May 24, 2010

داتک برای سرقت اطلاعات شخصی شما تلاش میکند

هدف از این پست در ابتدا اطلاع رسانی به کلیه کاربران اینترنت در ایران و بخصوص سرویس گیرندگان از شرکت داتک، و پس از آن اعتراض به عملکرد و سو استفاده های اخیر شرکت داتک از اعتماد کاربران خویش است. امیدوارم با اطلاع رسانی عمومی در خصوص موارد مشابه، شرکت ها و حتی دولت کمتر به خود اجازه پیاده سازی چنین فعالیت هایی بدین صورت و وقاحت را بدهند.

شرکت محترم داتک، اقدام به جعل گواهی SSL (SSL Man In The Middle Attack) وب سایت ها  و سرویس های شرکت های معتبری همچون یاهو و گوگل، خلاف قانون (حتی طبق قوانین ایران) بوده و قابل پیگرد بصورت قضایی و قانونی می باشد. شنود فعالانه ارتباطات (رمز شده) تنها و تنها به دستور کتبی مقامات قضایی مجاز می باشد، و مفتضحانه ترین اقدامی است که یک شرکت می تواند در قبال کاربران سرویس اینترنت خود انجام دهد. این پست اگر چه با 4 هفته تآخیر منتشر می گردد اما محتوای اصلی آن تغییری نکرده است. تنها علت به تعویق افتادن ارسال نیز دادن فرجه فنی و رسمی به شرکت داتک برای دادن جواب و پاسخی قانع کننده بوده که متآسفانه به نتیجه نرسید.
موارد نوشته شده در این پس نه صرفآ فرضیات بلکه حدس های فنی بر پایه تجربه و مدارک و مستندات فنی می باشد. با توجه به فرجه چند هفته ایی داده شده به داتک برای مشخص کردن علت موضوع، بعد از این هر نوع ماست مالی فنی قابل قبول نیست.

از بیش از 2 ماه پیش شاهد آن بودم که بطور کاملآ تصادفی و در بازه های زمانی نامشخص و کوتاهی، دسترسی به سرویس های POP3S و WebMail پست الکترونیک شرکت های گوگل و یاهو با اختلال مواجه می گردد. این اختلال بعد از چند روز تبدیل به اتفاقات جالب تری شد. جالب از این رو که با تلاش برای اتصال به سرویس های پست الکترونیک یاهو و گوگل، بجای گواهی معتبر SSL همیشگی، با یک گواهی غیر معتبر که کاملآ ناشیانه نیز جعل شده بود مواجه می شدم. با توجه به موردی بودن این پیشامد و مشاهده آن تنها بصورت موردی، ذهن من اول از همه به سمت آلوده بودن سیستم خودم و پس از آن به شیطنت های شرکت مخابرات کشیده شد. اما با اطمینان حاصل کردن از اینکه مشکل از سمت سیستم های من نیست، در آن دوره مشکل به فراموشی سپرده شد. با تکرار این موضوع پس از یک هفته موضوع کمی جالب تر شد. اینبار حمله کننده کمی سماجت خود را بیشتر کرده و ساعات و دفعاتی که حمله رخ میداد بیشتر شده بود بطوری که در بازه زمانی 40 تا 30 روز گذشته تقریبآ هر روز این مورد به مدت چند ساعت تکرار میشد. با تکرار حملات امکان دقت بیشتر به جزئیات آن نیز فراهم میشد.


با توجه به اینکه شک من به حمله بصورت هدفمند (Targetted) بود، با چند نفر از دوستان دیگری که از شرکت داتک سرویس دریافت می کردند نیز این موضوع را کنترل کردم که در ابتدا حدس من را بیشتر به یقین نزدیک کرد، اما با گذشت زمان، اعلام مشکل مشابه از سوی برخی دیگر از دوستان و بعد از تماس های مختلف با شرکت مشخص شد که این حمله بصورت نیمه هدفمند در حال انجام است. منظور از نیمه هدفمند این است که سیاست ظاهرآ بر این بوده است که در آن واحد کلیه کاربران و سرویس گیرندگان بصورت همزمان مورد حمله قرار نگرفته و تنها بخشی از آنها ( 40% کاربران) تحت پوشش نرم افزار/سیستم حمله قرار می گیرند. این درصد نیز اعلام شده از سوی واحد رسیدگی به شکایات شرکت داتک می باشد که به گفته مسئولی که پس از شکایت من به شرکت، با من تماس گرفت به این صورت اعلام شد : "طبق آمار ما که بر اساس تماس های گرفته شده با بخش پشتیبانی است، حدود 40% از کاربران ما مشکل شما ، یعنی اختلال در دسترسی به ایمیل را دارند..." . بسیار خوب. پس یک تلاش برای شنود و سرقت اطلاعات با این وسعت و به این شکل، از دید داتک تنها "مشکل و اختلال در دسترسی به ایمیل" خوانده میشود. علت انتخاب این سیاست و روش پیاده سازی حمله  را در ادامه توضیح خواهم داد.




