قربانی خاموش یک هکر

اشاره : داوطلبان آنلا‌ین برای نجات قربانیان خاموش هکرها که در Botnetها به دام افتاده‌اند، تلا‌ش می‌کنند. اولین تلاش‌های نیکولاس آلبرایت برای راه یافتن به تاریکخانه‌‌های اینترنتی، به نوامبر سال 2004، یعنی کمی پس از درگذشت پدرش برمی‌گردد. تنها یک ماه از مرگ پدرش می‌گذشت که آلبرایت متوجه شد گروهی از خرابکاران اینترنتی به کامپیوتر پدرش نفوذ کرد‌ه‌اند و برای آن به عنوان بخشی از شبکه بزرگ و جهانی خود، برای کپی غیرقانونی نرم‌افزار و فیلم‌‌ها برنامه‌ریزی نمود‌ه‌اند.‌ آلبرایت با تماس با مرکزی که سرویس اینترنت را از آن‌ها می‌گرفت و خرابکاران کنترلش را به دست گرفته بودند، شبکه آن‌ها را بر هم زد. از آن به بعد، آلبرایت خشم فروخورده خود از مرگ پدرش را صرف تشکیل گروهی به نام ShadowServer کرد که وظیفه‌اش مبارزه با گروه‌های بزرگ خرابکاری به نام است که با هک‌کردن‌ پی‌سی‌ها، کنترل آن‌ها را از راه دور به دست می‌گیرند.

آلبرایت 27 ساله در کنار همسر و دو فرزندش که در یک مرکز سلامت و بهداشت در کلورادو به عنوان مبلغ فعالیت می‌کنند، زندگی می‌کند و در اوقات فراغت خود با اعضای ShadowServer چت می‌‌کند و به تبادل اطلاعات درباره دزدان فعال اینترنتی می‌پردازد. هر <‌bot> یک کامپیوتر است که با نصب نرم‌افزار‌های ویژ‌ه‌ای توسط هکر‌ها، برای انجام‌دادن عملیات مورد نظر تحت کنترل درآمده است. هکر‌ها از این ‌botها برای طرح‌های آنلا‌ین خود نظیر مرور و بررسی اطلاعات شخصی و مالی کاربر نیز استفاده می‌کنند. او اخیراً در مصاحبه‌ای گفت: <من لپ‌تاپم را همیشه با خود به همراه دارم و حتی زمانی که در منزل نیستم، به دقت  بوت‌نت‌ها را زیر نظر می‌گیرم. گاهی روزانه تا شانزده ساعت از وقت خود را صرف روزآمد نگهداشتن اطلاعات خود درباره آن‌ها می‌کنم.> بعدازظهر یکی از یکشنبه‌های ماه فوریه، آلبرایت به طور مخفیانه مشغول گشت‌زنی در یک کانال آنلا‌ین بود که متوجه شد صاحب یک بوت‌نت که کنترل 1400 کامپیوتر با سیستم عامل ویندوز را به دست گرفته در حال نصب برنامه‌ keylogger (برای ثبت ضرب کلیدهای کاربران) است. این برنامه تمام اطلاعات تایپی قربانی خود را روی صفحات login یا دیگر فرم‌های ورودی داده، در جایی ثبت می‌کرد. آلبرایت قبلاً یک نسخه از این نوع کرم‌های کامپیوتری را که هکر‌ها از آن برای به دست گرفتن کنترل کامپیوتر استفاده می‌کردند، تجزیه و تحلیل کرده بود. این کرم، نام کاربر و کلمه ورودی مورد نیاز برای کنترل کانال آنلا‌ین را در اختیار وی قرار می‌داد. آلبرایت با معرفی خود به عنوان یکی از بوت‌ها، نحوه کار هکر را زیر نظر گرفت تا اطلاعات لازم را برای متوقف کردن کانال دزدیده شده از سرویس‌دهنده اینترنتی به دست آورد. او کامپیوتر آلود‌ه‌ای را که اطلاعات فعالیت‌های اینترنتی کاربر غافل خود را گزارش می‌داد، زیر نظر گرفت و از ماهیت این داده‌‌ها دریافت که این کامپیوتر متعلق به فیزیکدانی در میشیگان است.