اگر در گذشته به شما می‌گفتیم رخنه یا آسیب‌پذیری در مرورگری شناسایی شده است و برای رفع آن باید وصله مورد نظر را دریافت کرده و آن‌را نصب کنید، اکنون به شما می‌گوییم، برای خلاص شدن از دست بدافزارها باید تعدادی از افزونه‌های مرورگر فایرفاکس خود را حذف کنید.

در کنفرانس هکرهای کلاه سیاه آسیا که چند وقت پیش در سنگاپور برگزار شد، عنوان گردید که افزونه‌های محبوب فایرفاکس که میلیون‌ها کاربر در سراسر جهان از آن استفاده می‌کنند، این قابلیت را در اختیار هکرها قرار می‌دهند تا در سکوت کامل سیستم قربانیان را به مخاطره انداخته و آزمون‌های امنیتی خودکار و دستی موزیلا و سندباکس این مرورگر را دور زده و یک درب‌پشتی روی سیستم قربانی باز کنند.

در کنفرانس امسال اعلام شد که نزدیک به 255 آسیب‌پذیری در افزونه‌های مختلف شناسایی شده است. جالب آن‌که افزونه‌هایی همچون NoScript با 2.5 میلیون کاربر و DownloadHelper با 6.5 میلیون کاربر و GreaseMonkey با 1.5 میلیون کاربر در این فهرست قرار گرفته‌اند. اما افزونه Adblock Pluse با 22 میلیون کاربر دارای هیچ‌ آسیب‌پذیری شناخته شده‌ای نبوده است. افزونه‌هایی که به آسیب‌پذیری‌ها آلوده بوده‌اند به هکرها این توانایی را می‌دهند تا کدهای مخرب خود را روی سیستم کاربران اجرا کرده، رخدادهای سیستمی را ثبت کرده، به شبکه متصل شده و قابلیت‌های مضاعف‌تری همچون تزریق بدافزارهای دیگر یا پیاده‌سازی شبکه‌ای از کامپیوترهای مطیع (Bot) را به وجود آوردند.

پروفسور Ahmet Buyukkayhan از دانشگاه بوستون و پروفسور ویلیام رابرتسون از دانشگاه Northeastern به تشریح این شیوه مورد استفاده هکرها پرداخته‌اند. آن‌ها از یک چارچوب Crossfire برای شناسایی افزونه‌های آسیب‌پذیر استفاده کرده‌اند. تصویرچهارچوب طراحی شده توسط این دو کارشناس را نشان می‌دهد.

فناوری‌های امنیتی نوینی که به تاریخ خواهند پیوست

زمانی‌ که IPsec فعال شود، به تمام ترافیک مابین دو یا چند نقطه پایانی در شبکه اجازه می‌دهد برای امنیت بیش‌تر، رمزنگاری یک‌پارچه‌ای را روی بسته‌های شبکه پیاده‌سازی کنند. شکل 1 تعامل میان مؤلفه WFP و IPsec را نشان می‌دهد. این فناوری در سال 1993 ابداع و در سال 1995 به یک استاندارد باز تبدیل شد. IPsec توسط هزاران فروشنده و میلیون‌ها سازمان کامپیوتری مورد استفاده قرار می‌گیرد. شکل 2 نمونه‌ای از کاربرد عملی IPsec را نشان می‌دهد؛ بر خلاف بسیاری از فناوری‌های امنیتی عملکرد دفاعی IPsec بسیار عالی بوده و به خوبی کار می‌کند؛ اما مشکلات خاص خود را دارد. اول آن‌که، اگر چه به‌طور گسترده منتشر شده است و مورد استفاده قرار می‌گیرد، هرگز به مرحله‌ای نرسیده است که بتواند از ما در برابر تهدیدها، برای مدت زمان طولانی دفاع کند. IPsec پیچیده است و همه فروشندگان آن را پشتیبانی نمی‌کنند؛ بدتر آن‌که، ممکن است توسط دستگاهی هم‌چون یک Gateway یا Load Balancer، که بین مبدا و مقصد قرار گرفته و از IPsec پشتیبانی نمی‌کنند، غیرکارآمد شود. در بیش‌تر شرکت‌ها، تعداد کامپیوترهایی که از IPsec استفاده نمی‌کنند، بیش‌تر از کامپیوترهایی است که IPsec روی آن‌ها نصب است. پیچیدگی بیش از اندازه IPsec باعث شده است کارایی آن کاهش یابد. زمانی‌که IPsec فعال شود، به شکل محسوسی سرعت هر گونه ارتباطی را کاهش می‌‌دهد؛ مگر آن‌که سخت‌افزار ویژه IPsec را در هر دو طرف کانال نصب کنید (شکل 3). به این صورت، تراکنش‌های سطح بالای سرور از قبیل بانک‌های اطلاعاتی و بیش‌تر سرورهای وب با این سازوکار به درستی کار نمی‌کنند. و بالاخره اگر نتوانید از عمده داده‌های خود محافظت کنید، این فناوری چه سودی دارد؟ علاوه بر مواردی که به آن‌ اشاره شد، «باز بودن»، مشکل بزرگ دیگر این فناوری است. به‌طور معمول، پیاده‌سازی IPsec توسط دو فروشنده (تولید کننده) به درستی کار نمی‌کند و باعث کاهش سرعت می‌شود که مانعی برای به‌ کارگیری گسترده این فناوری است.

