قرباني خاموش يك هكر

[sohrab_poet]

داوطلبان آنلا‌ين براي نجات قربانيان خاموش هكرها كه در Botnetها به دام افتاده‌اند، تلا‌ش مي‌كنند. اولين تلاش‌هاي نيكولاس آلبرايت براي راه يافتن به تاريكخانه‌‌هاي اينترنتي، به نوامبر سال 2004، يعني كمي پس از درگذشت پدرش برمي‌گردد. تنها يك ماه از مرگ پدرش مي‌گذشت كه آلبرايت متوجه شد گروهي از خرابكاران اينترنتي به كامپيوتر پدرش نفوذ كرد‌ه‌اند و براي آن به عنوان بخشي از شبكه بزرگ و جهاني خود، براي كپي غيرقانوني نرم‌افزار و فيلم‌‌ها برنامه‌ريزي نمود‌ه‌اند.‌ آلبرايت با تماس با مركزي كه سرويس اينترنت را از آن‌ها مي‌گرفت و خرابكاران كنترلش را به دست گرفته بودند، شبكه آن‌ها را بر هم زد. از آن به بعد، آلبرايت خشم فروخورده خود از مرگ پدرش را صرف تشكيل گروهي به نام ShadowServer كرد كه وظيفه‌اش مبارزه با گروه‌هاي بزرگ خرابكاري به نام است كه با هك‌كردن‌ پي‌سي‌ها، كنترل آن‌ها را از راه دور به دست مي‌گيرند.


آلبرايت 27 ساله در كنار همسر و دو فرزندش كه در يك مركز سلامت و بهداشت در كلورادو به عنوان مبلغ فعاليت مي‌كنند، زندگي مي‌كند و در اوقات فراغت خود با اعضاي ShadowServer چت مي‌‌كند و به تبادل اطلاعات درباره دزدان فعال اينترنتي مي‌پردازد. هر <bot> يك كامپيوتر است كه با نصب نرم‌افزار‌هاي ويژ‌ه‌اي توسط هكر‌ها، براي انجام‌دادن عمليات مورد نظر تحت كنترل درآمده است. هكر‌ها از اين ‌botها براي طرح‌هاي آنلا‌ين خود نظير مرور و بررسي اطلاعات شخصي و مالي كاربر نيز استفاده مي‌كنند.

او اخيراً در مصاحبه‌اي گفت: <من لپ‌تاپم را هميشه با خود به همراه دارم و حتي زماني كه در منزل نيستم، به دقت بوت‌نت‌ها را زير نظر مي‌گيرم. گاهي روزانه تا شانزده ساعت از وقت خود را صرف روزآمد نگهداشتن اطلاعات خود درباره آن‌ها مي‌كنم.>

بعدازظهر يكي از يكشنبه‌هاي ماه فوريه، آلبرايت به طور مخفيانه مشغول گشت‌زني در يك كانال آنلا‌ين بود كه متوجه شد صاحب يك بوت‌نت كه كنترل 1400 كامپيوتر با سيستم عامل ويندوز را به دست گرفته در حال نصب برنامه‌ keylogger (براي ثبت ضرب كليدهاي كاربران) است. اين برنامه تمام اطلاعات تايپي قرباني خود را روي صفحات login يا ديگر فرم‌هاي ورودي داده، در جايي ثبت مي‌كرد.

آلبرايت قبلاً يك نسخه از اين نوع كرم‌هاي كامپيوتري را كه هكر‌ها از آن براي به دست گرفتن كنترل كامپيوتر استفاده مي‌كردند، تجزيه و تحليل كرده بود. اين كرم، نام كاربر و كلمه ورودي مورد نياز براي كنترل كانال آنلا‌ين را در اختيار وي قرار مي‌داد. آلبرايت با معرفي خود به عنوان يكي از بوت‌ها، نحوه كار هكر را زير نظر گرفت تا اطلاعات لازم را براي متوقف كردن كانال دزديده شده از سرويس‌دهنده اينترنتي به دست آورد.

