گروه مقاله : مطالب خواندنی
تاريخ انتشار : 1394/01/24 - 17:00
كد :168
اخیرا محققان امنیتی با نامهای کوری کالنبرگ (Corey Kallenberg) و زنو کواه (Xeno Kovah) به روشی پیچیده و البته امکانپذیر برای هک سیستم و سرقت اطلاعات از طریق فرمور و روتکیت دسترسی پیدا کردهاند؛ در این مقاله به طور کامل این متد توضیح داده شده است.
ادوارد جوزف اسنودن متولد ۲۱ ژوئن ۱۹۸۳ میلادی، افشاگر کنونی و کارمند سابق سازمان اطلاعات مرکزی آمریکا و پیمانکار سابق آژانس امنیت ملی است. اسنودن در ژوئن ۲۰۱۳ اطلاعات طبقه بندی شدهای از برنامههای فوق سری NSA از جمله برنامه شنود پریزم را به نشریات گاردین، نیویورک تایمز و واشینگتن پست لو داد. سند فوق سری که توسط اسنودن در اختیار روزنامه گاردین قرار گرفت، نشان میدهد که سازمان امنیت ملی ایالات متحده آمریکا این اختیار قانونی را داشته تا بدون نیاز به حکم قضایی، اقدام به جاسوسی از ایمیلها، مکالمات تلفنی و پیامکهای شهروندان آمریکایی کند. این قانون که در سال ۲۰۱۱ میلادی به تصویب رسیده در تضاد با اظهارات باراک اوباما رئیس جمهور آمریکا و سایر مقامهای اطلاعاتی در کنگره و سنا مبنی بر حمایت و حفاظت دولت از حریم خصوصی شهروندان این کشور است. روزنامههای گاردین انگلیس، واشنگتن پست آمریکا و ایندیپندنت بریتانیا شیوههای موسسه امنیت ملی آمریکا را برای شنود مکالمات تلفنی و الکترونیکی که اسنودن فاش کرده است، منتشر کردند.
افشاگریهای جدید اسنودن اطلاعات جدیدی را از نحوه کار ستاد ارتباطات دولت انگلیس و آژانس امنیت ملی ایالت محده آشکار کرد. در این گزارش نیز تمامی مراحل هک و دستیابی به اطلاعات سیستم تشریح داده شده است. در واقع این متد تمامی تکنیکهای به کار کرفته شده توسط آژانس امنیت ملی آمریکا را آشکار میکند. این تکنیکها شامل حملات مبتنی بر بدافزارها و روشهای دیگری است که اجزای یک سیستم را در معرض خطر قرار میدهند. به همین دلیل تحقیقات در این زمینه گسترده است. بنابراین چنین حملاتی باید توسط سیستم تشخیص حملات مدرن شناسایی شوند زیرا هر لحظه امکان دارد سیستم در معرض حمله و خطر باشد. به عنوان مثال، احتمال دارد آژانسها از سیستمهایی مانند سیستمعامل «Tails» که یکی از توزیعهای لینوکس و بر پایه دبیان است، جاسوسی کنند. Tails جزو سیستمعاملهای امنیتی لینوکس است که توسط ادوارد جوزف اسنودن توسعه داده شده و عملا برای جلوگیری از حملات و حتی هک مورد استفاده قرار میگیرد. آژانسهای امنیتی قادر به دستیابی به تمامی اطلاعات کاربران هستند حتی آن دسته از کاربرانی که سیستمی امن دارند.
