نفوذ به ذهن یك نفوذگر

برای شناخت یك نفوذگر یا «هكر» در وهله اول باید در مورد آن كمی بحث كرد.

بسیاری از مردم كه بدون انگیزه های بزهكارانه یا نیت تبهكارانه به سیستم ها نفوذ می كنند و با غرور خاصی بر چسب «هكر» را بر خود می زنند، بر این باورند كه چون نیت و قصد بدی ندارند باید آنها را هكر نامید. در مقابل این افراد به كسانی كه با قصد و نیت سودجویانه و خرابكارانه این كار را انجام می دهند، «كركر» می گویند. هكرها افراد خبیث یا بدكاری نیستند كه قصد خراب كردن سیستم ها یا دزدیدن كلمات عبور را داشته باشند. هكرهای واقعی، خود از این گونه افراد به شدت متنفرند.

كسانی كه در مورد هكرهای كامپیوتری صحبت می كنند. روی این نكته تاكید دارند كه برخی از افراد با نیت كاملاً مثبت و یا به قصد سرگرمی وارد یك سیستم می شوند و گاهی نیز عیوب آن را كه ممكن است باعث تخریب سیستم شود به صاحب سیستم گوشزد می كنند. در مقابل عده ای نیز با قصد ایجاد اختلال در زمینه های مختلف مانند مسایل مالی، وارد سیستم ها، به ویژه سیستم های موجود در شركت ها می شوند.

به علاوه همه هكرها بزهكار یا مجرم نیستند. اما چه خوب چه بد، آنها در یك نقطه با هم اشتراك دارند و آن اینكه برای شما مشكل ایجاد می كنند. در مجمع سالیانه هكرها، افراد به بیان مسایل متعددی از جمله شبكه هایی كه با خطرات جدی مواجه شده اند، و همچنین ورود به پایگاه های اطلاعاتی و یافتن محصولات و غیره می پردازند. بعضی از آنها مانند «مارك مایفرت» اهل كالیفرنیای شمالی كه 21 سال سن دارد، خود را «مسوول نفوذهای دزدی» یا نفوذهایی كه به قصد دزدی انجام می شود، می داند . او ابتدا به صورت یك نوجوان بومی به هك كردن شبكه های اینترنتی می پردازد و پس از فراگیری، آن را به عنوان مشاوره امنیتی ارایه می كند.

هدف اصلی این مقاله ابتدا شناخت هكرها، به خصوص افرادی كه قصد خرابكاری یا سوءاستفاده دارند و سپس ارایه راهكارهای مناسب برای حفاظت بیشتر از سیستم هاست. این افراد كه غالباً هم مرد هستند، به عنوان خطری جدی برای امنیت شبكه ها و كاربران محسوب می شوند. «باب سالیوان»، گزارشگر با سابقه سایت MSNBC.Com كه پنج سال پیش برای اولین بار گروه هكرهای كامپیوتری را كشف كرد، از آنان به عنوان «تبهكاران كامپیوتری» ، «یاغی حمله كننده» و «جنایتكاران آنلاین» یاد می كند. نكات مهمی كه همواره باید در مورد این افراد به خاطر داشت، عبارتند از:

هكرها به طور عامل و خرابكاران كامپیوتری به طور خاص عاشق قدرت و كنترل هستند

«ریچارد فورد» به عنوان یك محقق بر این باور است كه اغلب افراد این كار را بیش از آن كه بدخواهی یا خرابكاری بدانند، نوعی سرگرمی مهیج كه ره آورد فناوری نوین است قلمداد می كنند. «سیمسون كارفیل»، نویسنده چندین كتاب در زمینه امنیت شبكه می گوید: « برای عده ای، این كار نوعی پازل برای حل كردن و یك نوع بازی است. شاید هم برای كسب درآمد باشد، اما به هر حال باید دانست كه میان این مفاهیم و فرآیند هك، تفاوت های بسیاری وجود دارد. «افراد مورد نظر یا همان نفوذگران سعی در كنترل هر چه بیشتر ماشین ها دارند. اغلب آنان برای تفریح و سرگرمی و شاید خنده دست به این عمل می زنند. هكرها به شركت های مختلف حمله می كنند و در هر حال، افرادی كه در این زمینه فعالیت می كنند، گاه به سودهای آنی و زودگذر هم دست پیدا می كنند.

خرابكاران با دزدی اطلاعات و كلاهبرداری، بزرگ ترین صدمات را به بعضی از شركت ها وارد می آورند

اگر چه امروزه ضریب امنیت بهره گیری از فناوری روند صعودی دارد، اما در مقابل، سوء استفاده زیادی از اختلالات موجود در اینترنت توسط خرابكاران و سود جویان انجام می شود كه خود ناشی از گسترش و بسط سریع این شبكه است.

