سه شنبه , ۳۰ مرداد ۱۳۹۷

ویروس روز؛ روزهای ‌آغاز ویروس

 

امروزه بدافزار به یک کلمه روزمره تبدیل شده‌ است، اما شاید بسیاری از ریشه‌های آن خبر نداشته باشند. بدافزار یا Malware (از دو کلمه Malicious Software شکل گرفته است) به هر نوع نرم‌افزاری اشاره دارد که به‌طور عمده برای اجرای یک عمل بدون مجوز و اغلب مخرب روی کامپیوتر ساخته شده است. اما این از کجا آغاز شد و چگونه به آن‌چه امروز است رسید؟ برای آن‌که بدانیم باید در آینده منتظر چه چیزی باشیم، لازم است نگاهی به گذشته بدافزار بیاندازیم.

 

میان بیش‌تر کارشناسان توافق وجود دارد که بدافزار عبارتی مشترک برای انواع مختلفی از نرم‌افزارهای مخرب است، از جمله ویروس‌ها، کرم‌ها و تروجان‌ها. شاخه‌های دیگر بدافزار شامل exploit code، روت‌کیت‌ها، سازنده‌ها و پکرها می‌شود. اما همه بدافزارها به‌طور مشخص و کامل در یکی از دسته‌های گفته‌شده قرار نمی‌گیرند. برخی در محدوده‌ای خاکستری میان آن‌چه مشروع است و آن‌چه مخرب است جای می‌گیرند، مانند تبلیغ‌افزار و ریسک‌وِر.
بدافزار پی‌سی برای نخستین‌بار در سال 1986 به شکل ویروس Brain ظاهر شد. برِین یک ویروس سکتور بوت بود که با تغییر نخستین سکتور در دیسک‌های فلاپی کار می‌کرد. نویسندگان ویروس‌های سکتور بوت برای انتشار ساخته‌های خود نیازی به اجرای ترفندهای مخفیانه مهندسی اجتماعی نداشتند. در مقابل، برای انتشار غیرعمدی ویروس به کمترین میزان تعامل کاربر نیاز بود. در دهه 1980 دیسک‌های فلاپی معنای اصلی انتقال داده از یک کامپیوتر به کامپیوتری دیگر و از یک کاربر به کاربری دیگر بودند. بنابراین، تقریباً اجتناب‌ناپذیر بود که دیر یا زود کاربر یک دیسک فلاپی آلوده را به یک دوست یا همکار (یا مشتری) بدهد و ناخواسته ویروس را منتشر کند.
در سال‌های بعدی، ویروس‌های سکتور بوت بیش‌تر و بیش‌تر پالوده و توسعه ‌یافته شدند. بیش‌تر وارثان برین برای آلوده کردن هارددیسک نیز طراحی شده بودند. در بیش‌تر مورد این به معنای نوشتن کد روی MBR (سرنام Master Boot Record) بود. در هر صورت، برخی (مثلاً ویروس Form) سکتور بوت هارد‌دیسک را آلوده می‌کردند. تعداد کمی هم (مثلاً ویروس Purcyst) هم MBR و هم سکتور بوت را آلوده می‌کردند.

