هک با شیرجه در زبالهها (زبالهگردی)
زبالهها و دور ریزها میتوانند منابع اطلاعاتی هکرها باشند.
هکرها میتوانند اطلاعات محرمانه را به روشهای مختلفی جمع آوری کنند اما آیا میدانستید که این افراد میتوانند حتی بدون لمس شبکه شرکت شما اطلاعات حساس را از آن به سرقت ببرند؟ یک از روشهایی که هکرها برای جمع آوری اطلاعات استفاده میکنند روش شیرجه در زباله میباشد.
شاید تصور کنید که ما درباره فناوری بیسیم صحبت میکنیم که نیاز به هیچ لمس و ارتباط نزدیکی ندارد. در صورتی که اگر عنوان این مقاله را نخوانده باشید قطعاً از این که به شما گفته شود این افراد میتوانند حتی بدون استفاده از فناوری هم این کار را انجام دهند، تعجب میکنید. شاید شما هم تصور کنید که اطلاعات شخصی یا شرکتی شما در زبالهدانی قرار نمیگیرند تا یک هکر بدون فناوری آنها را به سرقت ببرد. در این صورت بهتر است این مقاله را رد کنید.
مقدمهای بر شیرجه در زبالهها
شیرجه در زبالهها یعنی شیرجه زدن در زبالهها برای پیدا کردن اطلاعات ارزشمند. البته، استفاده از یک عبارت برای تعریف خود آن عبارت چندان جالب نیست ولی در هر صورت مفهوم شیرجه در زبالهها همین است یا حداقل قبلاً همین بوده است. این روزها این شیرجه زدن کاملاً اختیاری است. همانطور که این عکسها نشان میدهند، بعضی مواقع اشیا و اسناد جالب توجهی از سطل زباله آویزان شده و منتظر هستند تا فردی آنها را بردارد.
همیشه زبالههای ارزشمندی را میبینم که در معرض دید قرار گرفتهاند، مثل صورتحساب بیمه که در عکس زیر مشاهده میکنید و کاملاً از بیرون کیسه زباله قابل مشاهده است.
در عکس بعدی، انبوهی از سندهای متعلق به راهبر یک شبکه را مشاهده میکنید که دور ریخته شدهاند. من از قدرت استنباط قوی خودم استفاده کردم تا تشخیص دهم این سندها متعلق به یک راهبر شبکه بودهاند.
از عکس زیر کاملاً مشخص است که فرید از شغلش رضایت نداشته و به شدت در careerbuilder.com دنبال یک شغل جدید است. این برگهها حقایق وحشتناکی را درباره فرید آشکار میکنند. با توجه به همین یک برگه چه اطلاعات دیگری را میتوان درباره او به دست آورد؟
میتوان با احتمال بسیار بالایی گفت که فرید یک مدرک چهار ساله (دانشگاهی) دارد در غیر این صورت چنین توضیحات شغلی که نیاز به تحصیلات بالا دارد را چاپ نمیکرد. میتوان گفت که او کمتر از 80 هزار دلار در سال درآمد دارد که این با توجه به حقوق این سمت که او به عنوان یک شغل تمام وقت به دنبال آن است، مشخص است و علاوه بر اینها احتمالاً او در صنعت دفاعی هوا فضا کار میکند. چیزهایی مثل این، من را ترغیب میکنند که کتابی به اسم «استخدام در سرویسهای اطلاعاتی خارجی برای ابلهها» بنویسم.
به این ترتیب برای پیدا کردن ایمیل آدرس، نام کارفرما، پیشینه تحصیلی، وابستگی با وزرات دفاع و آرزوهای شغلی این فرد نیازی به انجام کارهای سخت نیست. فقط کافی است یک به اصطلاح «شیرجه زن» وجود داشته باشد که با پیدا کردن چنین اطلاعاتی، جویندگان کار را مورد هدف قرار دهد.
به غیر از اطلاعات شخصی، اطلاعات حساس سازمانی هم همیشه بین این زبالهها پیدا میشوند. در عکس بعدی، یک سفارش خرید را مشاهده میکنید که اطلاعات مربوط به یک خرید چند هزار دلاری توسط یک شرکت را نشان میدهد.
علاوه بر این که اطلاعات مربوط به تاریخ خرید در این برگه نوشته شده است، این برگه حاوی اطلاعات بسیار زیاد دیگری است از جمله آدرس، شماره تلفن و نام مشتری، توضیحاتی درباره سرویس (که ماهیت فنی دارد و اطلاعاتی را درباره کارهای داخلی شرکت مشتری افشا میکند) و امضای مدیران مجاز (که اگر مدیر هنوز هم در این شرکت مشغول به کار باشد میتوان از آن برای جعل هویت وی استفاده کرد).
