نکات امنیتی را از مشهور ترین هکر جهان بیاموزید
من از مشهور ترین هکر جهان "کوین میتنیک" سوال کردم که چگونه می توان امنیت گوشی های هوشمند و لپ تاپ ها را تامین کرد و در اینجا قصد دارم پاسخ او را با شما به اشتراک بگذارم.
کلیک - تقریبا همه اهالی دنیای فناوری کوین میتنیک را می شناسند. او از سال های ۱۹۷۰ تا ۱۹۹۰ به عنوان یک هکر فراری بد نام توسط اف بی آی تحت تعقیب بود.
همچنین اکثر افراد خبره دنیای فناوری می دانند که او هم اکنون پس از آزاد شدن از زندان به عنوان یک مشاور مسائل امنیتی در حال فعالیت است. ولی آیا می دانستید که او هنوز هم به فعالیت هکری مشغول است؟
میتنیک همواره بر روی اهمیت مسئله مهندسی اجتماعی برای هک کردن تاکید داشته است، نکته ای که کمتر در رعایت مسائل امنیتی به آن توجه می شود.
شغل میتنیک نفوذ و هک کردن سایت ها، اکانت ها و ... مشتریان خود است. در واقع او با انجام این کار، راه های نفوذ و آسیب پذیر را شناسایی کرده و به مشتریان خود نشان می دهد تا از نفوذ هکر های آسیب رسان به آن جلوگیری شود.
میتنیک مدیر ارشد هکری شرکت KnowBe4 است و هم اکنون در حال نوشتن کتاب جدیدی به نام The Art of Invisibility (هنر نامرئی بودن) است. در این کتاب روش های پیشرفته مقابله با هک و نفوذ و تامین امنیت حریم خصوصی به خوانندگان آموزش داده می شود.
در این میان میتنیک نکات آسانی را نیز برای تامین امنیت گوشی های موبایل ارائه کرده است.
من هفته گذشته توانستم میتنیک را در کنفرانس RSA در سان فرانسیسکو ملاقات کنم و نکاتی را که هر فردی می تواند برای تامین امنیت خود در فضای مجازی انجام دهد از او دریافت کنم.
میتنیک در وادار کردن مشتریان به فکر کردن در مورد چیز هایی که قبلا به آن فکر نمی کرده اند متخصص است. میتنیک در شرکت KnowBe4 به شرکت های دیگر کمک می کند تا نقص های امنیتی خود را بر طرف کرده و با پیچیده ترین حمله های هکری که همان فیشینگ است، مقابله کنند.
فیشینگ یک نوع مهندسی اجتماعی است که شامل فریب دادن افراد قربانی می شود. در این روش هکر یک ایمیل یا پیام جعلی به قربانی ارسال می کند، به گونه ای که او گمان می کند از یک منبع معتبر ایمیل دریافت کرده است. برای مثال این طور وانمود می شود که این ایمیل ها از دروازه های پرداخت اینترنتی و یا از طرف مدیر شرکتی که قربانی در آن کار می کند ارسال شده است. پس از این که قربانی محتوای پیام را باور کرد، ممکن است یک اپلیکیشن مخرب را باز کند، یک فایل آلوده دانلود کند، رمز های عبور و یا سایر اطلاعات خود را برای هکر ارسال کند و یا وارد یک سایت آلوده شود و این گونه هکر به هدف خود دست می یابد.
میتنیک می گوید: هک کردن انسان ها بسیار آسان تر از هک کردن کامپیوتر هاست چرا که کامپیوتر ها از دستور العمل های دقیق پیروی کرده و به احساسات انسان ها و یا آن چه در طول یک روز برایشان اتفاق می افتد، اهمیتی نمی دهند. بنابر این هک کردن یک فرد از طریق تکنیک مهندسی اجتماعی آسان است، به خصوص اگر او قبلا مورد حمله هکری قرار نگرفته باشد.
