از انتشار اطلاعات شخصی تا افشاگریهای بزرگ امنیتی
رخدادهای امنیت اینترنتی در سال ۲۰۱۵
دنیای اقتصاد: سال ۲۰۱۵ از نظر امنیت اینترنتی و سرقت اطلاعات قطعا یکی از به یادماندنیترین سالها خواهد بود. در این سال ما شاهد کشف گروههای جاسوسی بزرگی بودیم و در عین حال بزرگترین نشت اطلاعات (یا بهتر است بگوییم سرقت اطلاعات کاربران) در این سال رخ داد. مشکلات باورنکردنی از اندروید و تصمیمهای نابخردانه از بزرگترین تولیدکنندگان کامپیوتر هم در این سال اتفاق افتاد تا به همه ثابت کند ۲۰۱۵ یکی از بدترین سالها از نظر امنیت اینترنتی بوده است. سال قبل ما شاهد کشف حفرههای بزرگ امنیتی مانند خونریزی قلبی یا هک شرکت سونی بودیم؛ اما آنچه در سال ۲۰۱۵ اتفاق افتاد قطعا قابل مقایسه با سال قبل نیست؛ چراکه عملا مشکلات اینترنتی این سال هراسانگیزتر و تکاندهندهتر بود.
دنیای اقتصاد: سال 2015 از نظر امنیت اینترنتی و سرقت اطلاعات قطعا یکی از به یادماندنیترین سالها خواهد بود. در این سال ما شاهد کشف گروههای جاسوسی بزرگی بودیم و در عین حال بزرگترین نشت اطلاعات (یا بهتر است بگوییم سرقت اطلاعات کاربران) در این سال رخ داد. مشکلات باورنکردنی از اندروید و تصمیمهای نابخردانه از بزرگترین تولیدکنندگان کامپیوتر هم در این سال اتفاق افتاد تا به همه ثابت کند 2015 یکی از بدترین سالها از نظر امنیت اینترنتی بوده است. سال قبل ما شاهد کشف حفرههای بزرگ امنیتی مانند خونریزی قلبی یا هک شرکت سونی بودیم؛ اما آنچه در سال 2015 اتفاق افتاد قطعا قابل مقایسه با سال قبل نیست؛ چراکه عملا مشکلات اینترنتی این سال هراسانگیزتر و تکاندهندهتر بود. در ادامه نگاهی میاندازیم به برخی از مهمترین رویدادهای امنیتی رخ داده در فضای اینترنت.
اشلی مدیسون
هک بزرگی را که در سایت اشلی مدیسون رخ داد، باید از نظر انتشار اطلاعات شخصی یکی از بزرگترینها در تاریخ اینترنت به حساب آورد. هکرها توانستند با نفوذ به این سایت که در زمینه روابط غیر رسمی فعالیت داشت اطلاعات کارت اعتباری، شماره تلفن و آدرس منزل و میلیونها اطلاعات دیگر را به سرقت ببرند. هکرها با انتشار این اطلاعات روی وب عملا هم از نظر اقتصادی و هم اخلاقی استفادهکنندگان از خدمات این سایت را در معرض خطرات امنیتی فراوانی قرار دادند. فاش شدن نام دهها مقام دولتی و سیاسی و افراد مشهور در بین قربانیان این هک باعث سروصداهای رسانهای فراوانی شد که بر شهرت این حمله اینترنتی افزود. در همین حال تنها این سایت و مشتریان نگونبختش دچار این حمله افشای اطلاعات نشدند. سازنده دستگاههای الکترونیک ویژه کودکان به نام Vtech هم با هک مشابهی مواجه شد؛ به طوری که اطلاعات ۸/ ۴ میلیون پدر و مادری که از این سایت برای فرزندانشان خرید انجام داده بودند نیز روی اینترنت قرار گرفت تا سال ۲۰۱۵ یکی از مهمترین سالها از نظر نشت اطلاعات شخصی افراد نام بگیرد.
