وقتی تلفن همراهتان شما را تسلیم خرابکاران میکند!
آنچه در ادامه میخوانید نگرانی خارجیها از بابت جمعآوری دادههای متنوع مربوط به ابزارهای هوشمند، از طریق شبکههای بیسیم است. ابزارهای هوشمندی که این روزها همانند جزیی از یدنمان، آنها را دایما با خودمان اینطرف و آنطرف میبریم.
یک پزشک: آنچه در ادامه میخوانید نگرانی خارجیها از بابت جمعآوری دادههای متنوع مربوط به ابزارهای هوشمند، از طریق شبکههای بیسیم است. ابزارهای هوشمندی که این روزها همانند جزیی از یدنمان، آنها را دایما با خودمان اینطرف و آنطرف میبریم. شاید جامعه ما هنوز تا نمونههایی که در این مطلب به آن ها اشاره خواهد شد فاصله زیادی داشته باشد، اما همین الان هم فرودگاهها، فروشگاهها، کافیشاپها و بسیاری از رستورانهای ما به سرویس اینترنت رایگان از طریق وایفای مجهز شدهاند.
بحث بر سر این نیست که آیا شما در تلفنتان چیزی دارید که میخواهید از دیگران پنهان کنید یا نه. بحث بر سر این نیست که افشای اطلاعات ابزار شما برای شما زیان و برای نفوذگر (جمعآوری کننده) سود مالی به همراه دارد یا خیر. مساله این است که این دادهها به نحوی به شما مربوط هستند و حتی اگر در نهایت تصمیم بگیرید که آنها را با طیب خاطر در اختیار بقیه بگذارید، باید بدانید که چه میکنید.
تلاشهای بسیاری برای امن کردن سرویسهای وبی و برنامههای مبتنی بر اینترنت مشهور انجام شده است. این تلاشها به ویژه پیسیها را هدف گرفتهاند. اما یکی از درسهایی که ما از بررسی و تحلیل اتفاقاتی مشابه رسواییهای NSA میگیریم این است که به ازای هر نشت داده (data leak) که بواسطه ضعف یکی از وبسایتهای مشهور اتفاق میافتد، یک نفوذ و نشت داده مشابه هم در دنیای موبایل رقم میخورد. تجهیزات همراه ما را در معرض بزرگترین ریسکهای حمله و تحت نظر بودن قرار میدهند.
البته این NSA نیست که ما را تحت نظر قرار میدهد، بلکه شرکتهای کوچک و بزرگ و همینطور مجرمین هستند که افراد را در مقیاس کوچکتری ردگیری کرده و هدف قرار میدهند.
وایفایهای رایگان و عمومی (حتی به تدریج در ایران ما هم) به جزیی اصلی از سازوکار اپهای موبایلهای ما تبدیل شدهاند. اپل و گوگل هر دو سرویسهای موبایلیشان را به گونهای تنظیم کردهاند که از اطلاعات شبکههای بیسیم برای بالابردن سرعت و دقت موقعیتیابی استفاده کنند. شرکتهای مخابراتی شبکههای رایگان، باز و رمزنگاری نشدهای را در اختیار مردم میگذارند تا بار دکلهای مخابراتی را سبکتر کنند و افراد بتوانند به اینترنتی سریعتر دسترسی پیدا کنند و فروشگاهها، فستفودها و کافهها غالبا از این شبکهها برای تامین رضایت بیشتر مشتریان بهره میبرند.
این کار راحتی بیشتری را برای کاربران فراهم میآورد ولی در عین حال نقطه مناسبی هم برای حمله خرابکاران یا هر کس دیگری فراهم میکند که بخواهد در ارتباطات باندپهن مردم فضولی کند. یک نمونه ساده این که اگر یک وایفای باز و بدون گذرواژه با نام attwifi داشته باشید (نامی که AT&T برای شبکههایش استفاده میکند) آیفونها و ابزارهای اندرویدی با تنظیمات پیشفرض به صورت اتوماتیک به آن متصل میشوند.
مواظب اکسس پوینتهای شیطانی باشید
زمانی که حملهکنندهها به یک دستگاه دسترسی پیدا کرده و آن را به عنوان یک نقطه دسترسی که توسط شرکتی معتبر فراهم شده جا میزنند، اشتراک اینترنت خود را به راه میاندازند تا افراد به سادگی بتوانند تمام کارهایی را که در حالت عادی انجام میدهند، به انجام برسانند. اما در کنار آن حملهکنندهها میتوانند به سادگی کل ارتباطات افرادی که به آن شبکه متصل شدهاند را شنود کنند. نکته اینجاست که این اکسسپوینت لازم نیست سختافزاری خاص و طراحی شده باشد یا حتی توسط یک لپتاپ معمولی با یک کارت شبکه اضافه کنترل شود. هرکسی با دانشی متوسط میتواند یک گوشی موبایل را روت کرده و آن را به پلتفرم حمله سیار تبدیل کند.
