سال 2009 پر بود از ماجراها و داستان های جالب، ناراحت کننده و البته عبرت آموز امنیتی. بیایید با هم به 10 ماجرای امنیتی بزرگ و پر سر و صدای سال 2009 نگاهی بیاندازیم

ادامه ی مطلب را از دســــــــت ندهید

10 - کدهای مخربی که آمدند و ماندند:
احتمالا شما فکر می کنید که شرکت بزرگی مانند Network Solutions که یکی از بزرگ ترین ثبت کننده های دامنه در جهان است باید از نظر امنیتی بسیار قوی باشد؟ سال 2009 هکر ها توانستند به سرورهای این شرکت نفوذ کنند و یک Malware روی آنها نصب کنند. این کار منجر به دسترسی آنها به بیش از 573000 کارت اعتباری شد.

عجیب تر اینکه هکر ها توانستند کدهای مخربشان را بیشتر از سه ماه روی سرورهای این شرکت نگه دارند قبل از اینکه کشف و حذف شوند!

9- وقتی ایمیل مدیرعامل هک می شود:
شرکتی به نام StrongWebmail که سرویس ایمیل به کاربران ارایه می کرد در سال 2009 اشتباهی کرد که خیلی از شرکت های دیگر نمی کنند. این شرکت بیش از حد به امنیت خودش اطمینان داشت به همین علت اعلام کرد که هر کس بتواند اکانت ایمیل مدیرعامل شرکت را هک کند 10000 دلار جایزه خواهد گرفت.

شرکت مذکور از یک سیستم امنیتی مظاعف استفاده می کرد که یک پین ورودی یک بار مصرف را برای ورود به موبایل کاربر ارسال می کرد. احتمالا تصور می کنید که این یکی خیلی امن است. اما یک گروه هکر ها اکانت آقای مدیر عامل را هک کردند. چگونه؟ با استفاده از یک حمله XSS??

البته این شرکت مجبور شد 10000 دلار را پرداخت کند. اما یاد گرفت که اگر یک هکر باهوش بخواهد وارد چیزی بشود تنها مانع زمان است.

8- داستان دوست پسر حسود?
یک مرد امریکایی به نام اسکات گراهام که تصور می ک?رد دوست دخترش با فرد دیگری رابطه دارد ایمیلی برای دوست دخترش ارسال می کند که حاوی یک جاسوس افزار است. احتمالا وی می خواسته که از ارتباطات وی سر در بیاورد.

دوست دختر او که کارمند یک بیمارستان بوده ایمیل خودش را در محل کار باز می کند و جاسوس افزار بر روی کامپیوتر بیمارستان نصب می شود.

آقای گراهام شروع به دریافت اطلاعات حساس پزشکی بیماران می کند. که سبب رسوایی بزرگی برای «بیمارستان کودکان اکرون» می شود. نتیجه این میشود که اقای گراهام به 5 سال زندان و پرداخت 33000 دلار جریمه محکوم میشود.

هنوز بسیاری از سازمان ها اجازه دسترسی به ایمیل شخصی و نصب نرم افزار را به کارمندانشان در محل کار می دهند که می تواند منجر به چنین حوادثی بشود. مسوول IT شرکت ها باید کاملا مراقب چنین چیزهایی باشند.

7- هک کردن رسانه ها: Macking
این یک لغت جدید است که از ترکیب دو کلمه Media Hacking ایجاد شده است. هکر ها علاقه خاصی به نفوذ در رسانه ها دارند و این علاقه در سال 2009 بیشتر هم شد. هکر ها تلاش می کنند با ایجاد خبرهای جعلی بزرگ و مهم و ارسال انها از روش های گوناگون مانند ایمیل، کاربران را ترغیب کنند روی لینک های انها کلیک کنند تا کامپیوترها را به کدهای مخرب آلوده کنند.

گاهی وقت ها هم هکر ها تلاش می کنند تا شایعه سازی کنند. برای مثال در سال 2009 یک هکر توانست به اکانت توییتر بریتنی اسپیرز خواننده مشهور پاپ نفوذ کند و از طریق آن اعلام کند که "بریتنی اسپیرز درگذشته است. امروز روز ناراحت کننده ای برای همه است. اخبار بعدی به زودی اعلام می شود"

6- خائن های داخلی! همیشه و همه جا:
برایتان چند مثال می آورم تا بفهمید اوضاع چقدر خراب است. شرکت سیمانتک را که می شناسید؟ همان شرکتی که آتنی ویروس مشهور نورتون و البته نرم افزارهای دیگری را تولید می کند. این شرکت کارمندی داشت که کارت اعتباری مشتریان را می دزدید و می فروخت. سیمانتک وقتی به این موضوع اعتراف کرد که بی بی سی گزارش کرد که توانسته تعدادی کارت اعتباری را از این کارمند هندی بخرد. بیشتر کارت ها متعلق به مشتریان آمریکایی بودند.

- یک کارمند موقت شرکت AT?&?T در سال 2009 برای سرقت اطلاعات شخصی 2100 کارمند این شرکت و جمع آوری 70000 دلار پول به نام 130 نفر آنها بازداشت شد.

