آیا این بار دوربین های Canon باعث از کار افتادن اینترنت می شوند؟

به گزارش کلیک، آیا قطعی گسترده اینترنت در روز جمعه را به خاطر دارید؟ متاسفانه باید بگوییم که موضوع از این وخیم تر هم خواهد شد. زیرا هکرها تصمیم گرفتند تا تعداد بسیار وسیعی از دستگاه های متصل به اینترنت را که هک شده اند و به منظور حمله شدیدی برای تداخل در ارتباطات اینترنتی آماده شده اند، بفروشند. این اطلاعات دقیقا زمانی که دوربین ها و سایر دستگاه های متصل به اینترنت که مورد سوء استفاده قرار گرفتند و در یک حمله به منظور از کار انداختن وب سرویس های توییتر، آمازون، نت فلیکس، اسپاتی‌فای و سایر شرکت های بزرگ دیگر به کار گرفته شدند، فاش شد.

در طی اتفاقی بی سابقه که برای RSA که یک شرکت امنیتی است، رخ داد این شرکت در اوایل ماه اکتبر متوجه شد که هکرها در یک انجمن مجرمانه زیرزمینی در حال تبلیغ برای دستیابی به سطح وسیعی از دستگاه های متصل به اینترنت هستند. (Mikko Hypponen ، رئیس بخش تحقیقات F-Secure بعد از انتشار این مطالب، در توییتر خود گفت که آن یک بازار Alpha Bay بر پایه Tor بود.) Daniel Cohen مدیر واحد تجاری اعمال مجرمانه RSA گفت: این نخستین بار است که ما شاهد آن هستیم که IoT botnet به فروش گذاشته می شود یا اجاره داده می شود. ( botnet که با نام ارتش زامبی ها نیز شناخته می شود به تعدادی از کامپیوترها یا دستگاه های متصل به اینترنت گفته می شود که به منظور ارسال ویروس ها، اسپم ها یا درخواست های بیش از حد به کامپیوترهای دیگر در اینترنت به کار می رود. مالکان دستگاه هایی که از دستگاه آن ها برای حملات اینترنتی استفاده می شود، معمولا از این اتفاق بی خبرند و در حقیقت دستگاه آن ها هک شده است.) به خصوص در این مورد که هکرها بسیار به میزان قدرت خود می بالند. بی تردید این یک تجارت نگران کننده است که نشان دهنده رشد ظرفیت حملات DDos است. (حمله ddos یا dos مخفف (denial of service attack) به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور (کامپیوتر قربانی یا هدف) و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و...) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود (به دلیل حجم بالای پردازش یا به اصطلاح overload شدن عملیات های سرور)، در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند، به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات می شود و به دلیل محدود بودن قدرت پردازش سرور به کاربران در وضعیت عادی (یعنی قدرت سرور را به تعداد کاربرانش در حالت عادی در نظر گرفته اند نه حالت غیر طبیعی)، مثل حالاتی که کامپیوترهای رومیزی دچار کندی یا توقف کامل می شوند، دچار وقفه در سرویس دهی یا حتی down شدن آن می شود.)

هکرها ادعا می کنند که می توانند به اندازه ۱ ترابایت ترافیک بر روی سرورها ایجاد کنند که این مقدار تقریبا معادل آخرین رکورد جهانی حمله DDos است که در اوایل این ماه برای یک سرویس میزبانی هاست فرانسوی به نام OVH رخ داد. در این حمله بیش از ۱ ترابایت ترافیک بر روی سرور ایجاد شد. در مورد حمله اخیر نیز هکرها اعلام نمودند که برای ۵۰٫۰۰۰ کامپیوتر و دستگاه هک شده تنها کافی است ۴۶۰۰ دلار پرداخت کنید. هم چنین در صورتی که ۷۵۰۰ دلار بپردازید، شما می توانید کنترل ۱۰۰٫۰۰۰ کامپیوتر را در دست بگیرید. این کامیپوترها می توانند منابع را با یکدیگر ترکیب کرده تا اهداف مورد نظر خود را از پای در بیاورند که در اصلاح به عنوان حملات DDos شناخته می شوند. Cohen گفت: او نمی دانست که آیا botnet که برای اجاره وجود دارد مربوط به Mirai است. ( در روز جمعه شبکه بزرگی از کامپیوترهای متصل به اینترنت توسط بدافزار Mirai هک شدند و برای از کار انداختن Dyn، که یک ارائه دهنده DNS است، به کار گرفته شدند.)

هکرها بازار بسیار بزرگی برای فروش botnetهای خود دارند ، اگر چه هنوز به طور واضح درباره نحوه استفاده از دستگاه های IoT مانند دوربین ها، یخچال ها و کتری های متصل به اینترنت چیزی اعلام نکرده اند.

