هدف از این پست در ابتدا اطلاع رسانی به کلیه کاربران اینترنت در ایران و بخصوص سرویس گیرندگان از شرکت داتک، و پس از آن اعتراض به عملکرد و سو استفاده های اخیر شرکت داتک از اعتماد کاربران خویش است. امیدوارم با اطلاع رسانی عمومی در خصوص موارد مشابه، شرکت ها و حتی دولت کمتر به خود اجازه پیاده سازی چنین فعالیت هایی بدین صورت و وقاحت را بدهند.
شرکت محترم داتک، اقدام به جعل گواهی SSL (SSL Man In The Middle Attack) وب سایت ها و سرویس های شرکت های معتبری همچون یاهو و گوگل، خلاف قانون (حتی طبق قوانین ایران) بوده و قابل پیگرد بصورت قضایی و قانونی می باشد. شنود فعالانه ارتباطات (رمز شده) تنها و تنها به دستور کتبی مقامات قضایی مجاز می باشد، و مفتضحانه ترین اقدامی است که یک شرکت می تواند در قبال کاربران سرویس اینترنت خود انجام دهد. این پست اگر چه با 4 هفته تآخیر منتشر می گردد اما محتوای اصلی آن تغییری نکرده است. تنها علت به تعویق افتادن ارسال نیز دادن فرجه فنی و رسمی به شرکت داتک برای دادن جواب و پاسخی قانع کننده بوده که متآسفانه به نتیجه نرسید.
موارد نوشته شده در این پس نه صرفآ فرضیات بلکه حدس های فنی بر پایه تجربه و مدارک و مستندات فنی می باشد. با توجه به فرجه چند هفته ایی داده شده به داتک برای مشخص کردن علت موضوع، بعد از این هر نوع ماست مالی فنی قابل قبول نیست.
از بیش از 2 ماه پیش شاهد آن بودم که بطور کاملآ تصادفی و در بازه های زمانی نامشخص و کوتاهی، دسترسی به سرویس های POP3S و WebMail پست الکترونیک شرکت های گوگل و یاهو با اختلال مواجه می گردد. این اختلال بعد از چند روز تبدیل به اتفاقات جالب تری شد. جالب از این رو که با تلاش برای اتصال به سرویس های پست الکترونیک یاهو و گوگل، بجای گواهی معتبر SSL همیشگی، با یک گواهی غیر معتبر که کاملآ ناشیانه نیز جعل شده بود مواجه می شدم. با توجه به موردی بودن این پیشامد و مشاهده آن تنها بصورت موردی، ذهن من اول از همه به سمت آلوده بودن سیستم خودم و پس از آن به شیطنت های شرکت مخابرات کشیده شد. اما با اطمینان حاصل کردن از اینکه مشکل از سمت سیستم های من نیست، در آن دوره مشکل به فراموشی سپرده شد. با تکرار این موضوع پس از یک هفته موضوع کمی جالب تر شد. اینبار حمله کننده کمی سماجت خود را بیشتر کرده و ساعات و دفعاتی که حمله رخ میداد بیشتر شده بود بطوری که در بازه زمانی 40 تا 30 روز گذشته تقریبآ هر روز این مورد به مدت چند ساعت تکرار میشد. با تکرار حملات امکان دقت بیشتر به جزئیات آن نیز فراهم میشد.
با توجه به اینکه شک من به حمله بصورت هدفمند (Targetted) بود، با چند نفر از دوستان دیگری که از شرکت داتک سرویس دریافت می کردند نیز این موضوع را کنترل کردم که در ابتدا حدس من را بیشتر به یقین نزدیک کرد، اما با گذشت زمان، اعلام مشکل مشابه از سوی برخی دیگر از دوستان و بعد از تماس های مختلف با شرکت مشخص شد که این حمله بصورت نیمه هدفمند در حال انجام است. منظور از نیمه هدفمند این است که سیاست ظاهرآ بر این بوده است که در آن واحد کلیه کاربران و سرویس گیرندگان بصورت همزمان مورد حمله قرار نگرفته و تنها بخشی از آنها ( 40% کاربران) تحت پوشش نرم افزار/سیستم حمله قرار می گیرند. این درصد نیز اعلام شده از سوی واحد رسیدگی به شکایات شرکت داتک می باشد که به گفته مسئولی که پس از شکایت من به شرکت، با من تماس گرفت به این صورت اعلام شد : "طبق آمار ما که بر اساس تماس های گرفته شده با بخش پشتیبانی است، حدود 40% از کاربران ما مشکل شما ، یعنی اختلال در دسترسی به ایمیل را دارند..." . بسیار خوب. پس یک تلاش برای شنود و سرقت اطلاعات با این وسعت و به این شکل، از دید داتک تنها "مشکل و اختلال در دسترسی به ایمیل" خوانده میشود. علت انتخاب این سیاست و روش پیاده سازی حمله را در ادامه توضیح خواهم داد.