از دید من بعنوان کسی که بیش از 8 سال است با این قبیل فعالیت ها آشنایی دارد و از بخت بد شرکت داتک با برخی از فعالیت های غیر رسمی این شرکت و روابط آن نیز آشناست، اینکه این مورد یک حمله و تلاش برای شنود و استخراج اطلاعات خاص بوده و نه یک اشتباه فنی (سهوی یا عمدی) در شرکت، و نه حتی یک حمله صورت گرفته توسط شخص سومی به داتک برای سو استفاده از سیستم های آنها، کاملآ مشخص است. همانطور که من برای این ادعا توجیه و دلایل فنی در اختیار دارم، و به شرکت داتک ارائه دادم، شرکت نیز در صورت خلاف بودن این ادعا می بایست به همان صورت و با دادن توضیحات فنی، و نه توجیه با مزخرفاتی همچون اختلال مقطعی در دسترسی به سرویس ایمیل و راهنمایی برای خاموش و روشن کردن مودم برای حل مشکل، پاسخگو می بود.


در زمان بروز حملات، با توجه به قابل پیش بینی بودن زمان بروز آنها و همچنین تکرار آن بصورت مداوم، برای من این سوال ایجاد شد که کدامیک از روتر ها و یا Gateway های مسیر، مسبب بروز مشکل است. با یک مقایسه ساده مسیر عبور (Route) ترافیک در زمانی که مشکلی وجود نداشت و در خلال فعال بودن حمله، این مورد به وضوح مشخص شد. یکی از Gateway های شرکت داتک مسبب بروز این مشکل بود. خروجی های Traceroute زیر نشان دهنده مسیر عبور ترافیک در هر دو حالت (معمولی و زمان حمله) می باشد. همانطور که در تصاویر مشخص است، در زمان بروز حمله، کلیه ترافیک بجای عبور از Gateway همیشگی (81.91.128.114)، از یک Gateway ثانویه (81.91.128.118) عبور می کند.  نکته جالب در زمان حمله این بود که ترافیک بصورت کاملآ انتخابی به Gateway شنود هدایت میگردید. بطور مثال تنها در زمان حمله و در صورت تلاش برای دسترسی به یکی از وب سایت های تحت حمله، ترافیک کاربر به سمت این Gateway خاص هدایت میشد. در موردی که من مشاهده کردم، در یکی از بازه زمانی حمله که تنها سرویس لاگین Google تحت حمله بود، در صورت تلاش برای دسترسی به سایر وب سایت ها ترافیک کاربر از 81.91.128.114 عبور داده می شد و تنها در صورتی که هدف کاربر دسترسی به سرورهای لاگین Google بود، ترفیک از طریق 81.91.128.118 هدایت می گردید.

