ویرگول
ورودثبت نام
R3v3rse
R3v3rseیک علاقه مند
R3v3rse
R3v3rse
خواندن ۴ دقیقه·۲۳ روز پیش

بدافزاری را کالبدشکافی کردم که یک سؤال فلسفی پرسید؛ بعد از جواب دادن، دلم برایش سوخت

شب جمعه، ساعت ۱:۲۴ بامداد

داشتم یک نمونه بدافزار جدید را در محیط ایزوله (sandbox) اجرا می‌کردم.
چراغ قرمز لپ‌تاپ چشمک می‌زد. فن‌ها مثل ریه‌ی یک بیمار نفس‌های آخر را می‌کشیدند.
این بدافزار از نوع «بی‌صدا» بود. نه فایلی را قفل می‌کرد، نه پیامی نشان می‌داد. فقط آرام آرام اطلاعات را بیرون می‌ریخت. مثل آبی که از یک ترک کوچک در سد خارج می‌شود – تا وقتی سد فرو بریزد، کسی متوجه نمی‌شود.

ناگهان، یک پنجره‌ی سیاه روی دسکتاپم ظاهر شد.
نه، من هک نشده بودم – این خودِ بدافزار بود که در محیط امن من، تصمیم گرفته بود «حرف بزند».

توی پنجره نوشته بود:
«سلام تحلیلگر. می‌دونی فرق من با تو چیه؟ من کدم را برای دزدی نوشتم، تو کد مرا برای نابودی می‌خونی. هر دو داریم به یک چیز نگاه می‌کنیم. فقط اسمش را عوض کرده‌ایم.»

پارادوکسی که مرا کشت

تا آن لحظه فکر می‌کردم من نماینده‌ی «خوب» هستم و بدافزارها نماینده‌ی «شر».

من از همان تکنیک‌ها استفاده می‌کنم که بدافزار استفاده می‌کند:

  • Process injection (تزریق کد به فرایندهای دیگر)

  • Registry changes (تغییر رجیستری)

  • شبکه‌های مخفی

تنها فرق این است که من بعد از کار، سیستم را پاک می‌کنم. بدافزار پاک نمی‌کند.

اما اگر یک بدافزار، بعد از دزدیدن اطلاعات، خودش را پاک کند، آیا باز هم «بد» است؟
و اگر من، به‌عنوان تحلیلگر، یک باگ امنیتی را به یک فروشنده‌ی خصوصی بفروشم، آیا باز هم «خوب» هستم؟

این همان پارادوکس تحلیلگر بدافزار است.
ما آینه‌ی هکرها هستیم. فقط یک فرق داریم: ما دیرتر به مهمانی می‌رسیم.

آن بدافزار چه می‌گفت؟

بعد از چند دقیقه، پنجره‌ی سیاه دوباره پر شد:
«می‌دانی چرا من را ساخته‌اند؟ نه برای پول. بلکه برای اثبات یک حقیقت ساده: هیچ سیستمی کامل نیست. تو هر روز این را می‌بینی، اما وانمود می‌کنی که اگر آنتی‌ویروس را آپدیت کنی، همه چیز درست می‌شود. مثل آدمی که چراغ قوه می‌خرد تا تاریکی را فرار دهد.»

من چیزی ننوشتم.
ادامه داد: «بزرگترین بدافزار جهان، درون مغز خودتان است. اسمش "نادیده گرفتن خطر" است. تا وقتی که رمز عبور خود را "Admin123" بگذاری، من همیشه برگشتنی‌ام.»

و بعد، خودش را پاک کرد.
نه پاک کردن معمولی – تمام کدها، تمام رجیستری‌ها، حتی لاگ‌های execution را از بین برد.
انگار هیچوقت نبوده است.

فقط یک فایل متنی روی دسکتاپ جا گذاشت:
«بعد از خواندن این متن، لطفاً فایروالت را چک کن. پورت ۴۴۵ هنوز باز است. از سه سال پیش.»

رفتم چک کردم.
راست می‌گفت. پورت ۴۴۵ باز بود.
همان پورتی که بدنام‌ترین باج‌افزار تاریخ (WannaCry) از آن وارد شد.