آلوده‌کنندگان فایل DOS
تا سال 1995 ویروس‌های بوت هفتاد درصد از همه آلودگی‌های یافته‌شده در این حوزه را تشکیل می‌دادند. اما آن‌ها تنها نوع ویروس نبودند. در این زمان بود که ظهور ویروس‌های آلوده‌کننده فایل‌های اجرایی داس، ابتدا فایل‌های COM و بعد هم فایل‌های EXE، مشاهده شدند. این ویروس‌ها فایل میزبان را طوری دستکاری می‌کردند که کد ویروس با اجرای فایل به‌طور خودکار اجرا می‌شد. در حالی‌که تعداد کلی ویروس‌ها از اواخر دهه 1980 به‌طور پیوسته افزایش داشت، دورنمای تهدیدها تحت سلطه تعداد کمی از ویروس‌های بسیار موفق بود. به‌عنوان نمونه Jerusalem در میان شرکت‌ها، مؤسسه‌های دانشگاهی و نهادهای دولتی انتشار یافت و در 13 مه 1988 (که با عنوان جمعه سیاه شناخته شد) نخستین اپیدمی بزرگ ویروسی را ایجاد کرد. پس از آن، به‌دنبال انتشار کدهای سورس ویروس Vienna انواع مختلفی از آن منتشر شد. Cascade نیز به‌دلیل این‌که نخستین ویروس رمزنگاری‌ شده بود، قابل ذکر است که تا دهه 1990 نیز مرسوم بود.
این‌ها فقط چند نمونه قابل‌ذکر از تاریخچه بدافزار هستند. در طول زمان طبیعت تهدید به‌شکل قابل توجهی تغییر یافت. تهدیدهای امروز بیش از هر زمان دیگری پیچیده هستند. اغلب بدافزارهای امروزی با اهداف خاص شده‌اند تا با نفوذ و دزدی از کامپیوترها به‌طور غیرقانونی پول‌ساز شوند. امکان ارتباطی که توسط اینترنت فراهم شده به معنای اجرای سریع‌تر و آسان‌تر حمله‌ها روی کامپیوترهای قربانی‌ها است و همچنین این‌که حملات به مقدار مورد نیاز بدافزارنویسان و تبهکاران زیرزمینی حامی آن‌ها، گسترده یا گزینشی باشند.
کد مخرب می‌تواند در ایمیل جاسازی شده باشد، در بسته‌های نرم‌افزاری کپی تزریق شود، یا در «منطقه خاکستری» صفحه‌های وب برای دانلود توسط تروجان‌های نصب‌شده روی کامپیوتر آلوده قرار داشته باشد. ابعاد مشکل، از نظر ارقام نیز همچنان افزایش یافته است. تعداد نمونه‌های منحصربه‌فرد بدافزارها که روزانه تجزیه و تحلیل می‌شوند به صدها هزار رسیده است.

ظهور هرزنامه
استفاده فزاینده از ایمیل در دهه 1990 به‌عنوان یک ابزار اصلی کسب‌وکار موجب ظهور یک مشکل دیگر شد. این مشکل با نام  Junk Email، Unsolicited Bulk E-Mail یا Spam شناخته شد. با تکیه بیش‌تر و بیش‌تر کسب‌وکارها به ایمیل، استفاده‌کنندگان از آن نیز به اهداف جذابی برای آن‌ها تبدیل شدند که به‌دنبال راه‌های جدیدی برای تبلیغ کالاها و سرویس‌های خود بودند. چنین تبلیغ‌هایی محدوده گسترده‌ای را پوشش می‌داد، از کالاها و سرویس‌هایی که قانونی بودند تا آن‌هایی که غیرقانونی یا به‌دردنخور بودند.
ظهور و رشد هرزنامه با چندین تغییر آن همراه بود. این دوران علاوه‌بر توسعه پالایش محتوا که برای فیلتر کردن هرزنامه یا دیگر محتواهای ناخواسته در اینترنت پیاده‌سازی شد، شاهد همکاری میان عرضه‌کنندگان ضدویروس نیز بود که به‌طور فزاینده‌ای روی فیلتر کردن کدهای مخرب در میل سرور و دروازده اینترنت تمرکز می‌کردند. با ادامه استفاده مصرف‌کنندگان از ایمیل و اینترنت در اوایل دهه 2000 تمرکز اصلی بدافزارنویسان روی دسکتاپ و لپ‌تاپ‌ها باقی ماند، اما آن‌ها همچنین به تکامل انگیزه‌های خود برای تولید بدافزار نیز پرداختند.

