۱۰ داستان امنیتی بزرگ سال ۲۰۰۹
سطح بندی مطلب:
مقدماتی
سال ۲۰۰۹ پر بود از ماجراها و داستان های جالب، ناراحت کننده و البته عبرت آموز امنیتی. بیایید با هم به ۱۰ ماجرای امنیتی بزرگ و پر سر و صدای سال ۲۰۰۹ نگاهی بیاندازیم.
۱۰ - کدهای مخربی که آمدند و ماندند:
احتمالا شما فکر می کنید که شرکت بزرگی مانند Network Solutions که یکی از بزرگ ترین ثبت کننده های دامنه در جهان است باید از نظر امنیتی بسیار قوی باشد؟ سال ۲۰۰۹ هکر ها توانستند به سرورهای این شرکت نفوذ کنند و یک Malware روی آنها نصب کنند. این کار منجر به دسترسی آنها به بیش از ۵۷۳۰۰۰ کارت اعتباری شد.
عجیب تر اینکه هکر ها توانستند کدهای مخربشان را بیشتر از سه ماه روی سرورهای این شرکت نگه دارند قبل از اینکه کشف و حذف شوند!
۹- وقتی ایمیل مدیرعامل هک می شود:
شرکتی به نام StrongWebmail که سرویس ایمیل به کاربران ارایه می کرد در سال ۲۰۰۹ اشتباهی کرد که خیلی از شرکت های دیگر نمی کنند. این شرکت بیش از حد به امنیت خودش اطمینان داشت به همین علت اعلام کرد که هر کس بتواند اکانت ایمیل مدیرعامل شرکت را هک کند ۱۰۰۰۰ دلار جایزه خواهد گرفت.
شرکت مذکور از یک سیستم امنیتی مظاعف استفاده می کرد که یک پین ورودی یک بار مصرف را برای ورود به موبایل کاربر ارسال می کرد. احتمالا تصور می کنید که این یکی خیلی امن است. اما یک گروه هکر ها اکانت آقای مدیر عامل را هک کردند. چگونه؟ با استفاده از یک حمله XSS
البته این شرکت مجبور شد ۱۰۰۰۰ دلار را پرداخت کند. اما یاد گرفت که اگر یک هکر باهوش بخواهد وارد چیزی بشود تنها مانع زمان است.
بیشتر بخوانید:
NoScript افزونهای برای وبگردیای امن
۸- داستان دوست پسر حسود
یک مرد امریکایی به نام اسکات گراهام که تصور می کرد دوست دخترش با فرد دیگری رابطه دارد ایمیلی برای دوست دخترش ارسال می کند که حاوی یک جاسوس افزار است. احتمالا وی می خواسته که از ارتباطات وی سر در بیاورد.
دوست دختر او که کارمند یک بیمارستان بوده ایمیل خودش را در محل کار باز می کند و جاسوس افزار بر روی کامپیوتر بیمارستان نصب می شود.
آقای گراهام شروع به دریافت اطلاعات حساس پزشکی بیماران می کند. که سبب رسوایی بزرگی برای «بیمارستان کودکان اکرون» می شود. نتیجه این میشود که اقای گراهام به ۵ سال زندان و پرداخت ۳۳۰۰۰ دلار جریمه محکوم میشود.
هنوز بسیاری از سازمان ها اجازه دسترسی به ایمیل شخصی و نصب نرم افزار را به کارمندانشان در محل کار می دهند که می تواند منجر به چنین حوادثی بشود. مسوول IT شرکت ها باید کاملا مراقب چنین چیزهایی باشند.
بیشتر بخوانید:
چگونگی حفاظت از کامپیوتر در برابر خطرات - بخش دوم جاسوس افزارها
۷- هک کردن رسانه ها: Macking
این یک لغت جدید است که از ترکیب دو کلمه Media Hacking ایجاد شده است. هکر ها علاقه خاصی به نفوذ در رسانه ها دارند و این علاقه در سال ۲۰۰۹ بیشتر هم شد. هکر ها تلاش می کنند با ایجاد خبرهای جعلی بزرگ و مهم و ارسال انها از روش های گوناگون مانند ایمیل، کاربران را ترغیب کنند روی لینک های انها کلیک کنند تا کامپیوترها را به کدهای مخرب آلوده کنند.
گاهی وقت ها هم هکر ها تلاش می کنند تا شایعه سازی کنند. برای مثال در سال ۲۰۰۹ یک هکر توانست به اکانت توییتر بریتنی اسپیرز خواننده مشهور پاپ نفوذ کند و از طریق آن اعلام کند که "بریتنی اسپیرز درگذشته است. امروز روز ناراحت کننده ای برای همه است. اخبار بعدی به زودی اعلام می شود"
۶- خائن های داخلی! همیشه و همه جا:
برایتان چند مثال می آورم تا بفهمید اوضاع چقدر خراب است. شرکت سیمانتک را که می شناسید؟ همان شرکتی که آتنی ویروس مشهور نورتون و البته نرم افزارهای دیگری را تولید می کند. این شرکت کارمندی داشت که کارت اعتباری مشتریان را می دزدید و می فروخت. سیمانتک وقتی به این موضوع اعتراف کرد که بی بی سی گزارش کرد که توانسته تعدادی کارت اعتباری را از این کارمند هندی بخرد. بیشتر کارت ها متعلق به مشتریان آمریکایی بودند.
- یک کارمند موقت شرکت AT&T در سال ۲۰۰۹ برای سرقت اطلاعات شخصی ۲۱۰۰ کارمند این شرکت و جمع آوری ۷۰۰۰۰ دلار پول به نام ۱۳۰ نفر آنها بازداشت شد.
- چند ماه قبل یک لپ تاپ در آمریکا توسط یک کارمند بهداشتی سرقت شد که حاوی اطلاعات ۸۰۰۰۰۰ پزشک آمریکا بود. به عبارت دیگر تمام پزشکان آمریکا!
کارمندان اگر قابل اعتماد، آموزش ندیده و یا بی احتیاط باشند، همیشه یکی از بزرگ ترین ریسک های امنیتی هستند.
۵- افتضاح دانشگاه برکلی
دانشگاه Berkeley کالیفرنیا جایی است که خیلی ها دوست دارند در آنجا درس بخوانند. البته در قدرت علمی این دانشگاه شکی نیست اما در امنیت اطلاعات اش چرا.
معلوم شد که احتمالا اطلاعات شخصی ۱۶۰۰۰۰ دانشجوی این دانشگاه شامل Social Security Number - بیمه های سلامت و اطلاعات پزشکی به سرقت رفته است.
داستان به اکتبر ۲۰۰۸ برمیگردد. هکر ها بیش از ۶ ماه به دیتا بیس دسترسی داشته اند. بدون اینکه کسی متوجه موضوع بشود.
این داستان هم مانند مورد شماره ۱۰ است. باید مراقب باشید. این امکان وجود دارد که سرورهای شما برای مدت زیادی در دست افراد دیگری باشد اما خودتان خبر نداشته باشید!
۴- مشکل دپارتمان بهداشت ایالت ویرجینیا:
هکرها مدرن، گستاخ و نترس هستند. این افراد در سال ۲۰۰۹ به دیتابیس حاوی برنامه نظارت بر نسخه های پزشکی بیماران نفوذ کرده و ادعا کردند که میلیون ها نسخه پزشکی را به سرقت برده و دیتا بیس اصلی را هم پاک کرده اند! آنها درخواست دریافت ۱۰ میلیون دلار برای بازپس دادن اطلاعات کرده بودند.
دیتابیس سرقت شده حاوی بیش از ۳۵ میلیون نسخه پزشکی بود که از سال ۲۰۰۶ جمع آوری شده بود. البته FBI و پلیس ایالت ویرجینا هکرها را دستگیر کردند.
۳- گوگل:
گوگل برای ما خیلی چیزها است. آیا ما در مورد این صحبت می کنیم که در سال ۲۰۰۹ به گوگل داکس نفوذ شد؟ آیا می خواهیم بگوییم که در این سال به Google Adwords نفوذ شد؟ آیا می خواهیم بگوییم که در این سال جیمیل از دسترس خارج شد؟ متاسفانه پاسخ تمام این سوالات مثبت است! در سال ۲۰۰۹ گوگل هم مشکلات امنیتی مختلفی را پشت سر گذاشته است.
۲- مشکلات امنیتی در شبکه های اجتماعی:
در سال ۲۰۰۹ اوضاع توییتر در میان شبکه های اجتماعی از همه خراب تر بود. این سایت در این سال آنقدر توسط افراد و گروه های مختلف هک شد که می تواند یک مقاله مجزا با عنوان ده هک بزرگ توییتر در سال ۲۰۰۹ برای آن نوشت. از هک اکانت های آن گرفته تا هک شدن کارمندان و همکاران و ابزارهایش.
وضع فیس بوک و MySpace هم خیلی بهتر نبوده است. انواع روش های هک پروفایل، اپلیکشن و دسترسی به اکانت کاربران گزارش شده است. شما حتی می توانید در یوتیوب ویدیوهایی پیدا کنید که هک کردن اکانت مای اسپیس را آموزش می دهند!
۱- سیستم پرداخت HeartLand
این یکی شاهکار سال ۲۰۰۹ است. چیزی که دادگاه رسما اعلام کرده این بوده که ۱۳۰میلیون رکورد اطلاعاتی به سرقت رفته اما محاسبه آن ساده نبوده است و معلوم نیست که چقدر این عدد صحیح است.
اما HeartLand چند نکته را روشن کرده است:
- سیستمی که مورد نفوذ قرار گرفته بوده هر ماه بیش از ۱۰۰ میلیون در خواست را پردازش می کرده است!
- هکر ها بیش از ۱۸ ماه به این سیستم دسترسی داشته اند.
حالا خودتان محاسبه کنید که دوستان هکر به چه میزان کارت اعتباری دسترسی داشته اند!؟
حدود ۷۰۰ بانک در سراسر دنیا اعلام کرده اند که به خاطر این نفوذ از آنها پول سرقت شده است. تنها خبر خوب داستان این است که هکرها دستگیر شده اند.
وقتی ده مشکل امنیتی بزرگ سال ۲۰۰۹ را بررسی می کنیم به یک نقطه مشترک می رسیم. و آن این است که تمام آنها قابل پیشگیری بودند. اگر یک کارمند آموزش دیده بود، اگر یک سیستم قفل گذاری شده بود، اگر یک فیلتر تنظیم شده بود یا یک اکانت غیر فعال شده بود جلوی بسیاری از این مشکلات بزرگ گرفته شده بود.
بسیاری از افراد، شرکت ها و سازمان ها از مشکلات امنیتی شان مطلع هستند اما آنها فقط از آن آگاهند و برای رفع آن کاری انجام نمی دهند. آنها با آتش بازی می کنند و البته بازی کردن با آتش گاهی منجر به سوختن هم می شود.
پیشگیری را فراموش نکنید.
هیچ نظری موجود نیست:
ارسال یک نظر