حتی لازم نیست حمله کننده شبکهاش را با نام attwifi یا چیزهای عمومی معرفی کند. اخیرا نفوذپذیری جدیدی توسط EvilAP نصب شده روی PwnPlug نشان داده شده است.
این بدافزار منتظر درخواستهای جستوجوی (probe request) شبکه که از دستگاههای همراه صادر میشود میماند. این درخواستهای جستوجو، دربردارنده SSID شبکههایی که دستگاه اخیرا به آنها وصل شده نیز هستند. به این ترتیب اکسس پوینت میتواند با گرفتن این نامها خودش را به عنوان یکی از آنها جا بزند! اگر دستگاه مورد نظر برای اتصال خودکار به آن شبکه تنظیم شده باشد، کار نفوذ با موفقیت به پایان رسیده است.
این کار میتواند افراد را در معرض حملههای man-in-the-middle قرار دهد و حتی رمزنگاریهای سرویسهای وبی را دور بزند.
فقط گوش میدهند
حتی بدون فریب دادن دستگاه شما برای اتصال مستقیم، یک حملهکننده (یا یک کارمند یا یک فروشنده) میتواند به اطلاعاتی که شما از طریق وایفای جابهجا میکنید دسترسی داشته باشد. حتی ممکن است اتصال را به رایگان در اختیار شما قرار دهند تا به صورت قانونی به دادههای شما دسترسی داشته باشند.
مثلا Target اتصال رایگان را با توافقنامه خدماتی در اختیار کاربران میگذارد که حق جمعآوری دادههای مشخصی را از دستگاههای کاربران برای شرکت محفوظ میداند. برخی از مواردی که در این موافقتنامه ذکر شدهاند اینها هستند:
دادههای آماری: مثلا چه تعداد از کاربران در هر فروشگاه از این سرویس استفاده کردهاند.
دادههای نشست تماس: مثلا طول زمان اتصال
نوع دستگاهها: مثلا آیفون یا بلکبری
دادههای مرورگر: نسخه مرورگر و آدرس آیپی
دادههای فروشگاه: محل فروشگاهی که دستگاه در آن وصل شده است.
استفاده از خدمات خود Target: مثلا کوپنهای تخفیفی که استفاده شدهاند.
شماره اختصاصی دستگاه
وبسایتها و صفحاتی که بازدید شدهاند
بسته به نحوه پیکربندی شبکه، تقریبا هر کسی که به آن شبکه متصل است میتواند چنین دادههایی را از ارتباطات شما برداشت کند. مثلا کوکیهایی که اگر بدون رمزنگاری تبادل شوند بعدا میتوانند برای سرقت نشستهای مرورگر شما مورد استفاده قرار بگیرند. فروشگاهها حتی راههایی دارند که بدون استفاده ار وایفای دستگاه شما را ردگیری کنند!
با یافتن آدرس MAC دستگاه شما، سیگنالهای Heartbeat شبکههای سلولی، سیگنال بلوتوث یا موارد مشابه فروشگاهها میتوانند جابهجاییهای شما در فروشگاه را زیر نظر گرفته و حتی با سه آنتن موقعیت دقیق شما را تعیین کنند. یک فروشگاه بزرگ در ریچموند این قابلیت را در ۲۰۱۱ مورد آزمایش قرار داد، اما بعد مجبور شد آن را موقتا غیرفعال کند. این سرویس زمانی دوباره فعال خواهد شد که فروشگاه بتواند روشی برای فرار از این ردگیری را برای مشتریان فراهم کند.
ترکیبی از این قابلیت به همراه دوربینهای ویدیویی و تراکنشهایی که با کارتهای بانکی انجام میشوند (حتی به رغم اینکه دادهها ظاهرا بدون نام هستند) میتوانند به «شناسایی مشتریان» بیانجامد. مثلا صندوقداران مشتریان دایم را تشخیص دهند یا حتی آمار چیزهایی که آنها قبلا خریدهاند را کنترل کنند. فقط تصور کنید که چنین دادههایی اگر در اختیار شرکتهای امنیتی، خرابکاران یا حتی مقامات قانونی بیافتد چه استفادههای دیگری میتواند داشته باشد.
کابل بیسیم را بکشید!
راههای متنوعی برای کاهش ردپای موبایلتان وجود دارد. ابتداییترین شیوه این است که قابلیت «اتصال خودکار» به شبکههای بیسیم را غیرفعال کنید. حتی میتوانید فراتر رفته و اصلا در مکانهای ناشناس وایفای ابزارتان را خاموش کنید.
استفاده از VPNها میتواند دستگاه شما را از شر پایشهای غیرفعال (Passive) دور نگه دارد. البته برخی از شرکتها به عنوان جزیی از قرارداد استفادهشان، VPNها را مسدود میکنند.