از خراب‌کاری سایبر تا جرم‌های سایبری
تکامل بدافزار همچنین وابسته به توسعه‌های فناورانه گسترده‌تری بود. به‌عنوان نمونه، تغییر در طراحی سیستم‌عامل‌ها و افول استفاده از دیسک‌های فلاپی در ترکیب با مرگ ویروس‌های سکتور بوت. تحولات حوزه فناوری و استفاده آن در جامعه نیز موجب تغییر در انگیزه‌های پشت توسعه بدافزار شد.
تا حدود سال 2003 ویروس‌ها و انواع دیگر بدافزار به‌طور عمده اعمال ایزوله‌ای از خرابکاری کامپیوتری بودند؛ ابزار وجود ضداجتماعی با استفاده از امکانات پیشرفته. بیش‌تر ویروس‌ها محدود بودند به آلوده‌سازی دیسک‌ها یا برنامه‌های دیگر و «آسیب» به‌طور عمده به شکل از دست رفتن داده تعریف می‌شد، چنان‌که یک ویروس داده‌های ذخیره‌شده روی دیسک آلوده را پاک یا خراب می‌کرد. پس از 2003 اما چشم‌انداز تهدیدها شروع به رفتن زیر سلطه بدافزارهای تبهکارانه کرد.
این روند تحت‌تأثیر تغییر کسب‌وکار مصرف‌کننده‌ها بوده است. به‌خصوص این‌که تبهکاران زیرزمینی ظرفیت موجود برای پول در‌آوردن از کدهای مخرب در دنیای «متصل» را در‌یافتند. تغییر در انگیزه، تغییر در تاکتیک‌ها را نیز به ارمغان آورد. در نتیجه شاهد کاهش اپیدمی‌های جهانی بودیم که برای انتشار بدافزار در دورترین مناطق و به سریع‌ترین شکل ممکن طراحی می‌شوند.
تعداد اپیدمی‌های جهانی از اوج آن‌ها در سال 2003 به‌طور مداوم روندی رو به کاهش داشته ‌است. این به آن معنا نیست که آلودگی توده‌ای وجود نداشته، بلکه به عمد غیر جهانی طراحی شده‌اند،  یعنی کاملاً برای هدف مشخصی توسعه یافته‌اند.
یکی از دلایل این موضوع این است که آژانس‌های مجری قانون در سراسر دنیا مهارت بسیار بیشتری در پیدا کردن رد تبهکاران الکترونیک پیدا کردند. دلیل دیگر نیز این است که پژوهشگران ضدویروس، سال‌ها ممارست را برای مقابله با اپیدمی‌های بزرگ در چنته داشتند. عکس‌العمل سریع به تهدیدها جدید فقط بخش کوچکی از این موضوع به شمار می‌آید.
گروه‌های پژوهشی ضدویروس در دنیا «آنتن اخطار زودهنگام» را توسعه دادند که قابلیت رؤیت زودهنگام فعالیت خرابکارانه در اینترنت را به آن‌ها می‌بخشد. وقتی که یک حمله رخ می‌دهد، سرورهایی که به گردآوری اطلاعات محرمانه از دستگاه‌های قربانی می‌پردازند ردگیری شده و جلوی ارسال آن‌ها گرفته می‌شود تا تأثیر یک حمله کاهش یابد.
دلیل سومی هم وجود دارد و آن ذات انگیزه‌های تبهکاران زیرزمینی است. بدافزارها برای سرقت اطلاعات محرمانه از کامپیوترها طراحی شده‌اند که این اطلاعات بعدها برای کسب درآمد غیرقانونی مورد استفاده می‌گیرند، پس داده‌های گردآوری‌شده باید پردازش و استفاده شوند. درگیر بودن میلیون‌ها دستگاه علاوه بر این‌که ردیابی را آسان‌تر می‌کند یک عملیات لجستیکی عظیم نیز فراهم می‌کند. بنابراین؛ برای بدافزارنویسان منطقی‌تر است که در یک عملیات مهارشده «بزن و در رو» در ابعاد کوچک، روی مثلاً یک هزار هدف تمرکز کنند.
در چند سال اخیر، همچنین شاهد یک افزایش مداوم در حمله‌های هدفمند (گاهی از آن‌ها به عنوان APT سرنام Advanced Persistent Threats یاد می‌شود) بوده‌ایم. چنین حمله‌هایی روی یک هدف یا تعداد محدودی از اهداف تمرکز می‌کنند، بنابراین، در این موارد یک اپیدمی توده‌ای برای تبهکاران سایبر زیان‌آور خواهد بود.
چنین حمله‌هایی اغلب با استفاده از تروجان به اجرا در می‌آیند. در چند سال اخیر شاهد یک افزایش کلان در تعداد تروجان‌ها بوده‌ایم: آن‌ها اکنون به اسلحه منتخب بدافزارنویسان تبدیل شده‌اند. البته، تروجان‌ها انواع مختلفی دارند که هر کدام برای انجام یک عمل خاص روی دستگاه قربانی طراحی شده‌اند. آن‌ها شامل تروجان‌های بک‌دور، تروجان‌های سارق رمز عبور، Trojan-Dropperها، تروجان‌های دانلودکننده و تروجان پروکسی‌ها می‌شوند.
آن‌ها می‌توانند برای گردآوری اطلاعات محرمانه (نام کاربری، رمز عبور، PIN و…) برای کلاهبرداری کامپیوتری استفاده شوند یا این‌که می‌توانند کامپیوترها را در یک «ارتش زامبی» به خدمت بگیرند تا یک حمله DDoS را در یک سازمان ترتیب دهند.
این موارد برای اخاذی از سازمان‌ها به‌کار گرفته شده‌اند: یک حمله DDoS نمایشی نمونه‌ای از آن‌چه در صورت عدم پرداخت رخ خواهد داد به قربانی نشان می‌دهد. یا این‌که می‌توان از دستگاه‌های قربانی به‌عنوان پروکسی برای توزیع هرزنامه استفاده کرد. همچنین تعداد تروجان‌های باج‌گیری که برای اخاذی از کاربران استفاده می‌شوند افزایش مداوم داشته است.