‌آلبرایت می‌گوید: <می‌دیدم آن سارق ‌keylogger را روی کامپیوتر اجرا می‌کند و داده‌‌ها را به سرقت می‌برد. اما این نفوذ مخالف قوانین امنیت اجتماعی است و آن فیزیکدان نیز لازم بود برای حفظ و نگهداری اطلاعاتش ترتیبات امنیتی را بیشتر به کار می‌برد. از این رولازم بود پلیس در جریان قرار گیرد و ماشین را از شبکه خارج کند.> یک ساعت بعد و با چند تماس تلفنی، کامپیوتر آن دکتر از شبکه خارج شد و موضوع نیز به اطلاع وی رسید. آلبرایت هم نامه الکترونیکی حاوی اطلاعات لازم درباره این حمله اینترنتی را در اختیار ‌FBI قرار داد. هر چند هیچ امیدی نداشت که آن‌ها به آن ترتیب اثر دهند. وی خود می‌داند که این اطلاعات در صورتی مفید واقع خواهد شد که در این باره تحقیقی صورت گیرد و امیدوار است حداقل این اطلاعات در جایی بایگانی شده باشد. تجارت غیرقانونی شبکه bot ابزار تجارت‌های مجرمانه روی اینترنت هستند. آن‌ها به هکر‌ها اجازه می‌دهند به صورت ناشناس به تجارت بپردازند، کرم ارسال کنند، به ازای دریافت پول از شرکت‌ها آگهی‌های ناخواسته‌ای روی کامپیوتر‌ها بفرستند و یا آن‌ها را مبدا داد و ستد‌های مالی و بانکی غیر قانونی قرار دهند. همچنان که منافع ایجاد بوت‌نت بیشتر می‌شود، به تعداد کامپیوتر‌های آلوده نیز اضافه می‌شود. دیوید داگون، دانشجوی دکترا که سال‌ها وقت خود را صرف جمع‌آوری اطلاعات درباره گسترش جهانی این نوع شبکه‌‌ها کرده است، تخمین می‌زند که در سیزده‌ماه آخر منتهی به ژانویه، بیش از سیزده میلیون ‌پی‌سی در سراسر دنیا به کد‌های ناشناخته‌ای آلوده شد‌ه‌اند که آن‌ها را به ‌bot تبدیل نموده است. بوت‌نت معمولاً متشکل از کامپیوتر‌هایی با سیستم‌عامل ویندوز است که متعلق به شرکت‌های کوچک تجاری یا افرادی هستند که نتوانسته‌اند خود را در برابر نفوذ هکر‌ها یا ویروس‌ها ایمن نمایند. منشأ آلودگی این کامپیوتر‌ها معمولاً نامه‌‌های الکترونیکیِ دارای پیوست آلوده هستند. البته دیواره‌‌های آتش و برنامه‌‌های ضد ویروس می‌توانند سدی در برابر این گونه خطرات باشند، اما این خرابکاران به شدت در حال توسعه برنامه‌‌هایی هستند که آن‌ها را از چشم این برنامه‌های محافظ مخفی نگه می‌دارد. آندره دو مینو، مشاور یک شرکت خصوصی در بخش فناوری، می‌گوید: <نحوه کار shadowserver برای من  جالب بود.> او بعد از آن که کار سابقش را به عنوان رئیس بخش انفورماتیک یک شرکت خدماتی تجاری ر‌ها کرد، به طور اتفاقی با این گروه آشنا شد. او می‌گوید: <بسیاری از کاربران شرکت سابقش برنامه‌‌های ضدویروس و spyware را برنامه‌‌هایی صد در صد کامل می‌دانستند که می‌تواند از آن‌ها در برابر همه چیز مراقبت کند. اما اکنون می‌بینم بسیاری از مشهورترین آن‌ها قادر نیستند فایل‌های مربوط به بوت‌نت‌ها را شناسایی نمایند.