گوشی های هوشمند
میتنیک می گوید: اکثر مردم تنبل هستند و این یک امتیاز فوق العاده برای هکر هاست. حتی در کنفرانس RSA نیز او متخصصان امنیتی زیادی را می دید که به جای رمز های بلند از رمز های ضعیف چهار رقمی برای قفل گوشی خود استفاده می کردند. برای هکر هایی که می خواهند یک هدف برای نفوذ انتخاب کنند، این یک راه تشخیص مناسب است. آن ها برای ورود به گوشی هایی که از رمز عبور چهار رقمی استفاده می کنند، از یک مزیت بزرگ برخوردارند.
بهترین رویکرد دفاعی در برابر حملات فیشینگ نه آنتی ویروس است و نه فایروال، بلکه آموزش و آگاهی است.
ممکن است شما فکر کنید که میتنیک از گوشی های جدید امنیتی مثل Blackphone 2 یا Turing phone استفاده می کند ولی او به من گفت که از یک گوشی آیفون معمولی استفاده می کند. او می گوید: این گوشی برای او ایمن خواهد بود چرا که انتخاب ها و رفتار های او درست است و این موضوع مهمتر از داشتن ابزار های خاص است.
برای مثال او برای قفل گوشی خود از یک رمز عبور طولانی متشکل از حروف الفبا استفاده می کند (در حالی که اکثر ما از رمز های ۴ رقمی عددی استفاده می کنیم). اگر او احساس کند که در جایی ممکن است از او بخواهند به اجبار قفل گوشی خود را باز کند (مانند مواقعی که از مسافرت های خارج به آمریکا بر می گردد) او گوشی خود را ریبوت (راه اندازی مجدد) می کند، چرا که پس از انجام این کار حسگر اثر انگشت کار نمی کند و برای باز کردن قفل باید رمز عبور وارد شود. او اشاره می کند که در ایالات متحده آمریکا دادگاه می تواند شما را مجبور کند تا قفل گوشی خود را با استفاده از اثر انگشت خود باز کنید ولی آن ها نمی توانند شما را مجبور به فاش کردن رمز عبور خود کنند.
میتنیک همچنین در میان انواع گوشی، گوشی های آیفون را به بقیه ترجیح می دهد، چرا که اکثر حملات هکری روی گوشی های اندرویدی انجام می شود. البته او می گوید حتی آیفون نیز قابل کرک کردن است و هیچ دستگاهی ۱۰۰ درصد امن نیست.
لپ تاپ ها و رایانه ها
میتنیک می گوید که او امنیت رایانه خانگی مادرش را با سیستم امنیتی code signing اپل تامین می کند. وی می گوید قبلا مادرش هر هفته با او تماس می گرفته تا مشکل رایانه ویندوزی اش را برطرف کند، چرا که آن رایانه به صورت مداوم به بد افزار ها آلوده می شده است. مادر او در دام حملات هکری با سبک مهدسی اجتماعی می افتاده است و او مجبور بوده تا هر هفته ویندوز رایانه خود را تعویض کند.
بنابر این میتنیک تصمیم می گیرد تا برای مادرش یک آی مک مجهز به آنتی ویروس بخرد و سپس آن را قفل کرده است.
در بخش "Security & Privacy" سیستم عامل OS X یک تب به نام "General" وجود دارد. در پایین این پنجره نیز گزینه ای به نام "Allow apps downloaded from" وجود دارد که می توان آن را روی Mac App Store و یا and identified developers تنظیم نمود. میتنیک این گزینه را برای مادرش روی "Mac App Store" قرار داد و بنابر این او فقط می تواند اپلیکیشن هایی را دانلود کند که توسط اپل مورد تایید قرار گرفته باشد.
میتنیک اشاره می کند که تنظیمات پیش فرض این بخش زیاد ایمن نیست چرا که هر کسی می تواند به عنوان یک توسعه دهنده فعالیت کند و برنامه های مخرب ساخته و توزیع کند.
