فکر کنید یک شرکت که اطلاعات شخصی شما را در اختیار دارد به شما میگوید اطلاعات شخصیتان دزدیده شده است. حال اگر این شرکت یاهو و اعلامکنندهی خبر، بخش مدیریت کارمندان ایالات متحده باشد وضعیت نگرانکننده میشود. در صورتی که اشتراک یاهو شما هم جزو اطلاعات به سرقت رفته باشد، یاهو برای شما ایمیلی میفرستد که برخی از اصطلاحات فنی و حقوقی در آن درج شده است. البته برای آگاهی از این اصطلاحات قانونی و فنی، نیاز نیست قانونشناس یا متخصص علوم کامپیوتر باشید.
رمزنگاری یا هش؟
شرکتی که اطلاعات شما از آنجا به سرقت رفته است، معمولا درباره اینکه چطور اطلاعات خصوصی شما را قبل از دزدیده شدن توسط هکرها نگهداری میکرده به شما اطلاعاتی میدهد.
در این اطلاعیهها تعدادی از کلمات و عبارتهای تخصصی دیده میشوند که بسیاری از مردم با این عبارتها و مفاهیمشان آشنایی ندارند. با توضیحاتی که به شما میدهیم مفهوم عبارتهای تخصصی را بیشتر متوجه خواهید شد.
Plain Text: اگر اطلاعات شما در حالت Plain Text دزدیده شود، اتفاق بدی افتاده است. به این معنا که این اطلاعات توسط هر شخصی که سواد خواندن داشته باشد قابل خواندن است! این بدترین اتفاقی است که میتواند برای اطلاعات شما رخ دهد. اگر رمز عبورتان OhMyGod باشد، دقیقا همین رمز به دست سارقان اطلاعات میافتد و کل اطلاعات شما به دست سارقان اطلاعات و دولتهای بیگانه میافتد. برای جلوگیری از این اتفاق، بسیاری از وبسایتها رمزهای عبور شما را بهصورت رمز شده و غیرقابل خواندن توسط دیگران در سیستم خود ذخیره میکنند.
Encrypted: وقتی که توسط یک ارتباط محافظتشده وارد یک وبسایت میشوید، اطلاعات نام کاربری و رمز عبور شما رمزگذاری یا درهم تنیده میشوند. در این وضعیت هیچ شخصی، حتی با شنود و بررسی ارتباطتان با وبسایت مورد نظر امکان دسترسی به رمز عبور و دیگر اطلاعاتتان را نخواهد داشت. رمزگذاری یک فرایند بازگشتپذیر است. اطلاعات شما قبل از ارسال به سرور وبسایت، رمزگذاری میشوند. اطلاعات شما پس از دریافت در وبسایت مقصد از حالت رمزگذاری شده توسط فرایند رمزگشایی خارج میشوند و برای تأیید هویتتان مورد استفاده قرار میگیرند. به کل این فرایند، رمزنگاری اطلاعات میگویند. وبسایتهایی که ابتدای آدرس آنها Https است از این فرایند استفاده میکنند.
Hashed: بعضی وقتها شرکتها اعلام میکنند که اطلاعات شما به شکل هش شده (hashed) نگهداری میشده است. فرآیند هش کردن یا درهم سازی اطلاعات، رمزهای عبور شمارا در هر تعداد کاراکتری که باشند، به یک سری کاراکتر ترکیبشده از اعداد و حروف با تعداد ثابت تبدیل میکند. هش کردن، الگوریتمهای متفاوتی دارد که مشهورترین آنها الگوریتم MD5 است.
فرایند درهم سازی اطلاعات (هش کردن) بهصورت یک فرایند برگشتپذیر طراحی نشده است. به این معنا که در حالت عادی نمیتوان از روی کاراکترهای هش شده، عبارت اصلی قبل از درهم سازی را متوجه شد. وبسایتها معمولا از روش هش کردن برای ذخیره رمزهای عبور شما بهصورت هش (درهم سازی) شده بهجای رمز عبور اصلی در حالت Plain Text استفاده میکنند. هنگامی که رمز عبور خود را برای ورود به اشتراکتان در آن وبسایت مینویسید، وبسایت مجددا گذرواژه نوشتهشده توسط شما را هش میکند و با رمز عبوری که قبلا از شما دریافت و بهصورت هش شده ذخیره کرده است، مقایسه میکند. بعد از مقایسه کاراکتر به کاراکتر هر دو عبارت، در صورت صحیح بودن رمز به شما اجازه دسترسی به اشتراک میدهد.
