کاربران ایرانی جیمیل، رمز عبور خود را تغییر دهند
تعداد قابلتوجهی از کاربران ایرانی جیمیل، پیامی مبنی بر تلاش مشکوک برای دسترسی به ایمیل دریافت کردهاند. گوگل به این افراد پیشنهاد داده رمز ورود خود را سریعاً تغییر دهند.
بنا به گزارشهای رسیده، این اتفاق که بعدازظهر پنجشنبه 17 شهریور 1390 روی داده، در بیشتر شرکتهای فراهمکننده خدمات اینترنتی (آی.اس.پی)ها روی داده و منحصر به کاربرانی است که از داخل ایران به اینترنت متصل میشوند.
به گزارش خبرآنلاین، در هفته اول شهریور ماه نیز شرکتهای گوگل و موزیلا (تولیدکننده مرورگر اینترنتی فایرفاکس) از تلاشهای مشکوک برای دسترسی به حسابهای کاربری کاربران ایرانی جیمیل خبر داده بودند و به این کاربران توصیه کرده بودند با نصب آخرین نسخه این مرورگرها و استفاده از آخرین بهروزرسانیهای نرمافزاری و توجه به تمام نکات امنیتی شبکه، از امکان سوء استفاده افراد مشکوک جلوگیری کنند.
یک هفته پس از انتشار خبرهای مرتبط با عملیات نفوذ به حریم خصوصی کاربران ایرانی، هکر ۲۱ ساله ایرانی بار دیگر مسئولیت این حملات را بر عهده گرفته است. او میگوید مستقل کار میکند.
به گزارش دویچهوله، در یک هفته گذشته، گمانهزنیهای بسیاری درباره جعل گواهیهای امنیتی کمپانی DigiNator برای نفوذ به حریم خصوصی دیجیتال کاربران ایرانی منتشر شد. بسیاری از کاربران در برابر این تهدید آسیبپذیر بودهاند.
آنطور که در گزارش امنیتی کمپانی Fox-IT آمده، تعداد گواهیهای به سرقت رفته از کمپانی امنیتی DigiNotar مستقر در هلند، نسبت به آنچه در ابتدا اعلام شده بود افزایش چشمگیری یافته است؛ رقمی که در ابتدا اعلام شده بود ۲۵۰ بود که در روزهای اخیر به ۵۳۱ رسیده است. رقم هراسآوری است؛ ۵۳۱ گواهی SSL جعلی که ۳۴۴ دامنه اینترنتی از جمله سرویسهای یاهو، فیسبوک، مایکروسافت، اسکایپ، AOL، موزیلا، فیلترشکن TOR و سیستم مدیریت محتوای وردپرس و سایت بالاترین را در بر گرفته است.
در این گزارش گفته شده ۳۰۰ هزار شناسه اینترنتی (IP) از ایران در دام این گواهیهای جعلی افتادهاند. قربانیهای چنین حملاتی، بهطور بالقوه حتی ممکن است بسیار بیشتر از ۳۰۰ هزار نفر باشند، چون در بسیاری از نقاط ایران، چندین کاربر از یک آیپی مشترک استفاده میکنند؛ از جمله در کمپهای دانشگاهی، کافینتها یا دیگر مکانهای عمومی.
۹۹ درصد آیپیهایی که در دام این حملات گرفتاد شدند، از ایران بودند. نکته اینجاست که همچون همه آمارهای مرتبط با وضعیت اینترنت در ایران، نمیتوان این رقم را دقیق و قطعی دانست، چون بسیاری از کاربران ایرانی از پراکسیهای گوناگون یا ویپیان برای اتصال به اینترنت استفاده میکنند و بههمینخاطر در ثبت آمار، آنها نه بهعنوان کاربر ایران، که بهعنوان کاربر کشور واسطهای شناخته میشوند که سرور پراکسی یا ویپیان در آن قرار دارد. میتوان گفت که تعداد کاربران ایرانی که بهطور بالقوه در معرض این حملات بودهاند، میتواند بسیار بیشتر از ۳۰۰ هزار نفر باشد، اما این به معنی نفوذ به اطلاعات همه آنها نیست.
