چرا فیس‌بوک پسوردهای دزدی را می‌خرد؟

آی‌تی‌ایران: روز گذشته اعلام شد که فیس‌بوک قصد دارد پسوردهای هک شده را از بازار سیاه خریداری کند؛ اما دلیل اصلی این کار چیست؟ الکس استاموس(مدیر امنیتی فیس‌بوک) در نشست روز چهارشنبه در لیسبون گفت: فیس‌بوک به‌دنبال خریداری پسوردهای فروخته شده در بازار سیاه آنلاین است. با خرید این اطلاعات از کلاهبرداران می‌توان پسوردهای سرقت شده را که کاربرانش دوباره از آنها استفاده می‌کنند، از دسترس خارج کرد.

بنا به گزارش‌ها، فیس‌بوک در حال بررسی متقابل پسوردهای خریداری شده و پسوردهای مختلف کاربران است که شاید از این طریق بتواند به نمونه مشابهی برخورد کند. استاموس گفت این کار از نظر محاسباتی بسیار سنگین است؛ اما موجب هشدار به ده‌ها میلیون کاربر فیس‌بوک به منظور تقویت پسورد‌شان می‌شود. قبل از این می‌دانستیم که فیس‌بوک اطلاعات کاربر را در مقابل انباری از پسوردهای سرقت شده آنلاین بررسی می‌کند. این قضیه در سال ۲۰۱۳ و پس از رخنه در شرکت «Adobe» آشکار شد، زمانی که تیم امنیتی فیس‌بوک در حال بررسی اطلاعات لو رفته به‌منظور یافتن کاربری بود که مرتکب گناه کبیره امنیتی یعنی استفاده از پسورد یکسان برای ورود به «Adobe» و فیس‌بوک شده بود. فیس‌بوک به محض اینکه موارد مشابه را پیدا می‌کند، کاربران را مخفی می‌کند و اکانت‌ها را از دسترس عموم خارج می‌کند و تا زمانی که صاحبان اکانت پسوردشان را تغییر نمی‌دادند این کار را ادامه می‌داد.

در همین حال بسیاری در شگفت بودند که فیس‌بوک چگونه قادر است کسانی را که از پسورد مشابه در اکانت‌های مختلف استفاده می‌کنند، شناسایی کند آن هم بدون داشتن حروف و اعداد پسوردها یا شکل رمزگذاری شده‌ (Hashing) آنها چگونه می‌تواند این موضوع را تشخیص دهد. دیگران هم ممکن است این سوال را در مورد پسوردهای خریداری شده از بازار سیاه داشته باشند. آنچه را که درباره موضوع شرکت «Adobe» در سال ۲۰۱۳ گفتیم دوباره بازگو می‌کنیم: فیس‌بوک نیازی به بررسی اطلاعات به‌صورت محافظتی و نظارتی ندارد. کریس لانگ، یکی از مدیران امنیتی فیس‌بوک به این شکل توضیح داد: ما پسوردهای متنی را که قبل از آن از سوی محققان یافت شده بودند، مورد استفاده قرار دادیم. ما پسوردهای متنی بازیابی شده را درون همان کدی قرار دادیم که برای چک کردن پسورد شما هنگام ورود استفاده می‌کنیم. به بیان واضح‌تر فیس‌بوک پسورد کاربران را در اختیار ندارد. به‌جای این کار پسوردها را هنگام ثبت نام کاربران از درون «سیستم یک طرفه رمزگذاری» ( one-way hashing function) پسوردها عبور می‌دهد و نتایج به‌دست آمده را نزد خود نگه می‌دارد. البته این سیستم یک طرفه است و پسوردهای رمزگذاری‌شده را نمی‌توان به پسورد اولیه تبدیل کرد.

وقتی کاربر وارد فیس‌بوک می‌شود با پسوردی که می‌زند وارد این سیستم می‌شود، اگر پسورد وارد شده با همان کد رمزدار شده که فیس‌بوک در اختیار دارد همخوانی داشته باشد، کاربر وارد اکانت خواهد شد. فیس‌بوک از همین پروسه برای پسوردهای به‌دست آمده از اطلاعات شرکت «Adobe» استفاده کرد. برای پسوردهای خریداری شده از بازار سیاه هم به همین شکل عمل کرده است. اگر پسورد خریداری‌شده از بازار سیاه یا پسورد به دست آمده از شرکت «Adobe» بعد از عبور از سیستم رمزگذاری نتیجه‌ای مشابه با پسورد رمز‌شده کاربران در فیس‌بوک داشته باشد، فیس‌بوک متوجه استفاده مجدد از همان پسوردی می‌شود که از دزدان خریده است. با اینکه می‌دانستیم فیس‌بوک از کاربرانش محافظت می‌کند؛ اما نمی‌دانستیم که به کلاهبرداران پول پرداخت می‌کند تا این کار را برایش انجام دهند. بد نیست کمی در باره این فکر کنیم که به چه روش‌های دیگری فیس‌بوک می‌تواند به پسوردها دسترسی پیدا کند؟ همواره این سوال وجود دارد که آیا جلوگیری و محافظت از پسوردها این حق را به آنها می‌دهد که به کلاهبرداران سایبری پول پرداخت کنند؟

می‌توان این مساله را با پرداخت به نرم‌افزارهای باج‌گیرنده مقایسه کرد که قانون قاطعانه در مورد آن برای نجات قربانیان از این سیستم صحبت کرده است. در حقیقت جولای امسال پلیس آلمان و اروپا پرتالی را با نام «باج‌گیری کافی است» راه‌اندازی کردند، با این هدف که به قربانیان کمک کنند بدون پرداخت باج به کلاهبرداران، اطلاعات خود را بازیابی کنند. درحالی که کلاهبرداران پس از دریافت پول‌های هنگفت در چند نوبت، فایل‌ها را بازگردانی می‌کردند. نظر این مراجع قانونی در مورد پولی که فیس‌بوک در جیب این کلاهبرداران می‌ریزد، چیست؟ با این عقیده که فیس‌بوک به منظور محافظت از کاربرانش در مقابل این تهدیدها این پول‌ها را پرداخت می‌کند چه فکری در این زمینه باید کرد؟