۷ افسانه در مورد امنیت دیجیتال

در طی ۵ سال گذشته همواره دو نکته بوده است که در مورد آنها توجه ویژه‌ای داشته‌ام: درستی اطلاعات و امنیت دیجیتال.

به همین دلیل زمانی اکثر مطالب این وبلاگ در مورد اخبار جعلی و دروغی بود که خبرگزاری‌های مختلف داخل و خارج از ایران منتشر می‌کردند و باقی مطالب هم در مورد امنیت دیجیتال و حواشی آن بوده است که شاید یکی از بهترین آنها را بتوان ماجرای خیالی بودن ارتش سایبری ایران دانست.

چند روز پیش در حالی که مشغول مرور لینک‌ها و مطالبی بودم که در اورنوت ذخیره کرده بودم، به مطلبی جالب در مورد ۷ افسانه در مورد امنیت اینترنت و رایانه برخوردم که دیدم بد نیست در مورد آن در اینجا بنویسم تا شما هم با این ۷ افسانه در دنیای امنیت دیجیتال آشنا شوید 🙂


 

اس‌اس‌ال توییتر

۱- عکس قفل سبز رنگ در کنار آدرس یک وب‌سایت به معنی امن بودن آن اتصال من است: دیدن قفل سبز رنگ در کنار آدرس یک وب‌سایت به معنی آن نیست که اتصال شما ۱۰۰٪ امن است و هیچ خطر امنیتی وجود ندارد زیرا ممکن است که شما قفل سبز رنگ را در کنار آدرس یک وب‌سایت مشاهده کنید اما آن وب‌سایت حاوی بدافزار باشد. علاوه بر این هم اکنون به راحتی می‌توانید یک وب‌سایت شبیه صفحه ورود به گوگل طراحی کرد که از اس‌اس‌ال (SSL) نیز پشتیبانی کند!

برای همین همواره از درست بودن گواهینامه امنیتی اس‌اس‌ال اطمینان حاصل کنید. برای این کار تنها کافی است که بر روی علامت قفل کلیک کنید و مشخصات گواهینامه امنیتی را با وب‌سایتی که به آن مراجعه کرده‌اید مقایسه کنید.

بررسی درست بودن گواهینامه امنیتی توییتر

علاوه بر این همواره از به روز بودن نرم‌افزارها و سیستم عامل رایانه‌یتان اطمینان حاصل کنید.

۲- تنها وب‌سایت‌های پورن خطرناک هستند و رایانه من را آلوده به بدافزار می‌کنند: اگر فکر می‌کنید که وب‌سایت‌های پورن پر از بدافزار هستند باید بدانید که کاملا اشتباه می‌کنید؛ به عنوان مثال در تحقیقی که مدتی قبل منتشر شده است، احتمال آنکه رایانه شما به دلیل بازدید از وب‌سایت یک کلیسا به یک بدافزار آلوده شود سه برابر بیشتر از زمانی خواهد بود که به یک وب‌سایت پورن مراجعه می‌کنید!

۳- هیچ اطلاعات ارزشمندی در رایانه من وجود ندارد: این جمله یکی از پرطرفدارترین جمله‌ها در کارگاه‌های آموزشی امنیت دیجیتالی است که برگزار کرده‌ام به گونه‌ای که هر زمان که بحث از حریم خصوصی و حفظ اطلاعات خصوصی به میان آمده است، بسیاری از افراد گفته‌اند که ما اطلاعات ارزشمندی در رایانه خودمان نداریم.

حال آنکه چیزی که باید بدانید این نکته است که رایانه شما همواره دارای اطلاعات ارزشمندی است. مثلا ممکن است شما فراموش کرده باشید که رمز عبور فلان حساب‌تان را در یک فایل Text ذخیره کرده‌اید (هر چند که به طور کلی پیشنهاد می‌کنم هیچ وقت این کار را انجام ندهید). علاوه بر این بد نیست این مطلب که مربوط به همین بحث است را هم بخوانید.

۴- رایانه من دارای آنتی‌ویروس دارد، پس امن هستم: این مورد نیز یکی از شایع‌ترین مواردی است که تاکنون با آن برخورد کرده‌ام به گونه‌ای که بسیاری از افراد فکر می‌کنند زمانی که سیستم عامل‌شان آنتی‌ویروس دارد امن هستند. آنچه که باید بدانید آن است که به روز نگه داشتن آنتی‌ویروس بسیار مهمتر از نصب آن است و علاوه بر این شما نیاز به فایروال، آنتی جاسوس‌افزار، آنتی تبلیغ‌افزار و… نیز دارید.

۵- من از رمز عبور پیچیده و قوی‌ای استفاده می‌کنم، برای همین حسابم امن است: اگر فکر می‌کنید که تنها داشتن رمز عبور پیچیده و قوی حساب‌های مختلف شما را امن نگه می‌دارد باید بدانید که اشتباه می‌کنید زیرا اگر رمز عبور شما پیچیده و قوی باشد ولی به تله فیشینگ بیافتید، پیچیده بودن آن هیچ اهمیتی نخواهد داشت!

