واضح آرشیو وب فارسی:راسخون:
آنچه در كمپ هكرها آموختم ترجمه: رضا نبوتي اشاره : از آنجا كه من هيچگاه به پادگان نرفتم و لباس نظامي هم نپوشيدم و با اسلحه رژه نرفتم، تا به حال هيچ اردويي را تجربه نكردهام. اما در يكي از همين روزها به يك اردوي آموزشي براي هكرها رفتم. يك روز را به طور كامل صرف فهميدن نكات كاري هكرها كردم و دست نوشتههايي را گير آوردم كه حاوي مطالب آموزشي براي به هم ريختن دنياي رايانهها بود. هدف شركت ميزبان، TechTrain، يك اردوي آموزشي اخلاقي بود و 24 نفر را به آن دعوت كرده بود. مربي من در آن دوره، آندره ويتاكر، مدير بخش امنيتي شركت بود كه ده سالي را در سيستمهاي امنيتي بانكها و آموزش نكات لازم در ايمني سيستمهاي الكترونيكي مؤسسات مالي گذرانده بود. او پيش از شروع مطالب كلاس، خلاصهاي از آنچه را كه قرار بود به من بياموزد، گفت؛ چگونه ويروس بنويسم، چگونه شبكههاي بيسيم را به هم بريزم و چگونه از دام ديوارههاي آتش بگريزم. چه شيرين!شاگردان كلاسي كه من در آن بودم، مردان ميانسالي بودند كه مديريت سيستمهاي پيشرفتهاي را بر عهده داشتند. آنها در اين دوره 4300دلاري شركت كرده بودند تا بفهمند چه نكات تازهاي از تهديدات رايانهاي مطرح شده است.غالب اين افراد براي شركتهاي سازنده رايانه، شركتهاي نرمافزاري يا براي افرادي كار ميكردند كه حفظ امنيت كامپيوترهايشان برايشان اهميت داشت. يك نفر از جدال تمام نشدني خود با همسرش درباره كار با كامپيوتر حرف ميزد و يكي ديگر براي خنداندن ديگران چيزي ميگفت.اما در اين ميان ويتاكر با نكتههايي كه درباره چگونگي فرار از تلههاي امنيتي يك شركت و مقابله با آن ميگفت، تحسين همه را برميانگيخت. خود وي نيز كه در اوقات فراغت، وقتش را صرف مقابله با هكرها ميكند، ميايستاد و از ما ميپرسيد: مطالبش جالب است يا نه؟ شايد ميخواست با اين كار هيجان آموزش را بيشتر كند!تولد تازههيجان داشته باشد يا نه، اين اردو كاملاً جدي است و افراد حاضر در آن، هدف خاصي را دنبال ميكنند: كسب مدرك <هكر اخلاقمند> كه توسط انجمن بينالمللي مشاوران تجارت الكترونيك داده ميشود. اين گروه سالهاست چنين برنامهاي را مديريت مينمايد، اما در حال حاضر بيش از هر زمان ديگر نياز به متخصصاني احساس ميشود كه بتوانند مانند هكرهاي مخرب فكر كنند. زماني شركتها براي مقابله با تهديدات امنيتي، خود هكرها را به استخدام درميآوردند. اما اين كار باعث ميشد آنها با تجربهتر شوند و به تهديد بزرگتري تبديل شوند. اينجا بود كه آنها به فكر پرورش متخصصاني در داخل سازمان خود افتادند كه به آنها <هكر كلاهسفيد> ميگفتند. اغلب تهديدات الكترونيكي بنا به اهداف مالي صورت ميگيرد. آنها تنها به نيت از كار انداختنِ شركتهاي تجاري يا آزاررساني اقدام به ويروسنويسي نميكنند. هدف آنها ديگر معروفشدن هم نيست. آنها به دنبال كسب درآمد بيشتر هستند. طبق آخرين آماري كه شركت سيمانتك منتشر كره است، حملات اينترنتي به منظور كشف اسرار محرمانه با رشدي 74 درصدي در نيمه دوم 2005، هشتاددرصد كل تهديدات را شامل شده است.واقعيت هشدار دهندهنكته ترسناك اين موضوع در آن است كه براي هك كردن ديگر لازم نيست متخصص سطح بالا يا برنامهنويس قهّاري باشيد. خود من كه آخرين برنامه كامپيوتريم را در كلاس سوم دبيرستان و آن هم به زبان بيسيك نوشته بودم، با يك ساعت حضور در اردو، توانستم به پايگاه داده بانك مجازي مايكروسافت نفوذ كنم و شماره كارتهاي اعتباري را درآورم. تنها لازم است عاشق دانستن ترفندها باشيد. براي مثال، نام كاربري پيش فرض مايكروسافت SA است و براي كلمه عبور پيش فرض ندارد. خيلي از مديران شبكه اين نام كاربري را تغيير نميدهند. از اين رو خيلي از هكرها ابتدا آن را امتحان ميكنند كه معمولاً موفق هم از آب در ميآيد.