> تله گذاری برای ویروس‌ها دیوید اندرو که در سوپر مارکتی در لیورپول کار می‌کند، در اوقات فراغت خود به بررسی نمونه ویروس‌های کامپیوتری می‌پردازد. اندرو که از معدود اعضای غیر امریکایی ShadowServer است، همانند اغلب دیگر اعضا، از اوایل دوران جوانی به کار با کامپیوتر و برنامه‌نویسی علاقمند بوده است. چهارماه قبل وی به دنبال تحصیل در رشته کامپیوتر در دانشکده نظامی بریتیش رفت، اما آن‌ها درخواست وی را به دلیل مشکلات متعدد جسمی نپذیرفتند. اغلب اعضای ShadowServer سابقه کار در زمینه امنیت کامپیوتری داشته‌اند و تماماً به صورت داوطلبانه به این تیم پیوسته‌اند و اغلب، اوقات بیکاری و فراغت خود را صرف کار روی پروژه‌‌های گروه می‌کنند.   ویروس‌هایی که اندرو روی آن‌ها کار می‌کند مورد استفاده هکرها برای آلوده کردن کامپیوتر‌ها و تبدیل آن‌ها به bot  می‌باشند. ShadowServer شبکه‌‌های bot را با به کارگیری مجموعه‌ای از honeynetها شناسایی می‌کند. ‌honeynetها خود را کامپیوتری معرفی می‌کنند که دارای اشکالات امنیتی هستند. به این ترتیب آن‌ها می‌توانند مخفیانه هکر‌ها را بشناسند و نمونه ویروس‌های مورد استفاده آن‌ها را گردآوری کنند. اغلب بوت‌نت‌ها با وادار نمودن قربانیان جدید به دانلودکردن برنامه کنترلی هکر از یک وب سایت، خود را گسترش می‌دهند. با ردگیری و آشکارسازی لینک‌ها، اعضای ShadowServer می‌توانند نقشه بوت‌نت‌ها را تشخیص دهند و  اطلاعات آن را در اختیار دیگر شکارچیان دزدان اینترنتی، گروه‌های امنیتی داوطلب، نیروی‌های فدرال و یا ISP میزبان وب سایت آلوده قرار دهند. هر قطعه کد ‌bot پس از تجزیه و تحلیل، توسط تعداد زیادی از ویروس‌یاب‌های مشهور مورد بررسی قرارمی‌گیرد تا مشخص شود آیا این شرکت‌های امنیتی به وجود چنین برنامه‌‌های ناخواسته و مشکوکی پی برده‌اند یا خیر.ShadowServer این کد‌های شناخته‌نشده را به شرکت‌های بزرگ تولیدکننده برنامه‌‌های ضدویروس ارجاع می‌دهد. اندرو می‌گوید: <برای وی بسیار جای شگفتی دارد که چگونه اغلب این کدها از چشمان ویروس‌یاب‌ها دور می‌مانند.‌ در بهترین حالت تنها یک یا دو برنامه از این دست توسط ویروس‌یاب‌ها شکار می‌شود، ولی صد‌ها برنامه دیگر وجود دارند که آن‌ها قادر به شناساییشان نیستند.> تا آنجا که اندرو دریافته، انگیزه خرابکاران از نگارش این کد‌ها، جز فروش آن‌ها به دیگر خرابکاران، کسب درآمد چند پنی به ازای هر نصب‌ آنلا‌ین تبلیغ‌افزار است. اغلب این ‌botmasterها برنامه‌‌های سخت جانی هستند که بار‌ها فعال می‌شوند تا درآمد بیشتری کسب کنند. خدمت بی مزد حتی پس از اعلان به ISP آلوده و خارج کردن کانال فرمان و کنترل از دست botmaster، اغلبbot ها همچنان آلوده می‌مانند و مرتباً برای برقراری تماس با سرور کنترلی هکر سعی می‌کنند؛ غافل از این‌که این سرور دیگر وجود ندارد. آلبرایت می‌گوید: <در برخی مواقع آن ‌botmaster برای مدت چند روز یا چند هفته منتظر می‌ماند تا مجدداً ‌ ‌bot تنها مانده را ثبت‌نام نماید. از این رو احتمال بازگشت بوت‌نت‌هایی که قبلاً از بین برده‌ بودیم وجود دارد.