شکل1: فرآیند پیکربندی و تعامل مؤلفه‌های مختلف WFP (سرنام Windows Filtering Platform) و فرآیند عملیاتی IPsec را نشان می‌دهد.

ساختار هدرهای پروتکل IP و سرباره TCP را در الگوی محافظت شده IPSec مشاهده می‌کنید.

شکل3: دیاگرامی از یک تونل مجهز به سخت افزار IPsec

با همه گیر شدن پروتکل HTTPs، ناقوس مرگ IPsec به صدا در آمد. زمانی‌که HTTPs را فعال می‌کنید، نیازی به استفاده از IPsec ندارید. HTTPs، پروتکل زبان آشنا در سراسر جهان و در نتیجه برنده میدان است. چنان‌چه یک گواهی دیجیتالی TLS و همچنین کلاینت سازگار با این پروتکل داشته باشد، HTTPs به خوبی کار می‌کند. این پروتکل، مشکلاتی همچون ناسازگاری و پیچیدگی بیش از اندازه ندارد؛ گرچه یک‌سری موارد باعث کاهش عملکرد آن می‌شود؛ اما برای کاربران عادی، این کاهش کارایی چندان محسوس نیست. جهان به سرعت پروتکل HTTPs را در قالب یک استاندارد جهانی پذیرفت. همین موضوع باعث شده تا IPsec خیلی زودتر از موعد مقرر، بازنشسته شود.

Antivirus Scanners

اگر به آمارهای منتشر شده از سوی مؤسسات مختلف اعتقاد داشته باشید، تعداد برنامه‌های مخرب از ده‌ها نمونه، به صدها میلیون نمونه رسیده است. این آمارها نشان می‌دهد که آنتی‌ویروس‌ها در برابر سیل عظیم بدافزارها بی مصرف هستند. البته به‌طور کامل بی‌فایده نیستند و از 80 تا 99.9 درصد کاربران محافظت می‌کنند. هر کاربر سالانه، در معرض هزاران برنامه مخرب قرار می‌گیرد. در بدترین حالت ممکن، یک هکر در یکی از هر صد برنامه منتشر کرده، پیروز میدان است؛ اما این آمار و عدد‌ها قصد دارند چه پیامی را به ما مخابره کنند؟ در جواب باید گفت: اگر بتوانید در مدت زمان یک ‌سال، کامپیوتر خود را از هرگونه بدافزاری دور نگه دارید، به راستی کاری منحصر به فرد انجام داده‌اید؛ البته کاری که سازندگان آنتی‌ویروس‌ انجام می‌دهند، قابل تحسین است. آن‌ها در برابر این هجوم فضایی، کار فوق‌العاده‌ای انجام می‌دهند؛ اما با قاطعیت نمی‌توان اعلام کرد آیا آن‌ها از اواخر دهه 80 میلادی به بعد موفق شده‌اند پیشرفت‌های فناورانه قابل توجهی به دست آورند؟ مکانیزمی که آنتی‌ویروس‌های جدید از آن استفاده می‌کنند، بر پایه فناوری قدیم پایه‌گذاری شده است؛ روزگاری که آنتی‌ویروس‌‌، تنها وظیفه شناسایی تعداد محدودی از ویروس‌ها را بر عهده داشت. اما به راستی چه عاملی باعث می‌شود تا آنتی‌ویروس‌ها از میان بروند؟ به یقیین حرص و ولع بدافزارها ریشه اصلی این ماجرا نیست و مشکل در ارتباط با فهرست‌های سفید است. فهرست‌های سفید امنیتی از مدت‌ها قبل حضور داشتند؛ اما واقعیت این است که مردم از این فهرست‌های سفید استفاده نمی‌کنند؛ شیوه کار فهرست‌های سفید به‌گونه‌ای است که در نهایت، با فهرست‌های سیاه هم‌سو می‌شوند. در شرایطی که یک نرم‌افزار روی سیستم‌ و شبکه‌های کامپیوتری به خوبی عمل می‌کند، به یک‌باره تبدیل به نرم‌افزار بدی می‌شود؛ در نتیجه فهرست کردن نرم‌افزارهای بد، ساده‌تر از نرم‌افزارهای خوب است. این موضوع باعث ترس کاربران می‌شود، که نکند نرم‌افزار محبوب آن‌ها نیز روزی در فهرست سیاه قرار گیرد. این یک بن‌بست بزرگ است، که از گذشته وجود داشته و در آینده نیز وجود خواهد داشت. به دلیل وجود نرم‌افزارهای مختلفی که روی سیستم کاربران نصب شده است، آنتی‌ویروس‌ها به حاشیه رانده شده‌اند. تنوع نرم‌افزارهای نصب شده روی سیستم کاربران، باعث می‌شود تا آن‌ها هر برنامه‌ای را روی سیستم خود اجرا کنند. این موضوع باعث می‌شود تا بدافزارها در هر مکانی وجود داشته باشند؛ اما سازندگان کامپیوتر و سیستم‌عامل‌‌ در حال تنظیم مجدد پارادیم «اجرای همه چیز» هستند به شکلی که برای مصرف‌کنندگان خود یک لایه ایمن ایجاد کنند.

