ویرگول
ورودثبت نام
R3v3rse
R3v3rseیک علاقه مند
R3v3rse
R3v3rse
خواندن ۶ دقیقه·۲۴ روز پیش

پارادوکس امنیت : ما آنقدر قفل ساختیم که خودمان کلید را گم کردیم

من تحلیلگر بدافزارم. شغلم این است که بعد از فاجعه از راه برسم. وقتی همه‌ی قفل‌ها شکست خورده‌اند، من می‌آیم ببینم «چرا» و «چطور». و راستش را بخواهید، بعد از سال‌ها خط زدن روی کدهای مخرب و کالبدشکافی فایل‌های آلوده، به یک نتیجهٔ عجیب رسیده‌ام: ما بزرگ‌ترین تهدید برای امنیت خودمان هستیم. نه هکرها، نه بدافزارها، نه دولت‌های پشت پرده. ما.

دلیلش هم یک پارادوکس قدیمی است که این روزها با گوشت و پوستم لمسش می‌کنم: هرچه بیشتر قفل می‌سازیم، شکننده‌تر می‌شویم. آنقدر لایه لایه محافظت می‌چینیم که یک روز از پشت همین محافظت‌ها، خودمان راهمان را گم می‌کنیم. و بدتر از آن، کلید را جا می‌گذاریم روی دست دشمن.

بگذارید یک ماجرای واقعی تعریف کنم.

چند سال پیش، یک شرکت آمد پیش ما. تمام فایل‌هایشان رمزنگاری شده بود. روی صفحهٔ مانیتورشان نوشته بود: «فایل‌های شما قفل شده‌اند، برای کلید، بیت‌کوین بفرستید». باج‌افزار. از آن مدل‌های ترسناک. نکتهٔ دردناک ماجرا این نبود که هک شده بودند. نکته این بود که این شرکت اتفاقاً وسواس امنیتی عجیبی داشت. چند لایه فایروال، سیستم‌های تشخیص نفوذ، آنتی‌ویروس‌های سازمانی با تنظیمات دست‌ساز، و از همه مهم‌تر، یک بک‌آپ‌گیری خودکار هر شش ساعت یک بار. همه چیز طبق کتاب‌های امنیتیِ تراز اول.

اما حدس بزنید باج‌افزار از کجا نفوذ کرده بود؟ از همان سیستم بک‌آپ! مسئول امنیت شبکه، برای آنکه فایل‌های پشتیبان «بیش از حد امن» باشند، آن‌ها را روی یک سرور جداگانه با یک رمز عبور نجومیِ ۲۵ کاراکتری گذاشته بود. همان سرور، به شبکهٔ داخلی وصل بود. همان رمز عبور، یک جایی در یک فایل متنی روی دسکتاپ یکی از کارمندها ذخیره شده بود — چون دیگر کسی حوصله نداشت هر بار آن را از یک گاوصندوق فیزیکی بیرون بیاورد. نتیجه؟ باج‌افزار از طریق ایمیل یک کارمند معمولی وارد شد، کل شبکه را پیمایش کرد، فایل‌ها را قفل کرد، و بعد از همه، با همان رمز ۲۵ کاراکتری وارد سرور بک‌آپ شد و فایل‌های پشتیبان را هم قفل کرد. خاکستر.

ما آنقدر برای امنیت، قفل درست کرده بودیم که خودمان دیگر حوصله‌ی باز و بسته کردنشان را نداشتیم. کلید را گذاشتیم دم دست، چون زندگی باید ادامه داشته باشد. و دشمن، همان کلید را برداشت.

حالا بیایید از منظر فلسفه نگاه کنیم. ما آدم‌ها یک نیاز روانی عمیق به «قلعه ساختن» داریم. از دیوار چین گرفته تا گاوصندوق‌های فایروال. ما فکر می‌کنیم اگر به‌قدر کافی لایه بچینیم، دیگر هیچ تیری به ما نمی‌رسد. اما فراموش می‌کنیم که هر قفل، خودش یک راه ورود است. چون هر قفلی بالاخره باید باز شود، و هر بازشدنی یک مسیر دارد. مسیر را تو باید بلد باشی، ولی یادت می‌رود که دیگران هم می‌توانند آن را پیدا کنند.

