سرقت اطلاعات سیستم به طور خودکار توسط ابزار روت کیت جدید
ادوارد جوزف اسنودن متولد ۲۱ ژوئن ۱۹۸۳ میلادی، افشاگر کنونی و کارمند سابق سازمان اطلاعات مرکزی آمریکا و پیمانکار سابق آژانس امنیت ملی است. اسنودن در ژوئن ۲۰۱۳ اطلاعات طبقه بندی شدهای از برنامههای فوق سری NSA از جمله برنامه شنود پریزم را به نشریات گاردین، نیویورک تایمز و واشینگتن پست لو داد. سند فوق سری که توسط اسنودن در اختیار روزنامه گاردین قرار گرفت، نشان میدهد که سازمان امنیت ملی ایالات متحده آمریکا این اختیار قانونی را داشته تا بدون نیاز به حکم قضایی، اقدام به جاسوسی از ایمیلها، مکالمات تلفنی و پیامکهای شهروندان آمریکایی کند. این قانون که در سال ۲۰۱۱ میلادی به تصویب رسیده در تضاد با اظهارات باراک اوباما رئیس جمهور آمریکا و سایر مقامهای اطلاعاتی در کنگره و سنا مبنی بر حمایت و حفاظت دولت از حریم خصوصی شهروندان این کشور است. روزنامههای گاردین انگلیس، واشنگتن پست آمریکا و ایندیپندنت بریتانیا شیوههای موسسه امنیت ملی آمریکا را برای شنود مکالمات تلفنی و الکترونیکی که اسنودن فاش کرده است، منتشر کردند.
افشاگریهای جدید اسنودن اطلاعات جدیدی را از نحوه کار ستاد ارتباطات دولت انگلیس و آژانس امنیت ملی ایالت محده آشکار کرد. در این گزارش نیز تمامی مراحل هک و دستیابی به اطلاعات سیستم تشریح داده شده است. در واقع این متد تمامی تکنیکهای به کار کرفته شده توسط آژانس امنیت ملی آمریکا را آشکار میکند. این تکنیکها شامل حملات مبتنی بر بدافزارها و روشهای دیگری است که اجزای یک سیستم را در معرض خطر قرار میدهند. به همین دلیل تحقیقات در این زمینه گسترده است. بنابراین چنین حملاتی باید توسط سیستم تشخیص حملات مدرن شناسایی شوند زیرا هر لحظه امکان دارد سیستم در معرض حمله و خطر باشد. به عنوان مثال، احتمال دارد آژانسها از سیستمهایی مانند سیستمعامل «Tails» که یکی از توزیعهای لینوکس و بر پایه دبیان است، جاسوسی کنند. Tails جزو سیستمعاملهای امنیتی لینوکس است که توسط ادوارد جوزف اسنودن توسعه داده شده و عملا برای جلوگیری از حملات و حتی هک مورد استفاده قرار میگیرد. آژانسهای امنیتی قادر به دستیابی به تمامی اطلاعات کاربران هستند حتی آن دسته از کاربرانی که سیستمی امن دارند.
کوری کالنبرگ و زنو کواه جزو محققان امنیتی هستند که در کنفرانس CanSecWest مقالهای را تحت عنوان «پیدا کردن آسیبپذیریهای بایوس» ارائه کردند. فِرموِر بایوس اولین نرمافزاری است که حین راهاندازی سیستم بارگذار میشود. بایوس در داخل یک تراشه بر روی همه مادربرد در کامپیوترهای شخصی قرار میگیرد. فرمور به برنامههای سطح پایین تقریبا ثابتی گفته میشود که در چیپهای الکتریکی ذخیره شده و معمولاً کنترل آن دستگاه را بر عهده میگیرند. هکرهایی که به این سطح از سیستم دسترسی پیدا میکنند معمولا از بدافزارهایی به نام روتکیت استفاده میکنند. روتکیت بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمیتوان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروسها یا کرمهای اینترنتی یا نوع استفاده از ﺁنها است که به ﺁنان ماهیتی خطرناک میبخشد. به عنوان یک تعریف میتوان گفت که روتکیت ابزاری نرمافزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان کرد. روتکیتها اغلب در سطح سیستمعامل فعالیت کرده و با تغییراتی که در سیستمعامل یا منابع ﺁن انجام میدهند، به مقاصد خود دست پیدا میکنند. به علت قابلیت پنهانسازی قوی اینگونه برنامهها، شناسایی ﺁنها یا برنامههایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر میتواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از روتکیتها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا مینمایند. سپس با قابلیتهای خاص خود ﺁنرا از دید کاربر مخفی میکنند و کرم مزبور به راحتی به فعالیتهای مخرب خود به دور از چشم کاربر ادامه میدهد. روتکیتها برنامههایی هستند که از نظر ساختار کاری بسیار شبیه تروجانها و دربهای پشتی هستند، ولی با این تفاوت که شناسایی روتکیت بسیار مشکلتر از دربهای پشتی است زیرا روتکیتها جایگزین برنامههای اجرایی مهم سیستم عامل شده و در گاهی مواقع جایگزین خود هسته میشوند و به هکرها این اجازه را میدهند که از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ کنند.
