ملکه‌ برفی: گزارش امنیت سایبری به هفت روایت
همراه ما باشید

ملکه‌ برفی: گزارش امنیت سایبری به هفت روایت

آی‌سی‌تی‌نیوز - فکر می‌کنید مَتَلِ «ملکه برفی[1]» نوشته‌ی هانس کریستین آندرسن، این متخصص امنیت سایبری واقعاً در مورد چیست؟ دختری شجاع که برای نجات دادن دوست عزیزش شخصیت زمستان را شکست می‌دهد؟ یک بار دیگر به این موضوع فکر کنید.

بگذارید واقع‌گرا باشیم: قصه‌ی ملکه‌ی برفی گزارشی است کامل و با جزئیات از تحقیقات موفق گردا[2] متخصص امنیت اطلاعات در خصوص اینکه چطور کای[3] با یک تکه بدافزار پیچیده‌ی لعنتی آلوده شد. در ادامه با ما همراه شوید تا این قصه‌ی پریان را از چشم‌اندازی امنیت سایبری و آن هم به هفت روایت مورد بررسی قرار دهیم.


قصه‌ی 1: آینه و تکه‌هایش
اگر تا به حال وبلاگ‌های امنیت اطلاعات همچون سکیورلیست را دنبال کرده باشید احتمالاً می‌دانید که گزارشات تحقیقات اغلب با بررسی تاریخچه‌ی رخدادها شروع می‌شود. گزارش تحقیق آندرسن نیز از این قاعده مستثنی نیست: اولین قصه‌ی آن ماهیت اصلی پرونده‌ی کای را کنکاش می‌کند. روزی روزگاری (بنا بر اطلاعات آندرسن) یک ترول (موجود افسانه‌ای) آینه‌ای جادویی می‌سازد که قادر است خوبی را در مردم کم کرده و نیروی شر را در آن‌ها تقویت کند. این آینه توسط شاگردان نابلدش شکسته و هزار تکه شد؛ هر تکه به چشم و قلب آدم‌ها رخنه کرد و با این‌ حال آینه هنوز ماهیت ویرانگر خود را حفظ کرده بود. برخی این تکه‌ها را زدند به قاب‌های پنجره‌شان که این منظره پیش چشمانشان را زشت و منحرف کرد و برخی دیگر از آن‌ها به عنوان شیشه عینک استفاده کردند. ما از پیش در داستان سفیدبرفی فهمیده‌ایم که داستان‌نویسان اغلب از آینه به عنوان استعاره‌ای برای بازتاب (به معانی گسترده‌اش) استفاده می‌کردند: تلویزیون‌ها، کامپیوترها، تبلت‌ها، گوشی‌ها (یک‌جورهایی وسیله‌ای برای دریافت تصویر، اینطور نیست؟). بنابراین، ترجمه‌ی حرف‌های آندرسن از زبان تمثیلی به نثری ساده از قرار زیر می‌شود:
هکری قدرتمند سیستمی با یک مرورگر درون‌سازه‌ای ساخته بوده که می‌توانسته وبسایت‌ها را به انحراف بکشاند.
متعاقباً شاگردان ترول هم از تکه‌های کد منبع برای آلوده کردن تعداد زیادی از دستگاه‌های مایکروسافت ویندوز و حتی شیشه‌های واقعیت افزوده استفاده کردند. در واقع، این پدیده اصلاً هم غیرمرسوم نبوده است. نشت اکسپلویت EternalBlue نمونه‌ایست بارز. این نشتی باعث و بانی پاندمی‌های واناکرای و پتیا و نیز چندین باج‌افزار همه‌گیر دیگر (البته با میزان کمتری از تخریب) بود. بگذارید باری دیگر به قصه برگردیم.


قصه‌ی 2: پسر کوچولو و دختر کوچولو
در قصه‌ی دوم، آندرسن به سراغ شرح مفصل‌تری از یکی از قربانیان و بردار اولیه‌ی آلودگی می‌رود. بر طبق داده‌های موجود، کای و گردا از طریق پنجره‌های اتاق شیروانی‌شان که بهم نزدیک بود ارتباط برقرار می‌کردند (ارتباط مبتنی بر ویندوز!). کای یک زمستان از پنجره‌اش زنی زیبا و غریب را پیچیده‌ در خزی سفید و بسیار نرم دید. این اولین ملاقات کای با هکر (که از این بعد او را با نام ملکه‌ی برفی می‌شناسیم) بود. کمی بعد، کای درست وسط قلبش تیر کشید و چیزی انگار صاف به چشمش سیخ زد. اندرسن در آن لحظه آلودگی را اینطور توصیف کرده است. وقتی کد مخرب وارد قلب (کرنل سیستم‌عامل) و چشم (دستگاه ورودی اطلاعات) شد، واکنش کای به محرک‌های خارجی به طور قابل‌ملاحظه‌ای تغییر کرد و تمامی اطلاعات دریافتی ناگهان تحریف‌شده به نظر می‌رسیدند. کمی بعد، او کاملاً خانه را ترک کرد و سورتمه‌ی خود را با طناب به سورتمه‌ی ملکه‌ی برفی بست. کای که به دلایلی به ملکه اعتماد کرده بود به او می‌گوید چطور مو لا درز محاسبات ذهنی‌اش نمی‌رود و چطور ابعاد و جمعیت هر کشور را می‌داند. خوب به نظر می‌رسد اینها اطلاعاتیست کم‌اهمیت اما بعدتر خواهیم دید که چطور مهاجم به طور خاص به این اطلاعات علاقه نشان می‌دهد.