بدافزار موبایل
نخستین بدافزار مخصوص تلفن‌های همراه کرم Cabir بود که در سال 2004 ظاهر شد. این تهدید با استفاده از بلوتوث گسترش می‌یافت، با سوءاستفاده از این واقعیت بسیاری از دستگاه‌های با بلوتوث فعال در حالت قابل کشف رها می‌شوند. این کرم کاربران مختلفی را در چهل کشور در دنیا آلوده ساخت. این حمله با تهدیدهای مشابه دیگری ادامه یافت. این تهدیدها شامل کرم Comwar نیز می‌شوند که از MMS برای ارسال خود به افراد موجود در دفترچه تلفن فرد قربانی استفاده می‌کرد. یا تروجان Flexispy که کنترل اسمارت‌فون را در دست می‌گرفت و اطلاعات تماس و پیامک‌ها را برای «Master» یا رئیس کنترل تروجان ارسال می‌کرد.
در هر حال، حجم تهدیدهایی که دستگاه‌های قابل حمل را نشانه می‌گرفتند کم بود؛ یک قطره در مقایسه با سیل تهدیدهای تحت ویندوز. یک دلیل این امر این بود که بدافزارنویسان هنوز در حال کسب تجربه درباره امکانات مربوط به دستگاه‌های قابل حمل بودند. اما این دلیل نیز وجود داشت که بازار اسمارت‌فون تازه توسعه خود را آغاز کرده بود. به بیان دیگر، مردم برای تبادلات مالی یا ذخیره داده‌های حساس هنوز از اسمارت‌فون‌ها استفاده نمی‌کردند.
نقطه اوج این حمله‌ها که باعث انتشار گسترده آن‌ها شد، سال 2011 بود. تهدیدهایی که در این سال کشف شد برابر است با کل تهدیدهایی که در دوره 2004 تا 2010 کشف شد. رشد انفجاری همچنان ادامه یافت: حجم تهدیدهای سال 2012 شش برابر سال 2011 بود. کل تعداد تهدیدهای دستگاه‌های همراه اکنون به ده‌ها هزار رسیده و نرخ رشد همین‌طور ادامه دارد.
همچنین در تعداد تهدیدهای مبتنی‌بر آندروئید از سال 2011 افزایش کلانی مشاهده شده است. در طول آن سال، 65 درصد تهدیدها این پلتفرم را نشانه گرفته بودند. در سال 2013 نیز تقریباً 99 درصد تهدیدها آندروئید را مورد هدف قرار داده‌اند.
از یک طرف، این نشان‌دهنده سهم بازار رو به رشد گوگل را نشان می‌دهد. از طرف دیگر این نتیجه استراتژی «بازار را بگیر» از سمت گوگل بوده‌است. آندروئید یک محیط باز را برای توسعه‌دهندگان برنامه فراهم می‌کند که این به یک مجموعه بزرگ و متنوع از برنامه‌ها انجامیده است. همچنین هیچ محدودیتی برای این‌که افراد از کجا برنامه‌ها را دانلود کنند، وجود ندارد. آن‌ها می‌توانند برنامه را از گوگل پلی، هر بازار یا سایتی که برنامه‌های موبایل عرضه می‌کنند، دانلود کنند. این موضوع مردم را بیش‌تر در معرض بدافزارها قرار می‌دهد. این روش همچنین فرد استفاده‌کننده از دستگاه را مسئول امنیت دستگاه می‌کند: آن‌ها هستند که اجازه می‌دهند یک برنامه اجرا شود یا به چه بخش‌هایی از سیستم دسترسی داشته باشد، مثلاً به دفترچه تلفن دسترسی داشته باشد یا بتواند پیامک بفرستند.
تا چند سال پیش، اعمال یک برنامه مخرب موبایل به خود دستگاه تحت کنترل محدود می‌شد. اما در سال‌های اخیر تعدادی بات‌نت‌های موبایل مشاهده شده است.
نخستین نمونه این موارد که آندروئید را مورد هدف قرار داده بود، یک بات ترکیبی بک‌دور و IRC با نام Foncy بود که در ژانویه 2012 ظاهر شد. تبهکاران سایبری پشت این بدافزار بعدها توسط پلیس فرانسه دستگیر شدند. پیش‌بینی می‌شود دوهزار دستگاه آلوده بیش از 160 هزار دلار درآمد غیرقانونی برای گروه در بر داشته است.
رشد انفجاری بدافزار موبایل تحت‌تأثیر چندین عامل اتفاق افتاده است. نخست این‌که در سال‌های اخیر افزایش چشم‌گیر تعداد اسمارت‌فون‌ها منبع بزرگی از قربانی‌های بالقوه را پیش روی تبهکاران سایبری قرار داده است. دوم این‌که مردم به‌طور فزاینده‌ای از موبایل برای انجام اعمالی استفاده می‌کنند که قبلاً در کامپیوتر خود انجام می‌دادند، اعمالی مانند ورود به شبکه اجتماعی، ایمیل یا استفاده از حساب بانکی. بنابراین، وجود داده‌های محرمانه‌ای که در صورت دزیده شدن می‌توانند پول‌ساز شوند، انگیزه خوبی به دست تبهکاران سایبری می‌دهد برای توسعه بدافزارهایی مخصوص این دستگاه‌ها. دلیل سوم افزایش تعداد کسب‌وکارهایی است که به کارکنان خود اجازه می‌دهند برای انجام وظایف کاری از اسمارت‌فون‌های شخصی خود استفاده کنند. این کار می‌تواند برای کسب‌وکارها فواید هزینه‌ای و کارایی در بر داشته باشد، اما به این معنا هم است که اسمارت‌فون‌های افراد به‌طور فزاینده‌ای به ذخیره اطلاعات حساس شرکتی می‌پردازند.
تصادفی نیست که حمله‌های هدفمند اخیر به‌طور خاص دستگاه‌های حمله را هدف قرار داده‌اند. یک نمونه حمله اکتبر سرخ در ژانویه 2012 است که علاوه‌بر دستگاه‌های سنتی از اسمارت‌فون‌ها نیز اطلاعات گردآوری کرد. نمونه دیگر حمله به فعالان Tibetan در مارس 2012 است (بخشی از یک حمله مداوم و گسترده‌تر به این گروه‌ها) که یک برنامه آلوده موبایل به یک ایمیل فیشینگ ضمیمه شده‌ بود.
تا امروز بیش‌تر بدافزارها برای دسترسی روت به دستگاه طراحی شده‌اند. در آینده انتظار می‌رود استفاده از آسیب‌پذیری‌ها سیستم‌عامل را نشانه بگیرند و بر همین اساس توسعه «دانلودهای drive-by» مشاهده شوند.

