کوین میتنیک یکی از سرشناس‌ترین هکرهای دنیا است. اولین بار در سن دوازده سالگی تونست سیستم پانچی اتوبوس‌های لوس آنجلس رو هک کنه و با استفاده از ترانسفرهایی که در سطل آشغال پیدا می‌کرد هر روز مفتی سوار اتوبوس بشه! در دبیرستان کوین تونست روشی رو ابداع کنه که برای تلفن‌های راه دور هزینه‌ای نپردازه (با ایجاد اختلال در شبکه مخابرات).ا ون همین‌طور پیشرفت کرد تا نهایتاً در اواخر قرن بیستم به صدر فهرست افراد wanted به خاطر جرایم رایانه‌ای رسید و نهایتاً در سال ۱۹۹۵ دستگیر شد!

کوین بعدها تبدیل به یک هکر کلاه سفید شد (یعنی کسی که به برای سوء استفاده، که برای کمک به ارتقای امنیت در دنیای رایانه‌ها دست به هک می‌زنه). دو سال بعد از آزاد شدنش، یعنی در سال ۲۰۰۲ کوین کتابی نوشت به نام «هنر فریفتن» و در اون اعلام کرد که کدوم تکنیک هک کردن رو بیشتر از بقیه استفاده کرده و بیشتر از بقیه ازش نتیجه گرفته: «مهندسی اجتماعی»!

مهندسی اجتماعی به طور خلاصه به این معنیه که هکر به جای این که کلی زحمت بکشه و با به کار گیری دانش فنی بالا و ابزار پیچیده، از یک نقطه ضعف فنی استفاده کنه تا (مثلاً) یک سایت رو هک کنه، به جاش خیلی ساده سعی می‌کنه که صاحب سایت رو فریب بده و اطلاعاتی رو ازش بگیره که منجر به حدس زدن پسورد ادمین سایت بشه! مهندسی اجتماعی، یکی از شایع‌ترین روش‌های هک هست!

یه مثال ساده (که واقعاً اتفاق افتاده) قضیه رو روشن می‌کنه: یک هکر بر می‌داره به تمام داخلی‌های یک شرکت زنگ می‌زنه و می‌گه که از technical support تماس گرفته چون بهش گفتن که کسی مشکل فنی با کامپیوترش داره. از بین چندین نفر، یکی‌شون پیدا می‌شه که واقعاً یه مشکل با کامپیوترش داره. هکر در حالی که داره اعتمادش رو جلب می‌کنه فرد رو مرحله به مرحله جلو می‌بره و بهش دستورهای پیچیده‌ای می‌گه که تایپ و اجرا کنه. در خلال این دستورها، مثلاً یک برنامه keylogger روی کامپیوتر قربانی نصب می‌شه و بعد هکر ازش می‌خواد که مثلاً به قسمت مدیریت وارد بشه. وقتی کارمند پسورد مدیریت رو بزنه، keylogger پسورد رو به هکر مخابره می‌کنه. در قدم‌های بعدی هم هکر مراحلی رو توضیح می‌ده که طی اون keylogger پاک می‌شه و دست آخر اصلاً می‌گه مشکل رو نمی‌شه تلفنی حل کرد و فردا حضوری خواهد اومد! کارمند هم که نفهمیده چه کار کرده دلش رو به فردا خوش می‌کنه! محصول کار: پسورد در دست هکره!

مثال‌های دیگه هم هست. هنوز هم در آمریکا بیشتر بانک‌ها برای خدمات تلفنی تنها چیزی که از مشتری می‌پرسن تا از هویتش مطمئن بشن، چهار رقم آخر Social Security Number و تاریخ تولده. دومی رو که همه دوستان شما در شبکه‌های اجتماعی (مثل فیس بوک) دارن! اولی هم با کلک‌هایی مثل بالایی قابل دست‌یابی هست. فکرش رو بکنید، یکی زنگ بزنه بانک و از حساب شما پول به حساب دیگه‌ای واریز کنه!

فکرش رو بکنید. اون‌ها می‌تونن برن به وبلاگ شما و درخواست پسورد جدید برای ادمین کنن و پسورد جدید رو توی ای-میل شما بگیرن! می‌تونن پسورد جدید برای حساب بانکی شما بگیرن. می‌تونن پسورد جدید برای حساب فیس بوک شما بگیرن! با داشتن پسورد ای-میل اصلی شما، اون‌ها می‌تونن پسورد همه چیزهای دیگه شما رو داشته باشن! و این روزها حتی فهمیدن ای-میل شما هم سخت نیست چون ماشالا دوستان این قدر چیز میز فوروارد می‌کنن که من نوعی می‌تونم آدرس ای-میل ده‌ها و شاید صدها نفر رو در فهرست گیرندگان یک ای-میل بی‌مزه که فوروارد شده، پیدا کنم!