نکته اینجاست که همه اینها بر مبنای ادعاهایی است که هکر ۲۱ ساله ایرانی مطرح کرده است. او حتی گفته کاربرانی که به وبسایتهای سازمانهای برجسته جاسوسی در دنیا مراجعه میکنند، از جمله CIA (آمریکا)، موساد (اسرائیل) و MI6 (انگلیس) نیز در برابر حملات «مرد در میانه» (MITM) آسیبپذیرند، در حالی که بسیاری از متخصصان امنیتی معتقدند این اسامی فقط برای جلب توجه بیشتر در پیام این هکر گنجانده شده. البته ایرانی بودن او، ادعایی است که تا امروز راهی برای تایید یا تکذیب آن وجود ندارد.
هکری که عملیات نفوذ به سرورهای دیجیناتور برای سرقت و جعل گواهیهای امنیتی را انجام داد، همان کسی است که اواسط ماه مارس، با هک کردن کمپانی امنیتی کومودو، بزرگترین مرکز صدور گواهیهای دیجیتال در جهان، جنجالی در جهان تکنولوژی به پا کرد، جنجال موسوم به Comodogate. در حمله قبلی، او ۹ گواهی امنیتی صادر کرد که میتوانست برای نفوذ به حریم خصوصی کاربران گوگل، مایکروسافت و اسکایپ استفاده شود.
آن زمان گفته میشد که این هکر انگیزههای سیاسی ندارد و صرفاً ممکن است هکری «کلاهخاکستری» باشد که در پی بهرهگیری خرابکارانه از اطلاعات خصوصی کاربران، یا در صدد کسب درآمد از طریق فروش دادهها در بازار سیاه دیجیتال است.
هکر ایرانی میگوید افشای جزئیات این عملیات میتواند حتی درس بزرگی برای هکرهای بزرگ دنیا باشد
تحلیل محتوای پیامی که او منتشر کرده، نشان میدهد که احتمال مستقل عمل کردن او بیشتر از وابستگیاش به نظام یا نهادهای فعال در سرکوب دیجیتال است. ا
هکر ۲۱ ساله کومودو، آنطور که خودش در پیامی که در وبسایت PasteBin منتشر کرده میگوید، در ایران مشغول تحصیل در دانشگاه است، خودش تکنیکهای هک را یاد گرفته و تنها کار میکند و به تیم یا گروه دیگری وابسته نیست. مصاحبه او با بخش انگلیسی دویچهوله در ماه مارس نشان میدهد احساسات ناسیونالیستی و تلاش برای بهرهگیری از تواناییهای فنی در زمینه امنیت برای کسب شهرت در سطح جهان، مهمترین انگیزههای او بوده است. اما در آینده بیشتر میتوان در اینباره گفت و آسانتر میتوان قضاوت کرد؛ آنطور که او میگوید، این قصه سر دراز دارد.
او در پیام خود میگوید: «در مصاحبههایم گفته بودم که هنوز به بسیاری از مراکز صدور گواهی دسترسی دارم. حالا میگویم که به چهار مرکز دیگر هم دسترسی پیدا کردهام و به سادگی میتوانم از آنها برای صدور گواهیهای جدید استفاده کنم.» او فقط به نام یکی از آن مراکز اشاره میکند: «گلوبالساین.»
مسئولان این کمپانی اما میگویند در بررسیهای دقیق خود با هیچ نشانهای از وقوع چنین حملهای مواجه نشدهاند و پیگیریهای جدی خود را ادامه خواهند داد تا در صورت وقوع حمله، بلافاصله واکنش لازم را نشان دهند.
این نخستین باری است که او در پیام خود، مضامین سیاسی مطرح میکند: «باید بدانید هر کاری که انجام میدهید پیامدهایی دارد؛ هر کاری که کشورهای شما در گذشته انجام دادهاند، باید هزینهاش را بپردازید.» او در پیام خود، از کشتار یا نسلکشی سربرنیتسا بهعنوان یکی از این اقدامات یاد میکند که «امروز پس از گذشت ۱۶ سال، هلند باید هزینهاش را بپردازد» چون در ماجرای سربرنیتسا «جان ۸ هزار مسلمان را با ۳۰ سرباز هلندی تاخت زده است.» حمله به دیجیناتور، در شانزدهمین سالگرد کشتار سربرنیتسا انجام شده است.
