چه انتظاری میتوان داشت از ضيافتی که ميهمانانش تنها ظرف چند دقيقه از اسمارت فونها قفل میگشايند، به سامانههای الکترونيکی خودروها رسوخ میکنند، برق نيروگاهها را میربايند و هزار ترفند از آستين برون میآورند تا بار ديگر دلسوزانه بانگ برآورند: «امنيت را جدی بگيريد!».
کنفرانس هکرهای کلاه مشکی برخلاف نام دگرگونهاش رويدادی است که ماهرترين پژوهشگران و متخصصان دنيای امنيت را گردهم میآورد تا از تازهترين کاستیهایی که يافتهاند و بهترين راهکارهایی که پروردهاند، سخن بگويند. چه نيک خواهد بود اگر شرکتها و صنايعی که به هر شکلی با جهان فناوری و بسترهای ديجيتال پيوند دارند، يافتهها و گفتههای اين پژوهشگران را بهدقت پی بگيرند تا راه بر راهزنان ببندند و مشتريان خويش را در هر گوشهای از جهان پاس دارند. در این مقاله، چکيدهای از کنفرانس هفده ساله بلک هت (Black hat) را مطالعه خواهید کرد که بين روزهای دوم تا هفتم آگوست در امريکا برگزار شد.
سکوهای مديريت انرژی در معرض تهديد!
پژوهشگرانی از شرکت مشاوره امنيت ERNW آلمان اطلاع دادند که در بسته EnergyWise شرکت سيسکو چند ضعف امنيتی وجود دارد. آنها هشدار دادند که مهاجمان میتوانند از برنامههای اين بسته، نه فقط برای جاسوسی و آشکارکردن دادهها، بلکه برای ايجاد اختلال در شبکه برق سازمانها نيز بهره ببرند. اين پژوهشگران يافتههای خود را به سيسکو نيز گزارش دادند که اين موضوع سيسکو را برآن داشت تا برای مشتريان خود رهنمودها و راهکارهای بازدارنده ارائه دهد. بسته EnergyWise سيسکو برای نمايش اطلاعات مرتبط با ولتاژ، وات، آمپرها و مصرف کيلووات ساعت رکهای سرور و نيز اندازهگيری رطوبت هوا، دما و جريان هوا طراحی شده است.
ياهو در رمزنگاری end-to-end به گوگل میپيوندد…
از ديگر مواردی که در بلکهت امسال مورد توجه پژوهشگران قرار گرفت، رمزنگاریهای ناکارآمد يا استفاده از پروتکلهای ضعيف و قديمی رمزنگاری بود. اما بزرگترين خبر در اين حيطه به ياهو مربوط میشد که اعلام کرد، در حال عملیاتی کردن رمزنگاری end-to-end برای همه کاربران سرويس ايميل خود است. اين همان کاری است که گوگل نيز در ژوئن امسال و با انتشار افزونهای ويژه برای مرورگرها بهمنظور رمزنگاری دادهها انجام داده بود. ياهو و گوگل با اينکار به درخواست کاربران سرويسهای ابری در سراسر جهان، که نگران حريم خصوصی و امنيت خود بودند، واکنش نشان دادند. اين نگرانیها پس از افشاگریهای گسترده ادوارد اسنودن درباره جاسوسیهای اداره امنيت ملی امريکا شدت يافته است. آلکس استاموس، مدير ارشد امنيت اطلاعات ياهو، گفت طرح آنها برای رمزنگاری تا سال 2015 نهایی خواهد شد.
