مورد عجیب اسنودن

شاید آقای فینچر در سال‌‌های نه‌چندان دور، فیلمی با موضوع ادوارد اسنودن بسازد. شاید هم ادوارد اسنودن ناگهان بیماری عجیبی بگیرد و شروع به پیر شدن کند. شاید هم تونی اسکات و برادران واچوسفکی و آقای فینچیر با هم انقلاب کردند و در مورد انانیموس‌ها فیلم ساختند. در هر صورت این وقایع تبدیل به فیلم بشود یا نشود، واقعی باشند یا نباشند، بد نیست به این موارد فکر کنیم:

  • هر داستان و یا فیلمی، اگر به موضوع داغ و یا پر فروشی تبدیل شود، احتمالا (اگر خیلی تخیلی نیست) ریشه‌هایی از واقعیت‌ها، در آن‌ می‌توان یافت. اگر هنوز واقعی نشده‌اند، شاید هدف و آرزوی دست‌ یافتنی در آن نهاده شده است.
  • آژانس امنیت ملی ایالات متحده آمریکا (که بین همه ملت‌ها به راحتی به NSA هم شناخته می‌شود) نقش مهمی در فیلم‌های تخیلی-جاسوسی دنیا دارد. شاید کتاب‌های زیادی هم این موضوع را بزرگ کرده‌اند. دشمن ملت آقای تونی اسکات و دژ دیجیتال آقای دن بروان شاید مهمترین اثرهایی باشند که به صورت شفاف به نقش جاسوسی NSA از شهروندان آمریکایی اشاره‌های واقعی می‌کنند. در ذهن من، هیچ موضوع خیلی مبهمی در خصوص این دو اثر نیست که در میان حکومت‌های دنیا رایج نباشد.
  • شاید در وب‌فارسی کمتر در این مورد صحبت شده باشد. گزارش‌های قابل قبولی وجود دارد که NSA-FBI به صورت رسمی برای شکستن کدهای AES تلاش می‌کنند. هر چند به ظاهر در بسیاری از موارد، مانند عملیات ساتیاگراها پس از ۱۲ ماه تلاش شکست می‌خورند.
  • قسمتی از بزرگ شدن اسنودن، به خاطر بازی‌های رسانه‌ای است که پیرامون او در حال رخ دادن است. گاردین به وضوح در حال قدرت‌جویی برای خودش است و روسیه هم احتمالا مانند همیشه به فکر تبادل و باج‌گیری.
  • اگر کمی دقت کنید، این موضوع برای هیچ گروهی از افرادی که در حوزه امنیت اطلاعات کار می‌کنند، خیلی عجیب و غیر عادی نیست. تمام افرادی که در زمینه امنیت فعال هستند به راحتی می‌دانند، تمامی حکومت‌ها (توسعه یافته، نیافته، در حال توسعه) تا جایی که بتوانند با اتکا به قوانینی که خودشان وضع کرده‌اند، دست به چنین اقداماتی می‌زنند. پروژه‌هایی مانند پریسم همانقدر نکوهش می‌شوند، که درصد خیلی خیلی کمتری در خصوص شنود موبایل در سال ۸۸ شرکت‌های مخابراتی نکوهش شدند.
  • فرق حکومت‌های توسعه یافته با نیافته و یا در حال توسعه این است که در کشور توسعه یافته بعد از اعلام پریسم، سخنگوی مربوط پشت تریبون قرار می‌گیرد، و با اتکا به قوانین داخلی موضوع را حل می‌کند. به احتمال زیاد، هیچ مرجع قانونی هم نخواهد توانست به چنین پروژه‌ای ایراد بگیرد.
  • شنود و رهگیری قانونی، در تمامی سیستم‌های مخابراتی و اطلاعاتی، در همه جای دنیا در نظر گرفته می‌شود. کلمه قانونی، در این عبارت، بیانگر این است که در محل اجرای موضوع، قانون‌گذار می‌تواند در خصوص شنود و رهگیری، قوانینی وضع کند. جهت اطلاع رسانی توجه شما را به Cisco Architecture for Lawful Intercept in IP Networks یا RFC 3924 جلب می‌کنم.
  • همانطور که معروف است، لازم است متذکر شوم، امنیت، یک افسانه‌ است. به افسانه‌ها احترام بگذارید.

