این ماه دقیقا ۸ سال از روزی که القاعده استفاده از رمزنگاری رو برای کارهای آنلاین و رد و بدل اطلاعات شروع کرد می‌گذره. هدفشون هم امن نگاهداشتن اطلاعاتی بود که منتقل می کردند، حالا یا از طریق شبکه، اینترنت، بلوتوث و هر روش دیگه‌ای. پس از عملیاتی که منجر به کشتن بن‌لادن شد، خبرها در مورد رمزنگاریِ مورد استفاده القاعده دوباره سر زبان‌ها افتاد. کلیه اطلاعات روی کامپیوتر و لپتاپ و فلش مموری‌ها، رمز شده بود. سال ۲۰۰۹ نصیر الوحیشی، معاون بن لادن، در صحبت‌هاش به استفاده از رمزنگاری اشاره کرد. او گفته بود “ما با همه کسانی که بخواهند در جهاد به ما کمک کنند، تماس می گیریم.” و گفته بود که می تونید “با ایمیلی که به همین منظور راه اندازی شده و با استفاده از اسرار المجاهدین و ابزارهای امن دیگه، با ما تماس بگیرید.”

نسخه اول اسرار المجاهدین که با عنوان “اولین نرم افزار رمزنگاری اسلامی برای انتقال اطلاعات در اینترنت” خودش رو معرفی کرد، سال ۲۰۰۷ منتشر شده و امکان استفاده از متدهای روز رمزنگاری رو به اعضای القاعده می داد. این نرم‌افزار برای اولین بار در سال ۲۰۰۹ در سایت ویروس توتال بررسی شد. پس از آن نرم افزارها و ابزار دیگه‌ای توسط این گروه منتشر شد از جمله اسرار الدردشه که یک پلاگین برای رمزنگاری در نرم‌افزارهای پیام رسانه و سال ۲۰۱۳ منتشر شد و کمی بعد نسخه‌ای از آن در سایت ویروس توتال آپلود شد. در همین سال نسخه موبایل اسرار المجاهدین نیز منتشر شد. از سال ۲۰۱۴ شاهد نرم افزارهای رمزنگاری بیشتری برای پلتفرم های موبایل بودیم از جمله تشفیر الجوال و امن المجاهد.

در ادامه می تونید تصویری از زمان ارائه نرم افزارهای گفته شده رو ببینید.

استفاده از روشهای رمزنگاری در گروه القاعده پس از افشاگری‌های اسنودن تغییر کرد. سازمان‌های اطلاعاتی آمریکا به سازمان‌های مرتبط گوشزد کردند که شیوه‌های ارتباطی القاعده تنها چندماه پس از افشاگری اسنودن، تغییر کرده است. در ژانویه ۲۰۱۴، معاون سابق CIA و عضو گروه بررسی نظارت در NSA در یک مصاحبه اعلام کرد القاعده به سرعت در حال تطابق خود با اطلاعات افشا شده است و حدس می‌زنم که همکاران سابق من نیز در حال به‌روزرسانی خودشونند.

مجله انگلیسی زبان القاعده، Inspire، که همواره در شماره‌های خود اطلاعات رمزنگاری شده‌ای برای افراد مرتبط با خود منتشر می‌کرد، در اولین نسخه پس از افشاگری‌های اسنودن و در صفحه اول اعلام کرد که به بنا به دلایل تکنیکال و امنیتی، آدرس های ایمیل موقتا به حالت تعلیق در آمده. نیکولاس تیوزانت ۲۰ ساله که سال ۲۰۱۴ به جرم همکاری با افراطی‌های سوری و قصد بمبگذاری در آمریکا دستگیر شد، در اکانت اینستاگرام خود عکس از صفحه کامپیوترش منتشر کرده بود که نحوه استفاده از اسرار المجاهدین برای رمزگشایی پیام‌های Inspire را نشان می‌داد.

آوریل ۲۰۱۴ شاخه رسانه‌ای القاعده، السحاب، در تبلیغ یک مصاحبه با یکی از رهبران القاعده در پاکستان، گفت می‌تونید سوال‌های خودتون رو به ما ایمیل کنید. آدرس ایمیل های ارائه شده از سرویس‌های یاهو و safe-mail.net بود. Safe mail یک سرویس ایمیل امن اسراییلی است که ادعا می کنه بالاترین امنیت رو در کنار سادگی در اختیار کاربران میگذاره.