بر اساس تحقیقات انجام شده و آمار به دست آمده توسط دانشگاه «كارنگی ملون» تعداد خرابكاری های كامپیوتری از جمله حمله ویروس ها، در سال 2001 دو برابر شد و به 53 هزار مورد رسید. در سه ماهه اول سال 2002 نیز در حدود 27 هزار خرابكاری كامپیوتری به ثبت رسیده است. تصور می شود شایع ترین عامل اختلالات كامپیوتری، حملات ویروس ها باشد، اما در تحقیقی كه در آوریل سال 2002 توسط موسسه ایمنی كامپیوتر وابسته به FBI انجام گرفت، مشخص شد كه علت اصلی خرابكاری ها، ویروس ها نیستند. نتایج به دست آمده از تحقیقاتی در مورد پانصد نفر حاكی از آن است كه بر اثر حمله ویروس ها سالیانه حدود 08/17 میلیون دلار سرقت اطلاعات، 7/115 میلیون دلار كلاهبرداری های مالی، 50 میلیون دلار سوء استفاده افرادی خود و كارمندان داخلی، زیان به شركت ها وارد می شود.

در تحقیق دیگری كه به تازگی انجام شده و از طریق سایت واشنگتن پست در اختیار علاقه مندان قرار گرفت، حمله مهاجمان اینترنتی در سراسر جهان در شش ماه اول سال 2002 حدود 28 درصد افزایش داشته كه بیشتر متوجه شركت های فناوری امریكا، سرویس های پولی و موسسات انرژی بوده است.

بسیاری از شركت ها اجازه گریختن از دست قانون را به مهاجمان می دهند

در تحقیقات مشابه انجام شده توسط FBI ، مشخص شد 34 درصد پاسخ دهندگان معتقدند كه تخلفات كامپیوتری باید توسط مراجع ذی ربط و مجاری قانونی مورد پیگرد قرار بگیرند. شركت هایی كه مورد هجوم افراد سودجو قرار می گیرند، بیش از هر چیز، از تبلیغات منفی كه ممكن است سابقه و شهرت آنان را تحت الشعاع قرار دهد می ترسند. «سالیوان» در مصاحبه با یكی از نفوذ گران كامپیوتری به نام «زیلتریو» كه بیش از یك سال به دزیدن اطلاعات برخی موسسات مالی و حتی معاملات آنلاین مشغول بوده، به چگونگی عملكرد این افراد كه گاهی سود زیادی هم از این طریق به دست می آورند، می پردازد. سالیوان كه از طریق پست الكترونیكی با این شخص مصاحبه كرده، می گوید: «زیلتریو به عنوان یك مهاجم كامپیوتری شخصیت بسیار عجیب، و بهتر بگویم، مرموزی دارد. او پس از دزدیدن اطلاعات مورد نظر، به اخاذی از شركت یا مؤسسه مربوطه پرداخته، تا جایی كه بعضی از این شركت ها تا مبلغ 150 هزار دلار به او پرداخت كرده اند.» سالیوان معتقد است زیلتریو و افرادی مانند او باید توسط FBI تحت تعقیب قرار گیرند.

هیچ كس در امان نیست

به طور كلی می توان گفت كه هر شركت یا هر نوع بنگاه تجاری كه دارای وب سایت باشد می تواند هدف افراد سودجو و فرصت طلب قرار گیرد. امروزه بسیاری از خرابكاران یا مهاجمان اینترنتی از اسكنر شبكه برای یافتن سایت هایی استفاده می كنند كه به دلیل فقدان تمهیدات امنیتی، وارد شدن به آنها كار چندان دشواری نیست. «كارفینگل» در مقاله ای تحت عنوان «امنیت وب، تجارت و امور محرمانه» ضمن بیان اهمیت به كارگیری سیستم ها و و سایت های امنیتی به خصوص در زمینه اطلاعات محرمانه، به تشریح چگونگی كار اسكنرهایی می پردازد كه می توانند در چند لحظه صدها یا هزاران سایت مشابه را اسكن كنند. او به برخی نرم افزارهای امنیتی از جمله «دیواره آتش» (فایروال) اشاره می كند كه علاوه بر جلوگیری از ورود افراد متفرقه به سایت، تعداد اسكن ها را نیز به ثبت می رسانند. گارفینگل كه برای كامپیوتر و سایت شخصی خود از این نرم افزار استفاده می كند،خاطرنشان می كند كه در روزهای اخیر از طریق این نرم افزار حدود 289 هزار اسكن ثبت شده كه به احتمال زیاد 1044 مورد آن توسط مهاجمان و هكرها صورت گرفته است. وی در قسمتی از كتاب خود یادآور می شود كه بالا بردن ضریب امنیتی سایت، به خصوص سایت هایی كه حاوی اطلاعات با ارزش و محرمانه هستند امری ضروری و اجتناب ناپذیر است. به عبارت ساده تر باید گفت كه مهاجمان و هكرها به محض این كه با یك سایت حساس و آسیب پذیر مواجه می شوند، اسب خود را زین می كنند. «آی میفرت» می گوید: «این كه به چه كسب و كار یا تجارتی مشغولید، تفاوتی نمی كند. به هر حال باید بدانید كه امكان دارد شما نیز هر لحظه به عنوان هدف اصلی مورد توجه مهاجمان قرار بگیرید. « با توجه به مواردی كه گفته شد، چگونه می توان امنیت لازم را ایجاد كرد؟ برخی از راهكارها برای دستیابی به این امر مهم به این شرح است:

