هک با شیرجه در زباله‌ها (زباله‌گردی)

زباله‌ها و دور ریزها می‌توانند منابع اطلاعاتی هکرها باشند.

 

هکرها می‌توانند اطلاعات محرمانه را به روش‌های مختلفی جمع­ آوری کنند اما آیا می‌دانستید که این افراد می‌توانند حتی بدون لمس شبکه شرکت شما اطلاعات حساس را از آن به سرقت ببرند؟ یک از روش‌هایی که هکرها برای جمع‌ آوری اطلاعات استفاده می‌کنند روش شیرجه در زباله‌ می‌باشد.

شاید تصور کنید که ما درباره فناوری بی­‌سیم صحبت می‌کنیم که نیاز به هیچ لمس و ارتباط نزدیکی ندارد. در صورتی که اگر عنوان این مقاله را نخوانده باشید قطعاً از این که به شما گفته شود این افراد می‌توانند حتی بدون استفاده از فناوری هم این کار را انجام دهند، تعجب می‌کنید. شاید شما هم تصور کنید که اطلاعات شخصی یا شرکتی شما در زباله­‌دانی قرار نمی‌گیرند تا یک هکر بدون فناوری آنها را به سرقت ببرد. در این صورت بهتر است این مقاله را رد کنید.

مقدمه‌ای بر شیرجه در زباله‌ها

شیرجه در زباله‌ها یعنی شیرجه زدن در زباله‌ها برای پیدا کردن اطلاعات ارزشمند. البته، استفاده از یک عبارت برای تعریف خود آن عبارت چندان جالب نیست ولی در هر صورت مفهوم شیرجه در زباله‌ها همین است یا حداقل قبلاً همین بوده است. این روزها این شیرجه زدن کاملاً اختیاری است. همان‌طور که این عکس­‌ها نشان می‌دهند، بعضی مواقع اشیا و اسناد جالب توجهی از سطل زباله آویزان شده و منتظر هستند تا فردی آنها را بردارد.

شیرجه در زباله‌ برای پیدا کردن اطلاعات شخصی

همیشه زباله‌های ارزشمندی را می‌بینم که در معرض دید قرار گرفته‌اند، مثل صورتحساب بیمه که در عکس زیر مشاهده می‌کنید و کاملاً از بیرون کیسه زباله قابل مشاهده است.

در عکس بعدی، انبوهی از سندهای متعلق به راهبر یک شبکه را مشاهده می‌کنید که دور ریخته شده‌اند. من از قدرت استنباط قوی خودم استفاده کردم تا تشخیص دهم این سندها متعلق به یک راهبر شبکه بوده‌اند.

 

از عکس زیر کاملاً مشخص است که فرید از شغلش رضایت نداشته و به شدت در careerbuilder.com دنبال یک شغل جدید است. این برگه‌ها حقایق وحشتناکی را درباره فرید آشکار می‌کنند. با توجه به همین یک برگه چه اطلاعات دیگری را می‌توان درباره او به دست آورد؟

 

می‌توان با احتمال بسیار بالایی گفت که فرید یک مدرک چهار ساله (دانشگاهی) دارد در غیر این صورت چنین توضیحات شغلی که نیاز به تحصیلات بالا دارد را چاپ نمی‌کرد. می‌توان گفت که او کمتر از 80 هزار دلار در سال درآمد دارد که این با توجه به حقوق این سمت که او به عنوان یک شغل تمام وقت به دنبال آن است، مشخص است و علاوه بر اینها احتمالاً او در صنعت دفاعی هوا فضا کار می‌کند. چیزهایی مثل این، من را ترغیب می‌کنند که کتابی به اسم «استخدام در سرویس‌های اطلاعاتی خارجی برای ابله‌ها» بنویسم.