هکرهای مدرن، این روزها تنها کاری که می‌کنن اینه که پسورد ای-میل شما رو پیدا کنن. این کار رو از هر راهی از جمله کلک‌های مهندسی اجتماعی یا با استفاده از ماحی‌گیری (phishing) انجام می‌دن و بعد … اون‌ها به یک منبع اطلاعاتی عظیم دسترسی خواهند داشت!

این اتفاق در حد یک قصه در وبلاگ من نیست؛ این اتفاقی هست که هر روزه داره رخ می‌ده و همه ما فکر می‌کنیم که هرگز قربانی اون نخواهیم بود! باور کنید که پیدا کردن پسورد یک نفر با روش آزمون خطا اصلاً ساده و سریع نیست! پسورد ادمین یکی از سایت‌هایی که من زمانی بهش کمک می‌کردم یک ترکیب دوازده کاراکتری از چند حرف کوچک و بزرگ و عدد بود. با فرض این که یه کامپیوتر بتونه در هر ثانیه ۵۰۰٬۰۰۰ پسورد رو چک کنه، پیدا کردن چنین پسوردی ده‌هزار سال می‌تونه طول بکشه! اما اگر هکر بدونه که ترکیب مورد نظر، شامل اسم کوچک ادمین سایت و دو رقم آخر سال تولدشه، یه دفعه تعداد مواردی که باید امتحان بشن پایین می‌آد و شاید ظرف یک ساعت دستی هم بشه پسورد رو پیدا کرد! فهمیدن سال تولد هم که با مهندسی اجتماعی ممکنه

بسیاری سایت‌های دولتی و خصوصی در دنیا تا حالا deface شدن (یعنی صفحه اولشون توسط هکر عوض شده). تقریباً در اکثر موارد اتفاقی که می‌افته این نیست که هکر مثلاً از فلان نقطه ضعف سرور ویندوز استفاده کرده باشه! بر عکس، هکر اول پسورد ادمین رو پیدا کرده و بعد مثل خود ادمین لاگین کرده و سایت رو پکونده! یا حتی مسخره‌تر از اون: از ای-میلی که آدرس شبیه ای-میل ادمین بوده، به شرکت میزبان وب خبر داده که مثلاً اطلاعات name server رو عوض کنن! توی ای-میل هم اطلاعاتی مثل تاریخ تولد و غیره رو که قبلاً با روش مهندسی اجتماعی آورده اضافه کرده تا شرکت میزبانی شک نکنه. نتیجه این شده که اون آدرس اینترنتی، به سرور جدیدی (که مال هکر هست) اشاره می‌کنه و مردم سایت جدیدی رو می‌بینن!

ای-میل ما (متاسفانه یا خوشبختانه) به هویت اینترنتی ما پیوند خورده. حالا وقتشه که در مورد چرت و پرت‌هایی که فوروارد می‌کنیم جدی‌تر تصمیم بگیریم!

برچسب‌ها: امنیت، ماحی‌گیری، مهندسی اجتماعی

قصد دارم که در یک مطلب دو قسمتی یک سری نکات اساسی امنیت در اینترنت رو مطرح کنم. قسمت اول مربوط به ای-میل خواهد بود و قسمت دوم راجع به یکی از مسایلی که باعث می‌شه امنیت ای-میل برای ما مهم باشه.

«امنیت» در دنیای کامپیوتر، برخلاف انتظار همه، پدیده‌ای نسبی هست و نه مطلق! یک سیستم کاملاً امن وجود نداره، اما می‌شه سیستمی رو در نظر گرفت که «در شرایط قابل انتظار» و «از جهات مورد نظر» امنیت «کافی» داشته باشه. علت قضیه هم خیلی روشنه: امن کردن هزینه‌بر هست و هر هزینه‌ای تا جایی که توجیه‌پذیر باشه مورد قبول قرار می‌گیره.

یکی از سوال‌هایی که دوستان خیلی از من می‌پرسن چیزی شبیه به اینه: من از لپ‌تاپ خودم توی شبکه (مثلاً) محل کارم، به اینترنت وایرلس وصل می‌شم و بعد یک ای-میل می‌زنم به یکی در فلان کشور. آیا به جز من و اون کس دیگه‌ای می‌تونه از متن ای-میل باخبر بشه.

