هکرها، دعواهای خیابانی دنیای اینترنت را می‌برند؟

درحالی‌که نرم‌افزار نویسان تلاش می‌کنند برنامه‌های خود را در برابر تهدیدهای رایانه‌ای مقاوم‌تر کنند، اما آینده این رقابت به نفع هکرها پیش‌بینی می‌شود.

طی هفته گذشته بحث کرم کانفیکر داغ بود و مایکروسافت هم به وصله پینه کردن نقاط ضعف برنامه‌هایش در برابر این کرم رایانه‌ای مشغول بود. اما در چنین شرایطی شاید بی‌ربط نباشد اگر فرض را بر این بگذاریم که آدم بدها دارند در این مبارزه پیروز می‌شوند و کنترل رایانه‌های متصل به اینترنت را در دست می‌گیرند.

البته مسئله لزوما این نیست. بنا به گفته کارشناسان، تولیدکنندگان نرم‌افزار هر روز به ابزارهای جدیدی مجهز می‌شوند تا بتوانند از محصولات خود حفاظت کنند و فروشندگان نیز راه‌های بی‌سابقه‌ای را امتحان می‌کنند تا نه تنها بتوانند نقاط ضعف نرم‌افزارهایشان را پر کنند، که این اطمینان را در کاربران ایجاد کنند که حداقل در صف اول آسیب‌پذیری دنیای پرخطر و ناامن دیجیتال قرار نمی‌گیرند.

دن گیر، متخصص مدیریت خطر و مدیر بخش حفاظت اطلاعات شرکت این‌کیوتل (In-Q-Tel)، از شرکت‌های بزرگ فعالیت‌های اقتصادی غیرانتفاعی که در امنیت فناوری سرمایه‌گذاری کرده است، می‌گوید:‌ «به اعتقاد من این صنعت در کل پیشرفت قابل توجهی داشته است. اما فاصله بین بهترین و بدترین در حال افزایش است.»

دن کامینسکی،‌ مدیر آزمون نفوذ شرکت آی‌او‌اکتیو (IOActive) می‌گوید: «کانفیکر در سال 2009/ 1388، نسبت به آسیبی که می‌توانست در سال 2003/ 1382 وارد کند، خسارات کم‌تری به بار آورد. ویندوز قبل از این خیلی راحت‌تر نابود می‌شد.»

با این حال در کنفرانس راویست- شامیر- ادلمن، RSA، که بزرگ‌ترین کنفرانس امنیت شبکه در سراسر دنیاست، چنین عنوان شد که همه در پی جام مقدس دنیای رایانه هستند، همان نرم‌افزار فاقد آسیب‌پذیری امنیتی.

در برنامه‌های سال‌های گذشته آر.اس.ای، مایکروسافت به دلیل حفره‌های امنیتی متعدد در نرم‌افزارهایش، همیشه مورد انتقاد بود. در سال 2002 / 1381،‌ این شرکت ابتکار خود را تحت عنوان رایانه قابل اعتماد راه‌اندازی کرد،‌ با این وعده که مسئله امنیت را در راس اولویت‌های خود قرار خواهد داد. بعد از گذشت هفت سال، هنوز قرار است که این حرکت به نتیجه برسد. مایکروسافت اعلام کرده است که نسخه‌های جدید محصولاتش ‌به نسبت سابق، حفره‌های امنیتی بسیار کمتری دارند و روی هم رفته مشکلات و ضعف‌های سیستم‌عاملش برطرف شده‌اند. به نظر می‌رسد در حال حاضر برنامه‌های کاربردی اینترنتی بلای جان امنیت نرم‌افزارها شده‌اند.

به گفته مایکروسافت، سهم دستگاه‌های دارای سیستم‌عامل ویستا از آسیب‌پذیری نیمه دوم سال 2008/ 1387 تنها 5.5 درصد بوده است. این شرکت در یکی از گزارش‌های اخیر خود چنین عنوان کرده که سیستم‌های دارای ویندوز ویستا در مقایسه با سیستم‌های دارای ویندوز ایکس‌پی 60 درصد کمتر آلوده شده‌اند.