هک جاسوسان
اگر ماجرای اشلی مدیسون مربوط به افشای کاربران این سرویس بود در سال گذشته سرقت انبوهی از اطلاعات از یک شرکت ایتالیایی به نام Hacking Team که سازنده ابزارهای قانونی جاسوسی بود واقعا باعث شگفتی بسیاری شد. این شرکت هر چند فعالیتش قانونی بود و ابزارهایی را برای کنترل کاربران عرضه میکرد؛ اما از طرف بسیاری از منتقدان بهدلیل اینکه از نرمافزارهای آن برای جاسوسی استفاده میشود تحت فشار قرار داشت. در اوایل تابستان ابتدا هکرها اکانت توییتر این شرکت را هک کردند و اسم آن را به شکل طنزآمیزی از Hacking Team (تیم هکری) به Hacked Team (تیم هک شده) تغییر دادند؛ اما این تازه آغاز کار بود؛ چون بهزودی همگان متوجه شدند حدود ۴۰۰ گیگابایت از اطلاعات این شرکت به سرقت رفته است.
رسوایی دل و لنووو
در سال ۲۰۱۵ سازندگان سختافزاری هم در رسواییهای امنیتی مصون نبودند. هر دو شرکت دل و لنوو بهدلیل اینکه در محصولشان نرمافزاری در ظاهر برای تبلیغات اما در واقع برای جاسوسی وجود داشت به شدت مورد انتقاد کاربران قرار گرفتند. این نرمافزار در لنوو Superfish نام داشت و به گونهای طراحی شده بود که تبلیغات را برای کاربرانی که این لپتاپها را خریداری کرده بودند به نمایش میگذاشت. در ماه نوامبر اتفاق مشابهی برای شرکت دل رخ داد و معلوم شد نرمافزار پشتیبانی که روی کامپیوترهای این شرکت قرار دارد عملکرد مشابهی با Superfish داشت.
رمزگذاری خوب است اما نه برای همه!
شاید یکی از مهمترین اتفاقاتی که در سال ۲۰۱۵ در زمینه امنیت رخ داد بحثها و نقدهایی بود که روی رمزگذاری سرویسهای اینترنتی به وجود آمد. دولت و پلیس در آمریکا به وضوح ا ز شرکتها خواستند که موضوع رمزگذاری اطلاعات کاربران را کنار بگذارند؛ چراکه ردیابی تروریستها را دشوارتر میکنند. شرکتهای اینترنتی و حتی سازندگان تلفن همراه اما عملا با این منطق موافق نبودند. به عقیده آنها نمیتوان به خاطر اینکه پلیس مایل به دیدن و تحت نظر گرفتن اطلاعات کاربران است امنیت سرویسها و دستگاههای تکنولوژی را کاهش داد و همچنین اینکه تروریستها هم از این ابزارها ا ستفاده میکنند هم دلیل نمیشود که شرکتها رمزنگاریها را پیشرفتهتر نکنند. این بحث بین سیاستمداران و شرکتهای تکنولوژی تا روزهای پایانی سال ۲۰۱۵ هم ادامه داشت و آن را به یکی از مهمترین مباحث امنیتی این سال تبدیل کرده است.
اندروید و ضعف امنیتی stage fright
از سیستم عامل اندروید در سال ۲۰۱۵ ضعفهای متعددی کشف شد اما شاید مهمترین آنها ضعف امنیتی به نام stage fright بود این ضعف امنیتی باعث میشد که هکرها بتوانند به راحتی و مثلا با ارسال یک MMS به قربانی یک اپلیکیشن جاسوسی را روی گوشی ا و نصب کنند. در واقع قربانی حتی اگر این MMS را باز نمیکرد هم باز کنترل دستگاهش در اختیار هکر قرار میگرفت. گوگل خیلی زود برای این ضعف فجیع امنیتی یک اصلاحیه نرمافزاری انتشار داد؛ اما مشکل برطرف نشد چون گوگل حداقل دوبار دیگر طی ماههای آگوست و اکتبر هم اصلاحیههای امنیتی دیگری را منتشر کرد. حجم بالای دستگاههای اندرویدی در جهان دامنه خطرپذیری آن را نیز بسیار بالابرده و به همین دلیل یک مشکل امنیتی ناگهان به فاجعهای بزرگ تبدیل میشود.
پروژه Onion.