عامل انسانی بدافزار؛ مهندسی اجتماعی
استفاده از کدهای مخرب تنها روش تبهکاران سایبری برای جمع‌آوری داده و کسب درآمد غیرقانونی از آن نیست. فیشینگ یک نوع خاص از جرم‌های سایبری است و فیشرها که به‌شدت به مهندسی اجتماعی وابسته هستند، یک کپی صد در صد مشابه از سایت یک مؤسسه مالی را ایجاد می‌کنند.
ایمیل‌های تقلبی ارسال‌شده توسط فیشرها یک چیز مشترک دارند: آن‌ها طعمه‌ای هستند برای به دام انداختن مشتری در کلیک کردن روی لینکی که در ایمیل وجود دارد. این مرسوم‌ترین استفاده از «عامل انسانی» بدافزار است. مهندسی اجتماعی درباره نفوذ امنیتی غیرفنی است که به‌شدت به تعامل انسانی وابسته است که کاربران را در شکستن معیارهای معمول امنیتی ضریب می‌دهد. این موضوع در زمینه ویروس و کرم به‌طور معمول به معنای ضمیمه یک ویروس و کرم به یک ایمیل به‌ظاهر بی‌خطر است.
یکی از نخستین نمونه‌ها LoveLetter بود با موضوع ILOVEYOU و متن «لطفاً نامه عاشقانه ضمیمه‌شده را از طرف من را نگاه کنید.» (مشابه SirCam ،Tanatos، Netsky و بسیاری دیگر). ضمیمه این ایمیل می‌تواند یک فایل دوگانه با الحاقیه باشد که طبیعت آلوده ضمیمه را پنهان می‌کند: ویندوز به‌طور پیش‌فرض پسوند دوم (اصلی) را نمایش نمی‌دهد [می‌تواند در ظاهر یک فایل تصویری باشد که با باز کردن آن یک فایل اجرایی نیز به‌طور مخفی به اجرا در می‌آید]. یا این‌که می‌تواند یک ایمیل با ساختاری ظاهراً بی‌خطر یا حتی سودمند باشد.
انسان‌ها به‌طور معمول ضعیف‌ترین حلقه در زنجیره امنیت هستند؛ در بیش‌تر موارد نفوذ به انسان راحت‌تر از نفوذ به سیستم‌های کامپیوتری است. دلیل این امر ناآگاهی بسیاری از افراد از ترفندهای تبهکاران سایبری است، آن‌ها نمی‌دانند به‌دنبال چه نشانه‌هایی باشند و حمله‌های مبتنی‌بر مهندسی اجتماعی هیچ‌گاه یکسان نیستند. این موضوع تشخیص آن را که چه چیزی امن و چه چیزی ناامن است، برای افراد دشوار می‌کند. در نتیجه جای تعجب نیست که نقطه آغاز بسیاری از حمله‌های هدفمند پیچیده فریب و ترغیب کارکنان به انجام چیزی است که در امنیت شرکت نقب می‌زند؛ مثلاً کلیک روی یک لینک یا ضمیمه در یک ایمیل فیشینگ.
گاهی افراد برای راحتی بیش‌تر میان‌بر می‌زنند و بدون این‌که دلایل لزوم رعایت اصول امنیتی را بدانند، آن‌ها را نادیده می‌گیرند. به‌عنوان نمونه این موضوع درباره رمز‌عبور صدق می‌کند. بسیاری از افراد در طول روز کارهایی مانند خرید، معاشرت و کارهای بانکی را به‌صورت آنلاین انجام می‌دهند. بنابراین، غیرعادی نیست که یک نفر بیست یا سی اشتراک آنلاین مختلف داشته باشد که این امر به خاطر سپردن (یا حتی انتخاب) یک رمز عبور منحصربه‌فرد برای هر اشتراک را دشوار می‌کند. نتیجه این می‌شود که افراد برای همه چیز از یک رمز عبور یکسان استفاده می‌کنند؛ اغلب چیزی که به خاطر سپردن آن راحت باشد، مثلاً نام یکی از فرزندان، نام همسر یا نام مکانی که مفهوم خاصی برای آن‌ها دارد. یا این‌که رمزها را دوباره استفاده می‌کند مانند myname1، myname2، myname3 و… استفاده از هر کدام از این رویکردها احتمال حدس زدن رمز را توسط تبهکاران آسان‌تر می‌کند. اگر یک اشتراک به خطر بیفتد، دسترسی به اشتراک‌های دیگر آسان خواهد بود.
در زمینه تکامل بدافزار، بررسی این موضوع نیز مهم است که ببینیم صنعت چگونه به نمونه‌ها دست پیدا می‌کند تا پژوهش‌ها را پیش ببرد و با بدافزارها بجنگد، همچنین این‌که چگونه جرم‌های سایبری به یک مشکل قانونی در سطح ملی و بین‌المللی تبدیل شده‌اند.

