باجافزارها، چالش این روزهای امنیت اطلاعات
علیرضا ثانی (کارشناس ارشد امنیت فناوری اطلاعات) - مدارس، بیمارستانها، سازمانهای دولتی، از کسبوکارهای کوچک گرفته تا کسبوکارهای بزرگ؛ هیچیک از این انواع سازمانها از گزند باجافزارها در امان نبودهاند. بدافزارهای موذی، که با شناسایی داراییهای دیجیتالی قربانی و رمز یا قفل کردن آنها، برای آزادسازی داراییهای رمزشده باجخواهی میکنند.
دسترسی نداشتن هر یک از قربانیان فوق به اطلاعات خود، پیامدهای فاجعهباری بهدنبال دارد که بهوجود آمدن اختلال در انجام عملیات روزانه سازمان، بروز خسارت مالی ناشی از ازدستدادن اطلاعات و لطمهای که به اعتبار یک سازمان وارد میشود، میتواند از جمله این پیامدها باشند.
البته این تهدید فقط متوجه سازمانها و مراکز بزرگ نبوده و میزان آسیبپذیری رایانههای خانگی نسبت به این باجافزارها اگر بیشتر نباشد کمتر نیست؛ از دستدادن دسترسی به داراییهای شخصی و غیرقابل جایگزینی مانند عکسهای خانوادگی، فیلمها و دیگر اطلاعاتی که برای افراد میتواند هزینهای بسیار سنگین و جبرانناپذیر بهدنبال داشته باشد.
با اینکه سالها از پیدایش باجافزارها میگذرد، اما بر اساس آمار مشخص شده که میزان حملات مبتنی بر این نوع بدافزار در سال 2015 میلادی افزایش چشمگیری داشته است. همچنین سازمانها بهدلیل توانایی مالی بیشتر برای پرداخت مبالغ گزاف بهعنوان باج، اهداف جذابتری برای مجرمان این حوزه بودهاند. با مطالعه آمار سه ماه ابتدایی سال 2016، روند افزایشی نرخ وقوع این نوع حملات (نسبت به مدت زمان مشابه در سال گذشته) مبین این مطلب است که در سال جدید، این نوع حملات قربانیان بیشتری را به کام خود خواهند کشید و متاسفانه همچنان سازمانها در مقابل اینگونه حوادث امنیتی بسیار آسیبپذیر بوده و از توانایی پاسخدهی بسیار پایینی برخوردارند.
در حملات باجافزارها قربانی یک ایمیل دریافت میکند که به ظاهر معمولی بهنظر میآید که دارای پیوستی عادی مانند یک صورتحساب یا یک سند الکترونیکی است، ولی پشت این ظاهر معمولی و بیخطر، کدهای مربوط به باجافزار نهفته است که با باز کردن این پیوست اجرا میشوند. حتی ممکن است یک ایمیل که حاوی آدرس یک تارنمای اینترنتی باشد که بهظاهر معمولی و بیخطر بهنظر برسد، با کلیک کردن روی آن قربانیان به یک سایت دیگر هدایت شوند و بلافاصله رایانه ایشان توسط نرمافزار مخرب آلوده شود.
پس از آلوده شدن، بدافزار شروع به پویش و رمز کردن فایلها و پوشهها و هر گونه درایو متصل به رایانه میکند. باجافزارها به این حد بسنده نکرده و نهتنها درایوها و فایلهای پشتیبان را رمز میکنند، بلکه نسبت به تکثیر و انتشار خود روی شبکهای که رایانه آلوده به آن متصل است اقدام میکنند.
معمولا قربانیان تا زمانی که قصد بازکردن فایلهای خود را نداشته باشند متوجه آلودهشدن سیستم خود نمیشوند، ولی پس از اولین تلاش برای دسترسی به اطلاعات، متوجه ممکن نبودن دسترسی به اطلاعات مذکور شده و پیامی دریافت میکنند که علاوه بر اطلاعرسانی در خصوص رمز شدن اطلاعات شخصی آنها، درخواست پرداخت مبلغی را در ازای دریافت کلید رمزگشایی اطلاعات میکنند. عموما این پیامها حاوی دستورالعمل و شیوه پرداخت باج بهوسیله بیتکوین (بهدلیل توانایی که در خصوص گمنامی دریافتکننده بهوسیله این پول مجازی فراهم میشود) است.