به این ترتیب برای پیدا کردن ایمیل آدرس، نام کارفرما، پیشینه تحصیلی، وابستگی با وزرات دفاع و آرزوهای شغلی این فرد نیازی به انجام کارهای سخت نیست. فقط کافی است یک به اصطلاح «شیرجه زن» وجود داشته باشد که با پیدا کردن چنین اطلاعاتی، جویندگان کار را مورد هدف قرار دهد.

به غیر از اطلاعات شخصی، اطلاعات حساس سازمانی هم همیشه بین این زباله‌ها پیدا می‌شوند. در عکس بعدی، یک سفارش خرید را مشاهده می‌کنید که اطلاعات مربوط به یک خرید چند هزار دلاری توسط یک شرکت را نشان می‌دهد.

 

علاوه بر این که اطلاعات مربوط به تاریخ خرید در این برگه نوشته شده است، این برگه حاوی اطلاعات بسیار زیاد دیگری است از جمله آدرس، شماره تلفن و نام مشتری، توضیحاتی درباره سرویس (که ماهیت فنی دارد و اطلاعاتی را درباره کارهای داخلی شرکت مشتری افشا می‌کند) و امضای مدیران مجاز (که اگر مدیر هنوز هم در این شرکت مشغول به کار باشد می‌توان از آن برای جعل هویت وی استفاده کرد).

شاید سفارش خرید سند، چندان موضوع مهمی به نظر نرسد اما سند بعدی اهمیت زیادی دارد و روی آن نوشته شده «منتشر نشود».

کلمه منتشر نشود آن قدر کلمه وسیعی است که شاید مردم متوجه معنا و مفهوم آن نشوند. این موضوع باعث ایجاد مشکلاتی جدی برای دور ریختن (یا دور انداختن) این اسناد می‌شود. معمولاً چنین عبارت­‌های گیج کننده‌­ای زیاد مشاهده می‌شوند، مثل «اطلاعات اختصاصی». همین عبارت روی سند بعدی نوشته شده بود که کنار یک سطل زباله روی زمین افتاده بود.

 

«فقط برای استفاده داخلی» عبارتی واضح‌تر است ولی حتی همین عبارت هم تا حدی گیج کننده است چون این عبارت روی یک سند دیگر نوشته شده بود که از سطل زباله آویزان بود.

به نظر من نکته اصلی این است که عبارت­‌های هشدار دهنده‌ای مثل اینها مورد توجه قرار نمی‌گیرند.

Inigo Montoya در «عروس شاهزاده» به خوبی این نکته را مشخص می‌کند و می‌نویسد: «دایماً از این [عبارت] استفاده می‌کنی. معنی این عبارت برای تو و من یکسان نیست». من به شخصه خواهان ممنوعیت استفاده از عبارت­‌های مبهمی مثل «اطلاعات اختصاصی» یا «منتشر نشود» هستم. به نظرم استفاده از عبارت­‌هایی مثل «در محوطه پارکینگ قرار دهید تا همه بخوانند» بهتر است چون حداقل در این حالت وقتی قرار باشد این سند دور ریخته شود ابهامی درباره این که باید چه کاری انجام شود وجود ندارد.

اما اگر از نظر شما گشتن در اطراف زباله­‌دانی و برداشتن چیزهایی که از سطل زباله آویزان شده‌اند کار ناپسندی است باید گفت که اگر خوش­ شانس باشید، کافی است یک روز طوفانی در محوطه یک پارکینگ قرار بگیرید و منتظر بمانید که برگه‌هایی با اطلاعات حساس توسط باد به سمت شما حرکت کنند. یک روز دقیقاً همین اتفاق برای دوست من در محل کارش پیش آمد. او برگه دور ریخته شده را جمع کرد و بعد از این که متوجه شد متعلق به کارفرمای خودش نیست آن را در اختیار من قرار داد و حالا من این برگه را با شما به اشتراک می‌گذارم.