شاید سفارش خرید سند، چندان موضوع مهمی به نظر نرسد اما سند بعدی اهمیت زیادی دارد و روی آن نوشته شده «منتشر نشود».
کلمه منتشر نشود آن قدر کلمه وسیعی است که شاید مردم متوجه معنا و مفهوم آن نشوند. این موضوع باعث ایجاد مشکلاتی جدی برای دور ریختن (یا دور انداختن) این اسناد میشود. معمولاً چنین عبارتهای گیج کنندهای زیاد مشاهده میشوند، مثل «اطلاعات اختصاصی». همین عبارت روی سند بعدی نوشته شده بود که کنار یک سطل زباله روی زمین افتاده بود.
«فقط برای استفاده داخلی» عبارتی واضحتر است ولی حتی همین عبارت هم تا حدی گیج کننده است چون این عبارت روی یک سند دیگر نوشته شده بود که از سطل زباله آویزان بود.
به نظر من نکته اصلی این است که عبارتهای هشدار دهندهای مثل اینها مورد توجه قرار نمیگیرند.
Inigo Montoya در «عروس شاهزاده» به خوبی این نکته را مشخص میکند و مینویسد: «دایماً از این [عبارت] استفاده میکنی. معنی این عبارت برای تو و من یکسان نیست». من به شخصه خواهان ممنوعیت استفاده از عبارتهای مبهمی مثل «اطلاعات اختصاصی» یا «منتشر نشود» هستم. به نظرم استفاده از عبارتهایی مثل «در محوطه پارکینگ قرار دهید تا همه بخوانند» بهتر است چون حداقل در این حالت وقتی قرار باشد این سند دور ریخته شود ابهامی درباره این که باید چه کاری انجام شود وجود ندارد.
اما اگر از نظر شما گشتن در اطراف زبالهدانی و برداشتن چیزهایی که از سطل زباله آویزان شدهاند کار ناپسندی است باید گفت که اگر خوش شانس باشید، کافی است یک روز طوفانی در محوطه یک پارکینگ قرار بگیرید و منتظر بمانید که برگههایی با اطلاعات حساس توسط باد به سمت شما حرکت کنند. یک روز دقیقاً همین اتفاق برای دوست من در محل کارش پیش آمد. او برگه دور ریخته شده را جمع کرد و بعد از این که متوجه شد متعلق به کارفرمای خودش نیست آن را در اختیار من قرار داد و حالا من این برگه را با شما به اشتراک میگذارم.
شاید برای افراد بی تجربه این برگه چندان مهم به نظر نرسد اما هر فرد فنی که چنین برگهای را مشاهده کند به شما خواهد گفت که این نقشه تمام اطلاعات لازم برای به دست گرفتن کنترل یک شبکه رایانهای را دارد. آیپی (محو شده)، یک آدرس واقعی و در حال استفاده است و نام کاربری (راهبر) و رمز عبور آن (که محو شده اما با حروف “G” و “a” شروع میشود) تمام اطلاعات لازم برای لاگین کردن به سیستم به عنوان راهبر را فراهم میکند. رمز عبور دیگر (که آن هم محو شده اما با “R0ck3t” آغاز میشود) بالای صفحه نوشته شده و امکان دسترسی به یک آیپی خصوصی دیگر (که محو شده اما با “0.57” شروع میشود) و شاید به ماشینهایی دیگری در این شبکه خصوصی را فراهم میکند.
وجود نقشه مسیریابی و سابنت و اصطلاحهایی مثل فیلتر بسته و مسیریابی دقیق نشان میدهد که نویسنده این برگه یک فرد فنی است و عبارتهایی مثل AES128 و MD% و ipsec نشان میدهد که او تا حدی اطلاعات درباره امنیت دارد اما واقعیت این است که این سند دور ریخته شده بود (همراه سندهای دیگری که دوستم زحمت جمع کردن آنها را به خود نداده بود) طوری که انگار هیچ اهمیتی ندارد.
یک هکر پیشرفته باید ساعتها، روزها یا هفتهها را برای دور زدن رمزنگاری AES-128 و IPSEC صرف کند تا به شبکه خصوصی مربوطه دسترسی پیدا کند. حتی در این صورت هم او باید سازوکارهای امنیتی سیستمهای داخل شبکه را دور بزند تا به اطلاعات مورد نظر دسترسی پیدا کند. از طرف دیگر یک هکر بدون اطلاعات فنی میتواند فقط با برداشتن چنین برگههایی که دور ریخته میشوند، در یک لحظه کل امنیت شبکه را دور بزند.