۶- من هر زمان که رایانه‌ام آلوده شود، متوجه می‌شوم: این ادعا شاید ۱۵ سال پیش درست بود اما این روزها بسیاری از بدافزارها بدون آنکه شما متوجه آن شوید، بر روی رایانه شما نصب و شروع به فعالیت می‌کنند و بدافزار رجین را می‌توان آخرین مورد از این دست حملات دانست. برای همین شما نمی‌توانید با کاهش سرعت رایانه و… از آلوده شدن رایانه‌یتان باخبر شوید و نیاز به ابزارهایی مانند فایروال، آنتی‌ویروس و سیستم عامل به روز دارید.

۷- من فایل اجرایی مانند .exe دانلود نمی‌کنم تا آلوده بدافزار نشوم: درستی این ادعا هم مانند مورد قبلی به سالیان گذشته بازمی‌گردد به گونه‌ای که این روزها بسیاری از حملات سایبری از طریق مرورگرها، تماشای ویدیو، اجرای فایل‌های فلش و… روی می‌دهد.


حالا که با ۷ افسانه در دنیای امنیت دیجیتال آشنا شدید، بد نیست مجددا به این نکته اشاره کنم که اگر می‌خواهید در مورد امنیت دیجیتال بیشتر بدانید، درخواست دریافت دعوتنامه دانشنامه امنیت دیجیتال را فراموش نکنید. برای این درخواست تنها کافی است که فرم این مطلب را پر کنید.

در نهایت هم اگر سوال یا نکته‌ای در زمینه امنیت دیجیتال داشتید، می‌توانید آن را از طریق توییتر و یا ایمیل با من درمیان بگذارید تا به آن پاسخ بدهم.

نوشتن دیدگاه

آسیب‌پذیری بانک‌های ایرانی در مقابل خونریزی قلبی چگونه است؟

آسیب‌پذیری خونریزی قلب یا Heartbleed

اگر جز افرادی باشید که خبرهای امنیت در دنیای اینترنت را دنبال کنید، به طور قطع ماجرای خونریزی قلبی یا Heartbleed را شنیده‌اید. اگر هم جز آن دسته از افراد هستید که از جزییات این مشکل در OpenSSL با خبر نیستید، به شما پیشنهاد می‌کنم که این مطلب کوتاه وب‌سایت دویچه‌وله را بخوانید.

اهمیت این مشکل آنقدر گسترده بوده که واکنش‌های زیادی را با خود به همراه داشته است مانند درخواست پروژه تور از کاربران برای دوری جستن از اینترنت به مدت چند روز!

من هم چون به اخبار مربوط به امنیت در دنیای اینترنت علاقه دارم، تا جایی که توانستم خبرهای مربوط به Heartbleed را دنبال کرده‌ام. در میان خواندن اخبار مختلف در رابطه با این موضوع، ایده‌ای به ذهنم رسید که در آن وضعیت بانک‌های مختلف ایرانی در مورد آسیب‌پذیری Heartbleed را بررسی کنم.

برای همین از طریق وب‌سایت بانک مرکزی ایران لیست بانک‌های معتبر کشور را استخراج و سپس وضعیت آسیپ‌پذیر آنها را به کمک LastPass بررسی کردم که نتیجه آن به هیچ عنوان امیدوارکننده نبود! چرا؟

براساس بررسی‌هایی که در مورد ۲۸ وب‌سایت بانک‌های ایران انجام دادم،  ۳۹ درصد از بانک‌های ایرانی به طور قطع و ۳۹ درصد هم احتمالا در مقابل Heartbleed آسیب‌پذیر هستند! این یعنی آنکه حدود ۷۸ درصد از بانک‌ها ناامن هستند و کاربران نباید وارد بانک اینترنتی آنها شوند.

دقت کنید که وارد نشدن به حساب بانکی خود از طریق اینترنت را شدیدا جدی بگیرید و تا زمانی که بانک مورد نظرتان، مشکل Heartbleed را حل نکرده است، گزینه بانک اینترنتی را به صورت کامل فراموش کنید.

جدول زیر هم نتایج بررسی‌های من است که به کمک بخش Check again? Click on the link می‌توانید از آخرین وضعیت هر یک از بانک‌های ایرانی باخبر شوید:

– پی‌نوشت ۱: سازمان ناظر بر بانک‌های آمریکا به بانک‌های آمریکایی هشدار داده است که مشکل Heartbleed را جدی و آن را حل کنند.

نوشتن دیدگاه

هکر ایرانی کومودو، هکری آماتور است!

یکی از ایده‌هایی که داشته‌ام و همواره بر روی آن تاکید کرده‌ام آن است که ارتش سایبری ایران یک افسانه است و بخشی بزرگی از اخبار پیرامون ارتش سایبری ایران ساخته و پرداخته‌ی رسانه‌هایی است که در حال بزرگ کردن اخبار مختلف هستند و مانند داستان هیستک، از هیچ همه چیزمی‌سازند!