شاید برای افراد بی ­تجربه این برگه چندان مهم به نظر نرسد اما هر فرد فنی که چنین برگه‌­ای را مشاهده کند به شما خواهد گفت که این نقشه تمام اطلاعات لازم برای به دست گرفتن کنترل یک شبکه رایانه­‌ای را دارد.‌ آی­‌پی (محو شده)، یک آدرس واقعی و در حال استفاده است و نام کاربری (راهبر) و رمز عبور آن (که محو شده اما با حروف “G” و “a” شروع می‌شود) تمام اطلاعات لازم برای لاگین کردن به سیستم به عنوان راهبر را فراهم می‌کند. رمز عبور دیگر (که آن هم محو شده اما با “R0ck3t” آغاز می‌شود) بالای صفحه نوشته شده و امکان دسترسی به یک آی­‌پی خصوصی دیگر (که محو شده اما با “0.57” شروع می‌شود) و شاید به ماشین‌هایی دیگری در این شبکه خصوصی را فراهم می‌کند.

وجود نقشه مسیریابی و ساب‌نت و اصطلا‌ح‌­هایی مثل فیلتر بسته و مسیریابی دقیق نشان می‌دهد که نویسنده این برگه یک فرد فنی است و عبارت‌هایی مثل AES128 و MD% و ipsec نشان می‌دهد که او تا حدی اطلاعات درباره امنیت دارد اما واقعیت این است که این سند دور ریخته شده بود (همراه سندهای دیگری که دوستم زحمت جمع کردن آنها را به خود نداده بود) طوری که انگار هیچ اهمیتی ندارد.

یک هکر پیشرفته باید ساعت‌ها، روزها یا هفته‌ها را برای دور زدن رمزنگاری AES-128 و IPSEC صرف کند تا به شبکه خصوصی مربوطه دسترسی پیدا کند. حتی در این صورت هم او باید سازوکارهای امنیتی سیستم‌های داخل شبکه را دور بزند تا به اطلاعات مورد نظر دسترسی پیدا کند. از طرف دیگر یک هکر بدون اطلاعات فنی می‌تواند فقط با برداشتن چنین برگه‌هایی که دور ریخته می‌شوند، در یک لحظه کل امنیت شبکه را دور بزند.

خوشبختانه این نوع غنایم در محوطه پارکینگ به ندرت پیدا می‌شود و من به شخصه تعداد انگشت­ شماری از این اتفاق­‌ها را به چشم دیده‌­ام. بیشتر مواقع برای پیدا کردن چنین سندهایی باید محدودیت‌ها را کنار می‌گذاشتم و به سراغ سطل زباله می‌رفتم. سند بعدی را در یک سطل زباله پیدا کردم که بالای یک جعبه باز قرار داشت که پر از برگه‌های مشابه بود.

این سند حاوی نام مشتری‌ها، اطلاعات حساب، لیست نمایندگان فروش، حق کمیسیون دریافتی آنها و شماره تامین اجتماعی آنها است. شاید یک شرکت رقیب به چنین اطلاعاتی علاقمند باشد ولی یک سارق هویت هم با پیدا کردن این اطلاعات یک روز عالی خواهد داشت.

وقتی زباله­ دان شکل بعدی را پیدا کردم ناامید شدم چون به نظر می‌رسید که تازه خالی شده است اما پاکت‌های نامه‌ای اطراف آن ریخته شده بود که اول بی­ اهمیت به نظر می‌رسید تا این که چشمم به عبارت «اطلاعات مراقبت بهداشتی» خورد که با حروف قرمز پررنگ نوشته شده بود. همان­طور که از عکس بعد از آن پیدا است یک نفر این فاکتور را به صورت یک نامه دریافت کرده، آن را باز کرده و دوباره داخل پاکت قرار داده و دور ربخته تا یک هکر بدون فناوری (با استعداد) مثل من آن را پیدا کند.

