کلاود در معرض خطر سبک بسیار نادری از تهدیدات سایبری

در گذشته ضروری بود درباره سبک خاصی از حملات که به‌نام man in the middle مشهور بودند و برای سرقت داده‌ها و انتقال آن‌ها مابین دو نقطه پایانی مورد استفاده قرار می‌گرفتند، اطلاعاتی کسب می‌کردید. امروزه، باید به شما بگوییم، ضروری است درباره سبک جدیدی از حملات که به‌نام man in the cloud در حال گسترش هستند و به هکرها اجازه می‌دهد بدون آن‌که نیازی به گذرواژه‌ای داشته باشند به فایل‌های ذخیره شده روی فضای ابری دسترسی پیدا کنند، اطلاعاتی کسب کنید. در کنفرانس امنیتی Black Hat که در لاس وگاس برگزار شد، تحقیق جدیدی توسط یک شرکت سایبری امنیتی منتشر شد که نشان می‌دهد، امکان سوء‌استفاده از آسیب‌پذیری موجود در سیستم همسان‌سازی کلاود در سرویس‌های گوگل درایو، وان درایو و دراپ باکس وجود دارد. حمله man in the cloud با سرقت توکن گذرواژه، فایل کوچکی که در دستگاه کاربر ذخیره می‌شود، کار می‌کند. این توکن گذرواژه برای این منظور مورد استفاده قرار می‌گیرد تا کاربر احتیاج نداشته باشد به‌طور مکرر گذرواژه خود را تایپ کند. بعد از به‌دست آوردن این گذرواژه با استفاده از روش‌هایی همچون یک حمله فیشینگ یا یک اکسپلویت موجود روی دستگاه، هکرها توانایی دسترسی به حساب‌کاربری را روی دستگاه‌های دیگر دارند. حمله man in the cloud برای سرقت فایل‌ها یا اضافه کردن بدافزارها یا باج‌افزارها مورد استفاده قرار می‌گیرد. آمی چای شولمن مدیر تحقیقات Imperva در این‌باره می‌گوید: «این سبک از حملات مرتبط با کلاود می‌تواند روی کسب و کارهایی که وابسته به سرویس‌های کلاود هستند تأثیرگذار باشد.»

او همچنین اضافه کرد تحقیقات انجام شده نشان می‌دهد، چگونه مجرمان سایبری توانایی هک کردن حساب‌های همسان‌سازی شده ابری را دارند و چگونه شناسایی و بازیابی یک فرآیند احراز هویت تصدیق نشده به سختی امکان‌پذیر است. احیای دوباره حسابی که تحت تأثیر این‌گونه حملات قرار گرفته است، همیشه امکان‌پذیر نیست. »

البته شولمن در صحبت‌های خود ضمن دفاع از ارائه کنندگان سرویس‌های ابری سعی کرد از واژه رخنه در طراحی این سرویس‌ها استفاده نکند و در ادامه صحبت‌های خود افزود: «این سرویس‌ها ایمن بوده و امکان انتقال یکپارچه فایل‌ها را امکان‌پذیر می‌سازند، اما موضوع مهمی که در ارتباط با این سرویس‌ها وجود دارد به بحث امنیت و قابلیت استفاده از آن‌ها باز می‌گردد. »

انگیزه به‌وجود آمدن این نوع از حملات
سازمان‌ها تأکید زیادی روی امنیت در نقاط پایانی دارند. راه‌حل‌های قدیمی عمدتا بر مبنای مطابقت دادن محتوای فایل‌ها با الگوهایی بوده که احتمال وجود کدهای مخرب در آن‌ها وجود داشت. راه‌حل‌های جدید سعی در شناسایی رفتار فایل‌های ورودی به یک محیط کنترل شده یا نظارت بر فعالیت‌ نقاط پایانی که ممکن است رفتارهای خرابکارانه‌ای داشته باشند، دارند. این شیوه بر مبنای بررسی تزریق غیرمعمول کدها، به‌کارگیری اکسپلویت‌های شناخته شده و سایر ناهنجاری‌ها دارند. همچنین بعضی از راه‌حل‌ها سعی در شناسایی ارتباطات C&C دارند. همچنان که ابزارهای دفاعی پیشرفت می‌کنند، هکرها تمرکز خود را روی روش‌های نوین حمله قرار داده‌اند. در فعالیت‌های عادی امروزی، زمانی‌که کاربری از یک برنامه همسان‌ساز استفاده می‌کند، به دو دلیل نیازمند مقداردهی اولیه یک ارتباط است، اول برای ورود به یک حساب و دوم برای سوییچ کردن به حساب دیگری. در این حالت کاربر نیازمند برقراری تعاملی است تا اعتبار خود را با استفاده از گذرواژه و نام کاربری که از طریق یک رابط کاربری در اختیار او قرار می‌گیرد اثبات کند. برنامه‌های همسان‌ساز به نشانه (token) همسان‌ساز اعتماد می‌کنند و از این نشانه برای فرآیندهای تصدیق هویت که در آینده انجام می‌شود استفاده می‌کنند. این نشانه پایانی در یک فایل یا حتا در خود دستگاه کاربر به ثبت می‌رسد. این درست همان نقطه‌ای است که هکرها به آن وارد می‌شوند. به‌عبارت دیگر بعد از ثبت نشانه امنیتی، اصلا نیازی به هیچ اکسپلویتی برای بهره‌بردای از این نشانه تصدیق هویت نیست! در نتیجه هکر برای دسترسی به حساب کاربر تنها لازم است این نشانه را به‌دست آورد. جدول زیر برنامه‌های ابر محور را به همراه انواع نشانه‌ها و مکانی که آن‌را ذخیره می‌کنند نشان می‌دهد:

همان‌گونه که در جدول بالا مشاهده می‌کنید، هکرها با دانستن مکان و نوع توکن به‌آسانی توانایی در معرض خطر قرار دادن انواع مختلفی از حساب‌های کلاود را دارند. زمانی‌که این حمله پیاده‌سازی شد، هکر توانایی به‌اشتراک‌گذاری حساب همسان‌سازی شده قربانی را دارد. در ادامه حمله‌کننده این توانایی را دارد تا به همسان‌سازی فایل‌های آلوده‌ای که کدهای مخرب به درون آن‌ها تزریق شده است به‌پردازد. شکل زیر نمونه‌ای از این فرآیند را نشان می‌دهد.

نتایج کلیدی به‌دست آمده از تحقیقات
تحقیقات انجام گرفته از سوی Imperva منجر به کشف چند حقیقت مهم شده است:

سرویس‌های همسان‌سازی همچون وان‌درایو، دراپ‌باکس، گوگل‌درایو و باکس به‌راحتی در زیرساخت‌ها دارای آسیب‌‌پذیری هستند، به‌طوری که باعث ایجاد یک تونل برای استخراج داده‌ها، ایجاد یک کانال C&C و دسترسی از راه دور می‌شوند.

سرویس‌های همسان‌ساز فایل‌ها می‌توانند بدون استفاده از یک اعتبارنامه متنی شناسایی شوند.

بازگرداندن یک حساب کلاود یا دسترسی به فایل‌های هک شده روی یک حساب ابری همیشه وجود ندارد. به‌طوری که در بعضی مواقع تنها راه حل این مشکل بستن حساب است.

کارهایی که تاکنون در ارتباط با امنیت در نقاط پایانی و محیط‌های کلاود انجام شده نه تنها کافی نبوده است، بلکه باعث کم شدن حجم حملات و تهدیداتی که از سوی کدهای مخرب وجود دارد، نیز نشده است، همچنین به دلیل عدم وجود هیچ کانال سیمی امکان مشاهده آشکار این حملات و یا شناسایی دقیق مبدأ در بعضی موارد وجود ندارد.

پیشنهاد Imperva
حتا اگر بسیاری از سرویس‌ها سیستم احرازهویت دو عاملی را پیاده‌سازی کنند، باز هم امکان ترمیم آسیب‌پذیری حمله man in the cloud به‌سادگی امکان‌پذیر نیست. این سرویس‌ها یک پیغام هشدار را زمانی برای یک کاربر ارسال می‌کنند که حساب او از سوی یک کامپیوتر جدید یا مکان جدیدی مورد استفاده قرار گرفته باشد، اما بیشتر مردم در چنین زمان‌هایی از این هشدار صرف‌نظر کرده و آن را نادیده می‌گیرند. برای محافظت در برابر این‌گونه حملات، Imperva پیشنهاد کرده است شرکت‌ها سرمایه‌گذاری بیشتری را برای نظارت و محافظت از منابع داده‌ای در سرویس‌های کلاود اختصاص دهند. بر همین اساس، سازمان‌ها لازم است اقدام به شناسایی الگوهایی که در آینده برای دسترسی و سوء استفاده از داده‌ها بر پایه نقص‌ها مورد استفاده قرار می‌گیرند، اقدامات لازم را به‌عمل آورند.