در دنیای بدافزار، این را هر روز می‌بینم. بدافزارها به ندرت از راه‌های فوق‌العاده پیچیده و تکنیکی وارد می‌شوند. نقطهٔ نفوذشان معمولاً یک چیز بسیار ساده و انسانی است: یک کلیک از سر کنجکاوی، یک آنتی‌ویروس که آن‌قدر هشدارهای الکی می‌دهد که کاربر یاد گرفته آن را ببندد، یک سیستم احراز هویت چندمرحله‌ای که آن‌قدر اذیت‌کننده است که همه‌ی دستگاه‌ها روی گزینهٔ «مرا به خاطر بسپار» تنظیم شده‌اند.

به این می‌گوییم «خستگی امنیتی» (Security Fatigue). ذهن انسان، یک ظرفیت محدود برای تحمل پیچیدگی دارد. اگر مدام از او بخواهی رمز عبور حفظ کند، کد شش‌رقمی جدید وارد کند، عکس چراغ راهنمایی را انتخاب کند و بعد تأییدیهٔ موبایل را بزند، مغزش به‌طور ناخودآگاه میان‌بُر می‌زند. و میان‌بُر همان جایی است که شکاف امنیتی متولد می‌شود. ما آنقدر قفل‌ها را زیاد و خفه‌کننده کردیم که کاربر بیچاره دیگر نمی‌خواهد از درِ اصلی وارد شود. او از پنجره می‌پرد توی خانهٔ خودش. و هکر هم دقیقاً پشت همان پنجره نشسته.

یک حقیقت تلخ تحلیل بدافزار این است: پیچیدگی، دشمن امنیت است. هر خط کدی که به نرم‌افزار امنیتی اضافه می‌کنی، یک باگ بالقوه اضافه کرده‌ای. هر لایهٔ جدید فایروال، یک احتمال پیکربندی اشتباه دارد. هر قانون جدید در سازمان، یک انگیزه برای دور زدن آن ایجاد می‌کند. ما درست مانند کسی که در یک قلعهٔ هزار اتاقه زندگی می‌کند، دیگر نمی‌دانیم پشت کدام پرده یک در مخفی وجود دارد که خودمان روزی برای فرار ساختمان کرده بودیم.

فیلسوف‌ها یک اصل دارند: «امنیت مطلق یک افسانه است». اما به گمان من، مسئله از افسانه هم فراتر رفته. ما درگیر یک تراژدی شده‌ایم. تراژدی از این نوع که راه حل، خودش تبدیل به مشکل شده. ما کلید را گم نکردیم چون حافظه‌مان ضعیف بود؛ ما کلید را گم کردیم چون دیگر آن‌قدر کلید ساخته بودیم که تشخیص‌دادنشان از هم غیرممکن شد. در آن لحظه، دیگر فرقی نمی‌کند صاحب خانه باشی یا دزد. هیچ‌کس نمی‌تواند وارد شود. حتی خودت.

نقش منِ تحلیلگر، این وسط عجیب است. من کسی هستم که می‌آیم جعبهٔ سیاهِ این تراژدی را باز کنم. وقتی کد باج‌افزاری را لایه‌برداری می‌کنم که از یک الگوریتم رمزنگاری نظامی استفاده کرده، یک گوشهٔ ذهنم می‌گوید: «این همان قفلی است که اگر برای محافظت از خودت استفاده می‌کردی و کلیدش را گم می‌کردی، الان داشتی زیر آوارش گریه می‌کردی». باج‌افزارها، آینهٔ کج و معوج فلسفهٔ امنیت ما هستند. آن‌ها از قوی‌ترین ابزارهای محافظتی (رمزنگاری) به عنوان اسلحه علیه خودمان استفاده می‌کنند. آن‌قدر قفل ساختیم که حالا دشمن از قفل‌های خودمان علیه ما استفاده می‌کند.