کوری کالنبرگ و زنو کواه جزو محققان امنیتی هستند که در کنفرانس CanSecWest مقالهای را تحت عنوان «پیدا کردن آسیبپذیریهای بایوس» ارائه کردند. فِرموِر بایوس اولین نرمافزاری است که حین راهاندازی سیستم بارگذار میشود. بایوس در داخل یک تراشه بر روی همه مادربرد در کامپیوترهای شخصی قرار میگیرد. فرمور به برنامههای سطح پایین تقریبا ثابتی گفته میشود که در چیپهای الکتریکی ذخیره شده و معمولاً کنترل آن دستگاه را بر عهده میگیرند. هکرهایی که به این سطح از سیستم دسترسی پیدا میکنند معمولا از بدافزارهایی به نام روتکیت استفاده میکنند. روتکیت بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمیتوان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروسها یا کرمهای اینترنتی یا نوع استفاده از ﺁنها است که به ﺁنان ماهیتی خطرناک میبخشد. به عنوان یک تعریف میتوان گفت که روتکیت ابزاری نرمافزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. روتکیتها اغلب در سطح سیستمعامل فعالیت کرده و با تغییراتی که در سیستمعامل یا منابع ﺁن انجام میدهند، به مقاصد خود دست پیدا میکنند. به علت قابلیت پنهانسازی قوی اینگونه برنامهها، شناسایی ﺁنها یا برنامههایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر میتواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از روتکیتها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا مینمایند. سپس با قابلیتهای خاص خود ﺁنرا از دید کاربر مخفی میکنند و کرم مزبور به راحتی به فعالیتهای مخرب خود به دور از چشم کاربر ادامه میدهد. روتکیتها برنامههایی هستند که از نظر ساختار کاری بسیار شبیه تروجانها و دربهای پشتی هستند، ولی با این تفاوت که شناسایی روتکیت بسیار مشکلتر از دربهای پشتی است زیرا روتکیتها جایگزین برنامههای اجرایی مهم سیستم عامل شده و در گاهی مواقع جایگزین خود هسته میشوند و به هکرها این اجازه را میدهند که از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ کنند.
حال هکری که از روتکیت برای نفوذ به سیستم است، قادر خواهد بود سیستمهای شناسایی و تشخیص حملات را غیرفعال کنند. هکر برای اینکه بتواند کدهای مخرب خود را در سیستم کاربر منتشر کند ابتدا باید دسترسی مدیر سیستم یا ادمین را داشته باشد؛ از این رو هکرها از اکسپلویتهای شناخته شده سیستم از جمله اکسپلویت اینترنت اکسپلورر و برخی آسیبپذیریهای بایوس استفاده میکند. مرحلهی اول معمولا به راحتی از طریق اینترنت قابل دسترسی است ولی مرحله دوم که «post-exploitation» نام دارد بسیار مشکل بوده و معمولا نهادهای دولتی و امنیتی بزرگی مانند آژانس امنیت ملی قادر به انجام آن هستند.
حال این محققان ابزاری را توسعه دادهاند که عملیات شناسایی و بهرهبرداری از آسیبپذیریهای بایوس را به طور خودکار انجام میدهد. کالنبرگ و کواه جزئیات دقیقی از این ابزار را در کنفرانس CanSecWest که در شهر وانکوور کانادا برگزار خواهد شد، ارائه میدهند. این کنفرانس حاوی مطالب هک «Pwn2Own» را در برمیگیرد. این محققان خود بدافزاری طراحی کرده و در مقابل آن توانستند با ابزار اکسپلویت جدید خود و به کمک بدافزار چندین بار به سیستم و بخش مدیریت سیستمی یا «SMM» نفوذ کنند. SMM جزئی از کامپیوتر است که کاملا توسط فریمور کنترل شده و جدا از فرآیندهای دیگر است. این بخش قادر است تمامی رویدادها و فرآیندهای سیستم را چک کرده و کنترل کند.
کالنبرگ در مصاحبهای که با forbes داشته بخشی از این ابزار را توضیح داد و گفت:
هنگامی که پیلود در سیستم جای گرفت، کد مخرب و عامل ما در SMM به فعالیت خواهد پرداخت. نکتهای که درباره SMM مهم است این است که کاملا مستقل از سایر بخش های سیستم کار کرده و از دید سیستمعامل پنهان است. این قسمت از سیستم محافظت شده و توسط سیستمعامل قابل نوشتن و خواندن نیست. البته اگرچه سیستم عامل Tails لینوکس دسترسی خواندن و نوشتن بر روی حافظه را ندارد اما به تمامس قسمتهای حافظه دسترسی دارد.