گزارشی از کنفرانس Black Hat Security 2012

 ‌کنفرانس Black Hat Security  که از مهم‌ترین رویدادهای تکنیکال دنیای امنیت است، امسال از 21 تا 26 جولای در شهر لاس‌وگاس امریکا برگزار شد و همانند هر سال، بزرگان دنیای هک و امنیت در کنار شرکت‌های تجاری، جدیدترین دستاوردها و یافته‌های خود را در این کنفرانس معرفی و راهکارهای جدیدی برای مقابله با تهدیدات امنیتی روی وب و دستگاه‌های مختلف ارائه کردند. در کنفرانس امسال بیش از 50 کارگاه آموزشی و نشست برگزار شده و به گفته حاضران نزدیک به 6500 خبر یا محصول ارائه و عرضه شده است.

برای مشاهده ادامه خبر به ادامه مطلب مراجعه کنید

مهم‌ترین اتفاق روز افتتاحیه این کنفرانس، سخنرانی شاون هنری (Shawn Henry) از مدیران سابق پلیس ایالات متحده و مشاور امنیتی و صاحب شرکت تازه‌تأسیس CrowdStrike بود. هنری در سخنرانی خود بارها عنوان کرد که می‌توانیم شبکه‌هایی کاملاً امن و دفاعی در برابر هکرها بسازیم و باید بیش‌تر از این‌که درباره هکرها صحبت کنیم، درباره چگونگی مقابله با هکرها تبادل‌نظر داشته باشیم. سخنرانی افتتاحیه، با عنوان «شما نمی‌توانید چیزی را که نمی‌شناسید، امن کنید» و «شما نمی‌‌توانید دارایی‌هایتان را از تهدیدها و مواردی که نمی‌شناسید، ‌محافظت کنید» در سایت‌ها انعکاس و بازتاب زیادی داشته است.

از سخنرانی افتتاحیه که بگذریم، یکی از مهم‌ترین بخش‌های کنفرانس امنیتی کلاه‌سیاه‌های امسال، درباره ویندوز 8 مایکروسافت و نقاط آسیب‌پذیر و چگونگی هک آن بود. پژوهشگران و هکرهای مختلفی در کارگاه‌های آموزشی که توسط خود مایکروسافت برگزار می‌شد، درباره ویژگی‌های امنیتی ویندوز 8 و شکاف‌های امنیتی آن صحبت کردند. برای نمونه، پیشرفت‌هایی که ویندوز 8 در زمینه محافظت از حافظه داشته است، از بسیاری حملات جلوگیری می‌کند و می‌تواند تهدیدهای امنیتی علیه این سیستم‌عامل را به‌شدت کاهش دهد. ابزارهای کنترل از راه دور، مرورگر اینترنت‌اکسپلورر، به‌روزرسانی ادوبی و فلش، پوشش نقاط ضعف ویندوز 7، افزایش امضاهای دیجیتالی مایکروسافت در کنار رمزنگاری، XML و اخطارهای سمت کاربران، عناوین مباحثی بود که در کارگاه‌های آموزشی و ارائه‌های مربوط به ویندوز 8 مورد بحث قرار گرفتند.