از دید من بعنوان کسی که بیش از 8 سال است با این قبیل فعالیت ها آشنایی دارد و از بخت بد شرکت داتک با برخی از فعالیت های غیر رسمی این شرکت و روابط آن نیز آشناست، اینکه این مورد یک حمله و تلاش برای شنود و استخراج اطلاعات خاص بوده و نه یک اشتباه فنی (سهوی یا عمدی) در شرکت، و نه حتی یک حمله صورت گرفته توسط شخص سومی به داتک برای سو استفاده از سیستم های آنها، کاملآ مشخص است. همانطور که من برای این ادعا توجیه و دلایل فنی در اختیار دارم، و به شرکت داتک ارائه دادم، شرکت نیز در صورت خلاف بودن این ادعا می بایست به همان صورت و با دادن توضیحات فنی، و نه توجیه با مزخرفاتی همچون اختلال مقطعی در دسترسی به سرویس ایمیل و راهنمایی برای خاموش و روشن کردن مودم برای حل مشکل، پاسخگو می بود.
در زمان بروز حملات، با توجه به قابل پیش بینی بودن زمان بروز آنها و همچنین تکرار آن بصورت مداوم، برای من این سوال ایجاد شد که کدامیک از روتر ها و یا Gateway های مسیر، مسبب بروز مشکل است. با یک مقایسه ساده مسیر عبور (Route) ترافیک در زمانی که مشکلی وجود نداشت و در خلال فعال بودن حمله، این مورد به وضوح مشخص شد. یکی از Gateway های شرکت داتک مسبب بروز این مشکل بود. خروجی های Traceroute زیر نشان دهنده مسیر عبور ترافیک در هر دو حالت (معمولی و زمان حمله) می باشد. همانطور که در تصاویر مشخص است، در زمان بروز حمله، کلیه ترافیک بجای عبور از Gateway همیشگی (81.91.128.114)، از یک Gateway ثانویه (81.91.128.118) عبور می کند. نکته جالب در زمان حمله این بود که ترافیک بصورت کاملآ انتخابی به Gateway شنود هدایت میگردید. بطور مثال تنها در زمان حمله و در صورت تلاش برای دسترسی به یکی از وب سایت های تحت حمله، ترافیک کاربر به سمت این Gateway خاص هدایت میشد. در موردی که من مشاهده کردم، در یکی از بازه زمانی حمله که تنها سرویس لاگین Google تحت حمله بود، در صورت تلاش برای دسترسی به سایر وب سایت ها ترافیک کاربر از 81.91.128.114 عبور داده می شد و تنها در صورتی که هدف کاربر دسترسی به سرورهای لاگین Google بود، ترفیک از طریق 81.91.128.118 هدایت می گردید.
مسیر ترافیک قبل از حمله
مسیر ترافیک در زمان حمله
دلیل انتخاب این روش نیز برای افرادی که با مکانیزم این حملات آشنا هستند مشخص است. در حملاتی از این دست، بمنظور جلوگیری از ایجاد گلوگاه (Bottleneck) بر روی سیستم شنود، سعی میشود همواره حداقل ترافیک ممکن و بصورت مشخص به سمت آن هدایت شود تا حمله کننده هم با Packet Loss کمتری مواجه باشد و هم قربانی حمله با اختلال و کندی محسوسی در دسترسی به وب سایت تحت حمله مواجه نباشد.
بیش از این نیازی به اثبات این اتفاق و آوردن دلایل فنی برای استفاده مشخص از لفظ حمله نیست، اما با کمی دقت بیشتر، می توان جزئیات بیشتری از ناشیگری شرکت داتک ( و سایر وابستگان) را در پیاده سازی این حمله بدست آورد. برای این منظور من سعی کردم اطلاعاتی راجع به Fingerprint گواهی جعلی مورد استفاده برای شنود بدست آورم. همانطور که قابل حدس بود این گواهی بصورت رسمی ثبت نشده است. اگرچه این گواهی به ظاهر مربوط به یکی از برنامه نویسان Debian بوده و یک گواهی رسمی نیست، اما همین گواهی شخصی نیست به ثبت نرسیده است.
