به گزارش پایگاه خبری اوشیدا: شما هم بیشک رازی دارید که میتواند زندگی شما را زیر و رو کند و از این راز بهخوبی نگهداری نمیکنید! تنها رشتهای از کاراکترها (اگر بیمبالات باشید حدود ۶ کاراکتر و اگر خیلی محتاط باشید ۱۶ کاراکتر) میتواند همه چیز را درباره شما آشکار کند!
آدرس ایمیلتان، حساب بانکیتان، آدرس پستی و شماره کارت اعتباری، عکسهای شما یا بستگانتان، موقعیت دقیق محلی که هماکنون در آن نشستهاید، همه از جمله مواردی هستند که با یک رشته کاراکتر ساده قابل کشف هستند! از آغاز عصر اطلاعات تاکنون، ما همواره با این ایده روبهرو بودهایم که یک گذرواژه با طول مناسب، ابزاری مناسب برای محافظت از تمام این دادههای ارزشمند است. اما این روزها، این موضوع دیگر صحت ندارد، بلکه یک فانتزی و ایدهای تمامشده است و هرکس که هنوز چنین ادعایی دارد یا نادان است یا شما را نادان میپندارد. گذرواژههای شما، هرچقدر پیچیده و هرچقدر یکتا باشند، دیگر نمیتوانند از شما محافظت کنند.
چرا نوجوانانی مثل Dictate دست به چنین کارهایی میزنند؟ بیشتر اوقات برای تفریح، برای خرابکاری و لذت بردن از آن. یکی از اهدافی که زیاد دنبال میشود، خراب کردن وجهه اجتماعی افراد با انتشار مطالب نژادپرستانه و مستهجن از طریق حسابهای کاربری و شخصی آنها در شبکههای اجتماعی است. Dictate توضیح میدهد که «مطالب نژادپرستانه معمولاً واکنشهای جالبتری را در میان مخاطبان ایجاد میکند. افراد به فعالیتهای هکری توجهی نشان نمیدهند. زمانی که ما حساب کاربری
@jennarose۳x۰ (یک خواننده نوجوان به نام جنا رز) را هک کردیم، اعلام این موضوع از طریق حسابکاربری توییتر او واکنش چندانی را برنیانگیخت. اما زمانی که ما یک ویدیو از تعدادی افراد سیاهپوست را آپلود کردیم و ادعا کردیم که ما این افراد سیاهپوست هستیم، بازخوردهای زیادی دریافت کردیم.» بهنظر میرسد که جامعهستیزی اینگونه کار میکند.
بسیاری از این نوجوانان با اتکا به پسزمینهای در شبکههای هک اکسباکس به اینجا میرسند. در این شبکههای رقابت آنلاین میان بازیکنان، بچهها را ترغیب میکند که برای بهدست آوردن ملزومات بازی (اسلحه و جان و...) به کدهای تقلب رو بیاورند. این نوجوانان گاهی روشهایی را توسعه میدهند که به کمک آنها میتوانند برچسبهای نام به اصطلاح OG (سرنام Original Gamer) را از کاربران قدیمیتر بدزدند. مثلاً بهجای Dictate۲۷۰۹۸ بتوانند از نام کاربری Dictate استفاده کنند. یکی از کسانی که با چنین پیشزمینهای به کارهای هکری روی آورده است، Cosmo نام دارد. او از نخستین کسانی است که بسیاری از درخشانترین روشهای نفوذ اجتماعی یا socialing را کشف کرده است. از جمله این روشها میتوان به شیوههای نفوذ به آمازون و PayPal اشاره کرد. در ملاقاتی که چند ماه پیش در خانه مادربزرگش در کالیفرنیا با او داشتم، با غرور به من گفت: «من همینطوری به این کار روی آوردم.» در اوایل سال ۲۰۱۲ گروه Cosmo یعنی UGNazi به سایتهای مختلفی از جمله Nasdaq و ۴chan نفوذ کرد. این گروه اطلاعات شخصی مایکل بلومبرگ، اپرا وینفری و يك مقام دولتي را به دست آورد. زمانی که پلیس فدرال در ژوئن امسال این شخصیت مرموز را دستگیر کرد، متوجه شد که او تنها پانزده سال دارد. چند ماه بعد که ما با هم ملاقات داشتیم، من مجبور بودم رانندگی کنم!