جنبشی که بر خلاف شیوه کارکرد فعلی برنامه‌های آنتی‌ویروس عمل کند. آنتی‌ویروس‌ها تنها به برنامه‌هایی اجازه اجرا نمی‌دهند که امضاء آن‌ها در بانک اطلاعاتی 500 میلیونی آنتی‌ویروس‌ها وجود داشته باشد؛ اما در مکانیزیم جدید الگوی «Run by Default, Block by Exception» جای خود را به «Block by Default, Allow by Exception» داده است. در نقطه مقابل این تمهیدات، هکرها و بدافزارها قرار دارند که بسیار دقیق‌تر و خطرناک‌تر از گذشته شده‌اند. سازندگان به‌طور پیش فرض، با ارائه فهرست سفید از نرم‌افزارها در مقابل آن‌ها محافظت می‌کنند. اپل نزدیک به سه سال پیش فهرست سفیدی را به نام Gatekeeper منتشر کرد. از مدت‌‌ها قبل دستگاه‌های iOS نیز مشابه چنین فهرستی را دریافت کرده‌اند که به آن‌ها اعلام می‌کند کدام نرم‌افزارها مناسب هستند و از فروشگاه اپل دانلود شده و مورد استفاده قرار گرفته‌اند. بعضی از برنامه‌های مخرب با مکانیزم امنیتی اپل از میان می‌روند، اما واقعیت این است که فرآیند هجوم، بسیار گسترده و سنگین است و در بسیاری از موارد موفق می‌شوند به سیستم‌عامل و برنامه‌های آن وارد شوند.

کارشناسان امنیتی گوگل در یک مدل مفهومی نشان دادند نرم‌افزارهای امنیتی که قرار است به عنوان سپری در برابر هکرها قرار گیرند، خود عاملی برای نفوذ هکرها به یک سیستم می‌شوند. به‌گونه‌ای که راه را برای هکرها هموار می‌سازند. تاویس‌اورماندی مهندس امنیت‌اطلاعات شرکت گوگل در وبلاگ خود نوشت: «محصول آنتی‌ویروس شرکت ترند میکرو به هکرها این توانایی را می‌دهد از طریق هر سایتی به اجرای از راه دور کدهایی به‌پردازد که در نهایت گذرواژه کاربران را به سرقت می‌برد». محصول امنیتی شرکت ترندمیکرو همراه با یک برنامه مدیریت گذرواژه‌ها در اختیار کاربران قرار می‌گیرد، رخنه شناسایی شده در برنامه مدیریت گذرواژه‌ها این بسته امنیتی به هکرها این امکان را می‌دهد تا به‌راحتی به سرقت گذرواژه‌های کاربران به‌پردازند. ترندمیکرو ضمن تأیید این خبر اعلام کرده است که به‌روزرسانی لازم برای ترمیم این رخنه را عرضه کرده است. رخنه شناسایی شده به ما یک درس بزرگ داد. سایت‌ها نیز این توانایی را دارند تا کامپیوتر ما را هک کنند.