اگر چنین فاکتوری متعلق به من بود قطعاً آن را خرد و تکه­ تکه می‌کردم و بعد، از آن برای پوشاندن کف جعبه گربه خودم استفاده می‌کردم؛ این کار حتی سمج‌ترین غواصان زباله را هم از کارشان منصرف می‌کند.

علاوه بر این پاکت سفید، چند پاکت دیگر هم پیدا کردم که همان حروف روی همه آنها نوشته شده بود. به نظر می‌رسید که بقیه پاکت‌ها (مثل پاکتی که در عکس بعدی مشاهده می‌کنید) باز نشده و هر کدام یک آدرس پستی متفاوت داشتند.

من که کنجکاو شده بودم، به طرف ساختمان رفتم تا فهرست ساکنین را چک کنم. در این فهرست، نام یک شرکت ارایه دهنده خدمات بهداشتی وجود داشت که مهر آن روی پاکت‌های دور ریخته شده قرار داشت. در این لحظه متوجه شدم که این کار توسط یک بیمار بی­ دقت و بی­ توجه انجام نشده بلکه یک شرکت ارایه دهنده خدمات بهداشتی بی­ دقت این کار را انجام داده است.

در رابطه با قوانین موجود و جریمه‌های سنگین بر ضد ارایه دهندگان مراقبت‌های بهداشتی که اطلاعات بیماران را درز می‌دهند، چیزهای مبهمی در ذهن داشتم. یک جستجو در گوگل (بله، گوگل نه یاهو!) مشخص کرد که اصلاحیه‌ای برای «خدمات درآمد داخلی» کد 1986 وجود دارد که با نام HIPAA (قانون انتقال و پاسخ­گويي بيمه سلامت) شناخته می‌شود و به بحث حریم خصوصی بیماران می‌پردازد.

به طور خاص این قانون سازمان‌ها را مسئول «محافظت از محرمانگی و امنیت داده‌های مراقبت بهداشتی از طریق تنظیم و اجرای استانداردها» می‌کند و در صورت عدم پیروی از استانداردها شرکت‌ها را به پرداخت جریمه‌هایی تا 250 هزار دلار محکوم می‌کند.

هر چند من هم اطلاع داشتم که این کار مشمول جریمه 250 هزار دلاری نمی‌شود اما قطعاً اگر این موضوع لو می‌رفت حداقل یک نفر از کار اخراج می‌شد.

آیا موضوع را به این شرکت اطلاع دادم؟

حس می‌کردم که شاید باید این پاراگراف را ده‌ها بار بنویسیم اما در این صورت بیش از حد تکراری به نظر می‌رسید. من همیشه شاهد چنین کوتاهی‌های شبه مجرمانه‌ای هستم ولی به ندرت آنها را گزارش می‌دهم. البته از دیدگاه اخلاقی باید این کار را انجام دهم اما متأسفانه هیچ وقت برای گزارش یافته‌هایم خوش­ شانس نبودم. بسیاری از مواقعی که سعی کردم کار درست را انجام دهم با برخورد بد، تهدید به اقدام قانونی و آزار و اذیت روبرو شدم. به همین دلیل در حال حاضر از انجام این کار منصرف شده‌ام. در عوض سعی می‌کنم نسخه‌های ویرایش شده‌ای از این عکس­ها را در کتاب­ها و سخنرانی‌هایم به نمایش بگذارم تا میزان آگاهی افراد درباره جدی بودن این مسأله را افزایش دهم. حداقل با این کار، یک استفاده مثبت از این عکس­‌ها انجام می‌شود.

اما راه حل چیست؟

ابتدا باید میزان آگاهی افراد درباره اهمیت زباله­ دانی را افزایش داد. نشانه­‌هایی مثل آنچه در عکس بعدی مشاهده می‌کنید برای یادآوری بسیار مفید هستند.