1- در حد بضاعت خود از بهترین سیستم امنیتی استفاده كنید

اگر چه در این باره بسیار صحبت شده، اما شركت ها به خصوص آنهایی كه اطلاعات محرمانه و حساس دارند علاوه بر سیستم های امنیتی پایه، لازم است از سیستم های مزاحم یاب نیز استفاده كنند. این كار و انتخاب نوع نرم افزار مربوطه باید با توجه به موارد متعدد، از جمله حساسیت و آسیب پذیری سیستم شما انجام شود. هرگز از مساله نفوذ افراد سودجو به سیستم های امنیتی غافل نشوید.

2- راهبردها و سیاست های امنیتی برای شركت ایجاد كنید

ایجاد سیاست های امنیتی جزء وظایف اصلی مدیران یك شركت محسوب می شود. هرگز اجازه ندهید برخی از كارمندان اطلاعات محرمانه و مهم را از شركت خارج كنند.

3- از پرسنل كارآمد در جهت ایجاد امنیت استفاده كنید

آموزش، ابزار مورد نیاز، منابع و سایر موارد را در اختیار كاركنان و افرادی كه در قسمت های حساس كار می كنند قرار دهید. در بسیاری از مشاغل یا تجارت های كوچك، استفاده از سرویس های امنیتی آماده، بهترین گزینه است.

4- به تهدیدات شخص مهاجم توجه نكنید و تخلفات را گزارش كنید

چنانچه شما به عنوان قربانی و طعمه در نظر گرفته شده اید، ابتدا باید به توانایی ها و امكانات موجود توجه كامل داشته باشید. چنانچه با فردی برخورد كردید كه مدعی است اطلاعاتی را از سایت شما به دست آورده كه ممكن است برایتان خطرناك باشد، یا به عبارتی قصد اخاذی از شما را داشت، فكر نكنید او همه اطلاعات شما را در اختیار دارد؛ حتی ممكن است قصد شوخی با شما داشته باشد. بنابراین ممكن است به خاطر ترس از فاش شدن اطلاعات، خود به خود اطلاعات دیگری در اختیار او قرار دهید. در همین راستا سالیوان می گوید: « اگر شما نترسید و خونسردی تان را حفظ كنید، شخص مقابل هیچ كاری از دستش بر نمی آید.»

خلاصه این كه، بدون ترس از تهیدات شخص مقابل، قبل از هر چیز به نیرو اعتماد به نفس خود تكیه كنید.

5- با قانون مبارزه با جرایم كامپیوتری همگام شوید

این قانون به قضات اجازه می دهد تا با توجه به موارد گوناگون مانند قصد و نیت هكرها، نوع تخلف صورت گرفته، و یا حقوق افراد، حكم مربوط را صادر كنند. البته این قانون نیز همانند دیگر قوانین، در ابتدا دارای نقایص و نقاط ضعفی است اما با گذشت زمان و اضافه شدن تبصره های لازم بسیار مفید خواهد بود.

6- آموزش رعایت موازین اخلاقی به مردم، به خصوص جوانان

امروزه مردم به خصوص نسل جوان بیش از پیش نیازمند درك اصول و راهبردهای اخلاقی و چگونگی پایبندی به آنها هستند. در این بین نقش والدین و به خصوص معلمان در تبیین اصول و موازین اخلاقی كار با كامپیوتر و تعیین موارد خوب یا بد، بسیار حساس و با اهمیت است. سرمایه گذاری و برنامه ریزی در این زمینه و تأكید بر آن چه گفته شد، نوید بخش فردایی بهتر خواهد بود كه در آن جنایت كامپیوتری تا حد زیادی كاهش یابد.

برگرفته از توسعه ارتباط