—

در این میان گروه‌های تندرو دیگه از القاعده عقب نموندند. برای مثال داعش یا همون ISIS، سایت رمزنگاری خودش رو به اسم اسرار الغربا راه‌اندازی کرد. در حال حاضر که من این پست رو می‌نویسم آدرس‌های قبلی این سایت از کار افتاده. همچنین طی یک اعلام رسمی در انجمن طرفداران القاعده، استفاده از برنامه‌هایی با اسم اسرار الغربا خطرناک اعلام شده و گفته شده تنها برنامه‎های تشفیر الجوال، پلاگین اسرار الدردشه و برنامه اسرار المجاهدین رو استفاده کنید. احتمالا کسانی با استفاده از تشابه اسمی، قصد توزیع بدافزار بین طرفداران این گروه‌ها داشتند.

در این اعلان، از مجاهدین خواسته شده که از طریق وبسایت gimfmedia (جبهه رسانه اسلامی جهانی) آخرین برنامه ها رو بگیرند و جالب اینکه این سایت از سرتیفیکیتی استفاده می‌کنه که خودشون صادر کرده‌اند. همچنین این سرتیفیکیت از TLS نسخه ۱.۲ پشتیبانی نمی‌کنه و باگ پودل داره. نسخه وردپرس استفاده شده در این سایت نیز در زمان نگارش این پست ۳.۵ بود درحالیکه آخرین نسخه ارائه شده وردپرس همکنون ۴.۱ است.

گراف زیر نشون دهنده نمایی کلی از موارد گفته شده است. می بینید که حدود ۴ یا ۵ ماه پس از افشاگری‌های اسنودن، القاعده و داعش نسخه‎های جدیدی از نرم‌افزارها و پلاگین‌های رمزنگاری خودشون رو منتشر کردند.

آنالیز

در بررسی نرم‌افزارها و پلاگین‌های رمزنگاری گفته شده، سه سوال مطرح می‌شه.

1. در نرم‌افزارهای منتشر شده القاعده متدهای خودساخته رمزنگاری استفاده شده و یا از الگوریتم‌های در دسترس و عمومی استفاده کرده‌اند؟
2. شایعه شده که این نرم‌افزارها دارای بدافزارند، حالا یا از طرف القاعده و یا دولت‌هایی مثل آمریکا. آیا این مساله تایید شده؟
3. آیا این نرم‌افزارها به صورت گسترده استفاده می‌شن؟ یک مورد که این سوال رو به سوال بالا مربوط می‌کنه اینه که بررسی کنیم آیا این نرم‌افزارها روی سرویس‌های بررسی بدافزار مثل ویروس توتال چک شده اند یا نه.

آنالیز کد این نرم افزارها و مهندسی معکوسشون رو در جدول زیر به صورت خلاصه می تونید ببینید.

در جدول زیر تاریخ اولین تست هر فایل در سرویس ویروس توتال رو می بینید.

استفاده از متدهای خونگی و یا عمومی

در این بخش بررسی می کنیم که این نرم‌افزارها از متدهای رمزنگاری خونگی استفاده می‌کنند یا متدهای عمومی. بنا بر نظر بروس اشنیر (Bruce Schneier)، متدهای خودساخته ریسک‌های بیشتری دارند.

تشریف الجوال

تشریف الجوال یه اپلیکیشن رمزنگاری موبایله که توسط شاخه رسانه‌ای القاعده تنها ۳ ماه پس از افشاگری‌های اسنودن منتشر شد. طبق اعلام GIMF (جبهه رسانه اسلامی جهانی)، این اپلیکیشن از متد Twofish استفاده می‌کنه. این متد توسط بروس اشنیر و همکارانش توسعه داده شده است. استفاده از این متد به جای متدهایی که احتمالا تحت تاثیر دولت آمریکا هستند، کاری است که اپلیکیشن مطرح Silent Circle نیز انجام داده است.

در مهندسی معکوس این اپلیکیشن، ۳ نکته جالب دیده شد:

1. این اپلیکیشین با بسته کاملی از متدهای رمزنگاری منتشر شده، شامل Twofish (که در بالا اشاره شد) و AES, Blowfish, DES, DESede, GOST28147, IDEA, ISAAC, Noekeon, RC2, RC4, RC532, RC564, RC6, Rijndael, SKIPJACK, Serpent, TEA, Twofish, CCM, EAX, GCM
   
2. تکیه زیادی بر BouncyCastles و CryptoSMS وجود دارد.
   
3. احتمالا به عنوان راهی برای قانونی به نظر رسیدن، از هدرهای صریحی در پیام‌های رمزنگاری شده استفاده می‌کنند (سازگار با اسرار المجاهدین).
   

