آیا اقدامات دوطرف در نبردهای هکری هم‌زمان هستند؟

بسیاری از شما صحنه‌ی حمله‌ی هکری در سریال NCIS را دیده‌اید: دو شخصیت داستان، ابی اسکوییتو با بازی پائولی پرتی و تیموتی مک‌گی با بازی سین موری، در آزمایشگاه تاریک پزشکی قانونی باید جلو مجرمی سایبری را بگیرند که می‌خواهد به هر قیمتی اطلاعات تحقیقات آن‌ها را بدزد.

ابی و تیموتی در گفت‌وگویی هیجانی و پر از اصلاحات فنی تفسیر‌نشدنی (مثلا او فایروال را به آتش کشید! این کدنویسی DOD سطح ۹ است!) با آن هکر مقابله و نهایتا هم‌زمان روی صفحه‌کنند تایپ می‌کنند. اگر بخواهیم خیلی مؤدبانه بگوییم، چنین سناریویی در نبرد هکری مضحک است.

لطفا بنشینید، در حال هک‌کردن هستیم

در اغلب فیلم‌ها و سریال‌ها، حمله‌ی سایبری به سیستم‌های کامپیوتری در لحظه انجام می‌شود و با نوشته‌های سبزرنگ و پاپ‌آپ‌های تصادفی و بی‌معنی همراه است. چنین صحنه‌هایی که از هک‌کردن در دنیای سینما و تلویزیون می‌بینید، به‌هیچ‌وجه حتی به واقعیت نبردهای سایبری نزدیک نیست.

واقعیت ماجرا درام خیلی‌ کمتری دارد. هکرها و کسانی که به‌طور قانونی امکان نفوذ به سیستم سایبری را آزمایش می‌کنند، برای فهم شبکه‌ها و سیستم‌های هدفشان زمان می‌گذارند. آن‌ها تلاش می‌کنند توپولوژی شبکه‌ها و نرم‌افزاها و سخت‌افزارهای استفاده‌شده در آن‌ها را بفهمند و سپس، تلاش می‌کنند راه نفوذ به آن‌ها را بیابند.

هک‌کردن متقابل و هم‌زمان که در NCIS دیده‌اید، کلا فراموش کنید؛ چراکه هک‌کردن اصلا آن شکلی نیست. تیم‌های امنیتی ترجیح‌ می‌دهند ازطریق شبکه‌سازی و پیکربندی صحیح تمامی سیستم‌های متصل به خارج از شبکه روی دفاع شبکه تمرکز کنند. اگر هکر از راهی بتواند به درون دفاع خارجی نفوذ کند، سیستم‌های خودکار IPS (سیستم‌های ممانعت از نفوذ) و IDS (سیستم‌های شناسایی نفوذ) وارد عمل می‌شوند تا آسیب را به‌حداقل برسانند.

خودکاربودن این سیستم‌ها به این دلیل است که حملات بسیار معدودی هدفمند و اغلب حملات سایبری از نوع فرصت‌طلانه هستند. ممکن است کسی سروری را کانفیگ کند تا اینترنت را به‌منظور یافتن حفره‌های امنیتی روبش کند که بتواند حملات کدنویسی‌شده را از آنجا انجام دهد. ازآنجاکه این کار با حجم بسیار زیادی انجام می‌شود، امکان آدرس‌دادن دستی به این حملات عملا وجود ندارد.

معمولا اغلب دخالت‌های انسانی بعد از نفوذ امنیتی انجام می‌شود. این مراحل تلاش برای شناسایی نقطه‌ی نفوذ و بستن آن به‌منظور استفاده‌نکردن مجدد هکر از آن حفره را شامل می‌شود. تیم‌های واکنش به حادثه نیز تلاش می‌کنند آسیب را شناسایی و آن را ترمیم کنند و بررسی می‌کنند آیا مشکلی قانونی به‌وجود آمده است که به برطرف‌کردن نیاز داشته ‌باشد. این کار خیلی سرگرم‌کننده به‌نظر نمی‌رسد؛ زیرا هیچ‌کس دوست ندارد کسی را تماشا کند که با وسواس و دقت در حال مستندسازی ابزارهای IT مبهم شرکتی یا کانفیگ‌کردن فایروال‌های سرور است.

