تیمی از پژوهشگران دانشگاه ایالتی آریزونا ASU در وب تاریک به دنبال آسیب‌پذیری‌های روز-صفرم و تهدیدات فوری امنیت سایبری می‌گردند!

آیا کارشناسان می‌توانند آسیب‌پذیری‌های روز-صفرم را با مرور و جستجوی وب تاریک پیدا کنند؟‌ محققان امنیتی در دانشگاه ایالتی آریزونا فکر می‌کنند که جواب این سؤال مثبت است و آن‌ها در این زمینه موفقیت‌هایی کسب کرده‌اند. در یک مقاله با عنوان «کاوش وب تاریک در جستجوی تهدیدات هوشمند و فوری امنیت سایبری» این گروه که متشکل از ۱۰ نفر است به بررسی امکانات شناسایی آسیب‌پذیری‌های روز-صفرم در انجمن‌های وب تاریک و وب عمیق، قبل از اینکه این آسیب‌پذیری‌ها بتوانند در حملات استفاده شوند؛ پرداخته‌اند.

بنابراین تحقیق، کاوش‌های متعدد داده‌ها و تکنیک‌های آموزش ماشینی در تجزیه و تحلیل بحث‌های انجمن‌هایی که در آن‌ها کدهای مخرب در قبال بیت‌کوین به فروش می‌رسد و نتایج اولیه حاصل این مطالعات دلگرم‌کننده بوده‌ است.

به‌عنوان مثال در این مقاله تروجان Dyre که توسط شرکت FireEye در ماه جولای سال گذشته کشف شد، به‌صورت برجسته شرح داده شده است.

در فوریه سال ۲۰۱۵، مایکروسافت یک آسیب‌پذیری اجرای کد از راه دور را در ویندوز MS۱۵-۰۱۹ گزارش داد. بنا بر تحقیق این گروه، هیچ نوع بهره‌برداری برای این آسیب‌پذیری تا آوریل سال ۲۰۱۵ وجود نداشت تا اینکه در این زمان یک بهره‌برداری (Dyre) که از این آسیب‌پذیری استفاده می‌کرد، در یکی از وب‌گاه‌های بازار وب تاریک ظاهر شد که به قیمت ۴۸ بیت‌کوین یا ۱۰ هزار تا ۱۵ هزار دلار به فروش می‌رفت. با استفاده از این اطلاعات، این محققان شروع به کار برای ایجاد یک فرایند خودکارسازی جمع‌آوری اطلاعات از این بازارها کردند که به جستجوی کلید واژه‌هایی که می‌توانند پالایش شوند پرداخته و حتی‌الامکان کدهایی مخربی را که می‌توانند به فروش برسند طبقه‌بندی کند. نتایج کار تاکنون قابل‌توجه بوده است.

در حال حاضر این تیم ۲۷ بازار و بیست و یک انجمن را که در آن‌ها هر چیزی از کوکایین تا آخرین بهره‌برداری ادوبی به فروش می‌رسید ردیابی می‌کنند  و این جایی است که آن‌ها در آن به چالش کشیده می‌شوند.

بسیاری از اطلاعاتی که آن‌ها در این انجمن‌ها جمع‌آوری می‌کنند، داده‌های غیرموثق هستند که هیچ ربطی به امنیت سایبری ندارند. برای مثال کلمه‌ی «SALE» می‌تواند به‌عنوان تلفظ غلط به‌عنوان یک سامانه خودکار قلمداد شود و درنتیجه به‌راحتی نادیده گرفته شود.

یک چالش دیگری که البته وجود دارد، انواع تغییرات کلمه‌ها هستند به‌خصوص آن‌هایی که در انجمن‌های نفوذگری عمومی نظیر «S۴L۳» استفاده می‌شوند. باوجود این چالش‌ها، این گروه ثابت کرده است که این خودکارسازی دارای ارزش جدید در شناسایی آسیب‌پذیری‌های روز-صفرم در جهان خارج است و ظرف مدت چهار هفته توانسته است تا ۱۶ آسیب‌پذیری روز-صفرم را کشف کند. با وجوداین موفقیت‌های اولیه، خودکارسازی شکار آسیب‌پذیری‌های روز-صفرم ممکن است در حد یک ایده باقی بماند.

قرار گرفتن در موضع سمت چپ زنجیره حمله، برای یک سال است که تاکنون موضع بحث بوده است که در آن گروه‌هایی بر این تمرکز کرده‌اند تا اطلاعات خود را در مرحله قبل از شناسایی در انجمن‌های جنایی به دست آورند، تاکنون این رویکردها نتایج مختلفی را در برداشته است.