يك نكته ديگر هم اين است كه در محل ورود كلمه عبور، علامت نقل قول (") را قرار دهيد. اگر پيغام خطايي صادر شد، بدانيد آن پايگاه داده را ميتوان به روشي به نام SQL Injection هك كرد. ويتاكر پس از گفتن اين نكته دوباره با هيجان پرسيد: جالب بود؟ دوست داريد باز هم از اين نكات بدانيد؟در دسترس همهپايگاهي كه من هك كردم، يك پايگاه حقيقي نبود. براي يك كار واقعي به دستورالعملهاي بسيار بيشتري نياز است. اما ويتاكر گفت كه تعداد زيادي از پايگاههاي موجود در شبكه از همين نوع هستند؛ زيرا مديران از امنيت چيزي نميدانند و مديران امنيتي، پايگاه داده را خوب نميشناسند. حال فكر بكنيد اگر من ميتوانم روش هك كردن پايگاه دادههاي اوليه را به اين سادگي بياموزم، يك فرد ماهر چه بلايي ميتواند بر سر آنها بياورد؟با تعجب پرسيدم: آيا آنها اطمينان دارند كه هكرهاي اخلاقمندشان خطا نميكنند؟ ويتاكر پاسخ داد: هميشه افرادي وجود دارند كه از تخصصشان سوء استفاده كنند، اما آنها با تمامي توان، دانشآموختگان خود را تحت نظر دارند. آنها را با حقوق خوبي استخدام ميكنند و در ضمن ضمانتنامهاي نيز مبني بر عدم تخطي از اصول اخلاق حرفهاي نيز امضا ميكنند. در كلاسهاي سطح بالاتر، پيشينه افراد هم مورد بررسي قرار ميگيرد. با اين همه، اين روزها كسي كه بخواهد هكر شود، راه خود را پيدا ميكند؛ چه با اين كلاسها چه بدون اين كلاسها!حجم بالايي از مطالب آموزشي مربوط به اين حوزه، در اينترنت يافت ميشود. مانند بسياري از نرمافزارهاي عمومي كه افراد با نوشتن كدها و پايگاه داده آنها را به صورت رايگان در شبكه قرار ميدهند تا ديگران نيز با استفاده از آن در بسط و گسترش آن نرمافزار سهيم شوند، منابع باز بسيار زيادي را براي نگارش ويروس و تروجان ميتوان در اينترنت پيدا كرد.زيباي ترسناك!پس از شش ساعت كلاس فشرده، نوبت به كاربرد آنچه كه تدريس شد رسيد؛ هك شماره كارتهاي اعتباري از يك بانك و ايميل آن به همان بانك! من بايد ميپذيرفتم براي كسي كه سالها پيش تنها يك برنامه ساده آن هم به زبان بيسيك نوشته است، اين كار پيچيده است. از اين رو وقتي ويتاكر به سراغم آمد تا به من نشان دهد چگونه يك كامپيوتر ديگر را به تروجاني به نام Beast آلوده ميكند، اصلاً ميل و رغبتي نشان ندادم.Beast را يك دانشجو نوشته بود كه ميتوانست اعمال طرف ديگر را تحت نظر بگيرد. بنابراين تا آنجا كه توانسته بود، روي آن كار كرده بود. اين برنامه در اصل براي كنترل webcam اتاق قرباني نوشته شده بود، اما ميتوانست CD درايو، جستوجوگر اينترنت، پنجرههاي چت و هر چيز ديگري را كنترل كند. امروزه شما ميتوانيد آن را به صورت رايگان دانلود كنيد. البته اغلب برنامههاي امنيتي ميتوانند آن را كشف كنند، اما نيمي از رايانههاي ايالات متحده فاقد چنين برنامههايي هستند و در هر حال افرادي هستند كه با دريافت كمي پول، برنامههايي بنويسند كه قابل شناسايي هم نباشد.واقعيت و روِياطبق آمار سيمانتك، اغلب هكرها از دوشنبه تا جمعه از ساعت نُه صبح تا پنج بعدازظهر كار ميكنند؛ گويي شغلشان اين است! ديويد كول، مدير سيمانتك كه خود ماهها فعاليت آنلاين هكرها را زير نظر داشت ميگويد: خونسردي آنها در برابر تخلفات قانوني و ميزان تخريبي كه از نظر اقتصادي وارد ميكنند، براي ما تعجب برانگيز است. چند روز پيش از ويتاكر پرسيدم: چه احساسي نسبت به فيلم سينمايي فايروال دارد؟ در اين فيلم هريسون فورد داستان يك متخصص امنيت الكترونيك را به تصوير كشيدهاست كه دزدان وي را مجبور ميكنند براي آزادي فرزندش، اطلاعات بانكي را هك كند كه خود مسئِوليت حفاظت از آن را بر عهده دارد. او با آرامش جواب داد: <اما چيزي كه در دنياي واقعي رخ ميدهد، با دنياي فيلم تفاوت دارد.> بعد از يك روز حضور در اردوي هكرها، حرف او را درك كردم: دنياي واقعي ترسناكتر است!منبع: ماهنامه شبکه - مرداد ۱۳۸۵ شماره 67/س
این صفحه را در گوگل محبوب کنید
[ارسال شده از: راسخون]
[مشاهده در: www.rasekhoon.net]
[تعداد بازديد از اين مطلب: 312]