مسیر ترافیک قبل از حمله

مسیر ترافیک در زمان حمله

دلیل انتخاب این روش نیز برای افرادی که با مکانیزم این حملات آشنا هستند مشخص است. در حملاتی از این دست، بمنظور جلوگیری از ایجاد گلوگاه (Bottleneck) بر روی سیستم شنود، سعی میشود همواره حداقل ترافیک ممکن و بصورت مشخص به سمت آن هدایت شود تا حمله کننده هم با Packet Loss کمتری مواجه باشد و هم قربانی حمله با اختلال و کندی محسوسی در دسترسی به وب سایت تحت حمله مواجه نباشد.
بیش از این نیازی به اثبات این اتفاق و آوردن دلایل فنی برای استفاده مشخص از لفظ حمله نیست، اما با کمی دقت بیشتر، می توان جزئیات بیشتری از ناشیگری شرکت داتک ( و سایر وابستگان) را در پیاده سازی این حمله بدست آورد. برای این منظور من سعی کردم اطلاعاتی راجع به Fingerprint گواهی جعلی مورد استفاده برای شنود بدست آورم. همانطور که قابل حدس بود این گواهی بصورت رسمی ثبت نشده است. اگرچه این گواهی به ظاهر مربوط به یکی از برنامه نویسان Debian بوده و یک گواهی رسمی نیست، اما همین گواهی شخصی نیست به ثبت نرسیده است.



تلاش زیادی لازم نیست. برای بدست آوردن کمی اطلاعات راجع به این مورد کافیست آدرس ایمیل ثبت شده در گواهی جعلی را با یک کلمه کلیدی مثل "MiTM" همراه کرده و  ( اصلاح میکنم که خروجی بدست آمده در این حالت و مورد آورده شده در کادر تصویر زیر، مشخصآ مربوط به آدرس ایمیل موجود در گواهی جعلی نیست. اما این چیزی از اصل موضوع را تغییر نمی دهد!) در گوگل جستجو کنید :


فکر نمیکنم توضیح خاصی لازم باشد! البته برای دست اندرکاران این موضوع متآسف هستم که حتی در چنین مواردی هم به بیگانگان و استکبارجهانی وابسته هستند اما باز هم فریاد " ما میتوانیم" آنها گوش فلک را کر کرده است. برادر من حداقل از یک گواهی Self-Sign بغیر از آن چیزی که برنامه نویس ابزار و سیستم به شما تحویل داده استفاده می کردید، تا بعدآ گند کار به این شدت مشخص نشود. بدون وجود این نشانه ها شرکت داتک شاید می توانست این توجیه فنی را بیاورد که مثلآ در تنظیمات Cache Server مشکلی رخ داده و یا ترافیک SSL نیز به اشتباه توسط سیستم ها مورد پردازش قرار گرفته است، و دلایل دیگری از این دست... اما با وجود چنین موارد و گاف های غیر قابل انکار، جایی برای توجیه باقی نمی ماند!
البته این اواخر سوتی فوق ظاهرآ پوشش داده شد و از یگ گواهی جعلی که کمی کمتر افشاگری کند مورد استفاده قرار گرفت. هر دو گواهی جعلی مورد استفاده در طول حملات از طریق لینک های زیر قابل دریافت است.
اینکه هدف از انجام این حمله چه بوده شاید بطور قطعی مشخص نباشد اما حدس هایی که در مورد آن می توان زد نیز چندان دور از ذهن نیست. با توجه به اتفاقات رخ داده در طی یکسال گذشته در کشور، دولت و برخی ارگان های خاص الزام و البته علاقه عجیب و خاصی به قابلیت سرک کشیدن در حریم خصوصی کاربران اینترنت را پیدا کرده اند که شنود ایمیل ها و فعالیت های اینترنتی ساده ترین موارد آن می باشد. البته و صد البته شنود و کنترل و نظارت بر فعالیت های اینترنتی کاربران در همه کشورهای دنیا عرف بوده و به هیچ عنوان چیز جدید و حل نشده ایی نیست، اما نه به این روشی که در ایران پیاده سازی و آزمایش می شود! با توجه به سیاست های شرکت گوگل و لحاظ کردن برخی تمهیدات ساده اما موثر امنیتی از همان ابتدای سرویس دهی، گوگل تبدیل به یک مشکل جدی در این زمینه شده است. با توجه به اینکه اخیرآ گوگل گزینه HTTPS Mail را نیز جزو تنظیمات پیش فرض سیستم خود در آورده است ( این مورد قبلآ انتخابی بوده و  می بایست توسط کاربر فعال میشد) کار بیش از پیش مشکل گردید زیرا در سرویس هایی مثل پست الکترونیک یاهو اولآ دسترسی به سرویس های POP  و IMAP برای کاربران معمولی وجود ندارد و ثانیآ از HTTPS تنها در زمان ورود به سیستم استفاده می شود.  از دید من این حمله و تمرکز آن تنها بر روی سروییس های گوگل تنها  یک کاربرد داشت : تلاش برای بدست آوردن کلمات عبور کاربران، در سطح گسترده. و البته شرکت داتک و کاربران آن در این پروژه ظاهرآ نقش موش آزمایشگاهی و قربانیان فاز پایلوت این پروژه بوده اند.