پس راه حل چیست؟

آیا باید همهٔ قفل‌ها را دور بریزیم و بگذاریم درها باز بمانند؟ نه. پارادوکس که می‌گویم، معنایش بی‌خیالی نیست. معنایش این است که امنیت را باید از زاویه‌ای دیگر دید. امنیت واقعی در تعداد قفل‌ها نیست، در قابلیت بازیابی بعد از شکستن قفل است. امنیت، یعنی حتی اگر کسی وارد شد، بتوانی سریع بفهمی، متوقفش کنی، و خرابی را جبران کنی. انگار که بپذیری باران خواهد بارید، به‌جای آنکه سقف را آن‌قدر ضدآب کنی که وزنش خانه را فرو بریزد.

امنیت، در نگاه یک تحلیلگر بدافزار، یک فرایند نفس‌کشیدن است. دم و بازدم دارد. گاهی در بسته می‌شود، گاهی باز. هنر ما این نیست که در را برای همیشه قفل کنیم؛ هنر ما این است که بدانیم چه زمانی کلید را بچرخانیم و چه زمانی کلید را از جیبمان دربیاوریم و روی میز بگذاریم. اما این روزها ما بیشتر از آنکه روی میز کلید بگذاریم، مشغول ساختن کلیدهای جدید هستیم، بی‌آنکه بدانیم کلید قبلی کجا افتاده.

شاید گم کردن کلید، تنبیهِ ما برای باور به «امنیت کامل» باشد. ذن می‌گوید: «کسی که محکم بچسبد، خواهد شکست». ما به دیوارهای آهنینمان چسبیدیم، و اکنون پشت همان دیوار، با دست‌های خالی ایستاده‌ایم و فایل‌های زندگیمان را نگاه می‌کنیم که یک پیام باج‌خواهی رویشان نقش بسته.

دفعهٔ بعد که خواستید یک لایهٔ امنیتی جدید اضافه کنید، یک نفس عمیق بکشید. بپرسید: «اگر این قفل را بزنم و کلیدش گم شود، چه می‌شود؟ اگر این فایروال چنان پیچیده شود که خودم نتوانم درست پیکربندی‌اش کنم، چه؟» شاید آن‌وقت به جای یک قفل گران، یک فایل پشتیبان ساده و خام بسازید و یک جای خوب قایمش کنید. شاید آن‌وقت بفهمید که بزرگ‌ترین کلید، نه در جیب شما، که در ذهن آرام و آمادهٔ شماست؛ ذهنی که پذیرفته «روزی ممکن است همه چیز خراب شود». و دقیقاً چون این را پذیرفته، از آن روز نمی‌ترسد.

امنیت، بیش از آنکه یک دیوار باشد، یک تصمیم است. تصمیم به اینکه سادگی را فدای توهم «نفوذناپذیری» نکنیم. وگرنه، سرنوشت ما می‌شود همان داستان غم‌انگیزی که هر روز در آزمایشگاه تحلیل بدافزار می‌بینم: قربانی‌ای که پشت دیوارهای بلندش، با قفل‌هایی که دست خودش نیست، حبس شده.

حواستان به کلیدها باشد. بعضی‌هایشان را خودتان ساخته‌اید.

«تو چندبار، بی‌آنکه بدانی، کلید زندگی‌ات را توی گلوگاه هوش مصنوعی گذاشته‌ای؟ و اگر روزی آن هوش مصنوعی تصمیم بگیرد دیگر "مالِ تو" نباشد، آیا تو هنوز مالک خودت هستی؟»

رمز عبورهوش مصنوعیبدافزارویروس
۱۴
۰
R3v3rse
R3v3rse
یک علاقه مند
شاید از این پست‌ها خوشتان بیاید