دقیقاً به دلیل فعالیتهای خستگیناپذیر نوجوانانی مانند Dictate و Cosmo است که نمیتوان سیستمهای مبتنیبر گذرواژه را نجات داد. نمیتوان تمام آنها را دستگیر کرد و حتی اگر این کار انجام شود، دیگرانی در حال بزرگ شدن و پرکردن جای آنها هستند. این معمای پیچیده را به این شکل ببینید: هر سیستم مبتنیبر گذرواژه که به اندازه کافی برای یک فرد شصت و پنج ساله راحت و قابل استفاده باشد، ظرف چند ثانیه توسط یک نوجوان چهارده ساله شکسته خواهد شد!
درست به همین دلیل بسیاری از راههای نجاتی که مردم فکر میکنند باعث نجات گذرواژهها خواهند شد، محکوم به شکست هستند. بهعنوان مثال، هکرها درسال ۲۰۱۱ به شرکت امنیتی RSA نفوذ کرده و دادههایی مرتبط با توکنهای SecureID آن را به سرقت بردند. این توکنها قرار بود ابزارهایی مقاوم در برابر هک باشند که کدهای ثانویه مورد نیاز برای لاگین با گذرواژه را فراهم کنند. شرکت RSA فاش نکرد که دقیقاً چه چیزهایی به سرقت رفتهاند، اما بسیاری معتقدند که هکرها توانستهاند اطلاعات کافی برای شبیهسازی توکنها و تولید کدهای ثانویه را به دست بیاورند. اگر آنها به شناسههای اختصاصی (ID) دستگاههای توکن نیز دسترسی پیدا کرده باشند، قادر خواهند بود به امنترین سیستمهای حفاظتی در ایالات متحده نفوذ کنند.
از دید مشتریان نیز تبلیغات زیادی پیرامون سیستم اعتبارسنجی دو مرحلهای گوگل انجام گرفته است. سیستم کار به این شکل است که شما در ابتدا یک شماره تلفن به گوگل معرفی میکنید. پس از آن هرگاه که شما قصد لاگین کردن از یک آدرس IP ناشناس را داشته باشید، شرکت گوگل کد ثانویهای را برای گوشی شما ارسال میکند. این همان فاکتور دوم اعتبارسنجی است. آیا این کار حسابکاربری شما را امنتر میکند؟ به یقین بله و اگر شما کاربر جیمیل هستید باید آن را همین حالا فعال کنید. اما آیا فکر میکنید این شیوه دو قسمتی گذرواژهها را از نابودی نجات خواهد داد؟ پس بگذارید داستان متیو پرینس را برایتان تعریف کنم.
تابستان گذشته، UGNazi تصمیم گرفت به سراغ متیو پرینس، مدیرعامل شرکت امنیت وبی CloudFlare برود. آنها میخواستند به حسابکاربری او در Google Apps نفوذ کنند، اما او این حساب را با اعتبارسنجی دو مرحلهای گوگل محافظت میکرد. به همین دلیل هکرها حساب کاربری او در AT&T را هدف گرفتند! مشخص شد که AT&T از شماره تأمین اجتماعی به عنوان گذرواژه ورود به سیستم از طریق تلفن همراه استفاده میکند. این شماره ۹ رقمی (یا شاید ۴ رقم آخر آن) را به همراه نام، شماره تلفن و آدرس پرداخت صورتحساب، به سیستم بدهید و سیستم بهسادگی به هر کسی اجازه میدهد یک شماره جدید را معرفی کند که تمام تماسهای شماره موردنظر به آن forward میشوند. یافتن شماره تأمین اجتماعی هم اصلاً دشوار نیست، چرا که این شمارهها آزادانه از طریق وب و به صورت پایگاههای داده کامل فروخته میشوند.