جواب اینه: معمولاً نه! اما در شرایطی امکان‌پذیر هست. مثلاً:

ممکنه که قبلاً در کامپیوتر شما یک ویروس یا چیزی شبیه به اون وارد شده باشه و هر چیزی که تایپ می‌کنید رو برای تولیدکننده ویروس بفرسته. به این ویروس‌ها keylogger می گن و معمولاً اگر آنتی‌ویروس به روز باشه، دچار این‌ها نمی‌شیم. البته اگر سیستم عامل کامپیوتر به روز نباشه، حفره‌های امنیتی می‌تونن مورد استفاده قرار بگیرن و حتی آنتی ویروس رو خلع سلاح کنن.

ممکنه شبکه وایرلسی که ازش استفاده می‌کنید امن نباشه. مثلاً اگر این شبکه از رمزگذاری استفاده نکنه یا رمزگذاری ضعیفی (مثل WEP) رو استفاده کنه، یه آدم بدطینت می‌تونه با جمع‌آوری بسته‌هایی که بین لپ‌تاپ شما و روتر وایرلس در رفت و آمد هست (ابزارش خیلی هم گرون نیست) و استفاده از یه الگوریتم مناسب تمام اطلاعات رو به صورت رمزگشایی شده ببینه!

ممکنه سرور شبکه شرکت شما در اختیار انسان بدطینتی باشه که هر بسته اطلاعاتی که از طریق اون رد می‌شه رو بررسی کنه (به این کار packet sniffing گفته می‌شه که ابزارهای رایگانش هم به وفور موجوده) و …

ممکنه هر کدوم از این‌ها در طرف گیرنده ای-میل اتفاق بیفته!

و نادرترین حالت اینه که ممکنه که سرور اصلی شرکتی که اکانت ای-میل شما روشه (مثل یاهو یا گوگل) هک بشه. این اتفاق به مراتب امکانش از قبلی‌ها کمتره.

در مورد قسمتی که به گیرنده ای-میل مربوطه هیچ کاری نمی‌شه کرد! اما در مورد قسمتی که به سمت شما و سرورهای حد واسط (مثل محل کار شما یا حتی کشور محل زندگی شما) مربوط می‌شه راه حل ساده‌ای وجود داره: رمزگذاری ای-میل!

ساده‌ترین کاری که می‌تونید بکنید اینه که از HTTPS استفاده کنید. از بین معروف‌ترین ای-میل‌های رایگان، جی-میل این امکان رو داره. کافیه بعد از ورود به ای-میل‌تون اون http اول آدرس رو بکنید https و دکمه Enter رو بزنید تا از اون‌جا به بعد همه‌چیز بین شما و سرور گوگل رمزگذاری شده رد و بدل بشه.

حتی می‌تونید پا رو از این فراتر بذارید و به جای این که بین شما و «گوگل» رمزگذاری باشه، کاری کنید که بین شما و «گیرنده» رمزگذاری باشه. توضیحاتش در این مقاله به فارسی اومده و مایلم اضافه کنم که استفاده از امضای دیجیتالی که در اون مقاله مطرح شده پدیده‌ای هست که روز به روز داره شایع‌تر می‌شه و خلاصه اگر نمی‌خواید از قافله عقب بمونید، وقتشه که اون مقاله رو جدی بگیرید!

طبیعتاً ترکیب این حالت‌ها باعث افزایش خیلی بیشتر امنیت می‌شه. ترکیب همه این‌ها با انتخاب یک پسورد مناسب و لاگ آوت کردن بعد از اتمام کار و مراقبت در برابر ماحی‌گیری و غیره دیگه نور علی نور می‌شه!

ولی سوال اینه: این کارا رو بکنیم که چی؟ حالا مثلاً اگر کسی به ای-میل ما دسترسی پیدا کنه، مگه چی می‌شه؟

جواب این سوال ابعاد زیادی داره؛ قسمتی‌اش رو در نوشته بعدی خواهید خوند.

برچسب‌ها: امنیت، پست الکترونیک، رمزگذاری، هک

مطلبی راجع به ایجاد یک پارتیشن رمزگذاری شده در ویندوز خوندم که به نظرم جالب اومد. با توجه به این که کلاً امنیت ویندوز خیلی پایینه، و روز به روز هم بر تعداد افرادی که اطلاعات مهمی روی کامپیوترشون دارن افزوده می‌شه، خوبه که این جور چیزها رو همه به هم یاد بدیم و در بحث امنیت خودمون رو آماده کنیم.