چگونه پژوهشگران بدافزار برای تحقیق به نمونه‌ها دست پیدا می‌کنند
مشخص است که پاسخ در دست اشخاص و سازمان‌هایی است که به آلوده بودن کامپیوترهای خود مشکوک هستند و برای حذف بدافزار به کمک نیاز دارند. اما محققان با روش مخصوص خود نیز به نمونه‌ها دست پیدا می‌کنند.
آن‌ها به‌طور کنش‌گرانه با استفاده از نقاط جاذب به جمع‌آوری نمونه می‌پردازند؛ کامپیوترهایی که برای اجرای ایمیل‌های ساختگی یا دیگر سرویس‌های آنلاین پیکربندی شده‌اند. آن‌ها نقش قربانی فداکار را بازی می‌کنند تا به یک هدف برای تبهکاران سایبری تبدیل شوند که به‌دنبال قربانی جدید می‌گردند یا اسپمرهایی که در پی «مشتری‌های» جدید هستند. آن‌ها همچنین از ابزارهای خودکار برای خزیدن در میان سایت‌ها و جست‌وجوی بدافزار استفاده می‌کنند. در نهایت، پژوهشگران بدافزار نمونه‌ها را با یکدیگر به اشتراک می‌گذارند. ممکن است از آنجا که آن‌ها برای شرکت‌های رقیب کار می‌کنند، این کار عجیب به‌نظر برسد. اما رقابت به بازار و محصول محدود است. همکاری متقابل فراوانی در دایره تحقیق وجود دارد. محققان نمونه‌ها و اطلاعات تهدیدهای جدید را به اشتراک می‌گذارند که مشابه آن‌چه است که ما دوست داریم در زمینه اجرای قانون مشاهده کنیم.