پهپاد کشون

رابطه‌ی بسیار نزدیکی بین پهپادها و دنیای امنیت اطلاعات وجود دارد. علاوه بر سرگرمی‌های بسیار زیادی که پرنده‌های بدون سرنشین برای علاقه‌مندان به تکنولوژی دارند، عملیات شناسایی و تجسس بوسیله پهپادها به صورت گسترده‌ای بر ساختارهای مدیریت امنیت اطلاعات و ارتباطات وابسته است. سیستم‌عامل‌های بلادرنگ، مسیرهای ارتباطای مخابراتی و دیتا، و همچنین نیاز به رمزنگاری‌های مختلف پهپادها را سوژه‌ی مناسبی برای هک‌های مختلف کرده است. در دو سال اخیر، مرزهای هوایی ایران، شاید بیشتر از هر کشور مستقل دیگری تردد چنین پرنده‌هایی را تجربه کرده است.

من تمامی این موارد را همانند نوشته‌ای که پیش‌تر تحت عنوان تردید در ساختارهای امنیت اطلاعات منتشر کرده‌ام، به علت ناکار‌آمدی نظام‌های اطلاعاتی فعلی می‌دانم. این حملات، ریسک‌ها و آسیب‌پذیری‌ها چه خوب و چه بد، نشانه‌های واقعی و خطرناکی هستند از اینکه ما در میانه حملات ترکیبی نظامی، الکترونیکی و سایبری هستیم. چه تصور کنیم این حرف‌ها اغراق آمیز است و چه فکر کنیم برخی از این موارد توهمات سیاسی و دولتی است، باید به حریم شخصی و آسیب‌های سایبری که هر روز بیشتر امکان پذیر می‌شوند، بیشتر فکر کنیم.

پاکسازی کامل هارد دیسک DBAN Wipe

اگر قصد دارید کامیپوتر شخصی، نوت بوک و یا حتی سروری را از چرخه سرویس‌دهی خارج کنید و کمی در مورد اطلاعاتی که از قبل بر روی آن ذخیره شده است، نگران هستید، DBAN یکی از سریعترین روش‌ها برای پاک کردن اطلاعات از روی هارد دیسک شماست. توجه کنید: DBAN به راحتی می‌تواند تمام اطلاعات هارددیسک شما را از بین ببرد. اگر دلیلی برای پاکسازی کامل هارد دیسکتان ندارید، این نوشته را نخوانید.

Darik’s Boot and Nuke یک لینوکس کوچک و Bootable‌ است که می‌تواند با استفاده از CD، DVD، USB و یا حتی فلاپی دیسک و یا حتی از روی شبکه، هارد دیسک کامپیوترتان به با ضریب اطمینان بالایی از بین ببرد. DBAN با علاوه بر پاکسازی سریع اطلاعات می‌تواند از چندین روش کمی قابل اطمینان نیز استفاده کند.

The program is designed to securely erase a hard disk until data is permanently removed and no longer recoverable, which is achieved by overwriting the data with pseudorandom numbers generated by Mersenne twister or ISAAC. The Gutmann method, Quick Erase, DoD Short (3 passes), and DOD 5220.22-M (7 passes) are also included as options to handle data remanence.

خطر گسترش اسپم‌ در فضای وب فارسی

ایمیلی که در چند روز اخیر با موضوع «سلام، من ایمیل آدرسم رو عوض کردم» در صندوق پستی بسیاری از کاربران (حداقل)ایرانی نشسته است، گوشزد مهمی در خصوص ناکارآمدی ابزارهای امنیتی عمومی موجود در اینترنت (و به‌خصوص شبکه‌های داخلی) است. موارد زیر، برخی نظرات شخصی من در خصوص این ایمیل است:

  • همانطور که قبلاً هم اشاره کرده‌‌ام، با توجه به وضعیت فعلی امنیت اطلاعات در شبکه‌های اطلاع رسانی، بسیاری از نرم‌افزارها و سخت‌افزارها و به خصوص راه‌حل‌های قدیمی که برای استقرار امنیت اطلاعات طراحی، خریداری/ویا به فروش رسیده است، ناکار‌آمد و نمایشی است. بسیاری از فایروال‌ها و ضدویروس‌های قدیمی (و حتی جدید) توانایی مقابله با بیشتر تهدیدهای امنیتی مدرن را ندارد.
  • ارتباط اندک نهادهای امنیت اطلاعات (رایانه‌ای) مستقر در ایران، با سازمان‌های جهانی، با وجود افزایش حس استقلال اطلاعاتی برای کشور، در آینده‌ای بسیار نزدیک باعث بروز مشکلات متعددی برای کاربران ایرانی (و جهانی) خواهد شد. امنیت اطلاعات در سال‌های اخیر به همان اندازه که سلامت انسان‌ها اهمیت دارد، اهمیت پیدا کرده است. تصور کنید اگر واکسن‌ها و یا مقابله با ویروس‌های انسانی تنها قرار باشد در داخل کشور راهبری و کنترل شود، چه مشکلات متعددی به وجود خواهد آمد.
  • تجربه‌های پیشین من از مقابله با اسپم‌ها در داخل شبکه‌های (کمی بزرگ) ایرانی، دلنگرانی‌های عمده‌ای برای من ایجاد کرده است. به خاطر دارم ۲ سال پیش، در یک شبکه با تعداد کاربران نه چندان زیاد (۸۰۰ کاربر) چیزی در حدود ۱۴ اسپم در دقیقه نابود می‌شد. از ۲ سال پیش تاکنون روش‌های جدید و هوشمند بسیاری برای اسپم‌های هدفمند توسعه داده شده است.
  • اسپم‌ها، با وجود ارزش پایینی که دارند، یکی از کم هزینه‌ترین (و موثرترین) روش‌های پخش و گسترش‌ بات‌نت‌ها هستند. اسپم‌هایی در سطح گسترده، در یک جامعه هدفمند، می‌توانند آغاز و یا یکی از مراحل ابتدایی شروع گسترده‌تری از یک بات‌نت باشند.
  • عدم اطلاع رسانی سریع یک نهاد پاسخگو در زمینه امنیت اطلاعات، می‌تواند ریسک‌های حملات اطلاعاتی را افزایش دهد. در ایران، تا آنجا که من اطلاع دارم، نهادهای مختلفی در خصوص امنیت اطلاعات فعالیت می‌کنند. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به تصور من اگر صلاحیت و اجازه قانونی این کار را دارد، می‌بایست پیش از بروز شایعات و یا تبعات آتی، در سریع‌ترین زمان ممکن در خصوص این موارد اطلاع رسانی کند.
  • هر چند تابه‌حال چندین بار خبر افتتاح Honey Potهای دولتی منتشر شده است، اما برای من جمع آوری و تحلیل داده‌های جمع‌آوری شده توسط این ابزارها مشخص نیست. اگر این مجموعه وجود دارد و در حال فعالیت می‌باشد، می‌بایست گزارش‌های محکم و سودمندی با دلایل فنی کافی منتشر شود. یقین دارم بسیاری از مدیران شبکه ترجیح می‌دهند پهنای باند گران قیمتی که در سازمانشان مصرف می‌شود برای استفاده‌ای به جز اسپم‌ها و بات‌نت‌ها باشند.

تضادهای Flame

در مطلب قبلی، نوشته‌ای از یکی از مدیران ارشد F-Secure در مورد علت شناخته نشدن Flame‌ ویروس‌های قبلی نوشتم. این مطلب بهانه تراشی برای این بود که چرا Flame‌ و یا بدافزارهای مشابه دیرتر از زمان قابل انتظار شناسایی شدند. مقدار زیادی از این بهانه‌تراشی‌ها به دلیل شایعاتی است که در مورد منبع دولتی این بدافزارها مطرح می‌شود. بروس اشنایدر هم در این مورد اظهار نظر کرد، نوشته The Failure of Anti-Virus Companies to Catch Military Malware را می‌توانید مرور کنید:

I don’t buy this. It isn’t just the military that tests their malware against commercial defense products; criminals do it, too. Virus and worm writers do it. Spam writers do it. This is the never-ending arms race between attacker and defender, and it’s been going on for decades. Probably the people who wrote Flame had a larger budget than a large-scale criminal organization, but their evasive techniques weren’t magically better. Note that F-Secure and others had samples of Flame; they just didn’t do anything about them.

