چطور باید از حملات مخرب اینترنتی جان سالم به در برد؟
زیرساخت دیجیتالی جهان آسیبپذیر است
در روز بیستونهم مارس یک محقق امنیتی اعلام کرد که بهطور تصادفی یک در پشتی مخفی را در xz Utils کشف کرده است که مجموعهای از نرمافزارهای رایگان فرمانپذیر بیضرر متراکمکننده داده برای سیستمعاملهای شبیه یونیکس (از نسخه ۵.۰ به بعد) و مایکروسافت ویندوز هستند. این بخش مبهم، اما حیاتی و مهم از نرمافزار متعلق به سیستمعاملهای لینوکس است که سرورهای اینترنتی جهان را کنترل میکنند. اگر این در پشتی به موقع کشف و پیدا نمیشد، همهچیز از زیرساختهای حیاتی ملی گرفته تا وبسایتی که تصاویر گربه شما را میزبانی میکند، آسیبپذیر میشدند.
این در پشتی توسط یک دستاندرکار ناشناس تعبیه شد که با مشارکتها و همکاریهای مفید در طول بیش از دو سال اعتماد سایر کدنویسها را جلب کرده بود. این صبر و پشتکار اثر انگشت یک سازمان اطلاعات دولتی را در خود دارد. چنین حملات بزرگی در زنجیره تامین به سرعت رو به افزایش هستند؛ حملاتی که نه دستگاهها یا شبکههای شخصی، بلکه نرمافزار و سختافزار زیربنایی را هدف قرار میدهند که آن دستگاهها و شبکههای شخصی به آنها وابسته هستند. در سالهای ۲۰۱۹ و ۲۰۲۰ آژانس اطلاعات خارجی روسیه (svr)، با ایجاد نقصی در یک پلتفرم مدیریت شبکه به نام SolarWinds Orion، توانست به شبکههای دولتی آمریکا نفوذ کند. اخیرا هکرهای دولتی چین برای دسترسی به اهداف اقتصادی، تجاری و نظامی در آمریکا و ژاپن، سیستمعامل و ریزبرنامههای روترهای شرکت سیسکو را تغییر دادند.
بهطور ذاتی اینترنت در برابر طرحهایی مانند در پشتی xz Utils آسیبپذیر است. این برنامه درست مانند خیلی موارد دیگری که به آن متکی است، ماهیت منبعباز دارد؛ به این معنی که کد آن به صورت عمومی در دسترس است. تقریبا شبیه به ویکیپدیا که هر کسی میتواند تغییراتی را در آن پیشنهاد کند. افرادی که کد منبعباز را نگه میدارند، اغلب در اوقات فراغت خود همین کار را انجام میدهند. در سال ۲۰۱۴ یک آسیبپذیری فاجعهبار در ابزار Openssl که بهطور گسترده برای ارتباطات امن استفاده میشود، کشف شد که بودجه آن تنها دو هزار دلار بود. در آن زمان تیتری مورد توجه قرار گرفت که پوچی این شرایط را به خوبی نشان میداد: «اینترنت توسط دو نفر به نام استیو محافظت میشود.»
اینکه فرض کنیم راهحل ماجرا در ایجاد یک ساختار مرکزی نظارت و کنترل، توسط دولتها یا شرکتها نهفته است، وسوسهانگیز به نظر میرسد. در واقع تاریخ نشان میدهد که نرمافزار منبعبسته، امنتر از نرمافزار منبعباز نیست. تنها در این هفته اخیر هیات بررسی ایمنی سایبری آمریکا که یک نهاد فدرال است، مایکروسافت را به خاطر استانداردهای امنیتی ضعیفی مورد انتقاد قرار داد که به روسیه اجازه داد یک کلید امضا را سرقت کند؛ کلیدی که برای هر ارائهدهنده خدمات ابری معادل جواهرات سلطنتی رمزنگاری شده است. این اتفاق امکان دسترسی گسترده روسیه به دادهها را فراهم کند. از طرف دیگر، نرمافزار منبعباز مزایای بسیار متعددی دارد؛ چون امکان بررسی جامع، پاسخگویی و مسوولیتپذیری را ایجاد میکند. به این ترتیب مسیر پیشرو استفاده حداکثری از ساختار منبعباز است، در حالی که بار سنگینی را که بر دوش افراد کم، بدون دستمزد و غالبا مضطرب میگذارد، کم کنیم. تکنولوژی هم میتواند در پیشبرد این اهداف کمک کند.
بنیاد غیرانتفاعی Let’s Encrypt در طول یک دهه گذشته با استفاده از نرمافزارهای هوشمند برای سادهتر کردن فرآیند رمزگذاری اتصالات کاربران به وبسایتها، اینترنت را ایمنتر کرده است. هوش مصنوعی پیشرفتهتر هم در نهایت ممکن است تنها با ضربه یک کلید توانایی تشخیص ناهنجاریها را در میلیونها خط کد داشته باشد. با این حال اصلاحات دیگر مربوط به حوزه نظارت و قانونگذاری هستند. استراتژی سایبری آمریکا که در سال گذشته میلادی منتشر شد، این موضوع را روشن میکند که مسوولیت شکستها نباید بر عهده توسعهدهندگان متنباز باشد، بلکه «باید بر گردن ذینفعانی باشد که در عمل بیشترین توانایی برای جلوگیری از نتایج بد را دارند». این گزاره در عمل به معنای اشاره به دولتها و غولهای تکنولوژی به عنوان ذینفعان است که هر دو از کتابخانهها و آرشیوهای نرمافزاری رایگان نفع زیادی میبرند. هر دوی آنها باید بودجه و دامنه همکاری با موسسات غیرانتفاعی، مانند Open Source Initiative و بنیاد لینوکس را که از اکوسیستم منبعباز پشتیبانی میکنند، گسترش دهند. بنیاد مسوولیت جدید (New Responsibility Foundation) که یک اندیشکده آلمانی است، پیشنهاد میکند که به عنوان مثال دولتها ممکن است به کارمندان اجازه دهند تا در اوقات فراغت خود به بهبود نرمافزارهای منبعباز کمک کنند و قوانینی را که فعالیت هکرهای کلاه سفید یا هک اخلاقی را جرمانگاری میکنند، تسهیل کنند. آنها باید سرعت عمل بیشتری داشته باشند. تصور میشود که آن در پشتی xz Utils نخستین حمله زنجیره تامین کشف شده عمومی علیه یک بخش حیاتی از نرمافزار منبعباز باشد. اما این نه به معنای آن است که این حمله نخستین تلاش بوده باشد و نه به احتمال زیاد آخرین مورد آن خواهد بود.
منبع: اکونومیست