فناوري اطلاعات-
يافتن آسيب پذيري ها ارزنده است. هنوز بسياري از مردم معتقدند كه آسيب پذيري وجود ندارد مگر زمانيكه بصورت عمومي برهمگان افشا گردد . ما مي دانيم كه آسيب پذيري ها بايد افشا گردند ولي توليدكنندگان محصولات نرم افزاري چه نقشي در افشاگري عمومي آسيب پذيري هاي محصولات خود دارند .
يكي از مطالبي كه در مورد امنيت اطلاعات من خيلي دوست دارم تعداد زياد تكنولوژي هايي است كه در آن دخالت دارند. تنها با كامپيوتر هاي شخصي ? انواع بسياري از ساختار ها ? سيستمهاي عامل ? وسايل جانبي و پروتكلها را بايد ياد گرفت. هيچ گاه با كمبود منابع اطلاعاتي براي دست و پنجه نرم كردن مواجه نمي شويم و بايد سعي كنيم در فرا گرفتن اندكي از همه چيز و عميق شدن در بعضي موضوعات مشخص و مطلوب ، تعادل را حفظ نماييم كه امري بس دشوار است .
وقتي از آسيب پذيري ها صحبت به ميان مي آيد? به همراه آن طيف گسترده اي از اطلاعات منتقل مي شود. در يك ديد ابتدايي و سطحي اين اطلاعات مي تواند در مورد تكنولوژي هايي كه تحت تاثير قرار گرفته و نيز نتايج سوء استفاده از آنها باشد. در مقابل ? اگر از عميق ترين سطوح و يك ديد حرفه اي به موضوع نگاه كنيم ? بعنوان محقق شما مي توانيد آسيب پذيري ها را در جزئيات مهيب و مخرب مورد بررسي قرار دهيد ( دقيقا" تكه برنامه آسيب پذيرچقدرحساس شناخته شده و اين موضوع چگونه مي تواند مورد سوء استفاده قرار گيرد.) حتي در اين سطح ? دانستن اينكه چطور مي شود از يك تكه برنامه آسيب پذير سوءاستفاده كرد? با انجام دادن عملي اين كار تفاوت زيادي دارد.طبيعتا" در اين بين يك سطح مياني يا به نوعي نيمه حرفه اي نيز وجود دارد? بين يك ديد سطحي و ديدي كه يك محقق مي تواند داشته باشد . اين بسترمياني ( نيمه حرفه اي) گاهي ممكن است به مردم در جهت بهبود يك آسيب پذيري كمك كند? يا حتي بدون اينكه متوجه جزئيات پيچيده تكنيكي شوند? تا حدي بر موضوع مورد آسيب پذيرعميق شده كه يك سري راهكار نيز در مقابل مجموعه حملات احتمالي به آسيب پذيري ارائه كنند.
گاهي فاصله بين اين سطوح ( مبتدي – نيمه حرفه اي – حرفه اي) كم و اندك است ? مانند آسيب پذيري ساده نسبت به SQL Injection ( تزريق دستورات SQL از طريق مرورگر وب ). در اينجا شخصي با ديد كاملا سطحي نيز احتمالا" مشكل زيادي براي يافتن راهي براي سوء استفاده و exploit نخواهد داشت. از طرف ديگر آسيب پذيري هايي وجود دارند كه فاصله بين اين سطوح در آنها بسيار عميق است. سر ريز شدن پشته ديوار آتش DNS parsing kernel stack overflow شركت سيمانتك در سال 2004 مثال بسيار خوبي براي اين مورد مي باشد . سوء استفاده از اين آسيب پذيري ( Exploit ) چيزي است كه فقط ممكن است گروه بسيار معدودي از مردم در مدت زماني چشمگير و قابل توجه موفق به انجامش شوند.
براي آنكه زياد از بحث منحرف شويم ? اجازه دهيد فقط بگويم ? به نظر من آسيب پذيري ها چيزهاي كوچك و جذابي هستند. هركدام موردي يگانه و بي همتا ست و هر كدام به مجموعه اطلاعات پيش نياز خودش براي فهميدن كامل ، وابسته است .