البته یک راه ساده و قطعی برای فرار از تمام این معضلات وجود دارد! وقتی در جای ناشناسی هستید، تلفنهوشمند یا تبلتتان را خاموش کنید یا حداقل آن را روی حالت Airplane قرار دهید. به این ترتیب حداقل به بازیهای مورد علاقهتان دسترسی دارید!
بحث بر سر این نیست که آیا شما در تلفنتان چیزی دارید که میخواهید از دیگران پنهان کنید یا نه. بحث بر سر این نیست که افشای اطلاعات ابزار شما برای شما زیان و برای نفوذگر (جمعآوری کننده) سود مالی به همراه دارد یا خیر. مساله این است که این دادهها به نحوی به شما مربوط هستند و حتی اگر در نهایت تصمیم بگیرید که آنها را با طیب خاطر در اختیار بقیه بگذارید، باید بدانید که چه میکنید.
تلاشهای بسیاری برای امن کردن سرویسهای وبی و برنامههای مبتنی بر اینترنت مشهور انجام شده است. این تلاشها به ویژه پیسیها را هدف گرفتهاند. اما یکی از درسهایی که ما از بررسی و تحلیل اتفاقاتی مشابه رسواییهای NSA میگیریم این است که به ازای هر نشت داده (data leak) که بواسطه ضعف یکی از وبسایتهای مشهور اتفاق میافتد، یک نفوذ و نشت داده مشابه هم در دنیای موبایل رقم میخورد. تجهیزات همراه ما را در معرض بزرگترین ریسکهای حمله و تحت نظر بودن قرار میدهند.
البته این NSA نیست که ما را تحت نظر قرار میدهد، بلکه شرکتهای کوچک و بزرگ و همینطور مجرمین هستند که افراد را در مقیاس کوچکتری ردگیری کرده و هدف قرار میدهند.
وایفایهای رایگان و عمومی (حتی به تدریج در ایران ما هم) به جزیی اصلی از سازوکار اپهای موبایلهای ما تبدیل شدهاند. اپل و گوگل هر دو سرویسهای موبایلیشان را به گونهای تنظیم کردهاند که از اطلاعات شبکههای بیسیم برای بالابردن سرعت و دقت موقعیتیابی استفاده کنند. شرکتهای مخابراتی شبکههای رایگان، باز و رمزنگاری نشدهای را در اختیار مردم میگذارند تا بار دکلهای مخابراتی را سبکتر کنند و افراد بتوانند به اینترنتی سریعتر دسترسی پیدا کنند و فروشگاهها، فستفودها و کافهها غالبا از این شبکهها برای تامین رضایت بیشتر مشتریان بهره میبرند.
این کار راحتی بیشتری را برای کاربران فراهم میآورد ولی در عین حال نقطه مناسبی هم برای حمله خرابکاران یا هر کس دیگری فراهم میکند که بخواهد در ارتباطات باندپهن مردم فضولی کند. یک نمونه ساده این که اگر یک وایفای باز و بدون گذرواژه با نام attwifi داشته باشید (نامی که AT&T برای شبکههایش استفاده میکند) آیفونها و ابزارهای اندرویدی با تنظیمات پیشفرض به صورت اتوماتیک به آن متصل میشوند.
مواظب اکسس پوینتهای شیطانی باشید
زمانی که حملهکنندهها به یک دستگاه دسترسی پیدا کرده و آن را به عنوان یک نقطه دسترسی که توسط شرکتی معتبر فراهم شده جا میزنند، اشتراک اینترنت خود را به راه میاندازند تا افراد به سادگی بتوانند تمام کارهایی را که در حالت عادی انجام میدهند، به انجام برسانند. اما در کنار آن حملهکنندهها میتوانند به سادگی کل ارتباطات افرادی که به آن شبکه متصل شدهاند را شنود کنند. نکته اینجاست که این اکسسپوینت لازم نیست سختافزاری خاص و طراحی شده باشد یا حتی توسط یک لپتاپ معمولی با یک کارت شبکه اضافه کنترل شود. هرکسی با دانشی متوسط میتواند یک گوشی موبایل را روت کرده و آن را به پلتفرم حمله سیار تبدیل کند.
حتی لازم نیست حمله کننده شبکهاش را با نام attwifi یا چیزهای عمومی معرفی کند. اخیرا نفوذپذیری جدیدی توسط EvilAP نصب شده روی PwnPlug نشان داده شده است.