تجهيزات فرودگاهها ضعفهای امنيتی بزرگی دارند
بيلی ريوس، از پژوهشگران امنيتی، میگوید تجهيزات پايشگر يا اسکنر که در فرودگاهها کاربرد گستردهای دارند، دربردارنده ضعفهای بزرگی هستند و با دسترسی به آنها میتوان سازوکارهای مهم و حساسی را دستکاری کرد. ريوس، مدير پژوهش ضعفها در شرکت Qualys، با بررسی دو مدل از اين دستگاههایپايشگر، مشکلاتی را در آنها شناسایی کرد و مراتب را به اداره امنيت حمل و نقل گزارش داد و نيز از سازندگان دستگاهها خواست تا با ايجاد بهبودهای گسترده در اين دستگاهها، نرمافزارهای زيرساختیشان را از نفوذپذيری بازدارند. بررسیهای ريوس نشان داد که امکانات ضعيف مديريتی اين دستگاهها میتواند به نشت اطلاعات مهمی بيانجامد که بهصورت تماممتنی در اين دستگاهها ذخيره میشوند.
بسياری از اين ماشينهای مستقر در محلهای کنترل امنيت فرودگاهها، اکانتهای توکار با گذرواژههای بسيار دشوار اما پيشفرض دارند و همين موضوع يک ضعف بهشمار میآيد. مسئله نگرانکننده اين است که شايد مهاجمان بتوانند از اين اکانتها بهعنوان بکدور و جهت دسترسی به خود دستگاه بهره ببرند. اکانتهای توکار اين پايشگرها را خود شرکتهای سازنده روی محصولاتشان گنجاندهاند تا نگهداری و پشتيبانی از آنها سادهتر شود. اما، اگر حتی خود مديران فرودگاه هم ندانند که چنين اکانتهایی وجود دارد، نمیتوانند گذرواژههای پيش فرض اين دستگاهها را عوض کنند و همين موضوع میتواند دردسرساز شود.
ريوس دريافت که به بعضی از اين پايشگرها میتوان از اينترنت عمومی نيز دسترسی پيدا کرد. هرچند مشخص نيست که پيامد دسترسی به اين دستگاهها تا چه اندازه گسترده است، اما سناريویی را تصور کنيد که در آن تبهکاران، با نفوذ به اين ماشينها نتيجه بازرسی از بارهای خود را تغيير میدهند و بعضی از اقلام ممنوعه را از آن عبور میدهند. ريوس در پژوهشهای خود دستگاههای Morpho Detection Itemiser 3 و Kronos 4500 را بررسی کرده است. او دريافت که هماينک 6 هزار دستگاه Kronos به اينترنت عمومی متصل است، اما خوشبختانه فقط دو عدد از آنها در فرودگاهها مشغول بهکار بود. از آن دو نيز يکی را برچيدند و ديگری هنوز آنلاين و مورد استفاده است.
سخن پايانی…
اين گزارش را با برگزيدهای از يادداشتهای کوتاه جان اولستيک (Jon Olstik)، نويسنده سايت نتورک ورلد، با عنوان «آخرين برداشتهای من از بلکهت 2014» به پايان میبرم. اولستيک حال و هوای بلکهت را در دو واژه خلاصه میکند: «انرژی بسيار» و در توضيح حالوهوای آن مینويسند: «انرژی بسيار، بحثهای عالی و دادوستد انبوه دانش.» به باور او، رويکرد بلکهت به امنيت، با رويکرد RSA (ديگر کنفرانس امنيتی نامآشنای جهان) تفاوت دارد. زيرا RSA در پی چراها است و بلکهت (و نيز تا اندازهای DEFCON) در پی چگونگیها.
ايندو مکمل يکديگر هستند. ما هم به متخصصان امنيتی ماهری نياز داريم که کسبوکار، فناوری اطلاعات و فناوری امنيت را بشناسند و هم به کاروران امنيتی زبدهای که فداکاری، شرافت حرفهای، اشتياق و نیز مهارت فنی عميقی داشته باشند. در اينجا RSA به مورد نخست، و Black Hat و DEFCON به مورد دوم میپردازند. از اينرو، شرکتهای عرضهکننده محصولات و خدمات امنيتی بايد در بلکهت حاضر باشند.
منبع : ماهنامه شبکه