میتنیک فقط با خریدن یک رایانه مک و تغییر تنظیمات گفته شده توانست مشکل امنیتی مادرش را با دانلود برنامه های مخرب حل کند. او البته اشاره می کند که اگر چه این راه حل ساده توانسته مشکل مادرش را با حملات فیشینگ حل کند ولی این روش برای مبارزه با هکر های حرفه ای مثل NSA موثر نیست.
فلش مموری و دیگر وسایل حملات هکری
میتنیک همچنین برای نمایش دادن هنر اجرا (performance art) در سخنرانی های مربوط به مسائل امنیتی در سراسر جهان نیز دست به حملات هکری می زند. برای مثال او امسال در رویداد CeBIT در آلمان چند عمل هک انجام داد که شامل نمایش دادن چگونگی اتصال یک فلش مموری آلوده به رایانه و سپس به کنترل در آوردن کل رایانه و فعال کردن دوربین، میکروفون و یا اجرای هر برنامه ای روی آن می شد. در چنین حملات هکری فلش مموری آلوده رایانه را فریب داده و به گونه ای رفتار می کند که گویا آن یک کابل USB مربوط به کیبورد است. این کار به هکر اجازه می دهد تا به کیبورد رایانه دسترسی پیدا کرده و با استفاده از آن کنترل رایانه را به دست بگیرد و هر کاری که می خواهد انجام دهد.
مقصود میتنیک از نمایش دادن این هک آن است که مردم فکر می کنند با غیر فعال کردن اجرای خودکار فلش های USB سیستم آن ها در امان خواهد بود. او در واقع می خواهد به مردم نشان دهد که فلش های USB همیشه ممکن است دچار مشکلات امنیتی باشد.
همچنین عموم مردم گمان می کنند که فایل های PDF همیشه امن هستند. بنابر این میتنیک به صورت تصویری نشان می دهد که یک هکر چگونه می تواند از طریق یک فایل PDF کنترل رایانه شما را در دست بگیرد.
او در یک مورد دیگر نشان می دهد که یک هکر خراب کار وارد یک کافی شاپ مجهز به اینترنت وای فای رایگان شده و با ترفند هایی به مودم وای فای دستور می دهد تا اتصال تمامی کاربران را به خود قطع کند. پس از آن هکر یک شبکه وای فای جعلی با همان نام شبکه کافی شاپ ایجاد کرده و کاربران به آن متصل می شوند. وقتی یک کاربر متصل شد، هکر یک برنامه مخرب به دستگاه او ارسال می کند.
دانستن همین نکات کافیست تا از این به بعد در رفتار خود در فضای مجازی تجدید نظر کنید.
در پایان باید بگوییم که شما نباید هر حافظه فلشی را به رایانه خود متصل کنید و یا هر فایل PDF را دانلود کنید، حتی اگر فکر می کنید منبع آن مورد اطمینان است، چرا که هکر ها با تکنیک های مهندسی اجتماعی کاری می کنند که شما چنین چیزی را گمان کنید. همچنین شما نباید به شبکه های وای فای عمومی و رایگان متصل شوید.
در حالی که اغلب افراد در اجتماعات امنیتی تمرکز خود را در بخش کد نویسی هکر ها قرار می دهند، میتنیک روی مهندسی اجتماعی تاکید می کند، چون که در واقع این راهی است که هکر ها با استفاده از آن به اهدافشان می رسند.
به عبارت دیگر ما نباید نکات امنیتی را فقط از متخصصان امنیتی که با ابزار ها آشنا هستند دریافت کنیم بلکه باید از هکر ها هم کمک بگیریم، چرا که آن ها می دانند چگونه با تکنیک های مهندسی اجتماعی به گوشی و رایانه شما دسترسی پیدا کنند.
منبع: pcworld