادههای این کاربران را افشاء کنند.
تعداد زیاد دیگری از نفوذها نیز در این سال قابل مشاهده است اما دو مورد از
این نفوذها از اهمیت بیشتری برخوردار هستند که آنها را قابل ذکر میکند و
شامل نفوذ به سامانهی ارائهدهندهی اینترنت TalkTalk در انگلستان و نفوذ
به ارائهدهندهی خدمات پزشکی Anthem در آمریکا است.
TalkTalk تأیید کرد که نفوذ به سامانهی این شرکت ممکن است جزییات شخصی مشتریها را در معرض افشاء قرار دهد. TalkTalk نتوانسته بود همهی دادههای کاربران را رمزنگاری کند. بخشی از شمارههای کارتهای اعتباری و نام و نشانیها و تاریخ تولد و شمارهی تلفن و آدرس رایانامهها در معرض افشاء قرار گرفتند، و بنابراین مشتریان بالقوه توسط مجرمان در خطر قرار گرفتند.
Anthem در ماه فوریه اعلام کرد که قربانی حمله یک نفوذ به سامانه قرار گرفته است که منجر به سرقت اطلاعات بسیار حساس ۷۸.۸ میلیون نفر از بیماران خود شده است. Anthem بعدها اعلام کرد که این نفوذ اطلاعات ۸.۸ تا ۱۸.۸ میلیون نفر از افرادی که بیمار نبودند را هم به سرقت برده است که شامل اسامی، تاریخهای تولد، شمارههای بیمهی اجتماعی، نشانیها و اطلاعات استخدام افراد بوده است.
حمله به Anthem شروع یورش به مجموعهای از ارائهدهندگان خدمات پزشکی در آمریکا بوده است که شامل حمله به Premera Blue Cross و Excellus BlueCross BlueShield. میشده است.
بازار آسیبپذیری
آسیبپذیری به اشکال مختلف در سال ۲۰۱۵ به فراوانی وجود داشت. آسیبپذیری هولناک اندروید موجب ارائهی سریع بسته تعمیری برای آن شد. بعد از سالها نادیده گرفتن و اهمین ندادن به این مشکل بالاخره تولیدکنندگان تلفنهای هوشمند تصمیم به انجام اقداماتی در این زمینه گرفتند. برای مثال گوگل و سامسونگ تعهد کردند که هر ماه به روزرسانیهای امنیتی خود را منتشر کنند.
علاوه بر این سال ۲۰۱۵ سالی بود که جهان آی¬تی این رویا را به واقعیت مبدل کرد که چرخ خودروها به وسیلهی رایانه به گردش درآید، این موضوع موجب شد که برخی از مدلها که دارای نقصهای امنیتی بودند در معرض خطر و آسیب قرار گیرند همچنانکه پیشتر در فیلمهای علمی و تخیلی به آنها پرداخته شده بود.
دو تن از محققان امنیتی مشهور خودرو به نامهای چارلی میلر و کریس ولسک از راه دور یک جیپ چروکی را با شبکهی تلفن همراه مورد نفوذ قرار دادند و بعد از ورود به درون سامانهی Uconnect خودرو کنترل فعالیتهای اصلی آن را به دست گرفتند.
این دو قبلاً نیز به درون سامانههایToyota Prius و یک Ford Escape نفوذ کرده بودند. اما این دو نفوذ با استفاده از اتصال مستقیم به شبکهی خودرو از طریق یک پورت در زیر داشبورد آنها انجام شده بود. آخرین نفوذ مربوط به کنترل کردن یک جیپ از فاصلهی ده مایلی بود که به آنها اجازه میداد سامانهی تهویهی خودرو و موسیقی آن را روشن کنند و انتقال اطلاعات آن را از کار بیاندازند و حتی ترمزهای آن را غیرفعال کنند.
این محققان نشان دادند که نفوذگران ماهر قادر هستند به راحتی به درون خودروها با دانستن نشانیهای IP آنها نفوذ کنند.