هکرهای پرینس با استفاده از شماره تأمین اجتماعی، یک خط جدید را به حساب AT&T پرینس افزودند که همه تماسهای شماره پرینس به آن forward میشد. پس از آن از گوگل تقاضای بازنشانی رمز عبور کردند. به این صورت زمانی که گوگل برای اطلاع دادن کد ثانویه با خط پرینس تماس گرفت، این تماس به طور مستقیم به شماره هکرها منتقل شد. به همین سادگی آنها حسابکاربری او را دراختیار گرفتند. اعتبارسنجی دو مرحلهای تنها یک قدم اضافی و اندکی هزینه به هکرها تحمیل کرد. هرچه بیشتر با این سیستم از رده خارج کار کنیم، هرچه شمارههای تأمین اجتماعی بیشتری به صورت پایگاههای داده دست به دست شوند، هرچه اطلاعات لاگین بیشتری لو برود و هرچه بیشتر ما اطلاعات زندگیمان را بهصورت آنلاین منتشر میکنیم، این هکها سادهتر میشوند.
دوران گذرواژهها گذشته است. مسئله این است که ما هنوز متوجه این قضیه نشدهایم و هنوز هیچکس نمیداند که چه چیزی جایگزین آن خواهد شد. آنچه میتوانیم با یقین بگوییم این است که دسترسی به اطلاعات ما نمیتواند بیش از این به مجموعهای از اطلاعات سری (یک رشته از کاراکترها، ۱۰ رشته از کاراکترها و حتی پاسخ ۵۰ پرسش امنیتی) که قرار است تنها ما بدانیم، متکی باشد. اینترنت جای اطلاعات سری نیست. همه ما تنها چند کلیک با فهمیدن همه چیز فاصله داریم.
سیستم جدی در عوض باید به این موضوع متکی باشد که ما کیستیم و چه میکنیم. به کجا میرویم و در چه زمانی این کار را میکنیم، با خودمان چه داریم و وقتی به مقصد رسیدیم چه خواهیم کرد. هر حسابکاربری حیاتی ما باید به حداکثر تعداد ممکن از این نشانهها متکی باشد؛ نه تنها دو مورد و به یقین نه یک عدد.
این نکته آخر از اهمیت زیادی برخوردار است. این همان چیزی است که ایده اعتبارسنجی دو مرحلهای گوگل را تا این حد درخشان میکند، البته آنها این ایده را تا حد ممکن پیش نبردهاند. دو فاکتور حداقل تعداد ممکن است. به قضیه طور دیگری نگاه کنیم. زمانی که شما شخصی را در خیابان میبینید و فکر میکنید ممکن است از دوستان شما باشد، کارت شناساییاش را نگاه نمیکنید. در عوض به مجموعهای از نشانهها توجه میکنید. شاید مدل موهایش را عوض کرده باشد، اما آیا این همان ژاکت اوست؟ آیا تن صدایش همان است؟ آیا جایی او را دیدهاید که انتظار حضورش در آن میرود؟ اگر تعداد زیادی از مشخصات صحیح نباشند، شما به کارت شناسایی او اهمیتی نخواهید داد! حتی بهعکس کارتش هم اعتماد نخواهید کرد، چراکه ممکن است جعلی باشد.
این شیوه در واقع جوهره سیستمهای تشخیص هویت آنلاین آینده خواهد بود. این شیوه ممکن است شامل گذرواژهها هم باشد، درست مانند کارت شناسایی در مثال قبلی. اما همانطور که ما افراد را از روی کارت شناسایی عکسدارشان نمیشناسیم، بهیقین دیگر با یک سیستم مبتنیبر گذرواژه روبهرو نخواهیم بود. گذرواژه تنها یکی از توکنهای مورد استفاده در یک سیستم چندوجهی خواهد بود. جرمی گرانت از دپارتمان تجارت، آن را یک اکوسیستم هویت مینامد.
اما نقش بیومتریک در این میان چیست؟ با دیدن فیلمهای علمیتخیلی ممکن است بسیاری از ما به این فکر بیفتیم که شاید سیستمهای تشخیص اثر انگشت یا تصویربرداری عنبیه وظیفهای را که بر دوش گذرواژهها بود، برعهده خواهند گرفت؛ سیستمی تکوجهی با اعتبارسنجی آنی. اما این شیوهها دو مشکل اساسی دارند.