امن المجاهد، نسخه همراه

به گفته سازندگان این برنامه “امن المجاهد از رمزنگاری قوی استفاده کرده و با پیروی از تکنولوژی‌های پیشرفته موجود، کمک خوبی به برادران است.”

همچون تشریف الجوال، سازندگان این برنامه نیز تاکید بر استفاده از پیشرفت‌های تکنولوژی دارند نه اختراع متدهای خودشون. طبق مستندات امن المجاهد (نسخه دسکتاپ) از متدهای رمزنگاری Twofish و AES استفاده شده است:

“الگوریتم رمزنگاری را که در پایین صفحه نرم‌افزار واقع شده، انتخاب کنید (Twofish یا AES).”

و در راهنمای امن المجاهد نسخه همراه، یک سرنخ برای نوع رمزنگاری در تصویر زیر قابل مشاهد است. اشاره به کلید RSA و نه روشی خودساخته. همچنین به همخوانی کلیدها و عملکرد در نسخه همراه و دسکتاپ اشاره شده است.

“ویژگی‌های امن المجاهد نسخه همراه با نمونه‌های معادل نسخه دستکاپ، همخوانی دارد. از این رو کاربر می‌تواند کلیدهای ساخته شده در امن المجاهد نسخه دستکاپ را کپی کرده و به امن المجاهد نسخه گوشی همراه اضافه کند و یا برعکس.”

اسرار الغربا

محصول داعشه که با بیانه‌ای در خصوص الگوریتم‌های خصوصی ارائه شد اما از آنجایی که به نظر می‌رسه این محصول دیگه در دسترس نیست، نمی‌شه در مورد الگوریتم‌های استفاده شده به جمع‌بندی مطمئنی رسید.

ارزیابی

در مجموع بر اساس ادعاهای خود سازندگان و مهندسی معکوس انجام شده، به نظر نمی‌رسه که این محصولات از الگوریتم‌های خودساخته استفاده کرده باشند. مسلما در ارزیابی موارد دیگه‌ای هم باید در نظر گرفت. یک برنامه ممکنه که از کتابخانه‌ها و الگوریتم‌های بررسی شده، امن و استاندارد استفاده کنه اما توی نگهداری و کنترل کلیدها و انتقال اطلاعات دچار مشکل باشه.

آلودگی به بدافزار

یکی از سوال‌های مهم اینه که آیا این نرم‌افزارها به بدافزار و در پشتی آلوده‌اند یا نه. شایعه‌های زیادی در این مورد هم بین کارشناس‌های امنیتی و هم بین خود اعضای القاعده وجود داره. این بدافزارهای احتمالی می‌تونه توسط دولت‌ها و یا هر سازمان دیگه‌ای جاسازی شده باشه.

برای بررسی، اسرار المجاهدین رو انتخاب می‌کنیم که زمان زیادی از توسعه و استفاده ازش می‌گذره. در تصویر زیر تاریخچه‌ای از این نرم‌افزار رو می بینید. از زمان انتشار تا اعلام خطر در مجله Inspire و استفاده مجدد، انتشار اسرار الدردشه، تاریخ‌های بررسی این نرم‌افزار در ویروس توتال و نهایتا استفاده مورتن استورم از اسرار المجاهدین برای پیدا کردن انوار الاولاکی، یکی از رهبران القاعده.

با مقایسه RSS سایت GIMF (جبهه رسانه اسلامی جهانی) می‌بینیم که دقایقی پس از انتشار اسرار الدردشه، نسخه جدید اسرار المجاهدین نیز منتشر شده که می‌تونه نشونه‌ای باشه از اشتراک منابع، متدها و حتی کدهای این دو.

یکی از نکات جالب، تاریخچه ارسال فایل Asrar_2.exe به ویروس توتال در فاصله سال‌های ۲۰۱۲ تا ۲۰۱۴ است. در نمودار زیر می‌بینید که چگونه شناسایی این فایل به عنوان بدافزار از سال ۲۰۱۳ به بعد کاهش داشته.

شناسایی این فایل به عنوان بدافزار از سال ۲۰۱۲ افزایش داشته و در سال ۲۰۱۳ به اوج رسیده که در این زمان ۵۰ درصد آنتی‌ویروس ها اون رو بدافزار می‌دونستن. اما از اون زمان به تدریج از لیست بدافزارها خارج شده تا الان که فقط ۷ آنتی‌ویروس هنوز اون رو بدافزار می‌دونن.

مسلما اسرار المجاهدین به مفهوم سنتی یک بدافزار نیست. با اینحال در دوره‌ای توسط بخش گسترده‌ای از آنتی‌ویروس‌های آمریکایی، چینی و روسی و برخی شرکت‌های کوچک به عنوان بدافزار شناخته شد. دلایل مختلفی می‌شه براش برشمرد.