او كامپيوتر آلود‌ه‌اي را كه اطلاعات فعاليت‌هاي اينترنتي كاربر غافل خود را گزارش مي‌داد، زير نظر گرفت و از ماهيت اين داده‌‌ها دريافت كه اين كامپيوتر متعلق به فيزيكداني در ميشيگان است.‌آلبرايت مي‌گويد: <keylogger>

يك ساعت بعد و با چند تماس تلفني، كامپيوتر آن دكتر از شبكه خارج شد و موضوع نيز به اطلاع وي رسيد. آلبرايت هم نامه الكترونيكي حاوي اطلاعات لازم درباره اين حمله اينترنتي را در اختيار ‌FBI قرار داد. هر چند هيچ اميدي نداشت كه آن‌ها به آن ترتيب اثر دهند. وي خود مي‌داند كه اين اطلاعات در صورتي مفيد واقع خواهد شد كه در اين باره تحقيقي صورت گيرد و اميدوار است حداقل اين اطلاعات در جايي بايگاني شده باشد.

تجارت غيرقانوني
شبكه bot ابزار تجارت‌هاي مجرمانه روي اينترنت هستند. آن‌ها به هكر‌ها اجازه مي‌دهند به صورت ناشناس به تجارت بپردازند، كرم ارسال كنند، به ازاي دريافت پول از شركت‌ها آگهي‌هاي ناخواسته‌اي روي كامپيوتر‌ها بفرستند و يا آن‌ها را مبدا داد و ستد‌هاي مالي و بانكي غير قانوني قرار دهند.

همچنان كه منافع ايجاد بوت‌نت بيشتر مي‌شود، به تعداد كامپيوتر‌هاي آلوده نيز اضافه مي‌شود. ديويد داگون، دانشجوي دكترا كه سال‌ها وقت خود را صرف جمع‌آوري اطلاعات درباره گسترش جهاني اين نوع شبكه‌‌ها كرده است، تخمين مي‌زند كه در سيزده‌ماه آخر منتهي به ژانويه، بيش از سيزده ميليون ‌پي‌سي در سراسر دنيا به كد‌هاي ناشناخته‌اي آلوده شد‌ه‌اند كه آن‌ها را به ‌bot تبديل نموده است.

بوت‌نت معمولاً متشكل از كامپيوتر‌هايي با سيستم‌عامل ويندوز است كه متعلق به شركت‌هاي كوچك تجاري يا افرادي هستند كه نتوانسته‌اند خود را در برابر نفوذ هكر‌ها يا ويروس‌ها ايمن نمايند. منشأ آلودگي اين كامپيوتر‌ها معمولاً نامه‌‌هاي الكترونيكيِ داراي پيوست آلوده هستند. البته ديواره‌‌هاي آتش و برنامه‌‌هاي ضد ويروس مي‌توانند سدي در برابر اين گونه خطرات باشند، اما اين خرابكاران به شدت در حال توسعه برنامه‌‌هايي هستند كه آن‌ها را از چشم اين برنامه‌هاي محافظ مخفي نگه مي‌دارد.

آندره دو مينو، مشاور يك شركت خصوصي در بخش فناوري، مي‌گويد: <shadowserver> او بعد از آن كه كار سابقش را به عنوان رئيس بخش انفورماتيك يك شركت خدماتي تجاري ر‌ها كرد، به طور اتفاقي با اين گروه آشنا شد. او مي‌گويد: <spyware>

تله گذاري براي ويروس‌ها
ديويد اندرو كه در سوپر ماركتي در ليورپول كار مي‌كند، در اوقات فراغت خود به بررسي نمونه ويروس‌هاي كامپيوتري مي‌پردازد. اندرو كه از معدود اعضاي غير امريكايي ShadowServer است، همانند اغلب ديگر اعضا، از اوايل دوران جواني به كار با كامپيوتر و برنامه‌نويسي علاقمند بوده است.