Salted و peppered: بهطور معمول، گذرواژهها علاوه بر هش شدن، طی یک فرایند salted و گاهی اوقات peppered میشوند. اگر بخواهیم از فاز آشپزی و انواع چیپس بیرون بیاییم، اینطور باید گفت که مفهوم salted کردن دادهها یک فرایند ریاضی است که رشتههای تصادفی و غیر قابل پیشبینی بیشتری را به گذرواژه هش شده اضافه میکند.
در فرایند peppered کردن دادهها یک سری کاراکتر متشکل از حروف، اعداد و علائم (مثل *^$) به انتهای گذرواژه هش شدهی salted شده اضافه میشود. salted و peppered کردن عبارتهای هش شده، کار را برای دزدان اطلاعات جهت حدس زدن رمز عبور شما بسیار سختتر میکند. دزدها با استفاده از ابزارهایی که عبارتهای اصلی قبل از هش شدن را بهصورت شانسی امتحان میکنند، در تلاش هستند تا رمزهای شما را پیدا کنند.
الگوریتم MD5: این الگوریتم همانگونه که اشاره کردیم یکی از راهکارهای هش کردن و درهم سازی اطلاعات است، اما جزو بهترین آنها نیست و از سال ۲۰۰۴ محققان تلاش کردند تا راهکارهایی برای شکستن این الگوریتم پیدا کنند. برای امنیت بیشتر اطلاعات در روش درهم سازی، آژانس امنیت ملی امریکا (NSA) دو الگوریتم SHA و SHA1 و همینطور الگوریتمهای سری SHA را ارائه کرد. این الگوریتمها بهمراتب امنیت بالاتری نسبت به MD5 ارائه میدهند.
سال ۲۰۱۳ که مشخصات یک میلیارد اشتراک کاربری یاهو دزدیده شد، اطلاعات اشتراکها توسط الگوریتم MD5 درهم سازی شده بود. الگوریتمهای متفاوتی از SHA-2 تا SHA256 بهتازگی توسعه داده شدهاند. وقتی که در سال ۲۰۱۴ مجددا اطلاعات کاربران یاهو دزدیده شد، این بار یاهو از یک الگوریتم درهم سازی دیگری استفاده کرد که Bcrypt نام دارد.
عبارت Bcrypt: الگوریتم Bcrypt یکی دیگر از الگوریتمهای هش کردن اطلاعات است. این الگوریتم راهکارهای متفاوتی نسبت به الگوریتمهای MD5 و خانواده SHA در پیش میگیرد. به این معنا که در برابر راههای شکستن الگوریتمهای هش و تبدیل عبارتهای هش شده به گذرواژه اصلی افراد مقاوم است. الگوریتم Bcrypt نیازی به salted و peppered کردن عبارت هش شده ندارد و بهخوبی از رمز عبور شما محافظت میکند. اما اگر شما رمز عبور خودتان را بسیار سست، آسان و قابل حدس زدن تعیین کرده باشید (عبارتهای ۱۲۳۵۴۵۶ و qwe123 را به یاد بیاورید) آنگاه حتی الگوریتم Bcrypt هم برای محافظت از اطلاعات شما کار سختی در پیش دارد و مقاومت کمتری خواهد داشت.
دزدان تحت حمایت دولتها
یاهو باور دارد که اطلاعات حدود ۵۰۰ میلیون کاربر در سال ۲۰۱۴ توسط افراد تحت حمایت دولتهای خارجی دزدیده شده است. به این معنا که یاهو عقیده دارد یک دولت بیگانه افراد باتجربهای را برای سرقت اطلاعات ارزشمند از یاهو استخدام کرده است. شرکتهای مختلف بر اساس شواهد پشت پرده و اطلاعاتی که مراجع قانونی و قضایی در اختیارشان قرار میدهند، این ارزیابیها را ارائه میکنند.
بیشتر بخوانید:کدام VPN اطلاعات کاربران را دزدید؟!
