بلوغ شرکتهای بزرگ ایرانی، باعث جذب هکرها شده است
عصر بانک؛یاشار شاهینزاده یک هکر کلاه سفید است. به این معنی که او به عنوان یک متخصص امنیت کامپیوتر شروع می کند به تست و ارزیابی امنیت یک شبکه. راهکار تست هم از جانب او و کسانی که مانند او هستند، سعی در هک کردن سیستم مورد نظر است.
اگر بتوان به سرورها نفوذ کرد، نشان می دهد امنیت سیستم موردنظر پایین است. این نوع هکرها از مهارت های خود برای برقراری بیشتر امنیت و مبارزه با هکرهای کلاه سیاه استفاده می کنند. هدف آن ها حفظ امنیت است.
این جوان 29ساله روز دوشنبه در گفت و گوی اختصاصی با ایرنا، به شدت گرفتن حملات به سرور کسب و کارهای ایرانی اشاره کرد و گفت: تمام شرکت های بزرگ دنیا، توسط هکرها مورد حمله قرار می گیرند.
وی افزود: این که چرا در گذشته تعداد این حملات به سرورهای ایرانی کم بود و الان شدت گرفته، یک دلیل دارد: شرکت های ایرانی قبلا این قدر بزرگ نبودند که بتوانند توجه هکرها را به خودشان جلب کنند. به همین دلیل بیشتر اخبار هک شدن را می شنیدیم تا این که شرکتهای ایرانی با آن درگیر شوند.
اما در حال حاضر شرکتهای بزرگی در ایران وجود دارند که تا حد زیادی به بلوغ رسیدهاند. در سیستم کاری آنها پول قابل توجهی وجود دارد و حملههای اخیر نشان میدهد توجه هکرهای دنیا به این سمت جلب شده است.
یکی از شرکت های خارجی که با تمام اقداماتی که در جهت امنیت خود انجام داده چند ماه قبل مورد حمله هکرها قرار گرفت، شرکت حمل و نقل اوبر است. شاهینزاده در این خصوص گفت: چند ماه قبل تعدادی هکر با نفوذ به سیستم اوبر، تعدادی از فایلهای آنها را قفل کردند و داخل آنها بدافزار گذاشتند.
این هکرها از شرکت اوبر درخواست 200 هزار دلار بیتکوین کردند و این شرکت نیز مجبور به پرداخت شد. حالا اگر شرکتهای ایرانی به ثروت و گردش مالی برسند که توان پرداخت حتی یک چهارم این مبلغ را به هکرها داشته باشند، قطعا توجه بیشتری به سمت شان جلب خواهد شد. مطمئنا شرکتها برای این که زنده بمانند، تن به انجام چنین کاری میدهند.
وی افزود: به واسطه بزرگ شدن شرکتها، تامین امنیت آنها نیز هر روز سختتر از قبل میشود. دلیلش هم افزوده شدن روزانه چندصد کاربر و چندین سرور و دیتابیس است. این حجم زیاد را نمی توان به سادگی کنترل کرد. درست همین جاست که نیاز به تکنولوژیهای خاص و جدید هر روز بیشتر از گذشته میشود.
او در ادامه گفت: تقریبا در ایران مدیر امنیتی که بتواند امنیت شرکت های بزرگ را تامین کند، نداریم. ممکن است یک نفر برای شرکت کوچک هر نوع امنیتی را تامین کند و سیستمهایش غیر قابل نفوذ باشد، اما زمانی که شرکت بزرگ شود و هزار کارمند و چند میلیون کاربر داشته باشد، قطعا کار سختتر است. از آنجایی که ما شرکتهای میلیون دلاری و میلیارد دلاری نداشتهایم، مدیر امنیتی با این میزان تخصص نیز نداریم.
او اظهار کرد: نفوذهای سطح بالا معمولا در شرکت های خصوصی اتفاق میافتد و مجموعههای دولتی برای هدف اصلی هکرها که دریافت پول است، هک نمیشوند مگر این که هدف هکر، چیزی غیر از پول باشد.
یاشار شاهینزاده در ادامه به مسئله باگ باونتی اشاره میکند و درباره اینکه برگزاری آن در کشور ما چقدر میتواند تاثیرگذار باشد می گوید: مدتی قبل بین مسئولان سازمان فناوری و همراه اول، صحبت از «باگ باونتی» مطرح شد اما تا الان به نتیجه نرسیده است.
او در ادامه گفت: بیگ باونتی به این معناست که شرکتی به عنوان واسط یا خود هکرها وارد میدان میشوند. سازمان های مختلف که احتمال وجود آسیب پذیری امنیتی یا نفوذ هکر در بدنه امنیتی شان میرود، اعلام میکنند که نیاز دارند فردی امنیت شرکتشان را تست کند.