Flame‌ در سال‌های گذشته

Mikko Hypponen یک نوشته نه چندان عمیق در مورد زمان شناخت Flame دارد. برای چندمین بار تاکید شده که بد‌افزار Flame بیشتر از ۱ سال است که شناسایی شده است، اما به صورت دقیق مورد بررسی قرار نگرفته است.

When we went digging through our archive for related samples of malware, we were surprised to find that we already had samples of Flame, dating back to 2010 and 2011, that we were unaware we possessed. They had come through automated reporting mechanisms, but had never been flagged by the system as something we should examine closely. Researchers at other antivirus firms have found evidence that they received samples of the malware even earlier than this, indicating that the malware was older than 2010.

اهمیت این موضوع در کنار سواستفاده Flame از گواهینامه‌های امنیتی مایکروسافت و روش پخش و کنترل این ویروس با استفاده از وب سرورهای آلوده شک بیشتری برای برنامه ریزی بلند مدت و سوخته شدن ویروس در حال حاضر را ایجاد می‌کند.

شفافیت حکومتی در زیرساخت‌ها

بعد از ۱۱ سپتامبر، اجنبی‌ها برنامه‌های زیادی برای مراقبت بیشتر از زیرساخت‌های حیاتی راه انداختند. با اینکه تعداد زیادی از این برنامه‌ها خشن، نژادپرستانه و با سواستفاده‌های زیادی همراه بود، اما نتایج خوبی در دراز مدت داشت. یکی از برنامه‌هایی که من  به کار‌آمد بودن آن اعتقاد دارم، دفتری با عنوان حفاظت زیرساخت‌های حیاتی است. این دفتر، در چندین بخش وظیفه کنترل، برنامه ریزی و گزارش دهی در مورد زیرساخت‌هایی را دارد که عدم کارکرد سالم آن، می‌تواند آسیبی به زیرساخت ایالات متحده داشته باشد.

این گزارش‌ها و بررسی‌ها به صورت روزانه چندین سال است که در اختیار تمام دستگا‌ه‌های اجرایی و هر کس که داوطلب باشد قرار داده می‌شود. این گزارش‌ها به صورت  شفاف (به قطع تا جایی که شفافیت حکومتی وجود دارد.) از بخش‌های زیرساختی ایالات متحده تحت عنوان‌ Daily Open Source Infrastructure Report آماده می‌شود.

هر یک از گزارش‌های روزانه می‌تواند شامل بخش‌های متنوعی مانند وضعیت معادن، آب آشامیدنی، برق و انرژی‌های تجدید ناپذیر، و زیرساخت‌های فناوری اطلاعات باشد. در این گزارش‌های ۱۵ ۲۰ صفحه‌ای می‌توانید علاوه بر آتش سوزی در فلان دهکده، آخرین آسیب‌پذیری در مورد Ruby‌ را هم مشاهده کنید!

آتش پاره آسمان جول – Flame

اولین باری که در مورد ویروس‌ها فارسی نوشتم، ۹ سال پیش بود. MyDoom یکی از پیش تازان بدافزارهای هدایت شده بود. بدافزارهای هدایت شده، به صورت کلی با استفاده از روش‌های رایجی که سامانه‌های فرماندهی و کنترل C&C از آن‌ها پیروی می‌کنند، به تخریب، حمله، خرابکاری و یا دزدی از یک هدف خاص اقدام می‌کنند. در آن زمان، MyDoom مقدمه‌ای بود تا اقتدار SCO شکسته شود و وب‌سایت این شرکت بزرگ برای مدتی از دسترس خارج شود و در نهایت همگی با SCO خداحافظی کنیم. این بار Flame، اقتدار سامانه‌های امنیتی گران قیمت و اداعاهای امنیتی دولت‌ها را هدف قرار گرفته است.