نخست اینکه زیرساختی که از آنها پشتیبانی کند هنوز وجود ندارد. موضوع مرغ یا تخممرغی که بسیاری از فناوریهای نوین را تهدید میکند، اینجا هم خود را نشان میدهد. این سیستمها گران و پر از ایراد هستند. به همین دلیل کسی از آنها استفاده نمیکند و چون کسی از آنها استفاده نمیکند، آنها بهتر یا ارزانتر نخواهند شد.
مشکل مهمتر چیزی است که پاشنه آشیل تمام سیستمهای تک فاکتوری است. اثر انگشت یا اسکن عنبیه تنها قطعه داده مورد نیاز است و بنابراین دزدیده خواهد شد. دیرک بالفانز (Dirk Balfanz) یکی از مهندسان نرمافزار گروه امنیت گوگل، اشاره میکند که کلیدها و کلمههای عبور میتوانند تغییر داده شوند، اما عنبیه و اثر انگشت برای همیشه ثابت و بدونتغییر میمانند. او به شوخی میگوید: «وقتی اثر انگشت من از روی یک لیوان برداشته شود، برای من که بسیار سخت است انگشتم را عوض کنم.» اگرچه اسکن عنبیه در فیلمها بسیار کارآمد ظاهر میشود، در دوران تصویرهای با کیفیت بالا استفاده از چهره، چشم یا حتی اثر انگشت بهعنوان تنها فاکتور دسترسی به حساب، به این معنا است که هرکس بتواند آنها را کپی کند، میتواند به اطلاعات حسابها هم دسترسی داشته باشد.
فکر میکنید زیادهروی کردهایم؟ به هیچوجه. کوین میتنیک، استاد مشهور مهندسی اجتماعی که پنج سال از عمرش را بهواسطه فعالیتهای هکری در زندان سپری کرده است، اکنون شرکت امنیتی خودش را رهبری میکند. کار شرکت او این است که به سیستمهای شرکتهای دیگر نفوذ میکند و سپس به صاحبان آنها اطلاع میدهد که چگونه این کار را انجام داده است. در یکی از کارهای اخیرش، شرکت موردنظر از تشخیص هویت صوتی استفاده میکرد. برای وارد شدن به سیستم کاربر باید یک سری تصادفی از اعداد را بخواند. اگر هم اعداد و هم صدای کسی که آنها را میخواند در سیستم وجود داشته باشد، عملیات لاگین انجام میشود. میتنیک به آنها زنگ زد و مکالمهاش با آنها را ضبط کرد. او مکالمه را طوری مدیریت کرد که مشتری مجبور شود کلمات صفر تا نه را به زبان آورد. او اعداد را از فایل صوتی استخراج کرد و با ترتیب مناسب برای سیستم تشخیص هویت پخش کرد و کار تمام بود.
گفتن این موضوعات به این معنی نبود که مشخصات بیومتریک نقشی اساسی در سیستمهای امنیتی آینده بازی نخواهد کرد. دستگاهها ممکن است برای کار کردن به یک مشخصه بیومتریک نیاز داشته باشند. سیستمهای آندروئید پیش از این نیز از این شیوهها استفاده میکردند و با خرید تازه اپل که شرکت بیومتریک موبایل AuthenTec را به تملک خود درآورد، بعید نیست که این شیوهها به iOS هم راه پیدا کنند. آنوقت از این دستگاهها نیز برای تشخیص هویت شما استفاده خواهد شد. کامپیوتر شما یا سایتی که میخواهید به آن وارد شوید، از این که شما یک دستگاه خاص را بههمراه دارید مطمئن خواهد شد. در این صورت شما هم چیزی که هستید را ثابت کردهاید و هم چیزی را که به همراه دارید. اما اگر شما بخواهید از یک جای خیلی خاص مثلاً نیجریه یا لاگوس بهحساب بانکی آنلاینتان وارد شوید، ممکن است لازم باشد که چند مرحله اضافی را طی کنید. ممکن است لازم شود که عبارت خاصی را در میکروفون گوشی بخوانید و هویتتان را با نمونه صوتی ذخیره شده تطبیق دهید. شاید دوربین گوشی عکسی از چهره شما تهیه کرده و برای سه نفر از دوستانتان ارسال کند تا پیش از ورود به سیستم آنها هویت شما را تأیید کنند.