- چند ماه قبل یک لپ تاپ در آمریکا توسط یک کارمند بهداشتی سرقت شد که حاوی اطلاعات 800000 پزشک آمریکا بود. به عبارت دیگر تمام پزشکان آمریکا!

کارمندان اگر قابل اعتماد، آموزش ندیده و یا بی احتیاط باشند، همیشه یکی از بزرگ ترین ریسک های امنیتی هستند.

5- افتضاح دانشگاه برکلی
دانشگاه Berkeley کالیفرنیا جایی است که خیلی ها دوست دارند در آنجا درس بخوانند. البته در قدرت علمی این دانشگاه شکی نیست اما در امنیت اطلاعات اش چرا.

معلوم شد که احتمالا اطلاعات شخصی 160000 دانشجوی این دانشگاه شامل Social Security Number - بیمه های سلامت و اطلاعات پزشکی به سرقت رفته است.

داستان به اکتبر 2008 برمیگردد. هکر ها بیش از 6 ماه به دیتا بیس دسترسی داشته اند. بدون اینکه کسی متوجه موضوع بشود.

این داستان هم مانند مورد شماره 10 است. باید مراقب باشید. این امکان وجود دارد که سرورهای شما برای مدت زیادی در دست افراد دیگری باشد اما خودتان خبر نداشته باشید!

4- مشکل دپارتمان بهداشت ایالت ویرجینیا:
هکرها مدرن، گستاخ و نترس هستند. این افراد در سال 2009 به دیتابیس حاوی برنامه نظارت بر نسخه های پزشکی بیماران نفوذ کرده و ادعا کردند که میلیون ها نسخه پزشکی را به سرقت برده و دیتا بیس اصلی را هم پاک کرده اند! آنها درخواست دریافت 10 میلیون دلار برای بازپس دادن اطلاعات کرده بودند.

دیتابیس سرقت شده حاوی بیش از 35 میلیون نسخه پزشکی بود که از سال 2006 جمع آوری شده بود. البته FBI و پلیس ایالت ویرجینا هکرها را دستگیر کردند.

3- گوگل:
گوگل برای ما خیلی چیزها است. آیا ما در مورد این صحبت می کنیم که در سال 2009 به گوگل داکس نفوذ شد؟ آیا می خواهیم بگوییم که در این سال به Google Adwords نفوذ شد؟ آیا می خواهیم بگوییم که در این سال جیمیل از دسترس خارج شد؟ متاسفانه پاسخ تمام این سوالات مثبت است! در سال 2009 گوگل هم مشکلات امنیتی مختلفی را پشت سر گذاشته است.

2- مشکلات امنیتی در شبکه های اجتماعی:
در سال 2009 اوضاع توییتر در میان شبکه های اجتماعی از همه خراب تر بود. این سایت در این سال آنقدر توسط افراد و گروه های مختلف هک شد که می تواند یک مقاله مجزا با عنوان ده هک بزرگ توییتر در سال 2009 برای آن نوشت. از هک اکانت های آن گرفته تا هک شدن کارمندان و همکاران و ابزارهایش.

وضع فیس بوک و MySpace هم خیلی بهتر نبوده است. انواع روش های هک پروفایل، اپلیکشن و دسترسی به اکانت کاربران گزارش شده است. شما حتی می توانید در یوتیوب ویدیوهایی پیدا کنید که هک کردن اکانت مای اسپیس را آموزش می دهند!

1- سیستم پرداخت HeartLand
این یکی شاهکار سال 2009 است. چیزی که دادگاه رسما اعلام کرده این بوده که 130میلیون رکورد اطلاعاتی به سرقت رفته اما محاسبه آن ساده نبوده است و معلوم نیست که چقدر این عدد صحیح است.

اما HeartLand چند نکته را روشن کرده است:

- سیستمی که مورد نفوذ قرار گرفته بوده هر ماه بیش از 100 میلیون در خواست را پردازش می کرده است!

- هکر ها بیش از 18 ماه به این سیستم دسترسی داشته اند.

حالا خودتان محاسبه کنید که دوستان هکر به چه میزان کارت اعتباری دسترسی داشته اند!؟

حدود 700 بانک در سراسر دنیا اعلام کرده اند که به خاطر این نفوذ از آنها پول سرقت شده است. تنها خبر خوب داستان این است که هکرها دستگیر شده اند.

وقتی ده مشکل امنیتی بزرگ سال 2009 را بررسی می کنیم به یک نقطه مشترک می رسیم. و آن این است که تمام آنها قابل پیشگیری بودند. اگر یک کارمند آموزش دیده بود، اگر یک سیستم قفل گذاری شده بود، اگر یک فیلتر تنظیم شده بود یا یک اکانت غیر فعال شده بود جلوی بسیاری از این مشکلات بزرگ گرفته شده بود.

بسیاری از افراد، شرکت ها و سازمان ها از مشکلات امنیتی شان مطلع هستند اما آنها فقط از آن آگاهند و برای رفع آن کاری انجام نمی دهند. آنها با آتش بازی می کنند و البته بازی کردن با آتش گاهی منجر به سوختن هم می شود.

پیشگیری را فراموش نکنید.