برچسب‌ها: امنیت، پارتیشن

خبر رسید که نزدیک ۱۰۰۰۰ تا اکانت هاتمیل پسورشون لو رفته! گفته شد که اکثر پسوردها به روش phishing یا همون ماحی‌گیری (که قبلاً راجع بهش نوشته بودم) لو رفتن! خبر تکمیلی این بود که تعدادی اکانت جی-میل و یاهو و غیره هم قربانی شدن! اما … چیزی که من رو حرص داد این بود: نگاهی به رمزهای عبور لو رفته

خیلی از قربانی‌ها، پسوردشون ۱۲۳۴۵۶ بوده! یعنی حتی حاضر نشدن یک ذره آی کیو خرج کنن! فقط ۶ درصد پسوردها ترکیبی بوده که تازه خود ترکیبی بودن هم به تنهایی کفایت نمی‌کنه. رمز باید ترکیبی باشه (تا با برنامه‌های کامپیوتری که کلمه‌های دیکشنری و اعداد متداول رو چک می‌کنن هک نشیم) و در عین حال قابل حدس زدن نباشه (خیلی از دوستام پسوردشون ترکیب اسم و شماره شناسنامه یا تاریخ تولد یا شماره دانشجوییه … نپرسین از کجا می‌دونم!)

اگر ارائه بلیط نشانهٔ شخصیت شماست (!)، انتخاب پسورد هم نشانهٔ هوش شماست!

برچسب‌ها: امنیت، پسورد، گذرواژه، ماحی‌گیری

وقتی شما توی یه سایت لاگین می‌کنید، اتفاقی که می‌افته به زبون ساده اینه: مرورگر (browser) شما اطلاعاتی که وارد کردید، از جمله نام کاربری (username) و گذرواژه (password) رو به سایت می‌فرسته و اگر سایت اون‌ها رو تایید کرد یه نشست کاربری (session) برای شما ایجاد می‌کنه. از این جا به بعد، برای این که لاگین «بمونید» باید یک راهی باشه که سایت بقهمه شما هنوز توی همون نشست کاربری هستید. اون راه اینه که سایت یک کوکی (cookie) می‌فرسته به مرورگر شما. هر بار که شما صفحهٔ جدیدی توی این سایت باز کنید (مثلاً با کلیک کردن روی یکی از لینک‌ها) مرورگر به طور خودکار اطلاعات نشست کاربری رو (که مثل یک شمارهٔ خیلی طولانی هستش) می‌فرسته به سایت و اون می‌فهمه که شما هنوز لاگین هستید.

اگر پنجرهٔ مرورگر رو به طور کامل ببندید، کوکی‌های نشست کاربری از حافظه پاک می‌شن. پس اگر از نو پنجره رو باز کنید، دوباره مجبورید لاگین کنید. پس چی شد؟ «اطلاعات نشست کاربری» از حافظهٔ کامپیوتر شما پاک شد. اما از حافظهٔ سرور چه طور؟!

جواب اینه: سرور اطلاعات رو تا مدتی نگه می‌داره. این مدت معمولاً چیزی حدود بیست دقیقه هستش. و اگر شما به صفحه‌ای توی این سایت سر بزنید و هنوز لاگین باشید، این مدت از نو شمرده می‌شه. پس یعنی بیست دقیقه از آخرین باری که به صورت لاگین شده به سایت سر زدید.

اما اگر شما لاگ آوت بکنید، اطلاعات نشست کاربری از سرور هم پاک می‌شه. حالا اهمیت این در چیه؟

فرض کنید که شما در جایی به اینترنت وصل می‌شید که مطمئن نیست (به هر دلیلی).اگر شما لاگ آوت نکنید و فقط پنجره رو ببندید، این امکان وجود داره که یک نفر به طریقی (پایین‌تر توضیح می‌دم) اطلاعات نشست کاربری شما رو قبل از بسته شدن پنجره به دست بیاره و مثلاً دو دقیقه بعد (در حالی که هنوز از نظر سرور این نشست کاربری وجود داره) توی سایت بره و اطلاعات شخصی شما رو ببینه! معنی‌اش این می‌شه که مثلاً شما صفحهٔ ای-میل یاهو رو بستید اما دو دقیقه بعد، هکر مربوطه توی ای-میل شما داره گشت و گذار می‌کنه!