> در این کار، بار فشار روانی به افراد گروه تحمیل می‌شود؛ زیرا آن‌ها ساعت‌های متمادی از وقت خود را به صورت داوطلبانه صرف شکار دزدان و دادن اطلا‌عات آن‌ها به افراد یا مؤسساتی می‌کنند که کامپیوتر آن‌ها قربانی هکر‌ها شده است. اما این زحمت آن‌ها در بیشتر مواقع پاسخی به دنبال ندارد. دیوید تیلور، کارشناس ارشد امنیتی دانشگاه پنسیلوانیا، به خوبی از خستگی و سنگینی کار ناشی از شکار ‌botnet‌ها اطلاع دارد. وی پس از درج مطلبی در سایت واشنگتن‌پست‌ که به گفت‌وگو با یک ‌‌botmaster به نام ‌‌‌Diabl0 اختصاص داشت، به گروه آلبرایت و ShadowServer دعوت شد. این هکر که به ازای نصب هر ‌adware پولی دریافت می‌کرده است، بعداً به اتهام اشاعه کرم ‌‌Zotob که باعث آلودگی هزاران کامپیوتر گردید دستگیر شد. چند ماه قبل، ردیابی بوت‌نت عجیبی متشکل از کامپیوتر‌هایی با سیستم عامل ‌‌Mac OS X و لینوکس فکر تیلور را شدیداً به خود مشغول کرده بود. او توانست با یک هفته کار مداوم، تقریباً تمامی ماشین‌های آلوده را موقعیت‌یابی کند و وضعیت را به صاحبان آن‌ها اعلام نماید.اما یک ‌ISP تایوانی که هکرها از آن برای گسترش بوت‌نت خود استفاده می‌کردند حاضر به پذیرش گفته‌‌های تیلور نشد. از آن زمان، تیلور تصمیم گرفت فعالیت خود را برای شکار دزدان کنار گذارد و به کار‌هایی بپردازد که به انجام‌دادن آن‌ها بیشتر علاقمند است. در این روز‌ها اوقات بیکاری او صرف کار کم استرس‌تری می‌شود؛ یعنی نقاشی. او می‌گوید: <این کار تمام زندگی شخصی شما را تحت تأثیر قرار می‌دهد؛ زیرا برای موفق شدن باید کاملاً بر کار مسلط شوید و این، زمان زیادی می‌برد و نه تنها آخر هفته، بلکه تمام هفته شما را پر می‌کند. انجام‌دادن چنین کاری روحیه خاصی می‌طلبد و... من افراد زیادی را با این ویژگی نمی‌شناسم.> از زمانی که رسانه‌‌های گروهی به پروژه ShadowServer توجه بیشتری کرد‌ه‌اند، تعداد افرادی که به کارگیری حسگر‌های ‌honeynet و سهیم شدن در تلاش گروه علا‌قمند هستند رو به فزونی گذاشته است، اما آلبرایت از سوی دیگر نگران بوت‌نت‌هایی است که در سال‌های آینده افزایش خواهد یافت. او می‌گوید: <با وجود حسگر‌هایی که در حال حاضر در حال کار داریم، هر هفته حدود بیست کد ‌bot ناشناخته پیدامی‌شود. در صورتی که تعداد حسگر‌ها بیشتر شود، مسلماً بر تعداد کد‌های ناشناخته مکشوف نیز افزوده خواهد شد.> آلبرایت می‌گوید: <اگرچه قوانین جدید فدرال به برقراری ارتباط مؤثرتر با گروه‌هایی نظیر ShadowServer تشویق نموده است، متأسفانه از بدنه اجرایی لازم برای استفاده از اطلاعاتی که این گروه‌ها تدارک می‌بینند برخوردار نیست. داده‌‌های ما به خودی خود نمی‌توانند ضمانتی ایجاد کنند. در حالی که آن‌ها خود باید ترافیک شبکه را زیر نظر داشته باشند. در مورد نوع و زمان نظارت نیز محدودیت دارند. این وضع هر سال بدتر می‌شود، ما به قوانین لازم‌الاجرایی نیاز داریم که باعث عملی شدن تصمیمات گردد. متأسفانه در حال حاضر این‌گونه نیست و کار‌هایی شبیه فعالیت‌های ما به بازی موش و گربه می‌ماند؛ زیرا ما از نظر قانونی حق ثبت و ضبط تجهیزات و به زندان انداختن افراد خاطی را نداریم. در حالی که برای حل مشکل به هر دو کار نیاز است.>‌