دامنه Onion. نوعی سرویس مخفی برای دسترسی به شبکه Tor است. این شبکه برخلاف شبکههای دیگر آدس DNS مشخص ندارد به همین دلیل شبیه سایر سایتهای اینترنتی نیست اما میتوان از طریق نرمافزارهای پراکسی مخصوص آن را نصب کرد و به این ترتیب با مرورگرهای وب به آن متصل شد. یکی از مهمترین ویژگیهای این شبکه این است که رفت و آمد اطلاعات در آن قابل ردیابی و خوانش نیست. این شبکه در سال ۲۰۱۴ بعد از آنکه مشخص شد فیسبوک هم سایت مخصوص به خود را روی آن به وجود آورده بسیار مشهور شد بهخصوص که فیسبوک نخستین سایتی بود که SSL را روی یک آدرس.Onion فعال کرد. این موضوع باعث شد که این شبکه از گمنامی خارج شود و در سال ۲۰۱۵ درباره آن بسیار بحث و صحبت شد.
پایان فلش
حجم اخباری که در مورد ضعف امنیتی در برنامه فلش منتشر شده قطعا بسیار قابل توجه است. در سال ۲۰۱۵ هم انبوهی از هکها و مشکلات امنیتی ناشی از نرمافزار فلش روی مرورگرهایی چون فایرفاکس یا حتی اپلیکیشنهایی مثل فیسبوک به وجود آمد. چنین شد که بسیاری از جمله الکس استموس مدیر امنیت فیسبوک به ادابی گفت که پایان فلشپلیرها فرا رسیده است. سرانجام ادابی تصمیم گرفت خودش دست بهکار شود و پایان فلشپلیر را اعلام کند و به این ترتیب مشخص شد که دیگر شاهد سایتهای فلش نخواهیم بود و یا صرفا در برخی اپلیکیشنهای خاص گرافیکی و انیمیشنی با آن مواجه خواهیم بود. قطعا اگر ادابی فلش را نمیکشت، جهان وب بهزودی این کار را میکرد چون مشکلات امنیتی که از بابت فلش ایجاد شده بود دیگر قابل شمارش نیست. پذیرش اینکه شرکت ادابی سرانجام به مرگ فلش رای داده یکی از بزرگترین وقایع امنیتی در حوزه وب بود.
گروه Equation
قطعا رویدادهای مربوط به امنیت در سال ۲۰۱۵ بدون اشاره به افشاگری بزرگ کسپرسکی در اوایل سال در زمینه گروهی تحت عنوان Equation تکمیل نمیشود. به گفته کسپرسکی این گروه (بدون نام بردن آن مشخص میشود که منظورش سرویسهای امنیتی آمریکاست) شامل مجموعهای بسیار گسترده از زبدهترین متخصصان امنیتی و هزاران سایت و ابزار جاسوسی و هک است. کسپرسکی در این افشاگری اعلام کرد که این گروه چنان ابزارهایی را در اختیار دارد که میتواند به راحتی به هر هدفی در سراسر جهان حمله کند و هیچ سیستم عاملی در برابر ابزارهای این گروه امن نیست. کسپرسکی که نتایج چند سال تحقیقاتش را به شکل یک گزارش مفصل از این گروه روی اینترنت قرار داد بزرگترین و خطرناکترین گروه امنیت اینترنتی را مورد افشاگری قرار داد که به گفته این شرکت امنیتی دارای بزرگترین زرادخانههای امنیت سایبری در جهان است.
اشلی مدیسون
هک بزرگی را که در سایت اشلی مدیسون رخ داد، باید از نظر انتشار اطلاعات شخصی یکی از بزرگترینها در تاریخ اینترنت به حساب آورد. هکرها توانستند با نفوذ به این سایت که در زمینه روابط غیر رسمی فعالیت داشت اطلاعات کارت اعتباری، شماره تلفن و آدرس منزل و میلیونها اطلاعات دیگر را به سرقت ببرند. هکرها با انتشار این اطلاعات روی وب عملا هم از نظر اقتصادی و هم اخلاقی استفادهکنندگان از خدمات این سایت را در معرض خطرات امنیتی فراوانی قرار دادند. فاش شدن نام دهها مقام دولتی و سیاسی و افراد مشهور در بین قربانیان این هک باعث سروصداهای رسانهای فراوانی شد که بر شهرت این حمله اینترنتی افزود. در همین حال تنها این سایت و مشتریان نگونبختش دچار این حمله افشای اطلاعات نشدند. سازنده دستگاههای الکترونیک ویژه کودکان به نام Vtech هم با هک مشابهی مواجه شد؛ به طوری که اطلاعات ۸/ ۴ میلیون پدر و مادری که از این سایت برای فرزندانشان خرید انجام داده بودند نیز روی اینترنت قرار گرفت تا سال ۲۰۱۵ یکی از مهمترین سالها از نظر نشت اطلاعات شخصی افراد نام بگیرد.