وقتی صحبت از هکرهای تحت حمایت دولتهای خارجی مطرح میشود، واقعا حمله تخصصی و کاملا پیچیدهای شکل گرفته است. اما این وضعیت به معنای این نیست که شرکت در برابر تهدیدات و خطرات هکرهایی که پشتوانه دولتی ندارند، مقاوم است؛ هکرهایی که حملات با پیچیدگی کمتری انجام میدهند و بیشتر انگیزههایی شخصی یا مالی دارند. حتی هکرهای قدرتمند تحت حمایت دولتهای خارجی هم زمانی میتوانند اطلاعات ۵۰۰ میلیون مشترک یاهو را بدزدند که امنیت و حفاظت از اطلاعات کاربران در این شرکت ضعیف و با سهل انگاری همراه باشد.
ارزش قائل شدن شرکتها برای اطلاعات حریم خصوصی شما
شرکتها در این اطلاعیهها اعلام میکنند برای حریم خصوصی و اطلاعات شخصی شما ارزش و احترام قائل هستند. بعضی وقتها دزدیده شدن یک سری از اطلاعات برای افراد متفاوت اهمیت بیشتری پیدا میکند. اما شرکتها وقتی اطلاعیهای در مورد دزدیده شدن اطلاعات شما منتشر میکنند، به اینکه این اتفاق چقدر بد است توجهی نشان نمیدهند. یک راه خوب برای اینکه بدانید این شرکت چقدر در مورد ادعای خود صداقت دارد، این است که از خودتان بپرسید این ادعا چقدر با شدت هک شدن و لو رفتن اطلاعات ارزشمند شما تناسب دارد ؟
دادههای شخصی خود را از دسترس مجرمان وب حفظ کنید
نفرانسهای امنیتی امروزه بهوفور در کشورهای گوناگون جهان برگزار میشوند. هدف از برگزاری کنفرانسها، تبادل نظر پیرامون تهدیدهای موجود و ارائهی راهکارهایی برای عبور از آنها است. از مشهورترین نمونههای کنفرانس امنیتی میتوان به Black Hat و RSA اشاره کرد. کنفرانس دیگر، بهنام Paraben Forensics and Incident Responce یا PFIC شناخته میشود که بسیاری از متخصصان امنیت بهعنوان سخنران یا برگزارکنندههای دورهی آموزشی در آن حضور دارند. مفاهیم امنیت اطلاعات و خصوصا آشنایی با دارک وب، محوریت کنفرانس مذکور را شکل میدهند.
سینتیا هترینگتون، یکی از متخصصان امنیت سایبری و خصوصا حوزهی دارک وب است که در کنفرانس امسال حضور داشت. او در مصاحبه با پیسی مگ، مفاهیمی از حفظ داده در دنیای آنلاین را شرح داد که برای جلوگیری از انتشار دادهها در دارک وب کاربرد دارند. او تاکنون پروژههای تحقیقاتی متعددی را در حوزهی جرمهای سایبری انجام داده است و با شرکتهای بزرگ حاضر در فهرست Fortune 500 همکاری دارد. بهعلاوه سازمانهای دولتی آمریکا همچون FBI و وزارت دفاع با هترینگتون همکاری دارند. شرکت امنیتی او، تاکنون ۳۰۰ هزار متخصص امنیت سازمانی را با حوزهی فعالیت جمعآوری اطلاعات از دارک وب، آموزش داده است.
متخصصان باتجربهی امنیت عموما داستانهای جالبتوجهی پیرامون پروندههای امنیتی و اطلاعاتی دارند. در همین داستانها میتوان نکاتی برای حفظ اطلاعات شخصی آموخت که در حفظ امنیت آنلاین کاربرد دارند. یکی از موارد امنیتی، دادههایی است که کاربران از خود بر جای میگذارند و سینتیا آن را «اگزوز دیجیتال» مینامد. در ادامهی این مطلب زومیت به خلاصهای از مصاحبهی سینتیا با پیسی مگ میپردازیم که به مفهوم ردپای دادهی شخصی و دارک وب میپردازد.