بر اساس مطالعه‌ای که اکس‌فورس آی‌بی‌ام در سال گذشته انجام داد، مایکروسافت قبلا در جایگاه اول رتبه‌بندی شرکت‌هایی قرار داشت که محصولات رایانه‌ای آسیب‌پذیر و ناامن تولید و توزیع می‌کنند؛ اما حالا با سهم 2.5 درصدی به سمت جایگاه سوم این فهرست می‌رود. لاین(lion)، هم‌اکنون رتبه اول این فهرست را به‌دلیل آسیب‌پذیری در راه‌اندازی‌اش کسب کرده و فیس‌بوک رتبه بعدی را به خود اختصاص داده است. به گفته مایکروسافت، 70 درصد محصولات این شرکت آزمون‌های امنیتی را می‌گذرانند و بعد از توزیع محصولشان هم مورد ارزیابی و بازنگری قرار می‌گیرند.

استیو لیپنر، مدیر ارشد راهبرد مهندسی امن در گروه رایانه قابل اعتماد شرکت مایکروسافت، در مورد امنیت رایانه‌ها می‌گوید: «امنیت به ذات مسئله‌ای بسیار مشکل است. برای تمام شرکت‌هایی که در این زمینه فعالیت می‌کنند، رسیدن به امنیت کامل بسیار دشوار است. آن‌چه ما به دنبالش هستیم این است که درصد آسیب‌پذیری شرکت‌های بزرگ تولید نرم‌افزار کاهش پیدا کند، یعنی سهمی که از آسیب‌پذیری کل برای آن‌ها اعلام می‌شود پایین بیاید».

ابزارهای بهتر،‌خطاهای کمتر
در واقع این شرکت از فرایند چرخه حیات ایجاد امنیت (SDL) خود برای دیگران، مذهب دروغینی ساخته است که دیگران از آن پیروی می‌کنند. سال گذشته مایکروسافت ابزار اس‌دی‌ال را رایگان در اختیار سایر شرکت‌های نرم‌افزاری گذاشت. از این طریق آن‌ها می‌توانستند نر‌م‌افزارهای خود را ارزیابی کنند و ضعف‌های امنیتی محصولات خود را تحلیل کنند.

بنا به گفته یوهانس اولریش، مدیر پژوهش‌های امنیتی شرکت امنیتی موسسه سانس (SANS)، ابزارهای کدنویسی امنیتی بهتر شده‌اند و به همین دلیل احتمال خطای تولیدکنندگان کاهش یافته است.

اما مایکروسافت در تامین کمک برای جامعه تولیدکنندگان نرم‌افزار تنها نیست. اچ‌پی (HP) نیز ابزار رایگانی ارائه داده که به پیدا کردن حفره‌های امنیتی برنامه‌های کاربردی مبتنی بر برنامه آدوبی فلش کمک می‌کند. این شرکت به‌تازگی ابزاری را معرفی کرد که از طریق آن، کسانی که در امنیت تخصصی ندارند نیز می‌توانند امنیت نرم‌افزارهایشان را آزمایش کنند. آ‌ی‌بی‌ام هم به تولیدکنندگان فلش و آژاکس(Ajax) ابزاری در این خصوص می‌فروشد. ماه گذشته نیز مرکز هماهنگیCERT در دانشگاه کارنگی ملون، ابزاری را برای آزمودن کد اکتیو‌ایکس(ActiveX) در دسترس گذاشته است.

به گفته کامینسکی، ابزاری که اخیرا مایکروسافت با عنوان تحلیل‌گر خطاهای قابل رفع در دسترس قرار داده است،‌ بازی را عوض می‌کند. این ابزار فرایند تشخیص آسیب‌پذیری‌های قابل رفع را در طول ساخت نرم‌افزار، ساده می‌کند. وی می‌گوید: «‌فکر نمی‌کنم پیش از این چنین امکانی برای سازندگان برنامه‌های ناامن وجود داشت که بتواند نقاط آسیب‌پذیر را تشخیص دهند. به همین دلیل محصولات آن‌ها می‌توانست درزهایی داشته باشد که مورد استفاده سوء استفاده‌گران قرار بگیرد.»