هک جاسوسان
اگر ماجرای اشلی مدیسون مربوط به افشای کاربران این سرویس بود در سال گذشته سرقت انبوهی از اطلاعات از یک شرکت ایتالیایی به نام Hacking Team که سازنده ابزارهای قانونی جاسوسی بود واقعا باعث شگفتی بسیاری شد. این شرکت هر چند فعالیتش قانونی بود و ابزارهایی را برای کنترل کاربران عرضه میکرد؛ اما از طرف بسیاری از منتقدان بهدلیل اینکه از نرمافزارهای آن برای جاسوسی استفاده میشود تحت فشار قرار داشت. در اوایل تابستان ابتدا هکرها اکانت توییتر این شرکت را هک کردند و اسم آن را به شکل طنزآمیزی از Hacking Team (تیم هکری) به Hacked Team (تیم هک شده) تغییر دادند؛ اما این تازه آغاز کار بود؛ چون بهزودی همگان متوجه شدند حدود ۴۰۰ گیگابایت از اطلاعات این شرکت به سرقت رفته است.
رسوایی دل و لنووو
در سال ۲۰۱۵ سازندگان سختافزاری هم در رسواییهای امنیتی مصون نبودند. هر دو شرکت دل و لنوو بهدلیل اینکه در محصولشان نرمافزاری در ظاهر برای تبلیغات اما در واقع برای جاسوسی وجود داشت به شدت مورد انتقاد کاربران قرار گرفتند. این نرمافزار در لنوو Superfish نام داشت و به گونهای طراحی شده بود که تبلیغات را برای کاربرانی که این لپتاپها را خریداری کرده بودند به نمایش میگذاشت. در ماه نوامبر اتفاق مشابهی برای شرکت دل رخ داد و معلوم شد نرمافزار پشتیبانی که روی کامپیوترهای این شرکت قرار دارد عملکرد مشابهی با Superfish داشت.
رمزگذاری خوب است اما نه برای همه!
شاید یکی از مهمترین اتفاقاتی که در سال ۲۰۱۵ در زمینه امنیت رخ داد بحثها و نقدهایی بود که روی رمزگذاری سرویسهای اینترنتی به وجود آمد. دولت و پلیس در آمریکا به وضوح ا ز شرکتها خواستند که موضوع رمزگذاری اطلاعات کاربران را کنار بگذارند؛ چراکه ردیابی تروریستها را دشوارتر میکنند. شرکتهای اینترنتی و حتی سازندگان تلفن همراه اما عملا با این منطق موافق نبودند. به عقیده آنها نمیتوان به خاطر اینکه پلیس مایل به دیدن و تحت نظر گرفتن اطلاعات کاربران است امنیت سرویسها و دستگاههای تکنولوژی را کاهش داد و همچنین اینکه تروریستها هم از این ابزارها ا ستفاده میکنند هم دلیل نمیشود که شرکتها رمزنگاریها را پیشرفتهتر نکنند. این بحث بین سیاستمداران و شرکتهای تکنولوژی تا روزهای پایانی سال ۲۰۱۵ هم ادامه داشت و آن را به یکی از مهمترین مباحث امنیتی این سال تبدیل کرده است.