اتفاق مهم دیگر، پنل حریم خصوصی و امنیت کاربران با حضور پنج کارشناس برجسته این حوزه جف ماس (Jeff Moss) بنیان‌گذار کنفرانس Black Hat و مدیر شرکت ICANN، آدام شوستک (Adam Shostack) از مایکروسافت، جنیفر گرانیک (Jennifer Granick) از دانشکده حقوق دانشگاه استنفورد، بروس اشنیر (Bruce Schneier) از شرکت BT و مارکوس رانوم (Marcus Ranum) از شرکت امنیتی Tenable بود. ماوس در این نشست گفت: «من از گوگل بیشتر از دولت‌ها می‌ترسم».
خبر مهم دیگر این‌که محققی به نام چما آلونسو (Chema Alonso) از اسپانیا توانسته یک پروکسی سرور بسازد که تمامی فایل‌های جاوااسکریپت سمت سرور و فایل‌هایی را  که کاربران مورد استفاده قرار می‌دهند، آلوده کند. کافی است به این نرم‌افزار، فهرستی از سرورها داده شود تا تمامی فایل‌های جاوا اسکریپت روی آن‌ها را آلوده کند و در نتیجه در یک لحظه چندین هزار کامپیوتر آلوده شوند. این پروکسی سرور می‌تواند از بیش از چهار هزار روش برای آلوده‌کردن فایل‌های جاوا اسکریپت استفاده کند.
شرکت اپل پس از انتشار یک White Paper در ماه می، چندین سخنران نیز راهی این کنفرانس کرده بود تا درباره معماری امنیتی سیستم‌عامل iOS صحبت کنند. دالاس دو آتلی (Dallas De Atley) مدیر بخش پلتفرم امنیتی اپل، خبرهای خوشی به حاضران در کنفرانس داد و گفت اپل از فناوری‌های Sandboxing، Reduced Privileges و رمزنگاری و امضای دیجیتالی برای کدهای بخش‌های مختلف iOS استفاده می‌کند. این حرکت اپل باعث خوشنودی کارشناسان امنیتی و هکرهای حاضر در کنفرانس شد و نشانی از همکاری این شرکت با آن‌ها برای ارتقای امنیت در محصولات اپل بود.
خبر جنجالی دیگر کنفرانس امنیتی Black Hat امسال مربوط به سخنرانی جان فور فلین (John Four Flynn)، مدیر امنیت سایت فیس‌بوک بود. وی در این کنفرانس اعلام کرد که  آزمایش و بررسی سیستم‌های IDS شرکت‌های معروف روی فیس‌بوک با شکست مواجه شده است و به بیان دیگر، این سیستم‌ها نمی‌توانند امنیت این سایت را تأمین کنند. IDS سیستم‌های کشف و شناسایی حملات هستند و می‌توانند به مدیران شبکه و سیستم خبر دهند که یک تهدید در شبکه یا سرور در حال وقوع است تا آن‌ها به سرعت وارد عمل شده و جلوی آن تهدید را بگیرند. در کنفرانس امسال نسبت به سال گذشته، ابزارهای آزمایش و نفوذ مبتنی بر مهندسی‌اجتماعی و فیشینگ به‌طور محسوسی افزایش یافته بود و بسیاری از شرکت‌ها محصولاتی ارائه دادند که به کاربران و شرکت‌ها کمک می‌کند تا حملات مبتنی بر گمراه کردن کاربر و گول زدن آن را تشخیص دهند. علت این اتفاق افزایش این نوع حملات در چند سال اخیر است.
 روهیت بلانی (Rohyt Belani) مدیرعامل و مؤسس شرکت HishMe در خلال سخنرانی خودبا بیان این‌که آموزش و آگاهی کاربر باید بخشی از راهبرد دفاع در برابر حملات فیشینگ باشد، تأکید کرد که در این زمینه نیاز به ابزار داریم. به عنوان مثال، تشخیص ایمیل‌های جعلی برای بسیاری از کاربران مشکل و شاید ناممکن است و در این شرایط ابزارهای ضدفیشینگ و مهندسی اجتماعی باید وارد عمل شوند و نگذارند که کاربران، ایمیل‌های جعلی با آدرس‌های مشکوک و نامعتبر را باز کرده و مطالعه کنند یا روی لینک‌های درون آن‌ها کلیک کنند.