تلاش زیادی لازم نیست. برای بدست آوردن کمی اطلاعات راجع به این مورد کافیست آدرس ایمیل ثبت شده در گواهی جعلی را با یک کلمه کلیدی مثل "MiTM" همراه کرده و ( اصلاح میکنم که خروجی بدست آمده در این حالت و مورد آورده شده در کادر تصویر زیر، مشخصآ مربوط به آدرس ایمیل موجود در گواهی جعلی نیست. اما این چیزی از اصل موضوع را تغییر نمی دهد!) در گوگل جستجو کنید :
فکر نمیکنم توضیح خاصی لازم باشد! البته برای دست اندرکاران این موضوع متآسف هستم که حتی در چنین مواردی هم به بیگانگان و استکبارجهانی وابسته هستند اما باز هم فریاد " ما میتوانیم" آنها گوش فلک را کر کرده است. برادر من حداقل از یک گواهی Self-Sign بغیر از آن چیزی که برنامه نویس ابزار و سیستم به شما تحویل داده استفاده می کردید، تا بعدآ گند کار به این شدت مشخص نشود. بدون وجود این نشانه ها شرکت داتک شاید می توانست این توجیه فنی را بیاورد که مثلآ در تنظیمات Cache Server مشکلی رخ داده و یا ترافیک SSL نیز به اشتباه توسط سیستم ها مورد پردازش قرار گرفته است، و دلایل دیگری از این دست... اما با وجود چنین موارد و گاف های غیر قابل انکار، جایی برای توجیه باقی نمی ماند!
البته این اواخر سوتی فوق ظاهرآ پوشش داده شد و از یگ گواهی جعلی که کمی کمتر افشاگری کند مورد استفاده قرار گرفت. هر دو گواهی جعلی مورد استفاده در طول حملات از طریق لینک های زیر قابل دریافت است.
اینکه هدف از انجام این حمله چه بوده شاید بطور قطعی مشخص نباشد اما حدس هایی که در مورد آن می توان زد نیز چندان دور از ذهن نیست. با توجه به اتفاقات رخ داده در طی یکسال گذشته در کشور، دولت و برخی ارگان های خاص الزام و البته علاقه عجیب و خاصی به قابلیت سرک کشیدن در حریم خصوصی کاربران اینترنت را پیدا کرده اند که شنود ایمیل ها و فعالیت های اینترنتی ساده ترین موارد آن می باشد. البته و صد البته شنود و کنترل و نظارت بر فعالیت های اینترنتی کاربران در همه کشورهای دنیا عرف بوده و به هیچ عنوان چیز جدید و حل نشده ایی نیست، اما نه به این روشی که در ایران پیاده سازی و آزمایش می شود! با توجه به سیاست های شرکت گوگل و لحاظ کردن برخی تمهیدات ساده اما موثر امنیتی از همان ابتدای سرویس دهی، گوگل تبدیل به یک مشکل جدی در این زمینه شده است. با توجه به اینکه اخیرآ گوگل گزینه HTTPS Mail را نیز جزو تنظیمات پیش فرض سیستم خود در آورده است ( این مورد قبلآ انتخابی بوده و می بایست توسط کاربر فعال میشد) کار بیش از پیش مشکل گردید زیرا در سرویس هایی مثل پست الکترونیک یاهو اولآ دسترسی به سرویس های POP و IMAP برای کاربران معمولی وجود ندارد و ثانیآ از HTTPS تنها در زمان ورود به سیستم استفاده می شود. از دید من این حمله و تمرکز آن تنها بر روی سروییس های گوگل تنها یک کاربرد داشت : تلاش برای بدست آوردن کلمات عبور کاربران، در سطح گسترده. و البته شرکت داتک و کاربران آن در این پروژه ظاهرآ نقش موش آزمایشگاهی و قربانیان فاز پایلوت این پروژه بوده اند.
در صورتی که شما یا دوستان شما نیز جزو افرادی بوده اند که این حمله را مشاهده کرده اند، در بخش کامنت های بلاگ عنوان کنید. سایر افراد نیز ممکن است در این مورد مطلبی نوشته باشند که من تنها از یکی از آنها مطلع شدم. بررسی این مورد از دیدگاه سایرین نیز جالب توجه خواهد بود.
توصیه به کاربران اینترنت: اگر شما نیز جزو افرادی بوده ایید که قربانی چنین حملاتی شده ایید، نشانه ایی از حملات مشابه را دیده ایید و یا حتی اصلآ ندیده ایید!!! اولین توصیه دقت به توصیه های امنیتی و کنترل صحت گواهی های SSL ، و توصیه دوم و اکید، اقدام به تغییر کلمات عبور کلیه پست های الکترونیک خود بصورت دوره ایی و مکرر است. البته نه در زمانی که در حال شنود ترافیک شما هستند :)
این اتفاق، من را به یاد یکی از پست های قبلی خودم انداخت. از اینکه برادران با این جدیت و پشتکار در حال ادامه فعالیت هستند و به تلاش های خود ادامه می دهند به نوبه خودم سپاسگذاری میکنم و این پست را نیز با یک جمله به اتمام می رسانم : " خدا قوت اخوی..." .
این اتفاق، من را به یاد یکی از پست های قبلی خودم انداخت. از اینکه برادران با این جدیت و پشتکار در حال ادامه فعالیت هستند و به تلاش های خود ادامه می دهند به نوبه خودم سپاسگذاری میکنم و این پست را نیز با یک جمله به اتمام می رسانم : " خدا قوت اخوی..." .