از آن سمت هکرهای کلاه سفید یا بچه های امنیت کار که با این شرکت ها همکاری دارند، شروع می کنند به پیدا کردن «باگ» یا بهتر بگویم پیدا کردن آسیب پذیری امنیتی آن سازمان. آنها بعد از پیدا کردن آسیب پذیری، مبلغی را به عنوان جایزه دریافت میکنند تا برای ادامه فعالیتهای خود انگیزه داشته باشند.
شاهین زاده افزود: من مدتها فیسبوک و توئیتر را دنبال کردم، این دو سایت خیلی مورد حمله هکرها قرار نمیگیرند چرا که آنها باگ باونتی برگزار میکنند و تقریبا تمام هکرها از سراسر دنیا، تیم امنیتی این دو شرکت را تشکیل میدهند.
او به نکته جالب دیگری هم اشاره کرد: البته ممکن است این سوال پیش بیاید که چرا شرکتی مانند اوبر که اتفاقا «باگ باونتی» نیز برگزار کرده اما دوباره مورد نفوذ هکرها قرار گرفته است؟ ماجرای حمله به شرکت هایی مانند اوبر این است که آنها مورد حملات سایبری APT قرار میگیرند. یک نوع حمله خاص که معمولا توسط دولتها پشتیبانی میشوند. برای این قبیل حملات از تکنیکهایی مانند حملات مهندسی اجتماعی استفاده میشود. به این شکل که یک نفر با کارمند آن شرکت مورد نظر آشنا میشود و به طرق مختلف از او میخواهد روی سیستم کاریاش فایلی را اجرا (Run) کند.
او در خصوص راهکار این نوع حملات گفت: برای دفع کردن چنین حملاتی راه سختی پیش روی شرکتها و تیمهای فنیشان است. برای این دست حملات نیاز به Red team pentest است. یک تیم قوی که در واقع، کارمندان یک مجموعه را امن میکنند. شرکتهای ایرانی کارمندان زیادی دارند، هر چقدر هم روی سیستم امنیتی و فنیشان کار کنند، ممکن است نا امن بودن یک کارمند، مجموعهشان را به خطر بیندازد.
او در خصوص این که شرکتهای ایرانی که حال بلوغ و بزرگ شدن هستند باید چه مسیری را در پیش بگیرند تا از لطمه هکرها در امان باشند، گفت: تا جایی که من می دانم، برخی شرکت ها در حال حاضر تصمیم دارند ماجرای باگ بانتی را به مرحله اجرا درآورند. زمانی که یکی دو شرکت این کار را انجام دهند، قطعا بقیه شرکت های بزرگ برای تامین امنیتشان به آنها میپیوندند.
اما این ابتدای مسیر است، همزمان با این کار باید کارمندان مجموعه ها نیز امن شوند. شعاری در کشور ما وجود دارد که میگوید بهترین درمان، پیشگیری است. شرکت های ایرانی باید قبل از این که حملات سایبری به مجموعه شان در دسته حملات APT جای بگیرد، امن بودن کارمندان را در دستور کار قرار بدهند.
ماجرای دیگری که در این قبیل هک شدن ها شاهد آن بودیم، تکذیب و تاییدهای بیثمر شرکتها بود. شاهینزاده میگوید یک حرکت اشتباه پس از هک شدن، ممکن است اعتماد کاربران را برای همیشه از بین ببرد: زمانی که اتفاقات اینچنین رخ میدهد، شرکت ها باید واقعیت را بگویند. نه کم، نه زیاد. یک شرکتی که مورد نفوذ قرار گرفته بود، پس از یک ساعت آمد و ماجرا را تکذیب کرد. چند ساعت بعد نیز مجبور به تایید شد. این در حالی است که بررسی هک شدن یا نشدن به این سادگی نیست که بتوان در دقایق اولیه تکذیب یا تاییدش کرد.
شرکت های بزرگ دنیا که با اعلام خبر هک شدن، حتی سهام شرکتشان هم افت میکند معمولا اتفاقات این چنین را می پذیرند و عذرخواهی میکنند. اما این روش تکذیب کردن در ابتدای انتشار اخبار این چنینی، هنوز به بقیه روش ها برتری دارد.
او در پایان به قدم دیگری که باید در این شرایط برداشته شود اشاره کرد و گفت: شرکت ها پس از این که مورد نفوذ قرار میگیرند، باید به کاربران خود ایمیل بزنند یا پیام بفرستند و بگویند که رمز خودشان را عوض کنند. کار ساده ای که امنیت کاربر را تامین می کند اما من ندیده ام که شرکتی چنین کاری را انجام دهد.