در صورتی که شما یا دوستان شما نیز جزو افرادی بوده اند که این حمله را مشاهده کرده اند، در بخش کامنت های بلاگ عنوان کنید. سایر افراد نیز ممکن است در این مورد مطلبی نوشته باشند که من تنها از یکی از آنها مطلع شدم. بررسی این مورد از دیدگاه سایرین نیز جالب توجه خواهد بود.


توصیه به کاربران اینترنت: اگر شما نیز جزو افرادی بوده ایید که قربانی چنین حملاتی شده ایید، نشانه ایی از حملات مشابه را دیده ایید و یا حتی اصلآ ندیده ایید!!! اولین توصیه دقت به توصیه های امنیتی و کنترل صحت گواهی های SSL ، و توصیه دوم و اکید، اقدام به تغییر کلمات عبور کلیه پست های الکترونیک خود بصورت دوره ایی و مکرر است. البته نه در زمانی که در حال شنود ترافیک شما هستند :)

این اتفاق، من را به یاد یکی از پست های قبلی خودم انداخت. از اینکه برادران با این جدیت و پشتکار در حال ادامه فعالیت هستند و به تلاش های خود ادامه می دهند به نوبه خودم سپاسگذاری میکنم و این پست را نیز با یک جمله به اتمام می رسانم : " خدا قوت اخوی..." .