حال هکری که از روتکیت برای نفوذ به سیستم است، قادر خواهد بود سیستمهای شناسایی و تشخیص حملات را غیرفعال کنند. هکر برای اینکه بتواند کدهای مخرب خود را در سیستم کاربر منتشر کند ابتدا باید دسترسی مدیر سیستم یا ادمین را داشته باشد؛ از این رو هکرها از اکسپلویتهای شناخته شده سیستم از جمله اکسپلویت اینترنت اکسپلورر و برخی آسیبپذیریهای بایوس استفاده میکند. مرحلهی اول معمولا به راحتی از طریق اینترنت قابل دسترسی است ولی مرحله دوم که «post-exploitation» نام دارد بسیار مشکل بوده و معمولا نهادهای دولتی و امنیتی بزرگی مانند آژانس امنیت ملی قادر به انجام آن هستند.
حال این محققان ابزاری را توسعه دادهاند که عملیات شناسایی و بهرهبرداری از آسیبپذیریهای بایوس را به طور خودکار انجام میدهد. کالنبرگ و کواه جزئیات دقیقی از این ابزار را در کنفرانس CanSecWest که در شهر وانکوور کانادا برگزار خواهد شد، ارائه میدهند. این کنفرانس حاوی مطالب هک «Pwn2Own» را در برمیگیرد. این محققان خود بدافزاری طراحی کرده و در مقابل آن توانستند با ابزار اکسپلویت جدید خود و به کمک بدافزار چندین بار به سیستم و بخش مدیریت سیستمی یا «SMM» نفوذ کنند. SMM جزئی از کامپیوتر است که کاملا توسط فریمور کنترل شده و جدا از فرآیندهای دیگر است. این بخش قادر است تمامی رویدادها و فرآیندهای سیستم را چک کرده و کنترل کند.
کالنبرگ در مصاحبهای که با forbes داشته بخشی از این ابزار را توضیح داد و گفت:
هنگامی که پیلود در سیستم جای گرفت، کد مخرب و عامل ما در SMM به فعالیت خواهد پرداخت. نکتهای که درباره SMM مهم است این است که کاملا مستقل از سایر بخش های سیستم کار کرده و از دید سیستمعامل پنهان است. این قسمت از سیستم محافظت شده و توسط سیستمعامل قابل نوشتن و خواندن نیست. البته اگرچه سیستم عامل Tails لینوکس دسترسی خواندن و نوشتن بر روی حافظه را ندارد اما به تمامس قسمتهای حافظه دسترسی دارد.
تصویر زیر نمایی از محیط کار و دسکتاپ سیستمعامل Tails را نشان میدهد.
محققان فریمورها و عملکرد آنها را ناامن دانسته و از این رو ابزاری به نام «digital voodoo» را توسعه دادهاند. این محققان ادعا میکنند که با کمک ابزار جدید و اکسپلویتهای آنها به راحتی میتوانند امنیت سیستمعامل Tails را زیر سئوال برده و خراب کنند. همهی این کار توسط اکسپلویتی که مانند درایو در سیستم بارگذاری میشود اجرا خواهد شد، این درایو در ظاهر عاری از هرگونه بدافزار است.
وبسایت Tails در این باره گفت:
اگر کامپیوتر تنها توسط نرمافزاری که به صورت عادی در سیستم اجرا شده به خظر بیفتد،که این نرمافزار ممکن است تروجان یا ویروس باشد، استفاده از Tails در این حالت هیچ مشکلی را نخواهد داشت؛ اما اگر کسی دسترسی فیزیکی را به سیستم پیدا کرده، در این حالت استفاده از سیستمعامل Tails توصیه نمیشود.
کالنبرگ معتقد است که طبق تحقیقات خود، این بیانیه کمی گمراه کننده است. چرا که هکرها قادر هستند حتی از راه دور به دسترسی کامل سیستم دست یابند. به عقیدهی کالنبرگ سیستمعامل Tails در مقابل بدافزاری که طراحی کردهاند امن نیست و میتواند آسیبپذیر شود. وی همچنین اضافه کرد که بدافزار جدید دارای اکسپلویتهایی است که قادر هستند تمامی متودهای امنیتی بایوس را دور بزنند. کالنبرگ ادعا کرد که حتی سایر سیاستهای امنیتی این سیستمعامل نیز مقابل بدافزار جدید در امان نیستند.
کالنبرگ در این خصوص گفت:
حتی اگر هکری به سیستم از راه دور دسترسی داشته باشد سیستمعامل Tails شما را در برابر حملات این هکرها امن نگه نخواهد داشت.