در زمان بسیار نزدیکی، ۳ گروه متفاوت در مورد بدافزار جدیدی با نام Flame هشدار داده‌اند. در ابتدا یک نوشته غیر رسمی از سوی کسپراسکی و سپس یک مقاله تحلیلی کامل از شرکت مجارستانی CrySyS و سپس اعلامیه از سوی مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای کشور) حضور این بدافزار را تایید کرده‌اند. اولین باری که فایل‌های مرتبط با این ویروس ثبت شده‌است، مربوط به دسامبر ۲۰۰۷ بوده است. نسخه بعدی در سال ۲۰۰۸ در امارات متحده عربی و نسخه نهایی در مارچ ۲۰۱۰ در ایران ثبت شده است. نمای زیر، نحوه زندگی این آتش پاره آسمان جول را از سال ۲۰۱۰ مرور کرده است:

این بدافزار از تکنولوژی‌های تقریبا کمیابی (در سطح بدافزارها) برای جمع آوری اطلاعات و ارسال داده‌ها استفاده می‌کند. ساختار کاملا ماجولاری دارد که با استفاده از چندین اسکریپت Lua کارهای متفاوتی را انجام می‌دهند.

[blockquote type=”blockquote_line” align=”left”]

CRUISE_CRED.lua
The script gathers credential information from an already infected machine. More precisely, it cruises all the token objects to find the ones belong to the administrator or the Administrators, Domain Admins groups. If it is successful, it updates cruiseAttackLog in the “CLAN” database by means of the user sd and the user name. For more information, please see the Tables creds and cruise_attack_log in Figure 48.
basic_info_app.lua
The script gathers basic information about an infected computer such as the flame version it has been infected with, the computer name, the ip address of the machine. Furthermore, it books various parameters about the nature of information leak (e.g., AVERAGE_LEAK_BANDWIDTH, LAST_LEAK_TO_INTERNET, MEDIA_LEAKS_FROM_THIS_COMPUTER, etc). Note that the FLAME_VERSION parameter must have been used to avoid the reinfection of the same computer and also to update flame if it is necessary.
clan_seclog.lua
The script parses the Security log by searching for certain event Ids and retrieves the corresponding username and ip information from it. It is supposedly used to collect information about the traces of infection, or the credentials and source IPs used to authenticate to the infected machine. The script examines the following event Ids, where the corresponding log entries store the required pieces of information (Account Name, User
Name and IP address)
Event Id: 540 – Refers to successful network logon. Among various parameters the log stores the User Name and Source Network Address as well.
Event Id: 672 – Refers to Authentication Ticket Granted Audit event. In case of Windows, the Kerberos authentication uses the optional pre-authentication phase before issuing an authentication ticket by checking the credentials of the client. If the client successfully authenticated to the workstation, Windows puts a log entry with event id 672 into the Security log in order to demonstrate the successful initial logon event.
Event Id 673: – Refers to Service Ticket Granted Audit event. Once the authentication ticket is granted a service ticket have to be gained. If it is so, the client could successfully logon to the domain, and Windows puts a log entry with the 673 event Id to the Security Log.
Event Id 680: – Refers to Account Used for Logon by: <authentication package> .
json.lua: json related string functions only
casafety.lua: “CLANattack safety” tries to find out processes, registry information and similar related to ESET, KAV, McAfee, TrendMicro, and list from THREATENING

[/blockquote]

همچنین داده‌هایی که این بدافزار جمع آوری می‌کند در یک ساختار مبتنی بر SQL Lite ذخیره می‌شود. چنین ساختاری در یکی از نسخه‌های این بدافزار وجود دارد:

اطلاعات بیشتر و کامل‌تری را  در گزارش CrySyS مشاهده خواهید کرد. با توجه به شایعه‌های تقریبا اشتباهی که در مورد کارکرد این بدافزار و استاکس‌نت وجود دارد، این جدول اطلاعات اولیه‌ای خوبی می‌تواند در خصوص مقایسه این دو خانواده بدافزار نمایش دهد: