از آنجا که من هیچ گاه به پادگان نرفتم و لباس نظامی هم نپوشیدم و با اسلحه رژه نرفتم، تا به حال هیچ اردویی را تجربه نکرده ام. اما در یکی از همین روزها به یک اردوی آموزشی برای هکرها رفتم. یک روز را به طور کامل صرف فهمیدن نکات کاری هکرها کردم و دست نوشته هایی را گیر آوردم که حاوی مطالب آموزشی برای به هم ریختن دنیای رایانه ها بود. هدف شرکت میزبان، TechTrain، یک اردوی آموزشی اخلاقی بود و 24 نفر را به آن دعوت کرده بود. مربی من در آن دوره، آندره ویتاکر، مدیر بخش امنیتی شرکت بود که ده سالی را در سیستم های امنیتی بانک ها و آموزش نکات لازم در ایمنی سیستم های الکترونیکی موسسات مالی گذرانده بود. او پیش از شروع مطالب کلاس، خلاصه ای از آنچه را که قرار بود به من بیاموزد، گفت؛ چگونه ویروس بنویسم، چگونه شبکه های بی سیم را به هم بریزم و چگونه از دام دیواره های آتش بگریزم.
اشاره : از آنجا که من هیچ گاه به پادگان نرفتم و لباس نظامی هم نپوشیدم و با اسلحه رژه نرفتم، تا به حال هیچ اردویی را تجربه نکرده ام. اما در یکی از همین روزها به یک اردوی آموزشی برای هکرها رفتم. یک روز را به طور کامل صرف فهمیدن نکات کاری هکرها کردم و دست نوشته هایی را گیر آوردم که حاوی مطالب آموزشی برای به هم ریختن دنیای رایانه ها بود. هدف شرکت میزبان، TechTrain، یک اردوی آموزشی اخلاقی بود و 24 نفر را به آن دعوت کرده بود. مربی من در آن دوره، آندره ویتاکر، مدیر بخش امنیتی شرکت بود که ده سالی را در سیستم های امنیتی بانک ها و آموزش نکات لازم در ایمنی سیستم های الکترونیکی موسسات مالی گذرانده بود. او پیش از شروع مطالب کلاس، خلاصه ای از آنچه را که قرار بود به من بیاموزد، گفت؛ چگونه ویروس بنویسم، چگونه شبکه های بی سیم را به هم بریزم و چگونه از دام دیواره های آتش بگریزم. منبع: بیزنس ویک چه شیرین! شاگردان کلاسی که من در آن بودم، مردان میانسالی بودند که مدیریت سیستم های پیشرفته ای را بر عهده داشتند. آن ها در این دوره 4300دلا ری شرکت کرده بودند تا بفهمند چه نکات تازه ای از تهدیدات رایانه ای مطرح شده است. غالب این افراد برای شرکت های سازنده رایانه، شرکت های نرم افزاری یا برای افرادی کار می کردند که حفظ امنیت کامپیوترهایشان برایشان اهمیت داشت. یک نفر از جدال تمام نشدنی خود با همسرش درباره کار با کامپیوتر حرف می زد و یکی دیگر برای خنداندن دیگران چیزی می گفت. اما در این میان ویتاکر با نکته هایی که درباره چگونگی فرار از تله های امنیتی یک شرکت و مقابله با آن می گفت، تحسین همه را برمی انگیخت. خود وی نیز که در اوقات فراغت، وقتش را صرف مقابله با هکرها می کند، می ایستاد و از ما می پرسید: مطالبش جالب است یا نه؟ شاید می خواست با این کار هیجان آموزش را بیشتر کند! تولد تازه هیجان داشته باشد یا نه، این اردو کاملاً جدی است و افراد حاضر در آن، هدف خاصی را دنبال می کنند: کسب مدرک <هکر اخلاقمند> که توسط انجمن بین المللی مشاوران تجارت الکترونیک داده می شود. این گروه سال هاست چنین برنامه ای را مدیریت می نماید، اما در حال حاضر بیش از هر زمان دیگر نیاز به متخصصانی احساس می شود که بتوانند مانند هکرهای مخرب فکر کنند. زمانی شرکت ها برای مقابله با تهدیدات امنیتی، خود هکرها را به استخدام درمی آوردند. اما این کار باعث می شد آن ها با تجربه تر شوند و به تهدید بزرگ تری تبدیل شوند. اینجا بود که آن ها به فکر پرورش متخصصانی در داخل سازمان خود افتادند که به آن ها <هکر کلا ه سفید> می گفتند. اغلب تهدیدات الکترونیکی بنا به اهداف مالی صورت می گیرد. آن ها تنها به نیت از کار انداختنِ شرکت های تجاری یا آزاررسانی اقدام به ویروس نویسی نمی کنند. هدف آن ها دیگر معروف شدن هم نیست. آن ها به دنبال کسب درآمد بیشتر هستند. طبق آخرین آماری که شرکت سیمانتک منتشر کره است، حملات اینترنتی به منظور کشف اسرار محرمانه با رشدی 74 درصدی در نیمه دوم 2005، هشتاددرصد کل تهدیدات را شامل شده است. واقعیت هشدار دهنده نکته ترسناک این موضوع در آن است که برای هک کردن دیگر لازم نیست متخصص سطح بالا یا برنامه نویس قهاری باشید. خود من که آخرین برنامه کامپیوتریم را در کلاس سوم دبیرستان و آن هم به زبان بیسیک نوشته بودم، با یک ساعت حضور در اردو، توانستم به پایگاه داده بانک مجازی مایکروسافت نفوذ کنم و شماره کارت های اعتباری را درآورم. تنها لازم است عاشق دانستن ترفندها باشید. برای مثال، نام کاربری پیش فرض مایکروسافت SA است و برای کلمه عبور پیش فرض ندارد. خیلی از مدیران شبکه این نام کاربری را تغییر نمی دهند. از این رو خیلی از هکرها ابتدا آن را امتحان می کنند که معمولاً موفق هم از آب در می آید. یک نکته دیگر هم این است که در محل ورود کلمه عبور، علامت نقل قول (") را قرار دهید. اگر پیغام خطایی صادر شد، بدانید آن پایگاه داده را می توان به روشی به نام SQL Injection هک کرد. ویتاکر پس از گفتن این نکته دوباره با هیجان پرسید: جالب بود؟ دوست دارید باز هم از این نکات بدانید؟ در دسترس همه پایگاهی که من هک کردم، یک پایگاه حقیقی نبود. برای یک کار واقعی به دستورالعمل های بسیار بیشتری نیاز است. اما ویتاکر گفت که تعداد زیادی از پایگاه های موجود در شبکه از همین نوع هستند؛ زیرا مدیران از امنیت چیزی نمی دانند و مدیران امنیتی، پایگاه داده را خوب نمی شناسند. حال فکر بکنید اگر من می توانم روش هک کردن پایگاه داده های اولیه را به این سادگی بیاموزم، یک فرد ماهر چه بلایی می تواند بر سر آن ها بیاورد؟ با تعجب پرسیدم: آیا آن ها اطمینان دارند که هکرهای اخلاقمندشان خطا نمی کنند؟ ویتاکر پاسخ داد: همیشه افرادی وجود دارند که از تخصصشان سوء استفاده کنند، اما آن ها با تمامی توان، دانش آموختگان خود را تحت نظر دارند. آن ها را با حقوق خوبی استخدام می کنند و در ضمن ضمانت نامه ای نیز مبنی بر عدم تخطی از اصول اخلاق حرفه ای نیز امضا می کنند. در کلاس های سطح بالاتر، پیشینه افراد هم مورد بررسی قرار می گیرد. با این همه، این روزها کسی که بخواهد هکر شود، راه خود را پیدا می کند؛ چه با این کلاس ها چه بدون این کلا س ها! حجم بالایی از مطالب آموزشی مربوط به این حوزه، در اینترنت یافت می شود. مانند بسیاری از نرم افزارهای عمومی که افراد با نوشتن کدها و پایگاه داده آن ها را به صورت رایگان در شبکه قرار می دهند تا دیگران نیز با استفاده از آن در بسط و گسترش آن نرم افزار سهیم شوند، منابع باز بسیار زیادی را برای نگارش ویروس و تروجان می توان در اینترنت پیدا کرد. زیبای ترسناک! پس از شش ساعت کلاس فشرده، نوبت به کاربرد آنچه که تدریس شد رسید؛ هک شماره کارت های اعتباری از یک بانک و ایمیل آن به همان بانک! من باید می پذیرفتم برای کسی که سال ها پیش تنها یک برنامه ساده آن هم به زبان بیسیک نوشته است، این کار پیچیده است. از این رو وقتی ویتاکر به سراغم آمد تا به من نشان دهد چگونه یک کامپیوتر دیگر را به تروجانی به نام Beast آلوده می کند، اصلاً میل و رغبتی نشان ندادم. Beast را یک دانشجو نوشته بود که می توانست اعمال طرف دیگر را تحت نظر بگیرد. بنابراین تا آنجا که توانسته بود، روی آن کار کرده بود. این برنامه در اصل برای کنترل webcam اتاق قربانی نوشته شده بود، اما می توانست CD درایو، جست وجوگر اینترنت، پنجره های چت و هر چیز دیگری را کنترل کند. امروزه شما می توانید آن را به صورت رایگان دانلود کنید. البته اغلب برنامه های امنیتی می توانند آن را کشف کنند، اما نیمی از رایانه های ایالات متحده فاقد چنین برنامه هایی هستند و در هر حال افرادی هستند که با دریافت کمی پول، برنامه هایی بنویسند که قابل شناسایی هم نباشد. واقعیت و روِیا طبق آمار سیمانتک، اغلب هکرها از دوشنبه تا جمعه از ساعت نه صبح تا پنج بعدازظهر کار می کنند؛ گویی شغلشان این است! دیوید کول، مدیر سیمانتک که خود ماه ها فعالیت آنلا ین هکرها را زیر نظر داشت می گوید: خونسردی آن ها در برابر تخلفات قانونی و میزان تخریبی که از نظر اقتصادی وارد می کنند، برای ما تعجب برانگیز است. چند روز پیش از ویتاکر پرسیدم: چه احساسی نسبت به فیلم سینمایی فایروال دارد؟ در این فیلم هریسون فورد داستان یک متخصص امنیت الکترونیک را به تصویر کشیده است که دزدان وی را مجبور می کنند برای آزادی فرزندش، اطلاعات بانکی را هک کند که خود مسیِولیت حفاظت از آن را بر عهده دارد. او با آرامش جواب داد: <اما چیزی که در دنیای واقعی رخ می دهد، با دنیای فیلم تفاوت دارد.> بعد از یک روز حضور در اردوی هکرها، حرف او را درک کردم: دنیای واقعی ترسناک تر است! ماهنامه شبکه - مرداد 1385 شماره 67 |