چهارماه قبل وي به دنبال تحصيل در رشته كامپيوتر در دانشكده نظامي بريتيش رفت، اما آن‌ها درخواست وي را به دليل مشكلات متعدد جسمي نپذيرفتند. اغلب اعضاي ShadowServer سابقه كار در زمينه امنيت كامپيوتري داشته‌اند و تماماً به صورت داوطلبانه به اين تيم پيوسته‌اند و اغلب، اوقات بيكاري و فراغت خود را صرف كار روي پروژه‌‌هاي گروه مي‌كنند.

ويروس‌هايي كه اندرو روي آن‌ها كار مي‌كند مورد استفاده هكرها براي آلوده كردن كامپيوتر‌ها و تبديل آن‌ها به bot مي‌باشند. ShadowServer شبكه‌‌هاي bot را با به كارگيري مجموعه‌اي از honeynetها شناسايي مي‌كند. ‌honeynetها خود را كامپيوتري معرفي مي‌كنند كه داراي اشكالات امنيتي هستند. به اين ترتيب آن‌ها مي‌توانند مخفيانه هكر‌ها را بشناسند و نمونه ويروس‌هاي مورد استفاده آن‌ها را گردآوري كنند.

اغلب بوت‌نت‌ها با وادار نمودن قربانيان جديد به دانلودكردن برنامه كنترلي هكر از يك وب سايت، خود را گسترش مي‌دهند. با ردگيري و آشكارسازي لينك‌ها، اعضاي ShadowServer مي‌توانند نقشه بوت‌نت‌ها را تشخيص دهند و اطلاعات آن را در اختيار ديگر شكارچيان دزدان اينترنتي، گروه‌هاي امنيتي داوطلب، نيروي‌هاي فدرال و يا ISP ميزبان وب سايت آلوده قرار دهند.

هر قطعه كد ‌bot پس از تجزيه و تحليل، توسط تعداد زيادي از ويروس‌ياب‌هاي مشهور مورد بررسي قرارمي‌گيرد تا مشخص شود آيا اين شركت‌هاي امنيتي به وجود چنين برنامه‌‌هاي ناخواسته و مشكوكي پي برده‌اند يا خير.ShadowServer اين كد‌هاي شناخته‌نشده را به شركت‌هاي بزرگ توليدكننده برنامه‌‌هاي ضدويروس ارجاع مي‌دهد. اندرو مي‌گويد: <براي وي بسيار جاي شگفتي دارد كه چگونه اغلب اين كدها از چشمان ويروس‌ياب‌ها دور مي‌مانند.‌ در بهترين حالت تنها يك يا دو برنامه از اين دست توسط ويروس‌ياب‌ها شكار مي‌شود، ولي صد‌ها برنامه ديگر وجود دارند كه آن‌ها قادر به شناساييشان نيستند.>

تا آنجا كه اندرو دريافته، انگيزه خرابكاران از نگارش اين كد‌ها، جز فروش آن‌ها به ديگر خرابكاران، كسب درآمد چند پني به ازاي هر نصب‌ آنلا‌ين تبليغ‌افزار است. اغلب اين ‌botmasterها برنامه‌‌هاي سخت جاني هستند كه بار‌ها فعال مي‌شوند تا درآمد بيشتري كسب كنند.

خدمت بي مزد
حتي پس از اعلان به ISP آلوده و خارج كردن كانال فرمان و كنترل از دست botmaster، اغلبbot ها همچنان آلوده مي‌مانند و مرتباً براي برقراري تماس با سرور كنترلي هكر سعي مي‌كنند؛ غافل از اين‌كه اين سرور ديگر وجود ندارد. آلبرايت مي‌گويد: <botmaster>

در اين كار، بار فشار رواني به افراد گروه تحميل مي‌شود؛ زيرا آن‌ها ساعت‌هاي متمادي از وقت خود را به صورت داوطلبانه صرف شكار دزدان و دادن اطلا‌عات آن‌ها به افراد يا مؤسساتي مي‌كنند كه كامپيوتر آن‌ها قرباني هكر‌ها شده است. اما اين زحمت آن‌ها در بيشتر مواقع پاسخي به دنبال ندارد.