او همچنین در این پیام اعلام کرده که جزئیات فنی عملیات نفوذ خود به سرورهای دیجینوتار و گذر از ۶ لایه امنیتی آنها را در آینده نزدیک منتشر خواهد کرد. به گفته این هکر ایرانی، او در حالی به سرورها نفوذ کرده که همه پورتهای مرتبط با اتصالات راه دور بلاک شده بود و فایروالهای قدرتمندی وجود داشت و ششمین لایه امنیتی، متصل به اینترنت نبود. به همین خاطر او معتقد است «تشریح جزئیات این عملیات، میتواند درس بزرگی حتی به گروههایی نظیر انانیمس و لولزسک باشد.»
آنچه کاربران برای حفاظت از حریم خصوصی خود باید بدانند
کمپانیهای تولیدکننده مرورگرها خیلی سریع به این رویداد واکنش نشان دادند و آسیبپذیریهای موجود را برطرف کردند، اگرچه در مدت ۵۰ روزی که کسی از جریان سوءاستفاده از این گواهیها باخبر نبود، ممکن است عملیات نفوذ گستردهای بر ضد کاربران صورت گرفته باشد. اما مسأله اینجاست که تولیدکنندگان گوشیهای هوشمند واکنش لازم را نشان ندادهاند و کاربرانی که از گوشی هوشمند برای اتصال به اینترنت استفاده میکنند، باید محتاطانهتر برخورد کنند تا در دام نفوذگران گرفتار نشوند.
اپل، گوگل، مایکروسافت و RIM (تولیدکننده گوشیهای بلکبری) بهعنوان تولیدکنندههای اصلی گوشیهای هوشمند در جهان، هنوز واکنش رسمی به خبرهای پیرامون افزایش عجیب تعداد گواهیهای به سرقت رفته نشان ندادهاند، در حالی که میلیونها کاربر آیفون، آیپد و اندروید در جهان و بهخصوص کشورهایی نظیر ایران، در معرض خطر قرار دارند.
از آنجایی که کمپانیهای اپل و گوگل هنوز بسته امنیتی لازم برای رفع این آسیبپذیریها را منتشر نکردهاند، بهتر است کاربران آیفون، آیپد، آیپاد، و نیز گوشیها یا تبلتهای مبتنی بر اندروید (سیستمعامل گوگل) تا زمان انتشار این بسته امنیتی از مرورگر اپرا استفاده کنند که در برابر این تهدیدها مقاوم است. استفاده از مرورگر سافاری، در شرایط کنونی امنیت کاربران را در معرض خطر قرار میدهد.
ایرانیان، هدف اصلی این حملات بودند. اگر کاربری که در دام این حملات گرفتار شود، از سرویسهای دیگر گوگل نظیر Google Latitude هم استفاده کند، هکر میتواند مکان دقیق جغرافیایی او را هم شناسایی کند. گذشته از این، هکر میتواند با استفاده از اطلاعات ورود به جیمیل، کنترل اکانت توییتر و فیسبوک کاربر را هم در اختیار بگیرد. اما از آنجایی که احتمالاً تیم سازمانیافتهای در پس این حملات وجود ندارد و واکاوی دادههای دزدیده شده در جریان این عملیات هم دشواریهای خاصی دارد و بسیار زمانبر است، تغییر سریع پسوردها، توجه بیشتر به پیغامهای هشدار مرورگرها و استفاده از مرورگرهایامنتر نظیر گوگلکروم و فایرفاکس میتواند از میزان آسیبپذیریامنیتی کاربران ایرانی بکاهد.
ایرا ویکتور، مدیر کمپانی فارنسیکس، و از اعضای انجمن بررسی جرایم تکنولوژیک (HTCIA) میگوید ممکن است به واسطه همین گواهیهای جعلی، کاربران دیگری در دیگر نقاط دنیا هم قربانی حملات نفوذ به حریم خصوصی دیجیتال شوند، «چون دادههایی که میتوان از کاربران دزدید، صرفنظر از اینکه کاربر اهل چه کشوری باشد، مشتریهای پروپاقرصی در بازارهای سیاه دیجیتال جهان دارد.»
ممکن است فروش دادهها و تلاش برای مطرح شدن، تنها هدفهای هکر ایرانی از این حملات باشد.