خوشبختانه این نوع غنایم در محوطه پارکینگ به ندرت پیدا میشود و من به شخصه تعداد انگشت شماری از این اتفاقها را به چشم دیدهام. بیشتر مواقع برای پیدا کردن چنین سندهایی باید محدودیتها را کنار میگذاشتم و به سراغ سطل زباله میرفتم. سند بعدی را در یک سطل زباله پیدا کردم که بالای یک جعبه باز قرار داشت که پر از برگههای مشابه بود.
این سند حاوی نام مشتریها، اطلاعات حساب، لیست نمایندگان فروش، حق کمیسیون دریافتی آنها و شماره تامین اجتماعی آنها است. شاید یک شرکت رقیب به چنین اطلاعاتی علاقمند باشد ولی یک سارق هویت هم با پیدا کردن این اطلاعات یک روز عالی خواهد داشت.
وقتی زباله دان شکل بعدی را پیدا کردم ناامید شدم چون به نظر میرسید که تازه خالی شده است اما پاکتهای نامهای اطراف آن ریخته شده بود که اول بی اهمیت به نظر میرسید تا این که چشمم به عبارت «اطلاعات مراقبت بهداشتی» خورد که با حروف قرمز پررنگ نوشته شده بود. همانطور که از عکس بعد از آن پیدا است یک نفر این فاکتور را به صورت یک نامه دریافت کرده، آن را باز کرده و دوباره داخل پاکت قرار داده و دور ربخته تا یک هکر بدون فناوری (با استعداد) مثل من آن را پیدا کند.
اگر چنین فاکتوری متعلق به من بود قطعاً آن را خرد و تکه تکه میکردم و بعد، از آن برای پوشاندن کف جعبه گربه خودم استفاده میکردم؛ این کار حتی سمجترین غواصان زباله را هم از کارشان منصرف میکند.
علاوه بر این پاکت سفید، چند پاکت دیگر هم پیدا کردم که همان حروف روی همه آنها نوشته شده بود. به نظر میرسید که بقیه پاکتها (مثل پاکتی که در عکس بعدی مشاهده میکنید) باز نشده و هر کدام یک آدرس پستی متفاوت داشتند.
من که کنجکاو شده بودم، به طرف ساختمان رفتم تا فهرست ساکنین را چک کنم. در این فهرست، نام یک شرکت ارایه دهنده خدمات بهداشتی وجود داشت که مهر آن روی پاکتهای دور ریخته شده قرار داشت. در این لحظه متوجه شدم که این کار توسط یک بیمار بی دقت و بی توجه انجام نشده بلکه یک شرکت ارایه دهنده خدمات بهداشتی بی دقت این کار را انجام داده است.
در رابطه با قوانین موجود و جریمههای سنگین بر ضد ارایه دهندگان مراقبتهای بهداشتی که اطلاعات بیماران را درز میدهند، چیزهای مبهمی در ذهن داشتم. یک جستجو در گوگل (بله، گوگل نه یاهو!) مشخص کرد که اصلاحیهای برای «خدمات درآمد داخلی» کد 1986 وجود دارد که با نام HIPAA (قانون انتقال و پاسخگويي بيمه سلامت) شناخته میشود و به بحث حریم خصوصی بیماران میپردازد.
به طور خاص این قانون سازمانها را مسئول «محافظت از محرمانگی و امنیت دادههای مراقبت بهداشتی از طریق تنظیم و اجرای استانداردها» میکند و در صورت عدم پیروی از استانداردها شرکتها را به پرداخت جریمههایی تا 250 هزار دلار محکوم میکند.
هر چند من هم اطلاع داشتم که این کار مشمول جریمه 250 هزار دلاری نمیشود اما قطعاً اگر این موضوع لو میرفت حداقل یک نفر از کار اخراج میشد.
حس میکردم که شاید باید این پاراگراف را دهها بار بنویسیم اما در این صورت بیش از حد تکراری به نظر میرسید. من همیشه شاهد چنین کوتاهیهای شبه مجرمانهای هستم ولی به ندرت آنها را گزارش میدهم. البته از دیدگاه اخلاقی باید این کار را انجام دهم اما متأسفانه هیچ وقت برای گزارش یافتههایم خوش شانس نبودم. بسیاری از مواقعی که سعی کردم کار درست را انجام دهم با برخورد بد، تهدید به اقدام قانونی و آزار و اذیت روبرو شدم. به همین دلیل در حال حاضر از انجام این کار منصرف شدهام. در عوض سعی میکنم نسخههای ویرایش شدهای از این عکسها را در کتابها و سخنرانیهایم به نمایش بگذارم تا میزان آگاهی افراد درباره جدی بودن این مسأله را افزایش دهم. حداقل با این کار، یک استفاده مثبت از این عکسها انجام میشود.