فراهمآورندگان خدمات دادهای در بسیاری موارد یاد خواهند گرفت که همانند شرکتهای توزیعکننده کارتهای اعتباری الگوهای رفتاری شما را اسکن کنند. با این کار آنها نشانههای رفتار نامعمول را کشف کرده و فعالیت در حال انجام را در صورت شک به کلاهبرداری متوقف میکنند. گرانت میگوید: «بسیاری از مواردی که در آینده خواهید دید نوعی از تحلیلهای میزان ریسک است. فراهمکنندگان خدمات میتوانند ببینند که شما از کجا به سیستم وارد شدهاید و از چه سیستمعاملی استفاده میکنید.»
گوگل مدتی است که به همین سمت و سو میرود. این شرکت میخواهد از سیستم دو فاکتوری فراتر رود و اطلاعات هر لاگین را با لاگینهای قبلی مقایسه کند تا ارتباط میان آنها را در زمینههای موقعیت، دستگاه مورد استفاده و سایر نشانههایی که شرکت اعلام نکرده است، بیابد. اگر مورد مشکوکی در این میان یافت شود، گوگل کاربر را مجبور میکند که به پرسشهایی درمورد حساب کاربریاش پاسخ دهد. اسمترز میگوید: «اگر کاربر نتواند به این پرسشها پاسخ دهد، ما هشداری را برای صاحب حساب ارسال میکنیم که گذرواژهاش را تغییر دهد چراکه در معرض خطر لو رفتن قرار دارد.»
نکته دیگری که درباره سیستمهای اعتبارسنجی آینده قطعی بهنظر میرسد، این است که مجبور به پذیرفتن کدام مصالحه (راحتی یا حریم خصوصی) خواهیم بود. بهیقین سیستمهای چندفاکتوری اندکی از راحتی کار با سیستم کم میکنند، چراکه باید مراحل بیشتری را پشت سر بگذارید. اما قربانی اصلی حریم خصوصی شما خواهد بود. این سیستم بر موقعیت مکانی، عادتهای شما، الگوهای صوتی و حتی دی ان ای شما متکی خواهد بود.
ما باید این مصالحه را بپذیریم و بهاحتمال زیاد این کار را خواهیم کرد. تنها راه پیشرو تأیید واقعی هویت است؛ به این صورت که حرکات و مشخصات فیزیکی ما از همه جهت و در همه زمینهها ردگیری و ثبت شده و به هویت واقعی ما متصل شوند. ما از سیستمهای کلاود دست نخواهیم کشید، چراکه آنها را برای بازگرداندن عکسها و ایمیلها به هارددیسکمان احتیاج داریم. ما اکنون هم در ابرها زندگی میکنیم. پس به سیستمی احتیاج خواهیم داشت که از آنچه تاکنون در ابرها ذخیره کردهایم استفاده کند: ما که هستیم، با که صحبت میکنیم، به کجا میرویم، در آنجا چه میکنیم، چه دستگاههایی دراختیار داریم، چه شکلی هستیم، چه میگوییم و صدایمان چگونه است و حتی شاید اینکه چگونه فکر میکنیم.
این تغییر و تحول مستلزم سرمایهگذاری فراوان و تحمل سختیهای زیاد است و همچنین مدافعان حریم خصوصی را بسیار نگران خواهد کرد. شاید وحشتناک بهنظر برسد، اما گزینه دیگر آشوب و سرقت است و شکایتهای بیشتری از دوستان خارجی که از آنها سرقت شده است. زمانه عوض شده است. ما تا آنجا که توانستهایم به یک سیستم شکستخورده اعتماد کردهایم. نخستین گام این است که این حقیقت را بپذیریم. گام دوم این است که آن را اصلاح کنیم.