در ادامه‌ی این تئوری چند روز پیش دوستی لینک سخنرانی یکی از هکرهای معروف آمریکایی با نام ماکسی مارلینسپایک (Moxie Marlinspike) که در زمینه‌ی رمزنگاری داده‌ها بر روی اینترنت تخصص دارد را برایم ارسال کرد که مربوط به کنفرانس کلاه سیاه آمریکا در سال ۲۰۱۱ (BalckHat USA 2011) بود.

در این سخنرانی این هکر به زیبایی هر چه تمام‌تر به بررسی و تحلیل ماجرای جعل شدن گواهینامه‌های امنیتی SSL می‌پردازد و به خوبی نشان می‌دهد که جعل گواهینامه‌های امنیتی SSL اتفاقی روزانه است و آنچنان اتفاق بزرگی نیست که توسط مدیر شرکت کومودو بزرگ جلوه داده می‌شود و از آن به عنوان یک فاجعه و حمله‌ی بسیار خطرناک یاد می‌کند!

اما شاید قسمت جالب ماجرا در این سخنرانی را باید قستی دانست که ماکسی در مورد هکر ایرانی کومودو صحبت می‌کند و به صورت کامل دانش و تخصص این هکر ۲۱ ساله‌ی ایرانی را زیر سوال می‌برد و سطح دانش وی را در حد آماتور می‌داند به گونه‌ای که برای استفاده از گواهینامه‌های جعلی SSL، این هکر ایرانی از نرم‌افزاری که ماکسی نوشته است و نامش SSLSNIFF استفاده کرده است! و یا اینکه هکر ایرانی به طور کلی نمی‌دانسته که چگونه باید از این گواهینامه‌ها استفاده کند و به همین دلیل در گوگل شروع به جستجو جملاتی مانند «SSL protocol mitm howto iptables prerouting» کرده است و یا به دنبال ویدیوهای آموزشی طرز استفاده از SSLstrip بوده است!

با خواندن پاراگراف بالا شاید این سوال برای شما پیش بیاید که ماکسی از کجا و چگونه فهمیده است که هکر ایرانی تا این حد آماتور بوده است؟

در پاسخ به این سوال باید گفت که تمام این ماجرا زمانی شروع شده است که شرکت کومودو به صورت عمومی آی‌پی‌هایی که از طریق آنها به این شرکت حمله‌ی سایبری شده بود را منتشر کرد:

زمانی که این آی‌پی‌ها از سوی کومودو به عنوان آی‌پی‌های مهاجم اعلام شد، ماکسی آی‌پی‌های ورودی به وب‌سایت خود را چک کرد و به صورت بسیار جالبی با آی‌پی‌ای در لاگ وب‌سایت خود مواجه شد که با آی‌پی اعلام شده از سوی کومودو یکسان بوده است:

و شاهکار هکر ایرانی آنجایی روشن می‌شود که وی در حالی از ویندوز به عنوان یک هکر حرفه‌ای استفاده می‌کرده است که به دنبال نرم‌افزار SSLSNIFF ماکسی بوده است و علاوه بر آن قبل از مراجعه به وب‌سایت ماکسی برای دانلود SSLSNIFF، در وب‌سایت Hak5 به دنبال ویدیوی آموزشی در مورد استفاده از SSL Strip بوده است!

بر همین اساس و همانگونه که در ابتدای این مطلب گفتم، باید گفت که ارتش سایبری ایران و داستان هکر کومودو داستانی خیالی و افسانه‌ای است که بیش از آنکه واقعیت داشته باشد، توسط رسانه‌های مختلف (چه داخل ایران و چه خارج از ایران) بزرگ شده است تا هر کدام از دو  طرف ماجرا (موافقین و مخالفین دولت ایران) در جهت منافع خود از آن استفاده کنند.

در صورتی هم که می‌خواهید در مورد این ماجرا اطلاعات بیشتری بدانید، می‌توانید ویدیوی سخنرانی کامل ماکسی مارلینسپایک را در اینجا تماشا کنید و یا متن کامل آن را از اینجا بخوانید.

در نهایت بار دیگر بر این نکته تاکید می‌کنم که اکثر حملات سایبری از سوی ارتش سایبری و هکرهای دیگر به این دلیل موفق بوده‌اند که قربانیان سهل‌انگاری کرده‌اند و به توصیه‌های امنیتی توجه نکرده‌اند، به همین دلیل بهتر است به جای آنکه یک افسانه را بزرگ و به آن پر و بال بدهیم، سطح اطلاعات و آموزش خود را در مورد دنیای اینترنت و حاشیه‌های آن افزایش دهیم.

فراموش نکنیم که ارتش سایبری یک افسانه است، افسانه‌ای پوشالی برای منافع عده‌ای!

نوشتن دیدگاه