 در ادامه ارائه ابزارها و محصولات شرکت‌ها باید گفت که ابزارهایی در این کنفرانس ارائه شده است که اگر فایروال‌های تحت وب WAF (سرنام Web application firewalls) دچار ضعف یا آسیب‌پذیری باشند، با بیش از 150 روش امنیتی، جلوی نفوذ خرابکاران و تهدیدات امنیتی را می‌گیرند. این خبر برای مدیران سایت‌ها بسیار خوب و امیدوارکننده بود و آن‌ها را از خرید فایروال‌های سخت‌افزاری با صرف هزینه‌های زیاد بی‌نیاز می‌کند. این ابزارها حاصل مطالعات و تحقیقات ایوان ریستیک (Ivan Ristic) مدیر شرکت امنیتی Qualys و سازنده یکی از معروف‌ترین فایروال‌های تحت وب به نام ModSecurity Web است که محبوبیت زیادی هم میان شرکت‌ها و کاربران دارد. فایروال‌های تحت وب برای محافظت و ایمن‌سازی پروتکل‌های تحت وب و مقابله با حملاتی مانند SQL Injection طراحی می‌شوند و با تحلیل درخواست‌های سمت کاربر، به سرور اجازه پاسخ‌گویی می‌دهند. اما با وجود قدرتمند بودن برخی از این فایروال‌ها، هکرها از روش‌هایی استفاده می‌کنند که کشف و شناسایی آن خارج از توان فایروال است و نمی‌توانند URLهای مسموم یا تقلبی را تشخیص دهند. ابزارهای ارائه شده توسط شرکت Qualys در این شرایط می‌توانند به فایروال‌ها کمک کنند و جلوی بسیاری دیگر از نقاط ضعف آن‌ها را بگیرند.
 حوزه موبایل و دستگاه‌های همراه نیز در کنفرانس امسال پررنگ‌تر و جنجالی‌تر بود. چون طبق گزارش‌هایی که در یکی دو سال اخیر توسط مؤسسات حوزه امنیت ارائه شده، هکرها از کامپیوترهای دسک‌تاپ به سوی دستگاه‌های همراه تغییر هدف داده‌اند و تعداد بدافزارها و نرم‌افزارهای مخرب روی سیستم‌عامل‌هایی مانند آندروئید بسیار بیشتر شده است. در این کنفرانس روش‌های اتصال کاربران به اینترنت مانند 3G، GPRS، Fi-Wi و GSM بررسی شدند و نقاط ضعف هریک و روش‌های مقابله با تهدیدات و حملات موجود، مورد ارزیابی و تبادل‌نظر کارشناسان و هکرهای حاضر در کنفرانس قرار گرفتند. در این جریان روش‌هایی مانند اسکن آدرس‌های IP دستگاه‌های همراه متصل به اینترنت یا تعبیه چیپ‌ست‌های سخت‌افزاری در تلفن‌های همراه و دیگر دستگاه‌های همراه، برای محافظت‌های سخت‌افزاری و مانیتورینگ ترافیک ورودی-خروجی سیستم ارتباطی ابزار همراه مطرح شدند که هریک مزایا و معایب خاص خود را دارند. مثلاً پژوهشگرانی از شرکت ARM گوشی‌های اسمارت‌فونی به نام Smartphone Pen Test Framework را معرفی کردند که می‌توانند حملات علیه سیستم‌عامل یا نرم‌افزارهای کاربردی نصب شده روی خود را تشخیص داده و جلوی وقوع آن‌ها را بگیرند. ARM از جمله شرکت‌های سخت‌افزاری است که به راهکارهای مبتنی بر سخت‌افزار برای ایجاد امنیت بیشتر دستگاه‌های همراه فکر می‌کند و در حال آزمایش محصولات سخت‌افزاری است.
همچنین ابزارهای مفهومی نیز از سوی برخی هکرها یا شرکت‌های امنیتی ارائه شدند که می‌توانند جلوی حملات یا بدافزارهای شناخته شده دنیای موبایل را بگیرند. به هر حال، به نظر می‌رسد ایمن‌سازی سیستم‌عامل‌های تلفن‌همراه و آموزش کاربران برای اتصال با دستگاه‌های همراه به اینترنت و آگاهی داشتن از این‌که اتصال به اینترنت به معنی در معرض خطر قرار گرفتن است، در اولویت قرار دارد.
NFC موضوع مهم بعدی Black Hat 2012 بود که درباره مزایا و معایب آن سخنرانی‌ها و کارگاه‌های آموزشی زیادی برگزار شد و البته صف مخالفان آن طولانی‌تر از موافقانش است. کارشناسان امنیتی معتقدند که شرکت‌های تجاری برای سود بیشتر و بازاریابی و تشویق مشتریان به خرید محصولات یا سرویس‌های‌شان دائم NFC را تبلیغ می‌کنند در حالی که اصلاً به فکر امنیت آن نیستند و برای امن‌سازی آن، کمترین هزینه یا راهکاری را ارائه داده‌اند. در همین کنفرانس چندین Webkit رونمایی شد که به‌راحتی می‌توانند ارتباطات NFC را اسکن کرده و اطلاعات تبادل شده از جمله شماره‌ حساب و رمزعبور را نشان دهند. هکرها به کاربران پیشنهاد می‌کنند قابلیت NFC گوشی‌ موبایل خود را فعلاً خاموش کنند تا فکری برای امنیت آن شود.