قصه‌ی 3: باغ گلِ زن جادوگر
گردا شروع کرد به انجام تحقیقاتش و از قضا به زنی برخورد که به هر دلیلی مانع تحقیق او شد. اگر بخواهیم بخش‌های مهم را اشاره کنیم، پس می‌رویم سراغ آن لحظه که عفریته موهای فر گردا را شانه زد و همین باعث شد که او کای را فراموش کند. به بیانی دیگر، عجوزه یک‌جورهایی اطلاعات مربوط به تحقیقِ گردا را خراب کرد. به یاد داشته باشید که اسلحه‌ی سایبری او (شانه) از پیش برای ما شناخته‌شده است.
 در گزارش برادران گریم در مورد رخداد سفیدبرفی، نامادری از ابزاری مشابه برای بلاک کردن قربانی‌اش استفاده کرد. می‌گویید تصادفی بوده یا این رخدادها به هم ربط دارند؟ در هر صورت –در خصوص پرونده سفیدبرفی بلاک ناشی از شانه زدن دائمی نبود- اطلاعات ریستور شد و گردا تحقیقات خود را ادامه داد. در آخر بخش سوم گزارش، گردا از گل‌های باغ جادوگر می‌پرسد آیا کای را دیده‌اند یا خیر. این محتمل‌ترین ارجاع به مسنجر قدیمی ICQ است که گل حکم لوگوی آن را دارد (و شاخص وضعیت کاربری). با برقراری ارتباط با جادوگر، گردا داشت سعی می‌کرد (به کمک کانتکت‌های خود) در مورد این رخداد اطلاعات اضافی دریافت کند.


قصه‌ی 4: پرنس و پرنسس
مرحله‌ی چهارم تحقیق کاملاً بی‌ربط به نظر می‌رسد. گردا سعی داشت کای را از طریق پایگاه اطلاعاتی دولتی مدیریت کند. او برای انجام این کار با یک سری کلاغ که به او اجازه دسترسی به ساختمان دولتی را می‌دادند (کاخ سلطنتی) طرح دوستی ریخت. گرچه شاید به نتایج خوبی نرسید اما گردا از سر وظیفه به دولت در مورد آسیب‌پذیری و کلاغ‌های ناامن گزارش داد. پرنس و پرنسس آسیب‌پذیری را پچ کردند و به کلاغ‌ها گفتند که از دست آن‌ها عصبانی نیستند اما دیگر نباید این کار را تکرار کنند. توجه داشته باشید که آن‌ها پرندگان را تنبیه نکردند؛ بلکه فقط از آن‌ها خواستند تا رفتارشان را تغییر دهند. پرنس و پرنسس به عنوان جایزه به گردا منابع دادند (یک کالسکه، لباس گرم و چندتایی خدمتکار). این نمونه‌ی بارزیست از نحوه‌ی واکنش‌دهی یک سازمان وقتی محققان آسیب‌پذیری‌ای را گزارش می‌دهند (بیایید امیدواریم باشیم این جایزه فقط یکبار نباشد و تبدیل به برنامه‌ای دائمی و انگیزشی شود).


قصه‌ی 5: دخترک دزد
در این قصه، گردا ظاهراً به چنگال مشتی راهزن می‌افتد و آندرسن در واقع از تمثیلی دیگر برای توضیح اینکه «گردا وقتی در مرحله قبلی به بن‌بست خورد، مجبور شد از کمک نیروهایی استفاده کند که شاید کاملاً هم قانونی نبودند» استفاده می‌کند. مجرمان سایبری می‌گذارند گردا با یک سری کبوترِ مخبر در تماس باشد؛ کبوترهایی که دقیقاً می‌دانستند مقصر رخداد کای کیست. همچنین گوزنی هم با گردا در تماس بود که آدرس برخی کانتکت‌های مفید دارک‌نت را داشت. کمک باارزشی هم بود؛ او اکثر منابع بدست‌آورده از داستان قبلی را از دست داده بود.
آندرسن برای اینکه تلاش‌های این محقق جوان را دست‌کم نگیرد سعی می‌کند اینطور شرح دهد که روابط گردا با مجرمان اجتناب‌ناپذیر بوده است- او می‌‌گوید مجرمان گردا را ابتدا می‌دزدند و تنها بعد از سرقت اوست که بهش ترحم کرده و اطلاعات بدو می‌دهند. شاید خیلی متقاعدکننده به نظر نرسد. به احتمال زیاد این یک توافق متقابل دو سر برد بوده است.