قتل عام اجتناب پذیر

متخصصین مسایل امنیت سایبری به FORBES گفتند که تمام جنجال هایی که در روز جمعه به راه افتاد و سایت های بزرگی مانند آمازون و توییتر از کار افتادند، قتل عامی محسوب می شود که می توانستیم از آن جلوگیری کنیم. آن ها می گویند به دو دلیل دنیای وب باید آمادگی بیشتری برای این حمله بی امان می داشت.

اول این که، کارخانه تولیدکننده چینی دوربین های نظارتی و دستگاه های ویدیوی خانگی (Xiongmai Technology یا همان XM) که توسط Mirai botnet مورد سوء استفاده قرار گرفتند، اعتراف کرد که در گام اول اصلاحاتی را باید در دستگاه های خود به وجود می آورد، که با سهل انگاری آن ها را انجام نداد. در صورتی که اگر این اصلاحات به خوبی انجام می شد طبیعتا سیستم هایش هک نمی شدند. (Zak Wikholm یکی از محققین بخش هوش امنیتی شرکت Flashpoint به FORBES گفت که حداقل یکی از دستگاه های XM را که یک DVR بود و در حمله DDos روز جمعه مورد استفاده قرار گرفته بود، شناسایی کرده بود.)

Cooper Wang سخنگوی XM به این محقق گفت که شرکت آن ها Telnet را خاموش کرده بود (Telnet ویژگی است که این امکان را فراهم می کند تا بتوان از راه دور به دستگاه ها متصل شد.). این موضوع به سال ۲۰۱۵ برمی گردد. پیش از آن، Telnet در دوربین های XM فعال بود و دارای یک نام کاربری و رمزعبوری پیش فرضی بود که همگی از آن اطلاع داشتند که باعث می شد هکرها به راحتی و به سرعت بتوانند به دستگاه دسترسی یابند. Wang هم چنین به مشتریانی که حالا این پرسش برایشان به وجود آمده، گفت: جهت تغییر نام کاربری و رمز عبور پیش فرض مربوط به پرتال وب متصل به دوربین های XM، این کار را از راه دور انجام ندهند.

علاوه بر این Wang افزود: هر دستگاهی که تا پیش از تاریخ سپتامبر ۲۰۱۵ عرضه شده است، فریم‌ور آن ها به واسطه رمزعبوری که به سادگی هک می شود، آسیب پذیر است. البته او بیان نکرد که آیا برای محصولاتی که شریک XM هستند امنیت وجود دارد یا خیر. البته Flashpoint اشاره کرد که این آسیب پذیری ها هم چنان در مورد این محصولات نیز وجود دارد.

Wang به تمام مشتریان این شرکت توصیه کرد تا فریم‌ور های خود را به روز رسانی کنند (اگر چه اشاره ای نکرد که چطور باید این کار را انجام داد.) و تمام درگاه های باز را جهت جلوگیری از دسترسی های خارجی ببندند. او می گوید: مسئولیت پذیر بودن یکی از ارزش های بالای شرکت XM است. ما آن قدر جرات و جسارت داریم تا به عیب ها و نقص های محصولات خود اعتراف کنیم. در عین حال نیز آن قدر اعتماد به نفس داریم تا بر تمام این مشکلات و عیوب غلبه کنیم. او هم چنین گفت: اتفاقات مشابهی پیش از این نیز در بازار بزرگ اینترنت اشیاء رخ داده بود.

اگر شرکت XM دستگاه های خود را با امنیت بیشتری پیش از سپتامبر گذشته وارد بازار کرده بود، و اگر شرکای او در جهت بهبود امنیت دستگاه ها با این شرکت چینی بعد از به روز رسانی سال ۲۰۱۵ همکاری کرده بودند، ممکن بود هرگز آن صدها هزار دستگاه هک نمی شدند و Mirai botnet هرگز نمی توانست تا آن اندازه رشد کند که بتواند آن شوک بزرگ را به دنیای وب در هفته گذشته وارد آورد.

پشتیبان گیری ( back up )

دو متخصص مسایل امنیت سایبری در مورد مسایل رخ داده اخیر گفتند: سایت هایی همچون آمازون، توییتر، پی‌پال و سایر وب سایت ها می توانستند آمادگی بیشتری برای مقابله با این حمله داشته باشند. آن ها می گویند: هر کسی که یک وب سایت را راه اندازی می کند باید یک ارائه دهنده DNS ثانویه به عنوان پشتیبان برای سایت خود در نظر بگیرد.