• افزایش ناگهانی استفاده از این نرم‌افزار که منجر شد دفعات زیادی این نرم‌افزار برای بررسی به آنتی‌ویروس‌ها ارسال بشه و با توجه به اینکه فایل جدید و ناشناخته‌ای بود، زنگ خطر رو به صدا درآورد. پس از مدتی آنتی‌ویروس‌ها فهمیدن که بدافزار نیست و از لیست سیاه حذفش کردند. توضیحات استفاده از اسرار المجاهدین برای اولین بار سال ۲۰۱۰ در مجله Inspire منتشر شد.
  
• سازمانی از چند آنتی‌ویروس خواسته تا اسرارالمجاهدین رو به عنوان بدافزار شناسایی کنند تا اعضای القاعده علاقه چندانی به استفاده از اون نداشته باشند. ممکنه که حتی یک آنتی‌ویروس این کار رو کرده باشه چرا که معمولا آنتی‌ویروس‌ها نتایج بررسی همدیگه رو کپی می‌کنن. تئوری توطئه خوبی به نظر می‌رسه اما بعیده که یک دولت برای یک مدت کوتاه این همه شرکت از آمریکا، چین و روسیه رو راضی به این کار کرده باشه.
• یک فرد سعی کرده که روی نظر آنتی‌ویروس‌ها تاثیر بذاره و یک موفقیت موقت داشته. تصویر زیر نمونه‌ای از کامنت‌ها در سایت ویروس توتاله.
  
• از اونجا که آنتی‌ویروس‌ها به صورت گله‌ای عمل می‌کنن، یک تشخیص شانسی از یک آنتی‌ویروس می‌ونه منجر به یک موج بشه و تا زمانی که فایل واقعا بررسی و اعلام نظر بشه، باقی بمونه.
• ممکنه که واقعا یک بدافزار در اسرار المجاهدین وجود داشته باشه یا قبلا بوده و باعث این اخطار شده باشه.

از دیگر دلایل احتمالی می‌تونم به استفاده از دلفی برای نوشتن برنامه، اشاره کنم. دلفی زبان برنامه‌‌نویسی مورد علاقه هکرها بود. مدت‌هاست که دیگه استفاده چندانی از دلفی نمی‌شه و دیدن کتابخونه‌های دلفی در یک نرم‌افزار شک برانگیزه. بر اساس بررسی‌های که انجام دادم، به احتمال بسیار زیاد، این برنامه در محیط سیستم عامل ویندوز نوشته شده.

پست بعد به دلایل استفاده از رمزنگاریهای شخصی به جای اپلیکیشن‌ها و نرم‌افزارهای موجود می‌پردازم. همچنین جمع‌بندی و نتیجه‌گیری رو در پست بعد میارم.

منابع:

https://www.recordedfuture.com/al-qaeda-encryption-technology-part-2/

https://www.recordedfuture.com/al-qaeda-encryption-technology-part-1/

http://www.memri.org/report/en/0/0/0/0/0/0/7950.htm

ماه گذشته مایکروسافت نسخه آزمایشی ویندوز ۱۰ رو ارائه کرد. اشتیاق زیادی رو در دوستداران ویندوز دیدم برای استفاده از این نسخه و تعداد دانلودهای ویندوز ۱۰ در تارنت نیز این مساله رو تایید می‌کنه. سوال اینجاست که چند درصد از دانلود کننده های ویندوز ۱۰ می دونند که این نسخه دارای کیلاگر است؟

طبق اعلام مایکروسافت: “بلافاصله بعد از آماده شدن هر نسخه آزمایشی، شما به آن دسترسی خواهید داشت. در عوض ما می خواهیم بدانیم شما چه فکر می‌کنید. شما یک نرم‌افزار ساده برای اعلام فیدبک‌ها خواهید داشت که در این مسیر به ما کمک می‌کند.”

ما کارشناسان امنیت سایبری برای این نرم‌افزار ساده که فیدبک دادن رو راحت می‌کنه می‌گیم کیلاگر.

مایکروسافت با زیرکی از پذیرش مسئولیت این کار شانه خالی کرده و بدون اسم بردن از کیلاگر، در Terms of Service و Privacy Policy به اطلاعاتی که جمع می‌کنه اشاره کرده. همه می‌دونیم که کاربرها معمولا این فایل‌ها رو نمی‌خونن و فقط دکمه‌های “موافقم” و “برو بعدی” رو کلیک می‌کنند. ما با نخوندن موافقت نامه‌ای که امضا می‌کنیم، عملا روحمون رو به مایکروسافت می‌فروشیم.