آسيب پذيري ها از كجا مي آيند؟
با اينكه اين سئوال بسيار ساده به نظر مي رسد ولي پاسخ آن هميشه ساده نيست . در مورد اينكه آسيب پذيري ها از كجا مي آيند ( چطور پيدا مي شوند ) دو مكتب فكري وجود دارد كه در مورد هر كدام در ادامه متن صحبت خواهيم كرد.
اغلب آسيب پذيري ها توسط يك محقق امنيتي فاش مي شوند ( و يا گاهي به ندرت نيز ممكن است در ليست ايميل هاي يك وب سايت غول پيكر مربوط به مسايل امنيتي مانند Bugtraq بر ملا شود. ) يك محقق امنيتي مي تواند از كارمندهاي يك شركت ? يك محقق امنيتي تمام وقت مستقل ? ويا حتي يك بازرس امنيتي شبانه باشد كه در اوقات فراغتش نگاهي به تكه برنامه ها مي اندازد. در بعضي از موارد? فردي كه آسيب پذيري را كشف مي كند ممكن است بصورت كاملا" اتفاقي و تصادفي به آن رسيده باشد. در اكثر موارد ? تحقيق در مورد يك آسيب پذيري و كشف آن بصورت ريشه اي ? پروسه اي متمركز و بسيار فشرده است كه يك فرد متخصص بايد زمان زيادي براي آن صرف كند.
حالا به هر دليل? افشاي عمومي يك آسيب پذيري توسط شركت سازنده نرم افزار اغلب با تولد (وجود) آن آسيب پذيري همزمان مي گردد. حتي لغت مصطلح ( zero-day به معني كمتر از يك روز) توسط شركت هاي سازنده نرم افزار كه حاوي آسيب پذيري هستند? به نظر مي رسد چنين بيان مي كند كه گويا آسيب پذيري افشا نشده، در حقيقت وجود ندارد. اين باور اشتباهي است كه بسياري از مردم مرتكب مي شوند. مثل اينكه مردم تحت تاثير چنين باوري هستند كه اصلا" تا يك آسيب پذيري بصورت عمومي اعلام نشود هيچگونه خطري براي كسي ايجاد نكرده و هيچ تهديدي محسوب نمي شود. اگر يك آسيب پذيري وسط يك بيابان بي آب و علف پيدا شود و كسي چيزي در مورد آن نشنود? آنگاه مردم تصور مي كنند كه در حقيقت اين يك آسيب پذيري نيست و اصلا" ارزش آن را ندارد كه در موردش صحبت كنند .
روند اعلام رسمي و پذيرفتن يك آسيب پذيري توسط يك شركت سازنده نرم افزار (Responsible Disclosure) نيازمند آن است كه محققان امنيتي بنشينند بر روي اطلاعاتشان و دست روي دست بگذارند تا توليد کنندگان محصول نرم افزاري وصله ( Patch ) اي براي آسيب پذيري مذکور به مشتريانشان ارائه دهند . در گذشته ما حتي شاهد ستيز و دشمني بين توليد کنندگان نرم افزار و محققان امنيتي بوده ايم که دو ايده کاملا" متفاوت از يکديگر در آشکار سازي اين نواقص و آسيب پذيري هاي امنيتي داشته اند. توليد کنندگان نرم افزارها نيازمند زمان براي اصلاح کردن نرم افزارهايشان بودند که مي تواند در نوع خود امري بسيار زمان بر و پر پيچ و خم باشد . محققان امنيتي مي خواستند که اين آسيب پذيريها و ضعفها مورد بررسي قرار گرفته و بر طرف شود ، حال بگذريم که هدف اصلي آنها از فاش ساختن اين اطلاعات اين مطلب بوده با نه ؟! و با اينکه اين دو هدف يکسان به نظر مي رسد ولي اختلافات از همينجا ناشي مي شود.
در حال حاضر چنان به نظر مي رسد که بصورت کلي صنعت امنيت خواستار تاييد و بر ملا شدن نواقص و آسيب پذيريهاي امنيتي درزمان دقيق افشاي نقص و آسيب پذيري مي باشد. در حالي كه اين آسيب پذيريها و ضعفهاي امنيتي در بعضي موارد بعد از هفته ها ، ماه ها و يا حتي سالها به توليد کنندگان نرم افزار گزارش شده اند. هيچ تضمين و گارانتي اي وجود ندارد، بنابر اين من معتقدم باور اين مطلب بسيار ساده لوحانه است که کسي که يك آسيب پذيري و نقص امنيتي را گزارش مي کند ، تنها کسي بوده که ازوجود اين آسيب پذيري اطلاع داشته است . که خود اين مطلب اگر با دقت به آن بينديشيد بسيار هراسناک است.