این روزها بحث امنیت شبکه خیلی مهم شده. گفته می‌شه بعضی کشورها (از جمله چین رو اسم می‌برن)، محتوای اطلاعاتی که توسط کاربرها در اینترنت مبادله می‌شه رو کنترل می‌کنن. در این حالت ممکنه که بسته‌های اطلاعاتی کاملاً بررسی بشن (با تکنیکی موسوم به packet sniffing) و اطلاعات نشست کاربری بیرون کشیده بشن. اون وقت دولت اون کشور (مثلاً چین) می‌تونه اگر بخواد، اطلاعات نشست کاربری یک آدم به خصوص رو که بهش مشکوکه در بیاره و بره توی ای-میلش و غیره.

ممکنه بپرسید که اگر کسی می‌تونه اطلاعات مبادله شده رو ببینه، خوب از اول می‌ره نام کاربری و گذرواژه رو در می‌آره! جواب اینه که این اطلاعات در بیشتر سایت‌های درست و حسابی، به شکل رمزگذاری شده منتقل می‌شن. مثلاً توی ای-میل یاهو دو مرحلهٔ رمزگذاری رعایت می‌شه: اولاً صفحهٔ لاگین کردن به یاهو خودش رمزگذاری شده‌است (برای همین هم آدرسش https://login.yahoo.com هست) و دوماً گذرواژه‌ای که وارد می‌کنید خودش ارسال نمی‌شه بلکه اول به طور غیرقابل برگشتی توسط الگوریتمی به اسم MD5 کدگذاری می‌شه. این دو تا با هم، امکان در آوردن گذرواژه از طریق بررسی بسته‌های اطلاعاتی رو خیلی به صفر نزدیک می‌کنه.

نتیجه کلی این می‌شه: هر زمان که کارتون تموم شد، قبل از بستن پنجره مروگر اول از سایت‌ها خارج بشید.

نکتهٔ فنی: مثل همیشه سعی کردم که از فارسی به جای انگلیسی استفاده کنم! با این حال ترجیح دادم برای راحت خونده شدن مطلب به جای «وارد شدن به سیستم» بگم «لاگین» و به جای «خارج شدن از سیستم» بگم «لاگ آوت».

نکتهٔ خیلی فنی: اول مطلب گفتم که ماجرا رو به زبون ساده دارم می‌گم. دوستان خیلی فنی نیان راجع به استثناها گیر بدن، مدل کلی (سوای استثناها) همینه که گفتم.

برچسب‌ها: امنیت، لاگ اوت

در راستای مسایل اخیر فیس بوک تصمیم گرفتم راجع به Phishing صحبت کنم (از شباهت Phishing با Fishing به این نتیجه رسیدم که «ماحی‌گیری» با «ح» ترجمه بکنمش!)

برای درک راحت مطلب، یه کمی خودمونی می‌نویسم: «فیشینگ» یعنی این که یک صفحه‌ای می‌ذارن جلوی آدم که عین یک صفحهٔ آشناست، مثلاً درست شبیه صفحهٔ لاگین به فیس بوک. بعد می‌گن یوزر و پسوردتو بزن تا فلان معجزه رخ بده! شما هم اگر این کار رو بکنی، یوزر و پسورد رو تقدیم می‌کنی.

این قضیه اخیراً توی فیس بوک بالا گرفت. طرف مربوطه یوزر و پسورد شما رو می‌گرفت، باهاش لاگین می‌کرد توی فیس بوک و از طرف شما به دوستاتون پیغام می‌داد که به سایتش سر بزنید! بعد پسورد اونا رو هم گیر می‌آورد و این قضیه ادامه پیدا می‌کرد! توی حملهٔ اخیر، بیشتر سایت‌های تقلبی که ظاهری شبیه لاگین فیس بوک داشتن، آدرسشون به صورت felan.at بود که حالا به جای felan هر چیزی می‌تونست باشه. (پسوند at مال اتریشه) اما توی بزرگترین حمله‌های چند روز اخیر سایت‌های دات کام و دات نت هم استفاده شده بودن. توی گزارش‌ها خوندم که قریب به دویست میلیون کاربر فیس بوک در معرض حملهٔ اخیر فیشینگ بودن. خود من هم بودم که البته قسر در رفتم.

خلاصه این که قبل از وارد کردن پسورد همیشه اون بالا نگاه کنید ببینید آدرس صفحه همون آدرسیه که می‌خواید یا نه!

برچسب‌ها: امنیت، فیس بوک، فیشینگ، ماحی‌گیری