مایکروسافت در privacy policy نسخه آزمایشی ویندوز ۱۰ اشاره می‌کنه که همه کارهای ما در ویندوز رو زیر نظر داره: “اگر فایلی را بازکنید، ممکن است که ما برای افزایش کارایی، اطلاعاتی در مورد فایل، نرم‌افزاری که با آن فایل را باز کرده‌اید و مدت زمانی که از آن استفاده کرده اید را جمع‌آوری کنیم. همچنین برای ارتقا غلط‌یابی نگارشی و املایی، ممکن است نوشته‌های شما و کاراکترهای استفاده شده را جمع‌آوری کنیم.”

با تایید privacy policy عملا ما اجازه جمع‌آوری این اطلاعات و ثبت تمامی نوشته‌ها و کارهایی که با ویندوز ۱۰ می‌کنیم رو به مایکروسافت می‌دیم.

آیا اطلاعات ثبت شده به همینجا ختم می‌شه؟ نه.

مایکروسافت اطلاعات دیگه‌ای رو هم ازز کاربران جمع می‌کنه. اطلاعاتی مانند صدای کاربر. هرچند دلیلش رو “ارتقا پردازش صوتی” اعلام کرده: “زمانی که شما نرم‌افزاری را دریافت، نصب و استفاده می‌کنید، مایکروسافت اطلاعاتی از شما، نرم‌افزارها و شبکه شما و نحوه استفاده شما از ابزار، نرم‌افزارها و شبکه را جمع‌آوری می‌کند. اطلاعاتی که جمع آوری می‌کنیم، شامل نام، آدرس ایمیل، تنظیمات و علایق شما، همچنین تاریخچه وبگردی و جستجوی اینترنتی و فایل‌ها است. همچنین اطلاعات تلفن و اس‌ام‌اس، تنظیمات کامپیوتر و اطلاعات سنسورها و استفاده از نرم‌افزارها جمع آوری می‌شوند.”

مایکروسافت الان یک دیتابیس بزرگ از اسم، ایمیل، اطلاعات داخلی شبکه و سخت‌افزار و نرم‌افزار داره. شاید این شرکت از این اطلاعات جایی استفاده نکنه اما جمع‌کردن اطلاعات شخصی و نگهداریشون، همیشه خطر سواستفاده رو به همراه داره، چه خود مایکروسافت و چه هکرها و یا حتی دولت‌ها.

مایکروسافت اعلام کرده که جمع‌آوری اطلاعات در نسخه نهایی وجود نخواهد داشت. اما من پیشنهاد می‌کنم Terms of Service و Privacy Policy نسخه نهایی رو به دقت بخونیم و ببینیم که مایکروسافت چی برامون در نظر گرفته.

برای اطلاعات بیشتر، به لینک زیر روجوع کنید.

http://thehackernews.com/2014/10/download-Windows-10-keylogger.html

خوشحال نشید. من هک نشدم. بارها پیش آمده که دوستان از من پرسیدن که اگر سایتشون هک شد چکار کنن؟ و یا اینکه سایتشون چطور هک شده؟ در این پست، ترجمه‌ای از نوشته اخیر سایت SUCURI رو می‌نویسم که مورد هک شدن سایتی است که از CMS وردپرس استفاده می‌کنه.

در این پست نحوه هک شدن و بررسی یکی از ظرف‌های عسلمون (Honey Pot) رو توضیح می‌دیم. سایت‌هایی که به عنوان ظرف عسل استفاده می‌شن روی سرویس‌های میزبانی معروف راه‌اندازی شده‌اند. هم روی VPS و هم روی هوستینگ‌های مدیریت شده و نیز مشترک. در اکثر این سایت‌ها، از سرویس‌های عادی استفاده شده و بنابراین تمهیدات خاصی در موردشون از سوی میزبان انجام نشده.

ظرف عسل در واقع سرور یا سیستم‌هایی است که به عنوان دام استفاده شده تا اطلاعاتی در خصوص هکرها و نفوذگران به‌دست بیاریم. ظرف‌های عسل به گونه‌ای راه‌اندازی می‌شوند که هکشون کمی راحت‌تر باشه و با برخی تغییرات، کلیه کارهای هکر رو ثبت می‌کنند. فرض می‌شه که وقتی کسی به سیستمی نفوذ می‌کنه، دوباره برمی‌گرده. حین این برگشت‌های مجدد، می‌شه اطلاعات بیشتری از هکر به‌دست آورد و کارهایی که روی سیستم انجام می‌ده رو ثبت کرد.