تا به حال تیم Tails پاسخی را برای این ادعاها منتشر نکرده است. امروزه هکهای سطح پایین افزایش یافته است. افشاگریهای اسنودن شامل یکی از پروژههای بزرگ آژانس امنیت ملی با نام «DEITYBOUNCE» بود؛ این ابزار دارای کد مخربی بود که مستقیما در بایوس کامپیوترهای Dell اجرا میشد. طبق گزارشی در سال ۲۰۱۳ مشخص شد که گروهی به نام ANT در آژانس امنیت ملی آمریکا صرفا جهت کار در این پروژه و دستکاری در بایوس فعالیت میکردند. اخیرا کسپراسکی هم یک برنامهی جاسوسی بسیار سنگینی که در حال اجرا بود را فاش کرد. کسپراسکی گروه مسئول این عملیات را Equation نامیده است؛ این گروه از طریق برنامههای جاسوسی و بدافزار،سیستمهای دولتی، اپراتورهای مخابراتی، مراکز نظامی، مراکز هسته ای، زیرساختهای انرژی و دیگر کمپانیها را در بیش از ۳۰ کشور جهان جاسوسی میکند. شاید جالبترین بخش این گزارش به نصب ماژولهایی توسط ابزارهای Equationdrug و Grayfish است که Equation از آنها برای بازنویسی دیسکهای سخت تولیدی کمپانیهای مکستر، سیگیت، وسترن دیجیتال و سامسونگ استفاده میکرد.
کالنبرگ و کواه بر این باورند که اگرچه ابزارهایی مانند «voodoo» فقط در مراکز دولتی مانند آژانس امنیت ملی استفاده میشود اما دستیابی به آن چندان هم سخت نیست. این ابزارها در بخشهایی از سیستم مانند UEFI به فعالیت میپردازند. UEFI سرواژه عبارت Unified Extensible Firmware Interface است و یک واسط نرمافزاری بین سیستمعامل و میانافزار سختافزار است و کنترل سیستم را بعد از روشن کردن آن و قبل از شروع به کار سیستم عامل به دست میگیرد. به گفته کارشناسان، UEFI درواقع جایگزین بایوس میشود و البته بسیار مفصلتر، پیچیدهتر و پیشرفتهتر از آن و چیزی شبیه به یک سیستم عامل است و در نتیجه محیط حالت DOS بایوسهای فعلی، جای خود را به محیط گرافیکی حالت ویندوز میدهد که امکان استفاده از ماوس نیز در آن فراهم شده است؛ UEFI جداول دادهای است و شامل اطلاعات مربوط به پلتفرم سختافزاری، Service Callهای بوت و Runtimeها میشود که مورد نیاز سیستمعامل و Loader آن است و در کنار آن یک محیط کاملاً استاندارد و مدرن برای اجرای برنامههای پیش از بوت و بوت سیستمعامل فراهم میکند. پشتیبانی از منوهای گرافیکی، پشتیبانی از ماوس، پشتیبانی از برنامههای کاربردی پیش از سیستم عامل مثل بازی، مدیا پلیر، مرورگر اینترنت، پشتیبانی از شبکه و کار در محیط شبکه پیش از ورود به سیستم عامل و پشتیبانی از محیط چند زبانه برخی از مزایای ظاهری UEFI است.
کالنبرگ در مورد بدافزار جدید گفت:
در قسمتی از بایوس کدهای محافظت شدهای قرار دارد که بایوس را از خطر فلش شدن محافظت میکند. ما موفق شدیم که به آسیبپذیریهای موجود در این بخش دسترسی داشته و توسط آنها بتوانیم سیستم امنیتی بایوس را دور بزنیم.
در کنفرانس CanSecWest که به زودی برگزار خواهد شد، کواه سعی دارد نحوه پیدا کردن آسیب پذیری از بایوس توسط هکرها و استفاده از آنها را نمایش دهد. برخی از کامپیوترها به آسانی دسترسی به چیپهایی که فرآیند بایوس را کنترل میکنند را فراهم میکنند. کواه در این باره میگوید که تنها چند دقیقه زمانبر است تا بتوان سیستم بایوس را دور زد. در تصویر زیر کواه نشان میدهد که چگونه تنها با فشار دادن یک دکمه میتوان دسترسی کل سیستم را به دست گرفت.
کواه معتقد است که آسیب پذیری تحت بایوس در بسیاری از کامپیوترهای سراسر جهان قرار دارد؛ وی همچنین ادعا کرد که همه از سیستمهایی که معماری یکسان و آسیب پذیری دارد استفاده میکنند، اما هیچ کس اقدامی را در این زمینه انجام نمیدهد. اگرچه تولید کنندگان لپتاپها از جمله ایسر و ایسوس در طول زمانی مشخص بروزرسانیهایی را ارائه میکنند اما ممکن است از این نوع آسیب پذیریها مطلع نباشند. او همچنین اضافه کرد که حتی بسیاری از کاربران این بروزرسانیهای ارائه شده را نصب نکرده و سیستم خود را در برابر حملات آسیب پذیر نگه میدارند. در کنفرانس CanSecWest سال پیش هم تیم امنیتی اینتل از ابزار متنبازی به نام «CHIPSEC» رونمایی کردند که قادر بود تمامی آسیب پذیریهای موجود در سختافزارها و فریمورها را پیدا کند.
کالنبرگ و کواه امیدوار هستند که ابزار جدید خود را در کنفرانسی که به زودی برگزار میشوند، رونمایی کنند؛ این محققان انتظار دارند که توسط این ابزار بتوان بسیاری از اطلاعات سری سازمانهای مختلفی که در کامپیوترها قرار دارد را افشا کند.