چگونگی مقابله با جرم سایبری از نظر قانونی
بزه جنبه‌ای ذاتی از جامعه مدرن است و حوزه‌های انگشت‌شماری از فعالیت انسانی از برخورد با آن در امان هستند. از این رو عجیب نیست که استفاده از فناوری کامپیوتری در مقابل سوءاستفاده از آن قرار می‌گیرد: آن‌ها به‌صورت موازی توسعه می‌یابند.
جامعه از سه راه با تأثیرهای جرم‌های سایبری مواجه می‌شود. راه نخست تدوین قوانینی است که به صراحت جرم‌های مبتنی‌بر کامپیوتر را خلاف قانون اعلام می‌کند و زیرساختی قانونی برای دستگیری آن‌ها که این قانون را شکسته‌اند ترتیب می‌دهد. راه دوم تضعیف تأثیرهای جرم سایبری با استفاده از فناوری است. راه سوم آگاه ساختن همگان از خطرهای بالقوه استفاده از کامپیوتر و فعالیت در فضای آنلاین است.

همکاری بین‌المللی
یک مانع دشوار دیگر در مواجهه با جرم سایبری وجود دارد. بزه‌کاران سایبری فرای مرزهای ژئوپولیتیک فعالیت می‌کنند. نیازی نیست که آن‌ها در همان کشوری سکونت داشته باشند که قربانی ساکن است؛ هر آن‌چه آن‌ها نیاز دارند یک ارتباط اینترنتی است. آن‌ها می‌توانند حمله را از یک کشور به اجرا در آورند، از سرورهای گسترده در کشورهای دیگر بهره‌مند شوند و از خدمات مالی ناشناس مبتنی‌بر اینترنت برای پول‌شویی پول دزدیده‌شده استفاده کنند. در مقابل، آژانس‌های اجرای قانون باید درون مرزهای ژئوپولیتیک فعالیت کنند. به همین دلیل است که همکاری متقابل بین‌المللی بسیار مهم است.
اینترپل در پاسخ به رشد سریع جرم‌های سایبری یک برنامه جرم‌های سایبری توسعه داده تا در مواجهه با تهدیدها به اعضا کمک کند. این موضوع شامل فراهم ساختن اطلاعات، کارشناسی و راهنمایی عملی می‌شود(لينک منبع). اینترپل همچنین از ایجاد IGCI (سرنام INTERPOL Global Complex for Innovation)  خبر داده تا پشتیبانی از آژانس‌های اجرای قانون در جای‌جای دنیا را بهبود بخشد.