هدف ساده‌ای داریم؛ ما می‌خوایم که درک بهتری از ماهیت متغیرامنیت سایت داشته باشیم و تمایلات هکرها رو بررسی و تفسیر کنیم. داشتن سایت‌هایی برای هک شدن، ما رو در واکنش به نفوذهای مشابه هوشیارتر می‌کنه و درک بهتری از حس مدیر سایت در شرایط مشابه خواهیم داشت. بین خودمون بمونه، ما کمی هیجان زده هم شدیم، مثل عنکبوتی که از لرزش تارها می‌فهمه که چیزی به دام افتاده.

تنها تنظیمات امنیتی روی وبسایت هک شده، پلاگین sucuri بود که فقط برای بازرسی استفاده شد. از دیگر محصولات مثل آنتی‌ویروس و فایروال، استفاده نشد. ایده این بود که حمله کننده رو تشویق کنیم که به سایت نفوذ کنه تا ما بتونیم رفتارش و تغییراتش توی سایت رو ببینیم، نه اینکه متوقفش کنیم.

نسخه رایگان افزونه سکوری، ابزار جلوگیری از هک نیست بلکه تشخیص و بازبینی موارد امنیتی رو انجام می‌ده. این افزونه برای پشتیبانی از کارهای مدیریت سایت طراحی شده است. در صورتیکه قصد بالا بردن امنیت سایت با استفاده از افزونه‌ها رو دارید، می تونید از افزونه‌های دیگه استفاده بکنید.

استفاده از ابزارهای امنیتی

امکان کنترل فعالیت‌ها که در افزونه SUCURI در نظر گرفته شده، ما رو از مشکل به وجود آمده خبردار کرد. این گزینه کلیه فعالیت‌های انجام گرفته در سایت رو ثبت می‌کنه و بنابراین هکر نمی‌تونه شواهد کارهای انجام شده رو پاک کنه.

نفوذ کننده‌های باهوش، از یک روند مشخص استفاده می‌کنند و پس از نفوذ به سایت در قدم اول، افزونه‌های امنیتی رو حذف می‌کنند و اطلاعات ثبت شده آنها در دیتابیس رو از بین می‌برن تا ردپاهای خودشون رو پاک کنن.

اگر می‌خواید بدونید چطور فهمیدم که هک شدم، پاسخ ساده است. من یک مدیر سایت مسئولیت‌پذیرم. زمانی که من خبر ورود یه نفر با کاربر admin به سایتم رو دریافت کردم در حالیکه خودم وارد نشده بودم و کس دیگه‌ای هم نبوده، متوجه شدم که مشکلی وجود داره. این یکی از دلایلیه که من همیشه پیشنهاد می‌کنم حواستون باشه که چه کسی به سایتتون لاگین می‌کنه. اگر شما تنها کسی هستید که دسترسی داره، پس هیچ کس دیگه‌ای در هیچ شرایطی نباید وارد شده باشه.

پس از این پیام، پشت سر هم پیام‌هایی دریافت کردیم از تغییراتی که داشت در سایت رخ می‌داد. برای ما مهمترین بخش پیام‌ها این بود که بفهمیم هکر از چه روشی برای تغییر استفاده می‌کنه. در این مورد خاص، هکر از Theme Editor استفاده کرد. این ابزار، برای اصلاح قالب و هسته افزونه‌ها در وردپرس در نظر گرفته شده است و به صورت پیش‌فرض فعال است.

یکی از اولین پیشنهادها به کسانی که از وردپرس استفاده می‌کنن اینه که این ادیتور رو غیر فعال کنن. اگر شما طراح یا توسعه دهنده‌اید و قالب‌ها و افزونه‌های سایتتون رو با ادیتور وردپرس تغییر می‌دید، کار اشتباهی می‌کنید و خودتون و بازدید کننده‌هاتون رو به خطر می‌اندازید.

خوشبختانه، غیرفعال کردن این گزینه خیلی راحته. کافیه یک خط کد رو به فایل wp-config.php اضافه کنید.

همچنین افزونه‌های امنیتی مثل افزونه SUCURI  و iTheme Security این اماکن رو به شما می‌دن که ادیتور رو غیرفعال کنید.

بررسی تاثیرات نفوذ

فهمیدن اینکه هکر به سایت ما لاگین کرده فقط بخشی از پازله. حالا باید ببینیم چه تغییراتی ایجاد شده است. اولین کاری که هر کسی می‌کنه باز کردنه سایته که خوب در این مرحله با تغییر چهره سایت مواجه شدیم.