قصه‌ی 6: زن فنی و زن لاندی
حالا می‌رسیم به مرحله‌ آخر جمع‌آوری اطلاعات لازم برای تحقیق از طریق کانتکت‌های دارک‌نت (تأمین‌شده توسط راهزن‌ها). گوزن گردا را با زنی لاندی[4] آشنا می‌کند که روی پوسته‌ی خشک‌شده‌ی ماهی توصیه‌نامه‌ای نوشت به مخبر بعدی (زنی فنی[5]). زن فنی در عوض آدرس باغ ملکه‌ی برفی را –که به وضوح همان نام سرور فرمان و کنترل است- داد. نکته‌ی ظریف این بخش: او که پیام را خوانده بود پوسته را در کاسه‌ای سوپ می‌اندازد. او اهمیت به جای نگذاشتن ردّی جزئی و غیرضروری را فهمیده بود و از همین رو به دقت قوانین OPSEC را دنبال کرد؛ درست مثل پیرهای باتجربه و حرفه‌ای.


قصه‌ی 7: چه اتفاقی برای قصر ملکه برفی افتاد و بعد از آنچه شد
داستان آخر این را توضیح می‌دهد که چرا ملکه‌ی برفی از همان اول کار کای را می‌خواست. او همانجا نشست و مشغولِ مرتب کردن تکه‌های یخی شد؛ سعی داشت کلمه‌ی «جاودانگی» را هجی کند. دیوانگی است نه؟ ابداً (اگر از کریپتوماینینگ خبر داشته باشید دیگر آن را به چشم دیوانگی نمی‌بینید). اینطور توضیح داده می‌شود که کریپتوماینرها در اصل کارشان مرتب‌سازی حجمی از اطلاعات است تا نه تنها هر نوع هش‌ را دریافت کنند که همچنین بتوانند به «زیباترین هش‌ها» برسند. در واقع، کای سعی داشت تکه‌های مجزای اطلاعاتی را طوری مرتب‌سازی کند که هش در قالب واژه‌ی «جاودانگی» بیرون بیاید.
در این مرحله، روشن می‌شود چرا در داستان دوم آندرسن روی قدرت رایانشیِ کای تمرکز کرده بود. این دقیقاً همان چیزی بود که کای دنبالش بود و کای تنها به خاطر مقاصد کریپتوماینینگ آلوده شده بود. همچنین این بخش دغدغه‌ی ملکه‌ی برفی را با هر چیزِ شمالی و سرد توجیه می‌کند؛ یک مزرعه‌ی ماینینگ با عملکرد بالا به سرمایش اساسی نیاز دارد. گردا سپس با اشک‌های خود قلب یخی کای را ذوب می‌کند (یعنی با استفاده از ابزارهای مختلف کد مخرب را پاک کرده و کنترل کرنل سیستم را باز پس می‌گیرد). سپس کای می‌زند زیر گریه و این یعنی او آنتی‌ویروس درون‌سازه‌ای‌اش را فعال کرده است (قبلاً با ماژولی آلوده در کرنلش بلاک شده بود). بعد دومین تکه‌ی کد آلوده‌اش را از چشمانش درمی‌آورد.
آخر گزارش کمی با توجه به استانداردهای امروزی نامعمول به نظر میرسد. نشانگرهای دستکاری سازمانی به جای ارائه توصیه‌هایی برای قربانیان احتمالی بی‌منطق و بی‌ربط در مورد بازگشت شخصیت‌ها به خانه حرف می‌زنند. شاید در قرن نوزدهم، گزارشات امنیت اطلاعات اینطوری همه‌چیز را رتق و فتق می‌کرد. همانطور که پیشتر هم گفتیم، نویسندگان قصه‌های پریان در حقیقت قدیمی‌ترین متخصصین امنیت سایبری در حوزه کسب و کارند. پرونده‌ی ملکه‌ی برفی نیز مهر تأییدی است بر این ادعا. همانطور که شرح داده شد، یک متل برداشتی است با جزئیات از تحقیق روی رخدادی پیچیده. 
 
[1] یک افسانه است که توسط هانس کریستین آندرسن نویسندهٔ دانمارکی داستان‌های کودکان نوشته شد.
[2] شخصیت دختربچه‌ی داستان
[3] شخصیت پسربچه‌ی داستان
[4] Lapland
[5] Finnish
 
منبع: کسپرسکی آنلاین

درباره نویسنده

ثبت دیدگاه