به گزارش پایگاه خبری اوشیدا: شما هم بیشک رازی دارید که میتواند زندگی شما را زیر و رو کند و از این راز بهخوبی نگهداری نمیکنید! تنها رشتهای از کاراکترها (اگر بیمبالات باشید حدود ۶ کاراکتر و اگر خیلی محتاط باشید ۱۶ کاراکتر) میتواند همه چیز را درباره شما آشکار کند!
آدرس ایمیلتان، حساب بانکیتان، آدرس پستی و شماره کارت اعتباری، عکسهای شما یا بستگانتان، موقعیت دقیق محلی که هماکنون در آن نشستهاید، همه از جمله مواردی هستند که با یک رشته کاراکتر ساده قابل کشف هستند! از آغاز عصر اطلاعات تاکنون، ما همواره با این ایده روبهرو بودهایم که یک گذرواژه با طول مناسب، ابزاری مناسب برای محافظت از تمام این دادههای ارزشمند است. اما این روزها، این موضوع دیگر صحت ندارد، بلکه یک فانتزی و ایدهای تمامشده است و هرکس که هنوز چنین ادعایی دارد یا نادان است یا شما را نادان میپندارد. گذرواژههای شما، هرچقدر پیچیده و هرچقدر یکتا باشند، دیگر نمیتوانند از شما محافظت کنند.
به اطرافتان نگاه کنید. نفوذها و درز کردن اطلاعات، هکرهایی که به سیستمهای کامپیوتری نفوذ کرده و فهرستی از نامهای کاربری و گذرواژههای افراد را روی وب منتشر میکنند، اکنون به اتفاقی معمول تبدیل شدهاند. با سیستمی که ما حسابهای کاربریمان را به هم متصل میکنیم و از آدرس ایمیلمان بهعنوان یک نام کاربری جهانی در همهجا استفاده میکنیم، تنها یک نقطه ضعف اساسی بهوجود آوردهایم که شکست آن میتواند نتایج هولناکی را برای ما بههمراه داشته باشد. بهلطف ذخیرهسازی بیشازپیش اطلاعات شخصی در ابرها، گول زدن کارمندان بخش خدمات شرکتها برای تعویض گذرواژهها هیچگاه از این سادهتر نبوده است. تنها کاری که هکر باید انجام دهد این است که از اطلاعات شخصی شما که بهصورت عمومی در یک سرویس خاص اینترنتی وجود دارد، برای نفوذ به حساب شما در سرویسهای دیگر استفاده کند.
تابستان امسال، هکرها تمام زندگی دیجیتال من را در کمتر از یک ساعت نابود کردند. گذرواژههای من در سایتهای اپل، توییتر و جیمیل به اندازه کافی قدرتمند و طولانی (۷، ۱۰ و ۱۹ کاراکتر!) و همه آنها ترکیبی از اعداد و حروف بودند. حتی در آنها از نشانههای خاص هم استفاده کرده بودم. اما این سه حساب به هم مرتبط بودند و بنابراین زمانی که هکرها راهشان را به یکی از آنها باز کردند، به هر سه دسترسی داشتند. آنها تنها حساب توییتر من را با آدرس سرراست @mat میخواستند. یک نام کاربری سه حرفی که بسیار با پرستیژ بهنظر میرسید. پس از آن برای ایجاد تأخیر در مراحل بازپسگیری این حساب کاربری، از حساب کاربری که در اپل داشتم برای پاککردن اطلاعات تمام دستگاههای من یعنی آیفون، آیپد و مکبوک استفاده کردند. به این ترتیب همه پیامها، اسناد و تمام عکسهایی که از دختر ۱۸ ماههام داشتم، از میان رفتند. دوران گذرواژهها گذشته است. مسئله این است که ما هنوز متوجه این قضیه نشدهایم.
از آن روز هولناک به بعد، من خودم را وقف تحقیق و بررسی در دنیای امنیت آنلاین کردهام. چیزی که من یافتهام، بسیار وحشتناک است: نابود کردن زندگی دیجیتال ما بسیار ساده است! فرض کنید که من میخواهم به ایمیل شما نفوذ کنم و فرض کنید شما از خدمات AOL استفاده میکنید. تنها کاری که کافی است من انجام دهم این است که به سایت AOL بروم و اطلاعاتی مانند نام شما و شهر محل تولدتان را وارد کنم. شما هم میدانید که در دوران گوگل و شبکههای اجتماعی یافتن چنین اطلاعاتی بسیار ساده است. با این اطلاعات AOL بهسادگی امکان بازنشانی گذرواژه را برای من فراهم میکند و من میتوانم به جای شما وارد آن ایمیل شوم.