بها و ارزش براي آسيب پذيري ها
با گذشت زمان آسيب پذيري ها کم کم تبديل به متاع با ارزشي مي شوند . اخيرا" شايعاتي پيرامون آسيب پذيري جديد WMF منتشر شد که ، پيش از آنکه اين آسيب پذيري اعلان عمومي شود و مردم در مورد آن اطلاع پيدا کنند ، به مبلغ 4000 دلار فروخته شد . ( هر چند اين مطلب در سطح شايعه باقي ماند و مورد تاييد مسوولان قرار نگرفت ) . با فرض اينکه اين مطلب صحيح باشد ، من شک دارم که اولين مورد از چنين واقعه اي باشد ، و مطمئن هستم که آخرين پيشامد نيز نخواهد بود.حتي شرکت هايي مانند iDefense و 3Com وجود دارند که حاضرند به محققين براي منتشر نساختن آسيب پذيري ها و ضعفهاي امنيتي شان پول پرداخت کنند. شما فکر مي کنيد اين مطلب چه تاثيري بر روي آسيب پذيري ها خواهد گذاشت ؟ مهم نيست که شما چه فکري در اين مورد مي کنيد، آسيب پذيري ها حکم يک پول جرينگي و قلنبه را دارند.
در حاليکه وجوه پرداختي از طرف شرکتهاي iDefense و 3Com براي موسسات و شرکتهاي بزرگ با تيمهاي امنيتي بسيار قوي چيز چشمگيري به حساب نمي آيد، اين مبالغ براي محققان امنيتي مستقل چنان قابل توجه است که تمام وقت خود را وقف اين موضوع نمايند. اين افراد مي توانند با تسلط داشتن بر يافتن ضعفهاي امنيتي و آسيب پذيري ها هزينه زندگي خود را به خوبي از اين راه تامين نمايند. اين نوع فعاليت مي تواند تبديل به يک تلاش تمام وقت براي اين افراد شود که به نظر من فوق العاده است .
وجدان و اخلاق در آسيب پذيري ها
بعضي از افراد ممکن است تصور کنند فروش آسيب پذيري ها از نظر اخلاقي پسنديده نيست و سؤال برانگيز است . آيا نبايد محققان امنيتي اين اطلاعات را از روي خير خواهي و رقت قلب منتشر نمايند ؟! شايد. اما در اين صورت آيا ما بايد از مححققان امنيتي انتظار داشته باشيم که بصورت رايگان از محصولات و نرم افزارهاي تجاري ديگران ، که با منافع مالي هنگفت فروخته شده اند ، نگهباني و پشتيباني کنند. اگر فروش آسيب پذيري ها از نظر اخلاقي صحيح نيست پس تکليف فروش و کسب درآمد از طريق نرم افزارهاي بسيار نا امن چه مي شود ؟ آيا اين مطلب اخلاقي است ؟! در حالي که توليد نرم افزارهاي کاملا" ايمن و بدون آسيب پذيري امري غير ممکن است، کاملا" طبيعي است که بعضي از شرکتها حتي تلاش نکنند که نرم افزارها و محصولاتشان از ايمني برخوردار باشند، و بنابر اين مسائل اخلاقي و وجداني براي شرکتهايي که در فکر فروش محصولاتشان هستند و به فقط به درامد نهايي فکر مي کنند هيچ نقشي را ايفا نمي کند. توليد نرم افزارهاي ايمن پر هزينه و زمان بر است و شرکتها در صورتي که اين مطلب تاثيرخاص و قابل توجهي بر درآمد و سود دهي آنها نداشته باشد ، توجه خاصي نشان نمي دهند .