حملات مبتنی بر باجافزارها نهتنها رو به افزایش بوده، بلکه هر روز به میزان پیچیدگی آنها نیز افزوده میشود. چندی پیشتر، باجافزارها فقط از طریق هرزنامهها ارسال میشدند، اما بهدلیل بهبود خدماتدهندگان ایمیل در خصوص فیلتر کردن هرزنامهها، مجرمان فضای سایبری به حملات اسپیر فیشینگ روی آورده بودند. بهتازگی بر اساس نمونههای شناساییشده از باجافزارها، برخی از مجرمان فضای سایبری (برای انجام این حمله) از ایمیل استفاده نمیکنند؛ بر اساس گزارش یکی از کارشناسان دایره سایبری پلیس فدرال آمریکا، امروزه با پیشرفت روش حملات، نیاز به کلیک کردن کاربر روی یک آدرس اینترنتی نیز از بین رفته است. در واقع مجرمان با سوءاستفاده از پایگاههای اینترنتی مشروع و قانونی که توجهی به امنیت سیستمهای خود ندارند، به انتشار باجافزارها اقدام میکنند. به بیان دیگر لزوما دریافت یک ایمیل میتواند علت آلوده شدن سیستم شما نباشد، بلکه یکی از پایگاههای اینترنتی که معمولا از آن بازدید میکنید میتواند موجب آلوده شدن سیستم شما به باجافزار شود. آنچه موجب بهوجود آمدن این فرصت برای این مجرمان میشود، بیتوجهی کاربران برای بهروزرسانی سیستمها و نصب نکردن بهموقع وصلههای امنیتی است.
بهصورت کلی پرداخت مبلغ مورد تقاضای باجافزارها توصیه نمیشود، زیرا حتی با پرداخت باج خواستهشده هیچ تضمینی برای دسترسی شما به اطلاعات رمزشده وجود ندارد. بر اساس برخی از موارد مشاهدهشده، مجرمان حتی پس از دریافت مبلغ مورد تقاضا کلید رمزگشایی اطلاعات را به سازمان تحویل ندادهاند. پرداخت باج نهتنها موجب جسورتر شدن مجرمان کنونی این حوزه میشود، بلکه میتواند با ایجاد انگیزه برای دیگر مجرمان سایبری آنها را نیز به انجام این نوع حملات ترغیب کند و نهایتا با پرداخت باج، قربانی میتواند بهصورت غیرعمدی نقش سرمایهگذار برای دیگر عملیاتهای خلاف قانون مجرمان را بازی کند.
اگر آنچه را تاکنون مورد اشاره قرار گرفت بهعنوان مقدمه و طرح مساله در خصوص باجافزارها در نظر بگیریم، اکنون نوبت به ارایه راهحل در این خصوص خواهد بود. با توجه به اینکه تکنیکهای باجافزارها و نرمافزارهای مخرب دایما در حال تغییر هستند، شناسایی این حملات پیش از آلوده شدن امری دشوار است، اما سازمانها به شکل خاص میتوانند دو رویکرد کلی زیر را اتخاذ نکنند:
- برنامهریزی پیشگیرانه شامل افزایش سطح آگاهی کارکنان و پیادهسازی کنترلهای فنی قدرتمند.
- وجود برنامه استمرار کسبوکار مستحکم و کار بهمنظور استفاده پس از حمله باجافزار.
همواره باید این مطلب را در نظر داشت که در این خصوص هیچ راهحلی بهتنهایی راهگشا نخواهد بود، بلکه انجام مجموعهای از برنامههای پیشگیرانه و همچنین برنامههای جبرانی برای حفظ استمرار کسبوکار ضروری و حیاتی است که این برنامهها باید بهصورت مداوم مورد آزمون قرار گرفته تا میزان کارایی آنها مشخص و در صورت نیاز به اصلاح مورد بازنگری قرار گیرند.
از جمله اقداماتی که در ارتباط با رویکرد پیشگیرانه میتواند در فهرست انجام قرار گیرند، میتوان به موارد ذیل اشاره کرد:
- پیادهسازی برنامه آموزش و ارتقای سطح آگاهی کاربران شبکه. از آنجایی که این نوع حمله با هدف قرار دادن کاربران نهایی صورت میگیرد، آموزش کاربران بهخصوص باجافزارها و چگونگی عملکرد آنها امری ضروری است.