سوال بعدی اینه که “دیگه چی تغییر کرده؟”. ما از ابزارهای بازبینی استفاده می‌کنیم تا بفهمیم آیا فایلی تغییر کرده است یا خیر.

با بررسی لاگ تغییرات، متوجه می‌شیم که هکر دو فایل رو دستکاری کرده.

twentythirteen/page.php

twentythirteen/index.php

فایل ایندکس دوباره تغییرات داشته و نقطه خوبیه برای شروع بررسی‌ها.

با استفاده از filezilla و پروتوکول SFTP به سرورمتصل می‌شیم و می‌بینیم که واقعا این فایل‌ها امروز تغییر کرده‌اند.

قدوم بعدی پیدا کردن تغییرات انجام شده در فایل‌هاست. برای این کار، با استفاده از ادیتور، فایل رو باز می‌کنیم.

البته می‌تونیم به شیوه خود هکرها با رفتن به محیط مدیریت سایت و با استفاده از theme Editor، این فایل‌ها رو باز کنیم.

با چک کردن فایل‌های دیگه سرور متوجه می‌شیم که هکر فایل دیگری رو تغییر نداده. نمی دنیم که واکنش به موقع بوده و یا هکر همین مقدار تغییرات براش کافی بوده.

حمله کننده همچنین پسورد ما رو تغییر داده بود و بعد از دریافت پیام لاگین، سعی کردیم به محیط مدیریت وارد بشیم که به دلیل اشتباه بودن پسورد نتونستیم.

می‌دونیم که نفوذ کننده ۳ روز پیش از حمله اصلی، تونسته بود وارد سایت بشه. این اختلاف زمانی بابت اینه که مطمئن بشن بدون ایجاد شک، دسترسی دارند. اونها منتظر می‌مونن تا در زمان مناسب لاگین کنن و تغییراتی که می‌خوان رو بدن. این موارد رو با استفاده از اطلاعات ثبت شده افزونه امنیتی به دست آوردیم.

ما همچنین می دونیم که در این دوبار، نفوذ کننده‌ها از IP های روسیه و ترکیه وارد سایت شده اند. البته اونها می‌تونن هرجایی از دنیا باشند.

هرچند این اطلاعات کمک چندانی نمی‌کنن اما گروه هکر رو می‌شناسیم:

به نظر می‌رسه که تازه وارد بازی شدن و گروه فیسبوکشون تازه ساخته شدن و احتمالا چندتا اسکریپت کیدی اند. با اینحال اینها همه گمانه است. چیزی که گمانه نیست اینه که اخیرا سعی کرده‌اند توانای‌هاشون رو در تغییر چهره سایت‌ها نشون بدن.

بهبود وضعیت امنیت سایت

این مساله طولانی‌تر از اونیه که با یه پست وبلاگ بتونیم بگیمش. بسیاری از این حمله‌ها اتوماتیک انجام می‌شه اما این حمله خاص، دستی بوده. هرچند که نفوذ به مکانیزم کنترل (مثلا لاگین به wp-admin)، دسترسی بوده اما احتمال داره که فاز اول حمله به صورت اتوماتیک انجام شده باشه. به این شکل که یک اسکریپت احتمالا اطلاعات کاربری ضعیف رو پیدا کرده و جایی ثبت می‌کنه و هکرها بعدا و سرفرصت در فاز دوم حمله، سایت رو هک می‌کنن.

وقتی به مراحل اتفاقات نگاه می کنیم از خودمون می‌پرسیم:

برای جلوگیری از هک چکار می‌تونستیم بکنیم؟

پیشنهادهای ما برای این مورد خاص اینهاست:

مفیدترین گزینه: محدودیت دسترسی

در این روش دسترسی همه برای ورود به سایت محدود شده و فقط IP های خاصی اماکن ورود به محیط مدیریت را دارند. این روش بسیار قوی بوده و این روزها بسیاری از فایروال‌های معروف برای سایت‌ها از این گزینه استفاده می‌کنند. این گزینه، حمله را کاملا متوقف می‌کند.

هرچند استفاده از فایروال برای سایت، یک گزینه قویه اما همیشه امکان‌پذیر نیست و به عنوان راه حل استفاده نمی‌شه. در این موارد می‌شه از افزونه‌هایی استفاده کرد که با به کار گیری امنیت در سطح نرم‌افزار، به ما کمک می‌کنن. یکی از این افزونه‌ها که ما پیشنهاد می‌کنیم itheme Security است.