ديويد تيلور، كارشناس ارشد امنيتي دانشگاه پنسيلوانيا، به خوبي از خستگي و سنگيني كار ناشي از شكار ‌botnet‌ها اطلاع دارد. وي پس از درج مطلبي در سايت واشنگتن‌پست‌ كه به گفت‌وگو با يك ‌‌botmaster به نام ‌‌‌Diabl0 اختصاص داشت، به گروه آلبرايت و ShadowServer دعوت شد. اين هكر كه به ازاي نصب هر ‌adware پولي دريافت مي‌كرده است، بعداً به اتهام اشاعه كرم ‌‌Zotob كه باعث آلودگي هزاران كامپيوتر گرديد دستگير شد.

چند ماه قبل، رديابي بوت‌نت عجيبي متشكل از كامپيوتر‌هايي با سيستم عامل ‌‌Mac OS X و لينوكس فكر تيلور را شديداً به خود مشغول كرده بود. او توانست با يك هفته كار مداوم، تقريباً تمامي ماشين‌هاي آلوده را موقعيت‌يابي كند و وضعيت را به صاحبان آن‌ها اعلام نمايد.اما يك ‌ISP تايواني كه هكرها از آن براي گسترش بوت‌نت خود استفاده مي‌كردند حاضر به پذيرش گفته‌‌هاي تيلور نشد.

از آن زمان، تيلور تصميم گرفت فعاليت خود را براي شكار دزدان كنار گذارد و به كار‌هايي بپردازد كه به انجام‌دادن آن‌ها بيشتر علاقمند است. در اين روز‌ها اوقات بيكاري او صرف كار كم استرس‌تري مي‌شود؛ يعني نقاشي.

او مي‌گويد: <اين كار تمام زندگي شخصي شما را تحت تأثير قرار مي‌دهد؛ زيرا براي موفق شدن بايد كاملاً بر كار مسلط شويد و اين، زمان زيادي مي‌برد و نه تنها آخر هفته، بلكه تمام هفته شما را پر مي‌كند. انجام‌دادن چنين كاري روحيه خاصي مي‌طلبد و... من افراد زيادي را با اين ويژگي نمي‌شناسم.>

از زماني كه رسانه‌‌هاي گروهي به پروژه ShadowServer توجه بيشتري كرد‌ه‌اند، تعداد افرادي كه به كارگيري حسگر‌هاي ‌honeynet و سهيم شدن در تلاش گروه علا‌قمند هستند رو به فزوني گذاشته است، اما آلبرايت از سوي ديگر نگران بوت‌نت‌هايي است كه در سال‌هاي آينده افزايش خواهد يافت. او مي‌گويد: <bot>

آلبرايت مي‌گويد: <اگرچه قوانين جديد فدرال به برقراري ارتباط مؤثرتر با گروه‌هايي نظير ShadowServer تشويق نموده است، متأسفانه از بدنه اجرايي لازم براي استفاده از اطلاعاتي كه اين گروه‌ها تدارك مي‌بينند برخوردار نيست. داده‌‌هاي ما به خودي خود نمي‌توانند ضمانتي ايجاد كنند. در حالي كه آن‌ها خود بايد ترافيك شبكه را زير نظر داشته باشند. در مورد نوع و زمان نظارت نيز محدوديت دارند. اين وضع هر سال بدتر مي‌شود، ما به قوانين لازم‌الاجرايي نياز داريم كه باعث عملي شدن تصميمات گردد. متأسفانه در حال حاضر اين‌گونه نيست و كار‌هايي شبيه فعاليت‌هاي ما به بازي موش و گربه مي‌ماند؛ زيرا ما از نظر قانوني حق ثبت و ضبط تجهيزات و به زندان انداختن افراد خاطي را نداريم. در حالي كه براي حل مشكل به هر دو كار نياز است.