استفاده از یک قفل برای محکم کردن در زباله­‌دانی هم مفید است.حتی اگر در زباله­‌دانی قفل شده باشد مهاجمی که انگیزه کافی را داشته باشد می‌تواند از روی حصار بپرد. استفاده از قفل در به همراه قفل زباله­‌دانی چندان بد نیست اما وقتی قرار باشد سندهای مهم و خطرناک دور ریخته شود، قانون طلایی خرد کردن آنها است.

این خرد کردن می‌تواند در سطوح مختلفی انجام شود که میزان امنیت هر کدام از آنها متفاوت است. یک دستگاه خردکن همه منظوره سندها را به صورت نوارهای عمومی می‌برد که می‌توان به راحتی آنها را سرهم کرد ولی خردکن متقاطع این نوارهای عمودی را دوباره به صورت افقی برش می‌زند. هر چه قطعه­‌های ایجاد شده خردتر باشد، سرهم کردن آنها سخت‌تر خواهد بود.

به عنوان مثال یک خرد کن strip-cut معمولی سندها را به قطعه‌­های 1.8 در 1.8 اینچی برش می‌زند و یک خردکن فوق‌العاده تهاجمی سندها را به قطعات 1 در 5 میلی­متری پودری تقسیم می‌کند (که در عکس بعدی نمایش داده شده). این کار حتی بهترین سازمان‌های جاسوسی جهان را از سرهم کردن آنها منصرف می‌کند.

 

لیست مشخصات خردکن‌ها را به ترتیب از کمترین تا بیشترین سطح امنیت نشان می‌دهد.

نوع اندازه قطعات کاربرد
برش نواری 3/8″ سندهای عمومی
برش متقاطع 3/8″ × 1 1/2″ – 3 3/8″ سندهای عمومی
برش نواری 1/4″ – 1/8″ سندهای حساس
برش نواری 1/16″ سندهای محرمانه
برش متقاطع 1/8″ × 1–1/8″ سندهای محرمانه
برش متقاطع 1/16″ × 5/8″ سندهای سری
برش متقاطع 1/32″ × 1/2″ سندهای فوق ­سری با رتبه DoD آمریکا و RCMO کانادا
برش متقاطع 1/26″ × 1/5″ (1 در 5 میلی­متر) بیشترین سطح امنیتی تحت پشتیبانی دولت آمریکا

یک خردکن «میکرو کات» تقریباً حدود 200 دلار قیمت دارد و می‌تواند کاغذ، سی­دی و حتی کارت‌های اعتباری را به قطعات 3.32 در 5.16 تقسیم کرده و امنیتی فراتر از سطح متوسط را فراهم کند. در مجموع شما در قبال پرداخت این هزینه، بهره‌وری لازم را دریافت خواهید کرد. در هر صورت انتخاب شما هر کدام از این موارد باشد، بهتر از ریختن سندها در زباله­‌دانی یا قرار دادن آنها در محوطه پارکینگ است.

همچنین بهتر است خودتان قبل از افرادی با نیات بد مطلع باشید که چه چیزهایی در زباله‌­دان شرکت شما قرار دارند. اگر مسئولیت حفظ امنیت شرکت با شما است سعی کنید حداقل یک­بار در هفته آن را بازبینی کنید. به این ترتیب متوجه خواهید شد که چه چیزهایی و تحت چه شرایطی دور ریخته می‌شوند.

اگر یک کاربر معمولی هستید که قصد محافظت از حریم خصوصی خودتان را دارید یک خردکن شخصی تهیه کنید و به اطلاع اعضای خانواده برسانید که چه چیزهایی باید قبل از دور ریخته شدن خرد شوند. اگر از توصیه‌های شما سرپیچی کردند شاید بهتر باشد به فکر تغییر مکان آنها باشید. روش شیرجه در زباله‌ بسیار متداول و امروزی‌است و بسیاری از هکرها و افراد با نیات مختلف ممکن است به زباله دان شرکت شما یا حتی منزل شما سرک بکشند.

 

خروج از نسخه موبایل