May 3, 2010

بلاک شدن آی.پی های ایران و تبعات امنیتی آن برای کاربران


امروز متوجه شدم که شرکت Adobe نیز به جمع سایر شرکت های امریکایی پیوست که بر طبق قانون وضع شده، مانع از دسترسی کاربران کشور های تحریم شده (ایران، کوبا، ...) به برنامه ها محتویات اصلی وب سایت های خود می شوند. پیش از این نیز شرکت تجاری پشتیبان SourceForge نیز همین قانون را بر روی این سایت اعمال کرد و اگرچه با سیلی از اعتراض و ناراحتی جامعه اپن.سورس مواجه شد، اما  در عمل شرایط هیچ فرقی نکرد.
در نگاه اول و از دید بسیاری از کاربران عادی  و یا حتی حرفه ایی کامپیوتر، این موضوع آنچنان که باید هم جدی بنظر نرسد و به آن اهمیتی داده نشود. خیلی از افراد به اولین فکری که به ذهن می رسد یعنی استفاده از نرم افزارها و روش های عبور از محدودیت های فیلترینگ ویا VPN عمل می کنند و به ظاهر نیز مشکل آنها بصورت مقطعی حل می گردد. همه چیز بخوبی پیش می رود. درست است؟ خیر !!!
با افزایش چشمگیر حملات علیه کاربران اینترنت از طریق حمله به نرم افزارهای جانبی برای آلوده کردن سیستم ها و نصب بد-افزارها، و تمرکز بسیاری از نفوذگران به تکنولوژی های شایع و پرکاربرد سمت کاربر مانند مرورگرهای وب، فلش، جاوا و ... خطری جدی بسیاری از کاربران  اینترنت را تهدید می کند. اما به دلایلی که ذکر خواهم کرد، این خطر برای کاربران اینترنت در ایران چندین برابر بیشتر و جدی تر است. شاید با توضیح بیشتر، عمق فاجعه کمی برای شما مشخص تر شود.
ابتدا بهتر است نام چند نرم افزار که در طی سال های گذشته بیشترین توجه, ضعف های امنیتی شناسایی شده و همینطور حملات صورت گرفته، مربوط به آنها بوده است را مرور کنیم : مرورگر های اینترنت اکسپلورر، فایرفاکس، بسته اجرایی جاوا (JRE/JDK) ، محصولات اصلی شرکت Adobe یعنی Adobe Reader و Flash ، و نرم افزارهای بسته Microsoft Office. تقریبآ همه بد-افزارهای رایج و شایع از ضعف های امنیتی  حداقل یک یا چند مورد از نرم افزارهای ذکر شده برای آلوده کردن سیستم ها استفاده می کنند.
اولین قدم و توصیه برای مقابله با این حملات همواره بروز رسانی نرم افزارها و استفاده از اخرین اصلاحیه های امنیتی منتشر شدن بوده است. خوشبختانه اغلب نرم افزارهای پرکاربرد نیز به قابلیت هایی مانند بروز رسانی خودکار و یا اخطار به کاربر در مورد قدیمی بودن نسخه نرم افزار مجهز هستند. ساده ترین و شناخته شده ترین نمونه ان هم سیستم بروز رسانی ویندوز است. مکانیزم کاری این قابلیت نیز بسیار ساده است. نرم افزار با سرور های شرکت تولید کننده ارتباط برقرار کرده، در صورت تشخیص وجود نسخه جدید و یا اصلاحیه امنیتی (با اخطار به کاربر) اقدام به دریافت و نسب نسخه جدید یا اصلاحیه امنیتی می کند. نرم افزارهایی که نام آنها آورده شد نیز همگی از این قابلیت برخوردار هستند. تا اینجا همه چیز بسیار حساب شده است و بروز رسانی خود به خود جلوی بسیاری از حملات ممکن را می گیرد.
مشکل جدی اینجاست که هرچه بیشتر پیش می رویم  (به لطف تحریم های اعمال شده بر ایران) بر تعداد شرکت هایی که دسترسی به نرم افزارهای خود را برای کاربران اینترنتی ایرانی محدود می کنند بیشتر می شود. این محدودیت بصورت مستقیم مساوی است با عدم امکان دریافت و بروز رسانی به آخرین نسخ نرم افزارها طبق روال خودکاری که برای آنها طراحی شده. با وجود این محدودیت دیگر بسته های نرم افزاری مثل محصولات Adobe، Java و برخی دیگر از نمونه های پرکاربرد، قابلیت بروز رسانی خود را عملآ از دست داده اند. طیف بسیار زیادی از کاربران اینترنت به این بروز رسانی ها که بصورت خودکار انجام میشود در حالت عادی اهمیتی نمی دهند و حتی متوجه از کار افتادن این قابلیت نیز نیستند. از طرفی شاهد آن هستیم که در هر ماه چندین ضعف امنیتی جدید بر روی این نرم افزارها شناسایی و گزارش میشود که در اغلب موارد منجر به حصول دسترسی نفوذگر به سیستم و گسترش بد افزارها می گردد.  گواه این موضوع نیز بررسی لاگ های ثبت شده از کاربران بازدید کننده سایت های فارسی است. اگر شما نیز وب سایتی دارید که آمار بازدید کننده بالایی دارد کافیست نگاهی به اطلاعات ثبت شده از کاربران خود کنید. اغلب سیستم های کنترل و آمارگیری کاربران سایت (مثل Google Analytics و سایر سرویس های مشابه) به شما این امکان را می دهند تا گزارشی از کاربران سایت، بر طبق نسخه مرورگر، نسخه Flash و نسخه JRE مورد استفاده آنها داشته باشید. با همین بررسی ساده خواهید دید که چند درصد از کاربران از نسخه های قدیمی و یا دارای مشکلات امنیتی شناخته شده استفاده می کنند.

شرایط کنونی تحمیل شده به کاربران اینترنت در ایران، مثالی عینی از همان چوب دو سر طلاست ! دولت ایران از سویی استفاده از ابزارهای عبور از فیلترینگ را محدود کرده و با سرویس دهندگان و استفاده کننده گان VPN برخورد و مقابله می کند و مانع استفاده از این دسته سرویس ها می شود، و از سوی دیگر کاربران در صورتی که با آدرس های IP واقعی خود به مرور در اینترنت بپردازند با مشکلات ذکر شده و تهدیدات ناشی از آن روبرو هستند.  در هر دو صورت این کاربر نهایی است که مورد تهاجم قرار گرفته و آلوده می شود. جالب اینجاست که هر سال نیز میلیون ها تومان از بودجه مملکت صرف ساماندهی همین موارد و مقابله با چنین تهدیداتی میشود و این در شرایطی است که خود دولت و سیاست های آن بصورت غیر مستقیم باعث و بانی این مشکلات می باشد.