سینتیا تحصیلات خود را در رشتهی کتابداری انجام داده و سپس به حوزهی فناوری وارد شده است. او اولین برخورد را با دنیای فناوری و اینترنت بهقدری جذاب و آیندهدار دانست که دیگر به فعالیتهای گذشته بازنگشت. در اولین سالهای فعالیت او در دههی ۱۹۸۰، متخصصان امنیتی محدودی حضور داشتند و عموم تمرکز آنها بر پروتکل TCP/IP و چالشهای آن بود. آن سالها، شروع دوران تازهای در فناوری بود و همهی سازمانهای اطلاعاتی بهدنبال شناخت پدیدهی جدید یعنی اینترنت بودند.
شرکت هترینگتون به همین نام در سال ۱۹۹۹ تأسیس شد که امروز حجم عمدهی فعالیتهایش را در همکاری با شرکتهای Fortune 500 انجام میدهد. بررسیهای امنیتی همچون تحلیل سیستمها، پروندههای جاسوسی سازمانی و تحقیقات پیشرفته پیرامون مسائل کلاهبرداری، از وظایف شرکت هترینگتون هستند. البته همانطور که گفته شد، او در حوزهی دارک وب هم تخصص دارد.
سینتیا اعتقاد دارد، دارک وب از اولین روزهای پیدایش اینترنت وجود داشت. از نظر او، دارک وب همهی فعالیتهایی را شامل میشد که بهصورت ارتباطهای غیرقابل ردگیری، فعالیتهای مجرمانه، تروریسم و ضدتروریسم، قاچاق اتسان و موارد دیگر در سطح وب انجام میشد؛ مفهومی که پس از پرداختن به آن در تلویزیون و دیگر رسانهها، جذابیت پیدا کرد.
اطلاعات اولیه پیرامون دارک وب میگوید که گوگل آن را اسکن نمیکند و هیچ سیستم DNS برای آن وجود ندارد. گروههای امنیتی و کاربران دارک وب برای استفاده از محتوای آن، هنوز به نوشتن آدرسهای IP میپردازند و آموزش استفاده از این سیستم، یکی از مسئولیتهای هترینگتون است. در دورههای آموزشی او، شیوهی فعالیت و بررسیهای امنیتی در دارک وب آموخته میشود.
هترینگتون دورههای امنیتی را برای افراد عادی هم برگزار میکند تا دربارهی دادههای خود در فضای آنلاین دقت بیشتری داشته باشند. نسخهی اول محتوای آموزشی او در سال ۱۹۹۸ برای پلیسهای مخفی محلی نوشته شد و بعدا برای نیروهای نظامی تدوین شد که خانوادههایشان تحت فشار تروریستها قرار داشتند. بههرحال او در دورههای آموزشی به مردم گوشزد میکند که حجم عمدهای از دادههای موجود در دیتابیسهای آنلاین توسط آنها تولید میشود. بههمین دلیل آنها باید بدانند که چه، چگونه، چه زمانی و چرا باید اطلاعات شخصی را به اشتراک بگذارند.
از نظر هترینگتون و تیمش، برخی فعالیتها و وضعیتها نشاندهندهی اشتراک بیش از حد اطلاعات از سوی کاربران است؛ بهعنوان مثال، مرور مداوم شبکههای اجتماعی، استفادهی مداوم از کارتهای اعتباری، دریافت تماسها و پیامکهای بینام و اسپم، دریافت پیشنهادهای خرید متعدد با مقاصد نامشخص و موارد مشابه، نشان از اشتراک بیش از حد اطلاعات شخصی دارند.
برای جلوگیری از توزیع بیش از حد اطلاعات شخصی در فضای آنلاین و سوءاستفادهی مجرمان سایبری در دارک وب، راهکارهای متعددی وجود دارد. از میان راهکارها میتوان به خودداری از ورود اطلاعات شخصی در وبسایتهای ناشناس اشاره کرد. بهعلاوه دقت در انتخاب محتوای به اشتراکگذاشتهشده، خصوصا در شبکههای اجتماعی، اهمیت بالایی دارد که برای مقابله با سوءاستفادههای هویتی انجام میشود. بهعلاوه هتریونگتون، فضای ابری را نیز برای ذخیرهسازی اطلاعات شخصی مناسب نمیداند و درایوهای اکسترنال در محفظههای فیزیکی امن، از نظر او امنیت بیشتری برای دادهها فراهم میکنند.