مسائل قانونی
جرم‌های سایبری در سال‌های اخیر بیش‌تر و بیش‌تر پیچیده شده‌اند. این موضوع علاوه‌بر محققان بدافزار، برای آژانس‌های اجرای قانون نیز چالش‌های جدیدی ایجاد کرده است.
تلاش آن‌ها برای هم‌گام بودن با فناوری‌های پیشرفته مورد استفاده تبهکاران آن‌ها را در جهت‌هایی می‌راند که نتایج مشخصی برای اجرای قوانین در پی دارد. به‌عنوان نمونه، این موضوع شامل این می‌شود که پس از این‌که مقامات یک بات‌نت را مختل کردند، چه بلایی بر سر کامپیوترهای به‌خطر افتاده می‌آید. چنان‌که در عملیات Operation Ghost Click پلیس ایالات متحده اتفاق افتاد (tinyurl.com/pw2k9cx). اما این موضوع همچنین شامل استفاده از فناوری برای نظارت بر فعالیت‌های مشکوک به بزه‌کاری نیز می‌شود. این یک مشکل جدید نیست؛ به مباحث پیرامون Magic Lantern و Bundestrojan توجه کنید.
به تازگی مباحثی پیرامون اعلام گزارشی از یک شرکت انگلیسی به‌وجود آمد که به مقامات پیشین مصری نرم‌افزار نظارت Finfisher را ارائه داده و گزارش‌هایی مبنی‌بر این‌که دولت هند از شرکت‌ها (شامل اپل، نوکیا و RIM) درخواست کرده تا به دستگاه‌های قابل حمل دسترسی مخفی پیدا کند. مشخص است که استفاده از ابزارهای نظارت قانونی تأثیرهای گسترده‌تری بر حریم خصوصی و آزادی‌های مدنی دارد. چنان‌که آژانس‌های نظارت بر اجرای قانون و دولت‌ها سعی دارند یک گام جلوتر از تبهکاران باشند، به‌نظر می‌رسد استفاده از ابزارهای مذکور – و بحث‌های پیرامون استفاده از آن‌ها – ادامه یابد.
کشورهای زیادی هستند که هنوز قوانین ویژه جرم‌های سایبر در آن‌ها تدوین نشده یا توسعه آن‌ها هنوز در مراحل اولیه است. در انگلستان چنین قانون‌گذاری‌ای به‌خوبی تثبیت شده است. با وجود این، سرعت تغییر فناوری و استفاده‌های جدید از آن، به معنی نیاز به بررسی مداوم این قوانین برای اطمینان از تناسب و مناسب بودن آن‌ها است.

چه انتظاری از بدافزار داشته باشیم؟
در هر حوزه‌ای از فعالیت انسانی آخرین نسل روی شانه‌های آن‌ها ایستاده که پیش از این راه را طی کرده‌اند، از آن‌چه قبلاً انجام شده یاد می‌گیرد، آن‌چه موفق بوده دوباره انجام می‌دهد و همچنین سعی می‌کند چیزهای جدیدی کشف کند. این موضوع درباره بدافزارنویسان نیز صدق می‌کند. موج‌های پی‌درپی بدافزارها چشم‌انداز تهدید را بازتعریف کرده‌ است.
ما پیش‌بینی می‌کنیم که همزمان با توسعه فناوری‌های جدید تبهکاران سایبری بدافزارهایی برای سودجویی از آن فناوری‌ها توسعه می‌دهند و بدافزارها با سرعتی بیش‌تر و بیش‌تر پیشرفت می‌کنند و بهبود می‌یابند. به‌عنوان نمونه، افزونه‌های مخرب کروم را در نظر بگیرید که به‌طور فزاینده‌ای مرسوم می‌شوند. آن‌چه می‌توان با اطمینان گفت این است که مشکل بدافزار به این زودی بهتر نخواهد شد.
همچنین مشخص است که راهکارهای امنیتی باید به‌طور محسوس توسعه یابند تا با هر نسل از تهدیدها تطابق داشته باشند.
فناوری‌های امروزی ضدویروس از رویکردهای مبتنی‌بر Signature در ضدویروس‌های اولیه بسیار فاصله گرفته است. آن‌ها شامل فناوری‌های محافظتی پیشرفته می‌شوند، از جمله واکنش سریع به تهدیدهای جدید بر پایه سیستم‌های محافظتی پیچیده مبتنی‌بر کلاود، اسکن‌های عمقی، حفاظت مروگر وب و برنامه و کنترل وب و دستگاه. در هر صورت، وقتی پای بدافزار به میان می‌آید، جامعه امنیت باید به نوآوری ادامه دهد. در نهایت، هم بیماری و هم درمان به‌شکل قابل توجهی از آن‌چه در آغاز مشکل ویروس بودند، متفاوت شده‌اند.

ماهنامه شبکه

Print Friendly, PDF & Email

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*