- اطمینان از بهروز بودن و نصب بودن آخرین وصلههای امنیتی روی سیستمهای عامل، نرمافزار، فریمویرهای دستگاهها. انجام این مهم را با استفاده از سیستمهای متمرکز مدیریت وصلههای امنیتی، میتوان تسهیل کرد.
- مدیریت سطوح دسترسی کاربران، با استفاده از پیادهسازی اصل حداقل دسترسی لازم. با این روش میتوان اطمینان حاصل کرد که سطح دسترسی مدیر سیستم فقط محدود به کاربرانی است که برای انجام وظایف محوله خود به آن نیاز دارند و این کاربران نیز فقط در مواقع لزوم از این سطح دسترسی استفاده خواهند کرد. (معمولا باجافزارها برای اجرا روی سیستمها نیاز به سطح دسترسی مدیر دارند.)
- پیکربندی کنترل دسترسی، شامل کنترل اجازه بهاشتراکگذاری شبکهها، فایلها و پوشهها با درنظر داشتن اصل حداقل دسترسی لازم. به این معنی که اگر کاربری برای انجام وظایف محوله خود فقط نیاز به خواندن فایل بهخصوصی دارد، امکان نوشتن روی آن فایل یا منبع نباید برای آن کاربر وجود داشته باشد.
- ماکروها اسکریپتها را در مجموعه مایکروسافت آفیس غیرفعال کنید. در نظر بگیرید برای باز کردن فایلهایی که از طریق ایمیل دریافت شدهاند از نسخه نمایشگر مایکروسافت آفیس به جای نسخه کامل آن استفاده شود.
- پیادهسازی خط مشی محدودسازی نرمافزارها یا دیگر راهکارهای کنترلی برای پیشگیری از اجرای برنامهها از مکانهایی که بهطور معمول مورد استفاده باجافزارها هستند مانند پوشههای فایلهای موقت مرورگرهای اینترنتی یا نرمافزارهای فشردهسازی و مسیر AppData/LocalAppData.
به همین صورت در ارتباط با رویکرد دوم، یعنی وجود برنامه استمرار کسبوکار نیز میتوان به موارد ذیل اشاره کرد:
- بهصورت منظم از دادههای خود نسخه پشتیبان تهیه کرده و از صحت و یکپارچگی این نسخ پشتیبان اطمینان حاصل کنید. به این منظور توصیه میشود برخی از نسخ پشتیبان را بازیابی کنید تا صحت آنها را مورد آزمون قرار دهید.
- نسخ پشتیبان خود را امن کنید. از اینکه نسخ پشتیبان به رایانهها و شبکههای اصلی متصل نیستند اطمینان حاصل کنید. برای مثال میتوان به ذخیرهسازی نسخ پشتیبان روی سرویسهای ذخیرهسازی ابری یا ذخیره آنها روی دیسکهای آفلاین اشاره کرد. برخی از نمونههای باجافزارها توانایی قفل کردن پشتیبانگیری ابری بهصورت همزمان را دارند. در نظر داشته باشید که نسخ پشتیبان پس از زمان آلوده شدن سیستم به باجافزار، نقش بسیار حیاتی در بازیابی اطلاعات شما ایفا میکنند.
هرچند هیچگاه امنیت را بهصورت مطلق و صددرصد نمیتوان درنظر گرفت، اما با رعایت کردن اصول اشارهشده فوق (هرچند ابتدایی و ساده) میتوان میزان آسیبپذیری سازمان را در مقابل این نوع حملات کاهش داد. البته اقداماتی که در این راستا میتوان انجام داد، به موارد گفتهشده محدود نبوده و همواره میتوان به این فهرست افزود. در پایان به برخی اقدامات دیگر که میتوان به این فهرست اضافه کرد اشاره میکنیم.
- اجرای خطمشی فهرست سفید برای برنامههای مجاز به اجرا روی شبکه. شما میتوانید با استفاده از این خطمشی اطمینان حاصل کنید که فقط نرمافزارهای شناختهشده توانایی اجرا روی اجزای شبکه شما را دارند.
- اجرای برنامههای عملیاتی یا برنامههای خاص در محیطهای مجازی.
- طبقهبندی اطلاعات بر اساس میزان اهمیت آنها برای سازمان و جداسازی منطقی و فیزیکی شبکه و اطلاعات بر اساس واحدهای مختلف سازمانی. (منبع:عصرارتباط)