اندروید و ضعف امنیتی stage fright
از سیستم عامل اندروید در سال ۲۰۱۵ ضعفهای متعددی کشف شد اما شاید مهمترین آنها ضعف امنیتی به نام stage fright بود این ضعف امنیتی باعث میشد که هکرها بتوانند به راحتی و مثلا با ارسال یک MMS به قربانی یک اپلیکیشن جاسوسی را روی گوشی ا و نصب کنند. در واقع قربانی حتی اگر این MMS را باز نمیکرد هم باز کنترل دستگاهش در اختیار هکر قرار میگرفت. گوگل خیلی زود برای این ضعف فجیع امنیتی یک اصلاحیه نرمافزاری انتشار داد؛ اما مشکل برطرف نشد چون گوگل حداقل دوبار دیگر طی ماههای آگوست و اکتبر هم اصلاحیههای امنیتی دیگری را منتشر کرد. حجم بالای دستگاههای اندرویدی در جهان دامنه خطرپذیری آن را نیز بسیار بالابرده و به همین دلیل یک مشکل امنیتی ناگهان به فاجعهای بزرگ تبدیل میشود.
پروژه Onion.
دامنه Onion. نوعی سرویس مخفی برای دسترسی به شبکه Tor است. این شبکه برخلاف شبکههای دیگر آدس DNS مشخص ندارد به همین دلیل شبیه سایر سایتهای اینترنتی نیست اما میتوان از طریق نرمافزارهای پراکسی مخصوص آن را نصب کرد و به این ترتیب با مرورگرهای وب به آن متصل شد. یکی از مهمترین ویژگیهای این شبکه این است که رفت و آمد اطلاعات در آن قابل ردیابی و خوانش نیست. این شبکه در سال ۲۰۱۴ بعد از آنکه مشخص شد فیسبوک هم سایت مخصوص به خود را روی آن به وجود آورده بسیار مشهور شد بهخصوص که فیسبوک نخستین سایتی بود که SSL را روی یک آدرس.Onion فعال کرد. این موضوع باعث شد که این شبکه از گمنامی خارج شود و در سال ۲۰۱۵ درباره آن بسیار بحث و صحبت شد.
پایان فلش
حجم اخباری که در مورد ضعف امنیتی در برنامه فلش منتشر شده قطعا بسیار قابل توجه است. در سال ۲۰۱۵ هم انبوهی از هکها و مشکلات امنیتی ناشی از نرمافزار فلش روی مرورگرهایی چون فایرفاکس یا حتی اپلیکیشنهایی مثل فیسبوک به وجود آمد. چنین شد که بسیاری از جمله الکس استموس مدیر امنیت فیسبوک به ادابی گفت که پایان فلشپلیرها فرا رسیده است. سرانجام ادابی تصمیم گرفت خودش دست بهکار شود و پایان فلشپلیر را اعلام کند و به این ترتیب مشخص شد که دیگر شاهد سایتهای فلش نخواهیم بود و یا صرفا در برخی اپلیکیشنهای خاص گرافیکی و انیمیشنی با آن مواجه خواهیم بود. قطعا اگر ادابی فلش را نمیکشت، جهان وب بهزودی این کار را میکرد چون مشکلات امنیتی که از بابت فلش ایجاد شده بود دیگر قابل شمارش نیست. پذیرش اینکه شرکت ادابی سرانجام به مرگ فلش رای داده یکی از بزرگترین وقایع امنیتی در حوزه وب بود.
گروه Equation
قطعا رویدادهای مربوط به امنیت در سال ۲۰۱۵ بدون اشاره به افشاگری بزرگ کسپرسکی در اوایل سال در زمینه گروهی تحت عنوان Equation تکمیل نمیشود. به گفته کسپرسکی این گروه (بدون نام بردن آن مشخص میشود که منظورش سرویسهای امنیتی آمریکاست) شامل مجموعهای بسیار گسترده از زبدهترین متخصصان امنیتی و هزاران سایت و ابزار جاسوسی و هک است. کسپرسکی در این افشاگری اعلام کرد که این گروه چنان ابزارهایی را در اختیار دارد که میتواند به راحتی به هر هدفی در سراسر جهان حمله کند و هیچ سیستم عاملی در برابر ابزارهای این گروه امن نیست. کسپرسکی که نتایج چند سال تحقیقاتش را به شکل یک گزارش مفصل از این گروه روی اینترنت قرار داد بزرگترین و خطرناکترین گروه امنیت اینترنتی را مورد افشاگری قرار داد که به گفته این شرکت امنیتی دارای بزرگترین زرادخانههای امنیت سایبری در جهان است.
ارسال نظر