DNS مشابه یک دفترچه تلفن است. زمانی که کاربران نام یک سایت را در مرورگر خود وارد می کنند، DNS سرور مناسب را برای ارائه وب سایت مربوطه ارائه می دهد که پس از آن به مرورگر متصل می شود. این یکی از مهمترین بخش های وب است. وب سایت ها می توانند از بیش از یک مسیر برای رسیدن به DNS استفاده کنند، به طوری که اگر یکی از راه ها به دلیل ترافیک مسدود شد، مشابه آن چه که در روز جمعه برای مسیرهای Dyn رخ داد، از راه دیگری وارد شوند. اما پس از این که حادثه روز جمعه توسط بدافزار Mirai رخ داد، مشخص شد که هنوز در این زمینه سرمایه گذاری نشده است. Dyn یکی از بازیگران مهم در عرصه فراهم کنندگان DNS است، اما به جز آن گزینه های دیگری نیز وجود دارند. به عنوان مثال گوگل در ازای ۱ میلیون تقاضا (request) در ماه حداقل ۰٫۲۰ دلار در ماه دریافت می کند تا سایت ها بتواند از سرورهای DNS این شرکت استفاده کنند.

Kevin Beaumont معمار مسایل امنیتی نیز در این باره می گوید: شرکت هایی که از یک DNS ثانویه استفاده می کنند، نمی خواهند تمام تخم مارغ های خود را در یک سبد قرار دهند. ما پیش از این شاهد بودیم که سایت PayPal که مشتری Dyn است، علاوه بر Dyn از یک ارائه دهنده DNS دیگر نیز استفاده کرده است. این امر باعث کاهش مشکلات در آینده خواهد شد. در واقع این شرکت از هر دو DNS استفاده می کند و Dyn را نبسته است. به عنوان مثال شرکت ها می توانند از Dyn به عنوان یک ارائه دهنده DNS اضافی استفاده نمایند.

یک دیوار دفاعی با ثبات

یک تغییر جرئی دیگر درباره نحوه عملکرد DNS برای شرکت ها وجود دارد که مشکل کاربران عمومی وب سایت ها را حل کرده است. زمانی که یک کاربر آدرس وب سایتی را وارد می کند، DNS همیشه فرایند جستجوی یکسانی را انجام نمی دهد و مسیر یابی که به نام سرور DNS مطمئن (authoritative DNS server) شناخته می شود انجام نمی گیرد. در عوض، سیستم می تواند به سرعت تقاضایی را که پیش از این ذخیره شده یا کش شده است از یک سرور نزدیک بازیابی کند. این کار باعث خواهد شد که تمام این فرایند به سرعت بیشتری انجام شود. بازه زمانی که در طول آن تقاضاها کش می شوند با نام Time to Live یا TTL شناخته می شود. یکی از محققان شرکت MalwareTech اشاره کرده است که هر چه قدر TLL کوتاه تر باشد، همه چیز سریع تر از دست خواهد رفت در صورتی که سرور DNS مطمئن به حالت آفلاین درآید. آن ها می گویند بنابراین توییتر باید TTLهای مربوطه را بیشتر طول دهد.

آن ها هم چنین بیان کردند که ترکیبی از TTL کوتاه و نبود اطلاعات کافی چیزی بود که سبب شد تا مسایل روز جمعه رخ دهد. اگر یک سایت آلوده یک TTL داشت و تا زمانی که یک حمله DDos از مدت زمان طول یک روز کوتاه تر باشد، طبیعتا بیشتر کاربران نباید متوجه اتفاق خاصی شوند.

Filippo Valsorda که یکی از متخصصین مسائل امنیت سایبری CloudFlare است، معتقد است که حتی راه حلی بهتر از این هم وجود دارد. او می گوید: به جای کوتاه کردن TTLها ، کافی است تا مطمئن شوید که یک پشتیبان دائمی از تمام رکوردهای موجود وجود دارد. او در مصاحبه با FORBES گفت: شما نیازی ندارید تا نتایج DNS را به طور مستقیم از منبع دریافت کنید. نتایج برای همه یکسان است و می تواند تا مدتی معتبر باشد.

نکته اصلی در این جا است: چنانچه زمانی که منبعی مطمئن مانند Dyn آفلاین است، سیستم DNS جهانی فقط جهت پاسخگویی به نتایج قدیمی نگه داشته می شود و حملات به سمت ارائه دهنده های DNS می تواند سبب اختلالات بسیار کمتری شود. بنابراین دلیل منطقی وجود ندارد که زمانی که TTL منقضی می شود و میزبان ها نمی توانند به منابع جهت آپدیت آن ها دسترسی یابند، نتایج را از کش حذف کنند.

سوالی که در این جا مطرح می شود این است که آیا Dyn می توانست بهتر از این عمل کند؟ پاسخ کوتاه این است که Dyn یک قربانی بی گناه بود.

Dyn با میلیون ها آدرس آی‌پی که به سمت سرور آن تقاضا ارسال می کردند، مواجه بود. Kyle York رئیس بخش استراتژی Dyn گفت: Mirai یکی از مراکز حمله بود و در کنار آن منابع مختلف دیگری نیز وجود داشتند. تیم ما هم چنان در حال تحقیق و بررسی بر روی مجموع حملاتی است که ما دریافت کردیم اما صادقانه باید گفت که این حملات در سطح بسیار وسیعی انجام شد که پیچیده و مبهم بودند.