نخستین کار من پس از ورود چیست؟ به دنبال کلمه بانک میگردم تا ببینم بانکداری آنلاینتان را به حسابهای کدام بانک انجام میدهید. پس از آن به سایت آن بانک میروم و روی لینک فراموشی «کلمه عبور کلیک» میکنم. یک گذرواژه جدید میسازم و وارد حساب بانکیتان خواهم شد. اکنون علاوهبر ایمیل، حساب بانکی شما هم دراختیار من است.
تابستان امسال من یادگرفتم که چگونه میتوان تقریباً به همه چیز نفوذ کرد! با دو دقیقه زمان و هزینه کردن ۴ دلار در یک سایت ابتدایی و سردستی خارجی، میتوانم بهسادگی شماره کارت اعتباری، شماره تلفن، آدرس منزل و حتی شماره تأمین اجتماعی شما را به دست بیاورم. پنج دقیقه دیگر به من فرصت بدهید و خواهید دید که بهسادگی میتوانم وارد حسابهای آمازون، بستبای، مایکروسافت و نتفلیکس شما بشوم و با افزودن ۱۰ دقیقه دیگر به این زمان، میتوانم حسابهای شما در AT&T، کامکست و ورایزون را هم دراختیار بگیرم. با دراختیار داشتن حداکثر ۲۰ دقیقه زمان، PayPal شما هم دراختیار من خواهد بود. برخی از این حفرههای امنیتی تاکنون بسته شدهاند، اما نه همه آنها و تازه حفرههای جدید هم هر روز کشف میشوند.
ضعف اساسی که در همه این نفوذها مورد استفاده قرار میگیرد، گذرواژه است. گذرواژه محصول دورهای بود که سیستمهای کامپیوتری ما اینچنین به هم متصل نبودند. امروزه، هرکاری که بکنید و هر اقدام پیشگیرنهای که به انجام برسانید، هیچ رشته تصادفی از اعداد و حروف و نشانهها نمیتواند جلوی نفوذ مجرمانی که خود را وقف نفوذ به حساب کاربری شما میکنند، بگیرد. دوران گذرواژهها گذشته است. مسئله این است که ما هنوز متوجه این قضیه نشدهایم. عمر گذرواژهها به اندازه عمر تمدن بشری است و در تمام این مدت مردم آنها را شکسته یا کشف میکردند.
در سال ۴۱۳ پیش از میلاد و در اوج جنگهای پلوپونز (Peloponnesian War) ژنرال یونانی دموستنس (Demosthenes) با ۵ هزار سرباز وارد سیسيل شد تا در حمله به سیراکوزا شرکت کند. همه چیز برای یونانیها خوب بهنظر میرسید. سیراکوزا، دروازه ورود به اسپارت فتح شده تصور میشد.
اما در یک درگیری شبانه در اپیپل (Epipole) نیروهای دموستنس متفرق شدند و در حالیکه تلاش میکردند دوباره نظم و اتحاد خود را بازیابند شروع به فریاد زدن رمز شب کردند. کلمهای از پیش تعیین شده که نشان میداد یک سرباز خودی است. سیراکوزاییها این کلمه عبور را دریافته و به اطلاع تمام نیروهای خود رساندند. زمانی که یونانیان بسیار قدرتمند و یکپارچه بهنظر میرسیدند، این رمز شب به دشمنان آنها اجازه داد که نیروهای اندکشان را یونانی جا زده و با این حیله تلفات سنگینی را به ارتش یونان وارد کردند و زمانی که آفتاب برآمد، سوارهنظام آنها بقایای ارتش یونان را نیز نابود کرد و این نقطه عطفی در تاریخ این جنگها بود.
نخستین سیستمهایی که از گذرواژهها استفاده کردند بهاحتمال زیاد ماشینهای سیستم اشتراک زمانی MIT بودند که در سال ۱۹۶۱ توسعه یافته بودند. برای محدود کردن زمانی که هر کاربر میتوانست از CTSS (سرنام Compatible Time Sharing System) استفاده کند، از یک سیستم لاگین استفاده شد. تنها یک سال طول کشید تا یک دانشجوی دکترا با نام آلان شر (Allan Scher) که به زمانی بیش از ۴ ساعت مقرر شده نیاز داشت، بتواند با حقهای ساده این سیستم لاگین را دور بزند. او فایل حاوی گذرواژهها را یافت و یک پرینت از آن تهیه کرد! از آن به بعد او هرچه قدر میخواست وقت دراختیار داشت.