یکی از مهم‌ترین چالش‌ها در رویارویی با انجمن‌های سایبری و استفاده از تکنیک‌های جمع‌آوری اطلاعات در آن‌ها، تغییر پیوسته‌ی خود این انجمن‌ها است.

مجرمان سایبری، هر چه بیشتر از این موضوع آگاه می‌شوند که آنچه آن‌ها می‌توانند بر سر اهداف خود بیاورند، هدف‌های آن‌ها نیز می‌توانند بر سر خود آن‌ها بیاورند. این بازی موش و گربه برای تغییر تکنیک‌ها، تنها موجب آگاهی موقعیت دشمن و اجبار برای تغییر رفتار آن‌ها می‌شود.

دسترسی به انجمن‌ها به‌صورت فزاینده‌ای سخت‌تر و پیچیده‌تر می‌شود و فرایندهای نظارتی ایجاد می‌شوند تا محققان سایبری و مأموران قانونی را که می‌خواهند آسیب‌پذیری‌های روز-صفرم را قبل اینکه به قربانیان خود ضربه بزنند کشف کنند، از این اماکن دور نگه دارند.

در سال ۲۰۱۳، اف‌بی‌آی، در طی عملیاتی یک بازار غیرقانونی را که اصطلاحاً جاده ابریشم نام داشت و همه چیز را از هروئین تا استخدام افراد قاتل عرضه می‌کرد، متلاشی کرد. مدارک دادگاه نشان می‌داد که اف‌بی‌آی از بسیاری از تکنیک‌های تحقیقاتی سنتی در از بین بردن این بازار استفاده کرده بود اما علاوه بر آن‌ها از تکنیک‌های سایبری نیز به‌عنوان ابزاری برای از بین بردن شبکه‌هایی که جاده ابریشم بر روی آن‌ها بنا شده بود استفاده کرده بود.

در کل در این عملیات ۴ میلیون دلار به‌صورت بیت‌کوین ضبط شد و «راس اولبریخت» نیز به‌عنوان سامان‌دهنده شبکه دستگیر شد. باوجود تلاش‌های اف‌بی‌آی، جاده ابریشم دوباره به‌عنوان «جاده ابریشم ۳» راه‌اندازی شد و در حمایت از این پروژه گفته شد که «این پروژه یک به‌روزرسانی امنیتی قوی را در بر داشته و طراحی آن اصلاح شده است» تا بتوانند به‌احتمال‌زیاد مأموران را از آن دور نگه دارند.

اما این فقط مجرمان سایبری نیستند که تکنیک‌های خودکارسازی را دشوار می‌بینند، تغییرات صورت گرفته در چشم‌انداز تهدید موجب شده است تا تغییراتی در روش‌های عرضه اطلاعات هوشمند سایبری صورت گیرند. دامنه حملات نیز همچنان در حال تکامل است.

کوین ماندیا، مدیرعامل جدید FireEye خاطر نشان می‌کند: «همچنان که تغییرات کنونی در محیط تهدیدها به سمت نفوذهایی با دامنه‌های کوچک‌تر حرکت می‌کنند، برخی از سازمان‌ها ممکن است امید داشته باشند که بتوانند بهترین نوع تشخیص را به کار برند». این تغییر در نوع نگرش می‌تواند هزینه‌های تحقیق و توسعه پروژه‌ها را در جستجوی آسیب‌پذیری‌های روز-صفرم به نفع واکنش و پاسخ به حادثه کاهش دهد و سمت راست زنجیره حمله که دقیقاً مخالف گروه ASU است، معتقد سازد که این کار تفاوت ایجاد خواهد کرد.

بنابراین مقاله، محققان ASU، در حال حاضر، در حال فروش سامانه‌ خود هستند تا بتوانند هزینه‌های تحقیقات آتی خود را تأمین کنند و چرا که نه؟ سامانه جمع‌آوری و تجزیه‌ی آن‌ها تنها به جمع‌آوری آسیب‌پذیری‌های روز-صفرم نمی‌پردازد بلکه به گردآوری بیش از ۳۰۰ تهدید و هشدار سایبری سطح بالا در هفته می‌پردازد که موجب می‌شود تا یک منبع ارزشمند برای اطلاعات عملی باشد.

امید بر این است که پروژه‌ی ASU، جایی پیدا کند که بتواند سامانه خود را به بلوغ برساند. نسخه‌های بعدی این سامانه احتمالاً شامل گردآوری و تجزیه و تحلیل سایر انواع اطلاعاتی است که در وب تاریک و عمیق فروش می‌شوند، نظیر اطلاعات کارت‌های اعتباری به سرقت رفته و سوابق پزشکی و دیگر فعالیت‌های جنایی از این دست.

منبع: asis

        درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.