جایگزین ۱: محدودیت تلاش برای ورود

این یکی از روش‌های پر استفاده است. افزونه‌های مختلفی وجود دارند که این کار رو می‌کنن اما تعداد کمی از اونها کار رو درست انجام می‌دن. اکثرا برای روش‌های حمله متوسط به درد می‌خورن اما حمله‌های پیچیده رروش‌های دیگه‌ای رو می‌طلبن. این روش همچنین به بررسی‌های همیشگی و به‌روز رسانی احتیاج داره تا بتونه به اندازه‌ای که حمله‌ها تغییر می‌کنن، کارا باقی بمونه.

جایگزین ۲: استفاده از پسورد پیچیده، طولانی و یکتا

در بحث کنترل دسترسی، این گزینه، ساده‌ترین کاری است که به عنوان کاربر نهایی می‌تونیم انجام بدیم. این کار اصلا سخت نیست اما با توجه به تنبلی ما می‌تونه غیرممکن بشه. معمولا فکر می‌کنیم پسورد قوی انتخاب کردیم اما در عمل بسیاری از پسوردهای مبتنی بر کلمات، به راحتی قابل شکستنند. راه حل ما، استفاده از نرم‌افزارهای مدیریت پسورده. برای مثال Lastpass پیشنهاد خوبیه. هم پسورد طولانی و پیچیده تولید می‌کنه و هم برامون نگهش می‌داره.

جایگزین ۳: استفاده از ورود دو مرحله‌ای

برای آشنایی بیشتر با ورود دو مرحله‌ای می‌تونید این مقاله رو بخونید. بسیاری از افزونه‌های امنیتی نمونه‌ای از ورود دو مرحله‌ای را پیاده‌سازی می‌کنن. به جای آن، شما می‌تونید مسقیم برید سراغ منبع اصلی یعنی افزونه تایید اعتبار گوگل. به نظر می‌رسه که این‌روزا همه بچه باحالا از این روش استفاده می‌کنن.

خوبه بدونیم که این حمله از مفهوم Brute Force استفاده می‌کنه، مفهومی که طراحی شده برای امتحان کردن ترکیب‌های مختلف نام کاربری و پسورد برای دسترسی به محیط ادمین سایت شما.

در پایان وقتی که همه کارهای لازم برای پاک سازی سرور رو انجام دادید، باید برخی کارهای دیگه هم بکنید. برای مثال همه کاربرها رو مجبور کنید که پسوردشون رو تغییر بدن. کلیدها و salt های مندرج در wp-config.php رو تغییر بدید. اگر نمی دونید اینها چیه، می تونید از افزونه رایگان Sucuri استفاده بکنید.

پیشنهادهای تکمیلی

خب، پیشنهادهای سایت sucuri تا ایجا بود. بذارید کمی از موردهایی که خودم دیدم و در پاک سازی سایت‌ها استفاده می‌کنم هم بگم شاید به کارتون بیاد.

اول اینکه فایل‌های تغییر کرده رو حذف کنید و با نسخه اصلی جایگزین کنید. برای مثال در مورد دوتا فایل گفته شد در این پست، می تونید قالب twentythirteen رو کامل حذف کنید و بعد دوباره از طریق گزینه‌های وردپرس نصب کنید.

اگر از افزونه‌های امنیتی استفاده نمی‌کردید تا پیش از هک و نمی‌دونید کدوم فایل‌های تغییر کرده، با متصل شدن به سرور از طریق FTP، کلیه فایل‌های سرور رو چک کنید و ببینید از آخرین زمانی که مطمئن بودید هک اتفاق نیافتاده، کدوم فایل‌ها تغییر کرده. اونها باید چک و جایگزین بشن. در صورتیکه این کار براتون سخته، می‌تونید از سرویس دهنده کمک بخواید تا با دستورات در سطح سیستم عامل، این فایل‌ها رو پیدا کنه و بهتو گذارش بده. روش دیگه، جایگزین کردن کامل آخرین بک‌آپ در زمانیه که سرور هک نشده بود.

در صورتیکه در تغییرات گفته شده، با فایلی برخورد کردید که امکان اجرای دستورات در سطح سیستم عامل رو به هکر می‌داد، حتما در اولین فرصت به پشیبانی سرور اطلاع بدید تا سیستم عامل چک بشه. در صورتیکه از میزبان اشتراکی استفاده می‌کنید، امکان هک شدن سایت‌های دیگه سرور شما وجود داره.

در پایان هم پیشنهاد می‌کنم در صورت هک شدن، حتما از یک متخصص برای پاک‌سازی سایت و سرور کمک بگیرید.

منبع:

http://blog.sucuri.net/2014/08/my-wordpress-website-was-hacked.html