شما از کداميک جانبداري مي کنيد ؟ آيا معتقديد آسيب پذيري ها تنها زماني يک تهديد جدي به حساب مي آيند که بصورت عمومي اعلام و منتشر شوند ؟ يا اينکه آسيب پذيري ها در هر صورت فارغ از اينکه بصورت عمومي انتشار پيدا کنند يا نکنند يک تهديد و خطر به حساب مي آيند ؟
چرا ما نياز به انتشار و اعلان عمومي يک آسيب پذيري از طرف توليد کننده نرم افزار داريم ؟
من شخصا" معتقدم آسيب پذيري ها خيلي پيش تر از آنکه بصورت عمومي منتشر شوند يک خطر و تهديد جدي به حساب مي آيند. اين باور که افشاي عمومي و اعلان يک آسيب پذيري مردم را به خطر انداخته و براي آنها ريسک به همراه دارد ، آن هم مدتها پس از آنکه توليد کننده محصول نرم افزاري از وجود آن آگاه شده و ماه ها و حتي شايد سالها بدون هيچگونه اطلاع رساني عمومي از اين آسيب پذيري سپري گشته ، به نظر امري جاهلانه مي آيد و تنها فريب دادن خودمان است. همچنين اين نظر تنها تلاشي است براي شکستن کاسه و کوزه ها بر سر ديگري و جز انداختن تقصير استفاده از يک نرم افزار لاعلاج اصلاح ناپذير بر گردن ديگري نيست : ديگراني غير از آنها که نرم افزار را توليد کرده اند. نتيجه و ماحصل اين است که پس از اينکه يک آسيب پذيري و ضعف کشف شده و و به توليد کننده نرم افزار گزارش مي گردد سيستمها همچنان آسيب پذير و نا امن هستند، فارغ از اينکه اين اطلاعات بطورت عمومي منتشر شود يا نه .
براي روشن شدن بهتر موضوع ، من نمي گويم ارسال يک exploit براي Bugtraq حتي پيش از آنکه به توليد کننده نرم افزار اطلاع داده شود ( و يا شايد درست پس از تماس با شرکت توليد کننده نرم افزار) مسئوليتي در پي دارد! ندارد. و نيز نمي گويم که اين مطلب مردم را به خطر نمي اندازد. اين موضوعات جاي بحث زيادي دارد و همچنين من سعي در پايين آوردن ارزش ساختن وصله هاي نرم افزاري و ساده جلوه دادن آنها براي نرم افزارهايي که بصورت گسترده و تجاري فروخته شده اند را نيز ندارم .به هر حال بايد محدوديتي در اينجا وجود داشته باشد( فروشنده اي که سر خود را در برف فرو برده و از اعلان عمومي آسيب پذيري نرم افزارش امتناع مي کند ، هيچ کمکي به کسي نکرده است).
من فکر مي کنم زمان آن فرا رسيده که شرکت هاي توليد کننده نرم افزار پيش از آنکه وصله هاي امنيتي خود را منتشر کنند ، آسيب پذيري ها و ضعف هاي امنيتي خود را بصورت عمومي اعلام کنند ، مخصوصا" زماني که تهيه چنين وصله هايي ممکن است ماه ها به طول بيانجامد ( يا در مواردي حتي بيش از يک سال ). حد اقل ضعف امنيتي و آسيب پذيري راقبول کرده و مشتريان خود را از نقص و آسيب پذيري آگاه کرده و راهکارهايي به کاربرانشان ارائه کنند تا شايد آنرا کم خطرتر کرده و اندکي از آسيب پذيري کاربرانشان بکاهند.
سر انجام من معتقدم محققان امنيتي به همه ما لطف بزرگي مي کنند. اين چيزي است که آنها بخاطرش سزاوار پاداش هستند. در حالي که پذيرفتن متعهدانه و آشکار سازي آسيب پذيري ها توسط شرکت هاي توليد کننده نرم افزار امري بسيار مهم است ، محدوديتهايي نيز براي زمان پاسخگويي آنها وجود دارد( زيرا که مردم خيلي پيش تر از اعلان عمومي آسيب پذيري در ريسک و خطر قرار دارند). در پايان محققان امنيتي کساني نيستند که آسيب پذيري ها را ايجاد نمايند ، آنها تنها کساني هستند که اين آسيب پذيري ها را کشف مي کنند.
منبع:www.securityfocus.com جان ميلر