در سالهای شکلگیری وب، که ما کمکم به زندگی آنلاین روی میآوردیم، گذرواژهها بهخوبی کار میکردند. مهمترین دلیل این امر این بود که دادههای اندکی برای محافظت کردن وجود داشت. گذرواژههای ما تنها برای چند مورد خاص نظیر یک ایمیل و یک یا دو حساب تجارت الکترونیکی، کاربرد داشتند. چون در آن زمان تقریباً هیچ اطلاعات شخصی در ابرها ذخیره نشده بود (در واقع هنوز ابری وجود نداشت!)، نفوذ به حساب کاربری افراد تقریباً هیچ صرفه اقتصادی نداشت و هکرها هم بیشتر بهدنبال نفوذ به سیستمهای شرکتهای بزرگ بودند. و ما کمکم مغرور شدیم. آدرسهای ایمیل بهنوعی لاگین جهانی تبدیل شدند و بهعنوان نام کاربری تقریباً در همه سرویسها مورد استفاده قرار گرفتند. این کار بهرغم افزایش نمایی تعداد حسابهای آنلاین، یا به عبارتی تعداد نقطه ضعفهای ممکن، به همان شکل ادامه یافت. ایمیلهای وب، دروازههای ورود به دوران کامپیوترهای لوحی و برنامکهای ابری شدند. ما استفاده از خدمات بانکی روی کلاود را آغاز کردیم، اعتبارها و کارهای مالیمان را در کلاود انجام دادیم و مالیاتهایمان را هم در کلاود پرداخت کردیم. درنهایت عکسها، اسناد و دادههایمان را هم در فضای ابری ذخیره کردیم.
درواقع هرچه تعداد هکهای قابلتوجه بیشتر شد، ما بیشتر و بیشتر به یک فلسفه نگهدارنده روانی تکیه کردیم و آن نظریه «گذرواژههای قوی» بود. این مصالحهای بود که شرکتهای وبی در حال رشد، برای نگهداشتن افراد و جلب اعتماد آنها برای ذخیره اطلاعاتشان در سایتهایشان به آن روی آوردند. این یک چسب زخم معمولی بود که اکنون در رودی از خون در حال شسته شدن است.
نحوه کار يک هکر گذرواژه
متن زیر از گفتوگوی آنلاین کارمند پشتیبانی اپل و هکری که خود را برایان (یک مشتری واقعی اپل) جا زده است نقل میشود. این گفتوگو در ژانویه ۲۰۱۲ صورت گرفته است. هدف هکر بازنشانی گذرواژه و دراختیار گرفتن حساب کاربری است.
اپل: آیا میتوانید به یک پرسش درباره حساب کاربریتان پاسخ دهید؟ نام بهترین دوستتان چیست؟
هکر: فکر کنم کوین، آستین یا مکس باشد.
اپل: هیچ کدام از این پاسخها درست نبودند. فکر نمیکنید در پاسخ به این پرسشها نام خانوادگی را تنظیم کرده باشید؟
هکر: فکر نمیکنم البته غیرممکن هم نیست. من که ۴ رقم آخر کارت اعتباری را گفتم. این کافی نیست؟
اپل: آن ۴ رقم هم اشتباه بودند. کارت اعتباری دیگری ندارید؟
هکر: ممکن است دوباره چک کنید؟ من یک کارت Visa دارم که همین حالا جلوی چشمم است و ۴ رقم آخرش ۵۵۵۵ است.
اپل: من دوباره کنترل کردم. ۵۵۵۵ شمارهای نیست که در حساب شما ثبت شده است. آیا سیستم آنلاین و تأیید صلاحیت با استفاده از ایمیل را امتحان کردهاید؟
هکر: بله اما ایمیل من هک شده است. من فکر میکنم که هکر یک کارت اعتباری جدید به حساب من اضافه کرده باشد. این اتفاق تقریباً برای تمام حسابهای من افتاده است.
اپل: میخواهید گزینه نام و نامخانوادگی بهترین دوستتان را امتحان کنید؟
هکر: الآن برمیگردم. غذایم دارد میسوزد. ببخشید یک لحظه.
اپل: باشد. مشکلی نیست.
هکر: خوب. من برگشتم. فکر میکنم جواب ممکن است کریس باشد. او دوست خوبی است.
اپل: متأسفم برایان. این جواب هم اشتباه است.
هکر: نام کاملش کریستوفر ... است. گزینه دیگر هم ممکن است ریموند ..... باشد.
اپل: هر دوی اینها متأسفانه غلط هستند.
هکر: من میتوانم یک فهرست از این دوستان احتمالی برایت ردیف کنم. برایان ....، استیون ...، بریین ....
اپل: نظرتان راجع به یک گزینه دیگر چیست؟ نام یکی از پوشههایی را که خودتان در سیستم ایمیل ایجاد کردهاید بگویید.
هکر: فکر کنم Google، Gmail یا Apple باشد. من به عنوان برنامهنویس در گوگل کار میکنم.
اپل: خوب. اپل درست است. میتوانم آدرس پشتیبان شما را داشته باشم؟
هکر: آدرس ایمیل جایگزینی که هنگام ساختن حساب کاربری وارد کردهام؟
اپل: من فقط به یک آدرس ایمیل نیاز دارم تا لینک بازنشانی گذرواژه را برای شما ارسال کنم.
هکر: ممکن است از آدرس toe@aol.com استفاده کنید؟
اپل: ایمیل برای شما ارسال شد.
هکر: ممنون!