اما راه حل چیست؟
ابتدا باید میزان آگاهی افراد درباره اهمیت زباله دانی را افزایش داد. نشانههایی مثل آنچه در عکس بعدی مشاهده میکنید برای یادآوری بسیار مفید هستند.
استفاده از یک قفل برای محکم کردن در زبالهدانی هم مفید است.حتی اگر در زبالهدانی قفل شده باشد مهاجمی که انگیزه کافی را داشته باشد میتواند از روی حصار بپرد. استفاده از قفل در به همراه قفل زبالهدانی چندان بد نیست اما وقتی قرار باشد سندهای مهم و خطرناک دور ریخته شود، قانون طلایی خرد کردن آنها است.
این خرد کردن میتواند در سطوح مختلفی انجام شود که میزان امنیت هر کدام از آنها متفاوت است. یک دستگاه خردکن همه منظوره سندها را به صورت نوارهای عمومی میبرد که میتوان به راحتی آنها را سرهم کرد ولی خردکن متقاطع این نوارهای عمودی را دوباره به صورت افقی برش میزند. هر چه قطعههای ایجاد شده خردتر باشد، سرهم کردن آنها سختتر خواهد بود.
به عنوان مثال یک خرد کن strip-cut معمولی سندها را به قطعههای 1.8 در 1.8 اینچی برش میزند و یک خردکن فوقالعاده تهاجمی سندها را به قطعات 1 در 5 میلیمتری پودری تقسیم میکند (که در عکس بعدی نمایش داده شده). این کار حتی بهترین سازمانهای جاسوسی جهان را از سرهم کردن آنها منصرف میکند.
لیست مشخصات خردکنها را به ترتیب از کمترین تا بیشترین سطح امنیت نشان میدهد.
نوع | اندازه قطعات | کاربرد |
برش نواری | 3/8″ | سندهای عمومی |
برش متقاطع | 3/8″ × 1 1/2″ – 3 3/8″ | سندهای عمومی |
برش نواری | 1/4″ – 1/8″ | سندهای حساس |
برش نواری | 1/16″ | سندهای محرمانه |
برش متقاطع | 1/8″ × 1–1/8″ | سندهای محرمانه |
برش متقاطع | 1/16″ × 5/8″ | سندهای سری |
برش متقاطع | 1/32″ × 1/2″ | سندهای فوق سری با رتبه DoD آمریکا و RCMO کانادا |
برش متقاطع | 1/26″ × 1/5″ (1 در 5 میلیمتر) | بیشترین سطح امنیتی تحت پشتیبانی دولت آمریکا |
یک خردکن «میکرو کات» تقریباً حدود 200 دلار قیمت دارد و میتواند کاغذ، سیدی و حتی کارتهای اعتباری را به قطعات 3.32 در 5.16 تقسیم کرده و امنیتی فراتر از سطح متوسط را فراهم کند. در مجموع شما در قبال پرداخت این هزینه، بهرهوری لازم را دریافت خواهید کرد. در هر صورت انتخاب شما هر کدام از این موارد باشد، بهتر از ریختن سندها در زبالهدانی یا قرار دادن آنها در محوطه پارکینگ است.
همچنین بهتر است خودتان قبل از افرادی با نیات بد مطلع باشید که چه چیزهایی در زبالهدان شرکت شما قرار دارند. اگر مسئولیت حفظ امنیت شرکت با شما است سعی کنید حداقل یکبار در هفته آن را بازبینی کنید. به این ترتیب متوجه خواهید شد که چه چیزهایی و تحت چه شرایطی دور ریخته میشوند.
اگر یک کاربر معمولی هستید که قصد محافظت از حریم خصوصی خودتان را دارید یک خردکن شخصی تهیه کنید و به اطلاع اعضای خانواده برسانید که چه چیزهایی باید قبل از دور ریخته شدن خرد شوند. اگر از توصیههای شما سرپیچی کردند شاید بهتر باشد به فکر تغییر مکان آنها باشید. روش شیرجه در زباله بسیار متداول و امروزیاست و بسیاری از هکرها و افراد با نیات مختلف ممکن است به زباله دان شرکت شما یا حتی منزل شما سرک بکشند.