تسخیر پرچم (CFT)       

با وجود آنچه گفته شد، بعضی ‌‌وقت‌ها هکرها هم‌زمان با همدیگر نبرد می‌کنند؛ اما معمولا چنین نبردهایی بیشتر جنبه‌ی نمایشی دارد تا جنبه‌ی استراتژیک. در اینجا، دربا‌ره‌ی مسابقات تسخیر پرچم (CTF) صحبت می‌کنیم. این مسابقات معمولا در کنفرانس‌های امنیت اطلاعات مثل بی‌سایدز (Bsides) برگزار می‌شوند. در چنین رقابت‌هایی، هکرها با همتایانشان برای انجام چالش‌هایی در مدتی مشخص رقابت می‌کنند و هرچه چالش‌های بیشتری برنده شوند، امتیازهای بیشتری می‌گیرند.

دو نوع رقابت CTF وجود دارد:

• تیم قرمز (Red Team) که متشکل از هکرها یا تیمی از هکرها است، تلاش می‌کنند به درون شبکه‌های خاصی نفوذ کنند که دفاع فعالی ندارند. در حالت دیگر پیش از شروع رقابت، نوعی سیستم حفاظتی روی شبکه نصب می‌شود.
• تیم قرمز درمقابل تیم آبی قرار می‌گیرد؛ تیمی که تلاش می‌کند از نفوذ تیم قرمز به شبکه جلوگیری کند. تیم‌های قرمز درصورتی امتیاز می‌گیرند که به سیستم‌های هدف نفوذ کنند و امتیاز تیم‌های آبی براساس شناسایی مؤثر حملات تیم‌های قرمز محاسبه می‌شود.

چالش‌ها در رقابت‌های مختلف متفاوت هستند؛ ولی معمولا برای آزمودن مهارت‌های افراد حرفه‌ای در ایمنی شبکه طراحی می‌شوند. این مهارت‌ها برنامه‌نویسی و شناسایی ضعف‌های سیستم‌ها و مهندسی معکوس را شامل می‌شوند.

با وجود رقابت نزدیک در مسابقات CTF، این رقابت‌ها صرفا جنبه تبلیغاتی دارند. هکرها ذاتا افراد کنجکاوی هستند و تمایل دارند دانش خود را با دیگران به‌اشتراک بگذارند؛ بنابراین، تبادل اطلاعات بین تیم‌های رقیب برای انجام چالش مسئله‌ی چندان عجیبی نیست.

مسابقات CTF از راه دور 

‌به‌علت شیوع ویروس کووید ۱۹، تمامی کنفرانس‌های حضوری امنیت شبکه در سال ۲۰۲۰ لغو شده یا به‌تعویق افتاده‌اند؛ ولی هنوز‌‌هم می‌توان با رعایت اصول قرنطینه و فاصله‌گذاری اجتماعی، در رویدادهای CTF شرکت کرد. وب‌سایت‌هایی مثل CTFTime تمامی رویدادهای CTF آتی را اطلاع‌رسانی می‌کنند و همان‌طور‌که از رویدادهای حضوری انتظار می‌رود، بسیاری از این رویدادهای CTF محوریتی رقابتی دارند. وب‌سایت CTFTime حتی تیم‌های موفق را نیز معرفی می‌کند.

اگر نمی‌خواهید صبر کنید تا محدودیت‌ها برداشته و رویدادهای حضوری بازگشایی شود، می‌توانید در چالش‌های هک‌کردن انفرادی شرکت کنید. وب‌سایت Root-Me چالش‌های گوناگونی پیش‌ روی هکرها قرار می‌دهد تا توانایی‌های آن‌ها را بیازماید.

درصورتی‌که از ایجاد محیط هک روی کامپیوتر خود نمی‌ترسید، گزینه‌ی دیگر DVWA است. این اپلیکیشن تحت‌وب پر از حفرات امنیتی عمدی است که به هکرها امکان می‌دهد مهارت‌های خود را به‌صورت قانونی و ایمن بیازمایند.