گری مک‌گرو، ‌مدیر بخش فناوری در شرکت مشاور امنیت نرم‌افزار سیجیتال، در مقاله‌ای آورده است که با توجه به درآمد 450 میلیون دلاری، ‌به نظر می رسد که علی‌رغم رکود،‌ بازار امنیت نرم‌افزاری به طور چشم‌گیری در حال رشد است.

چالش برای تولیدکنندگان
اخیرا مک‌گرو به فرایندهای ایجاد امنیت در شرکت‌های مایکروسافت،‌ گوگل،‌ آدوبی،‌ ولزفارگو (Wells Fargo)،The Depository Trust & Clearing Corp و چهار شرکت پیشتاز دیگر نگاهی انداخته است و کارت گزارشی از آن‌ها منتشر کرده که دیگر شرکت‌ها می‌توانند از آن به عنوان معیاری برای سنجش پیشرفت‌هایشان استفاده کنند. البته رتبه‌بندی‌های این شرکت‌ها بسیار محرمانه باقی‌مانده است.

به گفته خود مک‌گرو، ساخت امنیت در مدل رشد، مقیاسی عینی برای تولید محصولات امن است. وی می‌گوید: «‌از دید من، ‌امنیت نرم‌افزار هر روز مهم‌تر و مهم‌تر می‌شود. خبر خوب در این زمینه این است که گام‌های موفقی در ایجاد امنیت برداشته‌ایم.» اما کارشناسان معتقدند علی‌رغم وجود این ابزارهای تشخیص و سهل‌الوصول،‌ مشکل اصلی این‌جاست که تولیدکنندگان اغلب به اندازه کافی آموزش ندیده‌اند.

مطالعه دیگری که هفته پیش منتشر شد،‌ نشان می‌دهد تنها 34 درصد از شرکت‌ها از فرایند چرخه ساخت نرم‌افزاری که امنیت نرم‌افزارهای کاربردی را در خود جای داده باشد، به صورت فراگیر برخوردارند. این مطالعه هم‌چنین نشان می‌دهد که 57 درصد از شرکت‌ها فاقد برنامه‌های آموزشی منظم و سازمان‌یافته در مورد امنیت نرم‌افزارها ‌برای سازندگانشان هستند.

اولریش از مفهومی که خودش دعوای خیابانی بر سر امنیت نرم‌افزاری می‌خواند، دفاع می‌کند. به این معنی که سازندگان از تکنیک‌های پیچیده‌ای اجتناب می‌کنند که حفره‌های امنیتی، راحت‌تر در آن‌ها ایجاد می‌شوند. وی می‌گوید: «تا حدی می‌توان گفت که سازندگان نمی‌توانند این دعوای خیابانی را ببرند. آن‌ها باید در هر لحظه از کارشان درست عمل کنند، در حالی که برای یک هکر،‌ تنها یک بار درست عمل کردن کافی است.» در این بین،‌ شرکت‌ها در تلاشند با همکاری بیشتر و کمک به یکدیگر، از پس خطراتی که آشفتگی در اینترنت را به دنبال دارند، برآیند. مایکروسافت،‌ آی‌بی‌ام، اینتل، ‌سیسکو و جونیپر نت‌وورکز (Juniper Networks) نیز ائتلافی صنعتی برای پیشرفت امنیت بر روی اینترنت به راه انداخته‌اند.

کامینسکی، اولین فردی که حفره امنیتی سیستم نام دامنه (DNS) را پیدا کرد، ‌می‌گوید: «مسئله امنیت در حال حاضر فراتر از یک شرکت صرف است. این مسئله بزرگ‌تر از مایکروسافت است، ‌حتی بزرگ‌تر از دولت ایالات متحده است. این مسئله‌ای است که ما همه با هم باید روی آن کار کنیم تا بتوانیم تاثیر بزرگی داشته باشیم.»

سی‌نت،‌20 آوریل- ترجمه: بهنوش خرم‌روز