این بدافزار منتظر درخواستهای جستوجوی (probe request) شبکه که از دستگاههای همراه صادر میشود میماند. این درخواستهای جستوجو، دربردارنده SSID شبکههایی که دستگاه اخیرا به آنها وصل شده نیز هستند. به این ترتیب اکسس پوینت میتواند با گرفتن این نامها خودش را به عنوان یکی از آنها جا بزند! اگر دستگاه مورد نظر برای اتصال خودکار به آن شبکه تنظیم شده باشد، کار نفوذ با موفقیت به پایان رسیده است.
این کار میتواند افراد را در معرض حملههای man-in-the-middle قرار دهد و حتی رمزنگاریهای سرویسهای وبی را دور بزند.
فقط گوش میدهند
حتی بدون فریب دادن دستگاه شما برای اتصال مستقیم، یک حملهکننده (یا یک کارمند یا یک فروشنده) میتواند به اطلاعاتی که شما از طریق وایفای جابهجا میکنید دسترسی داشته باشد. حتی ممکن است اتصال را به رایگان در اختیار شما قرار دهند تا به صورت قانونی به دادههای شما دسترسی داشته باشند.
مثلا Target اتصال رایگان را با توافقنامه خدماتی در اختیار کاربران میگذارد که حق جمعآوری دادههای مشخصی را از دستگاههای کاربران برای شرکت محفوظ میداند. برخی از مواردی که در این موافقتنامه ذکر شدهاند اینها هستند:
دادههای آماری: مثلا چه تعداد از کاربران در هر فروشگاه از این سرویس استفاده کردهاند.
دادههای نشست تماس: مثلا طول زمان اتصال
نوع دستگاهها: مثلا آیفون یا بلکبری
دادههای مرورگر: نسخه مرورگر و آدرس آیپی
دادههای فروشگاه: محل فروشگاهی که دستگاه در آن وصل شده است.
استفاده از خدمات خود Target: مثلا کوپنهای تخفیفی که استفاده شدهاند.
شماره اختصاصی دستگاه
وبسایتها و صفحاتی که بازدید شدهاند
بسته به نحوه پیکربندی شبکه، تقریبا هر کسی که به آن شبکه متصل است میتواند چنین دادههایی را از ارتباطات شما برداشت کند. مثلا کوکیهایی که اگر بدون رمزنگاری تبادل شوند بعدا میتوانند برای سرقت نشستهای مرورگر شما مورد استفاده قرار بگیرند. فروشگاهها حتی راههایی دارند که بدون استفاده ار وایفای دستگاه شما را ردگیری کنند!
با یافتن آدرس MAC دستگاه شما، سیگنالهای Heartbeat شبکههای سلولی، سیگنال بلوتوث یا موارد مشابه فروشگاهها میتوانند جابهجاییهای شما در فروشگاه را زیر نظر گرفته و حتی با سه آنتن موقعیت دقیق شما را تعیین کنند. یک فروشگاه بزرگ در ریچموند این قابلیت را در ۲۰۱۱ مورد آزمایش قرار داد، اما بعد مجبور شد آن را موقتا غیرفعال کند. این سرویس زمانی دوباره فعال خواهد شد که فروشگاه بتواند روشی برای فرار از این ردگیری را برای مشتریان فراهم کند.
ترکیبی از این قابلیت به همراه دوربینهای ویدیویی و تراکنشهایی که با کارتهای بانکی انجام میشوند (حتی به رغم اینکه دادهها ظاهرا بدون نام هستند) میتوانند به «شناسایی مشتریان» بیانجامد. مثلا صندوقداران مشتریان دایم را تشخیص دهند یا حتی آمار چیزهایی که آنها قبلا خریدهاند را کنترل کنند. فقط تصور کنید که چنین دادههایی اگر در اختیار شرکتهای امنیتی، خرابکاران یا حتی مقامات قانونی بیافتد چه استفادههای دیگری میتواند داشته باشد.
کابل بیسیم را بکشید!
راههای متنوعی برای کاهش ردپای موبایلتان وجود دارد. ابتداییترین شیوه این است که قابلیت «اتصال خودکار» به شبکههای بیسیم را غیرفعال کنید. حتی میتوانید فراتر رفته و اصلا در مکانهای ناشناس وایفای ابزارتان را خاموش کنید.
استفاده از VPNها میتواند دستگاه شما را از شر پایشهای غیرفعال (Passive) دور نگه دارد. البته برخی از شرکتها به عنوان جزیی از قرارداد استفادهشان، VPNها را مسدود میکنند.
البته یک راه ساده و قطعی برای فرار از تمام این معضلات وجود دارد! وقتی در جای ناشناسی هستید، تلفنهوشمند یا تبلتتان را خاموش کنید یا حداقل آن را روی حالت Airplane قرار دهید. به این ترتیب حداقل به بازیهای مورد علاقهتان دسترسی دارید!
پ
برای دسترسی سریع به تازهترین اخبار و تحلیل رویدادهای ایران و جهان
اپلیکیشن برترین ها
را نصب کنید.
ارسال نظر