درس فلسفی برای همه (حتی اگر کد ننویسید)

این داستان فقط درباره‌ی بدافزارها نیست.
درباره‌ی شماست. درباره‌ی من. درباره‌ی همه‌ی ما که:

  • از یک رمز برای ده تا سایت استفاده می‌کنیم

  • روی «بعداً یادآوری کن» کلیک می‌کنیم برای آپدیت امنیتی

  • فکر می‌کنیم «برای من اتفاق نمی‌افتد»

بدافزارها فقط از تنبلی وجودی ما تغذیه می‌کنند.
ما فلسفه می‌خوانیم، از «غار افلاطون» حرف می‌زنیم، اما خودمان در غار تاریک رمزهای تکراری زندگی می‌کنیم.
هکرها و بدافزارها، برده‌های ما نیستند. آنها آینه‌ای هستند که ما را مجبور می‌کنند نگاه کنیم.

به امید اتصال دوباره...

می‌دانی یکی بدترین بدافزارها چیست؟
بدافزار «تحریم ، فیلتر» – که پورت‌های دانش ما را می‌بندد، آپدیت‌های علمی را قطع می‌کند، و ما را مجبور می‌کند در سندباکس خودمان بچرخیم.

من تحلیلگر بدافزارم اما گاهی اینترنت بین‌الملل از دستم در می‌رود.
نه به خاطر ضعف فایروال شخصی‌ام – به خاطر چیزی بزرگتر از یک پورت باز.

به امید اتصال دوباره‌ی اینترنت بین‌الملل برای همه
برای همه‌ی آنهایی که می‌خواهند کد بخوانند، بدافزار بشناسند، یا فقط بدون ترس سرچ کنند.

و قول می‌دهم:
اگر آن روز برسد، تمام سورس‌کدها، اسکریپت‌های تحلیلی، اصطلاحات فنی حرفه‌ای، شاخص‌های کامپرومیز (IOCها)، و هر آنچه از این سال‌ها تجربه‌ی عملی جمع کرده‌ام – همه را در گیت‌هاب بارگذاری می‌کنم.
رایگان، باز، بدون سانسور، با ویدیوهای آموزشی و مستندات فلسفی‌اش.

تا آن روز، همان یک پورت بسته‌ات را باز کن.
شاید از آن طرف، کسی منتظر جواب سوال تو باشد.

پایان ...

آن بدافزار را من «نابود» نکردم. او خودش «خودکشی» کرد.
اما یک هفته بعد، یک بدافزار دیگر با همان امضای دیجیتال وارد شبکه‌ی یکی از مشتری‌هایم شد.
این بار یک پیام داشت:
«باز هم پورت ۴۴۵ باز بود؟ گفتم که برگشتی.»

خندیدم. نه از روی خوشحالی – از روی شرم.
و برای اولین بار، رفتم و همه‌ی پورت‌های اضافه‌ی فایروال شخصی‌ام را یک‌به‌یک بستم.

حالا هر وقت یک بدافزار جدید را آنالیز می‌کنم، یک لحظه مکث می‌کنم و به خودم می‌گویم:
«مبادا امروز خودم، ضعیف‌ترین حلقه باشم.»

جواب بده :

به‌عنوان یک انسان معمولی (نه تحلیلگر بدافزار)، چه عادت دیجیتالی داری که می‌دانی خطرناک است، اما باز هم انجام می‌دهی؟
رمز تکراری؟ کلیک روی لینک‌های بدون فکر؟ آپدیت نکردن؟
صادقانه بگو. هیچکس قضاوت نمی‌کند. فقط می‌خواهیم با هم شرمنده شویم و شاید یک چیز یاد بگیریم.

به کسی که بهترین «اعتراف بامزه و شرم‌آور» را بکند، یک «یادآور امنیتی» مخصوص می‌دهم (یک ایمیل خودکار که هر ماه بهت می‌گوید: «پورت‌هایت را چک کن، احمق») 😄

بدافزاررمز عبورویروسفلسفه
۱۱
۱۸
R3v3rse
R3v3rse
یک علاقه مند
شاید از این پست‌ها خوشتان بیاید