چرخه تهــی تهدید

نشانه‌هایی از جنگ بین محققان دنیای امنیت و شرکت‌هایی که روی این موضوع سرمایه‌گذاری کرده‌اند رو به نمود است. محققانی که توانسته‌اند بسیاری از ضعف‌ها و آسیب‌پذیری‌های قفل‌های الکترونیکی را که امروزه در فرودگاه‌ها، ایستگاه‌های پلیس و برخی زیرساخت‌های حیاتی به کار می‌روند، شناسایی کنند. موضوع زمانی پیچیده‌تر شد که این محققان عملاً با ارسال دو نامه از سوی تولیدکننده این قفل‌ها تهدید شدند. این موضوع بعد از آن اتفاق افتاد که محققان بارها این شرکت را از ضعف‌های امنیتی که در محصولات آن وجود داشت، مطلع کرده بودند. 
مایک دیویس، یکی از محققان حوزه امنیت، به همراه همکارانش در IOActive توانستند تعدادی موارد امنیتی را در قفل‌های الکترونیکی کشف کنند که توسط سایبرلاک ساخته شده بود. بعد از چند تلاش نافرجام برای ارائه این اطلاعات به سایبرلاک و شرکت مادر آن Videx، آن‌ها نامه‌ای را از سوی جونز دی، وکیل شرکت، دریافت کردند؛ درست یک روز قبل از آن‌که آن‌ها قصد داشتند تا نتایج تحقیقات خود را به‌صورت عمومی منتشر کنند. 
نامه البته با لحنی ناملایم نوشته شده و بیان‌کننده این مسئله بود که آی‌اواکتیو احتمالاً قوانینی را درباره اجرای فرآیند مهندسی معکوس به جهت شناخت آسیب‌پذیری‌های سایبرلاک نقض کرده است. نامه نخست توسط دادستان جف ربکین منتشر شده است که بر اساس قانون «کپی‌رایت هزاره دیجیتال» از دیویس و آی‌اواکتیو می‌خواهد از انتشار عمومی یافته‌های خود درباره آسیب‌پذیری‌های سایبرلاک مادامی که این شرکت بتواند این آسیب‌پذیری‌های ادعایی را بررسی کند، اجتناب کنند. 
قانون «کپی‌رایت هزاره دیجیتال» که در سال 1998 تصویب شده است، ماده‌ای دارد که حفاظت شدیدی درباره حقوق دیجیتال دارای کپی‌رایت اعمال می‌کند. اگرچه ربکین هیچ‌گاه آی‌اواکتیو را متهم نکرد که در این جریان قانون‌شکنی کرده است، بلکه او گفت وی می‌خواهد مطمئن شود که قانون‌شکنی رخ نداده است. در میان جامعه محققان حوزه امنیت دیجیتال این نامه‌نگاری به‌سرعت انتشار پیدا کرد که در نوع خود روندی غیرمعمول بود. زیرا شرکتی با استفاده از قانون DMCA سعی داشت مانع از انتشار جزییات مربوط به آسیب‌پذیری محصولات خود توسط محققان امنیتی شود. این موضوع زمانی اهمیت بیش‌تری پیدا کرد که درست به فاصله چند هفته پس از این ماجرا یک محقق امنیتی دیگر توسط اف‌بی‌آی دستگیر شد و مورد بازجویی قرار گرفت. آن هم به جرم انتشار یک توییت که به یک آسیب‌پذیری امنیتی در شبکه وای‌فای فرودگاه مربوط بود. این دو اتفاق با همدیگر موجب شد که یکی از منازعات دیرپا بین محققان و شرکت‌های تجاری بار دیگر نمود پیدا کند، به‌ویژه که بسیاری از فعالان این حوزه فکر می‌کردند این مسئله در سال‌های اخیر و بعد از این‌که مایکروسافت و بسیاری از شرکت‌های دیگر برنامه‌هایی را در جهت حمایت از محققانی پیاده کردند که بتوانند ضعف‌های امنیتی محصولات آن‌ها را پیدا کنند، کاهش پیدا کرده است. 

ادعاهای امنیتی سایبرلاک
قفل‌های بی‌سیم الکترومکانیک سایبرلاک از یک کلید ‌برنامه‌‌پذیر به‌نام سایبرکی استفاده می‌کنند که ظاهراً باعث می‌شوند تا این قفل‌ها نسبت به قفل‌های معمولی از امنیت بیش‌تری برخوردار باشند. این سیستم در ایستگاه‌های مترو در آمستردام و کلولند در تأسیسات آبی در سیاتل و آتلانتا، جورجیا و در ایستگاه‌های پلیس فلوریدا و بسیاری از مکان‌های دیگر نصب شده است و از آن‌ها استفاده می‌شود. این شرکت در تبلیغات بازاریابی خود استفاده از این قفل‌ها را در مراکز داده و فرودگاه‌ها بسیار تبلیغ می‌کند. 
با توجه به اظهارات سایبرلاک، کلیدهای هوشمند آن‌ها قابلیت کپی شدن ندارد و می‌تواند به محض دزدیده شدن غیرفعال شود که با این فرآیند از ورودهای غیرمجاز جلوگیری می‌شود. از سوی دیگر، این قفل‌ها فایل‌های لاگ دارند که اطلاعات مربوط به ورود و خروج کلیدهای دیجیتال یا تلاش برای باز کردن قفل را در خود ذخیره می‌کند.

شکل 1

با توجه به آن‌چه در وب‌سایت سایبرلاک منتشر شده است، برای داشتن امنیت بیش‌تر کاربران سایبرلاک می‌توانند کلیدهای دزدیده شده یا گم شده را غیرفعال یا دسترسی به آن‌ها را سفارشی کنند تا مشخص شود چه کسی می‌تواند از آن‌ها برای باز کردن قفل‌ها استفاده کند. حتی زمان و تاریخ استفاده از کلیدها نیز برنامه‌پذیر است. با توجه به آن‌چه توسط آی‌اواکتیو منتشر شده است، برخی افراد می‌توانند نوع خاصی از کلیدهای سایبرلاک به‌نام سایت‌کی - کلیدهایی که ویژه یک محل یا یک ساختمان خاص هستند - را کلون کنند. این کلیدها در فایل متنی بدون رمزنگاری ذخیره می‌شوند که در بخش فیزیکی قفل قرار دارند و در زمانی که به شناسایی هویت کاربر نیاز باشند، به کلید منتقل می‌شوند. بنابراین، یک هکر می‌تواند با باز کردن فرم‌ویر که در چیپ‌هایی که در این قفل از آن‌ها استفاده شده قرار دارد، کلید مورد نظر خود را به‌دست آورد. با وجود این‌که این ارتباط رمزگذاری شده است، اما دیویس و همکارانش توانسته‌اند الگوی رمزگشایی آن را کشف و کلیدهای مورد نظر خود را پیدا کنند. دیویس در این ‌باره می‌گوید: «آن زمانی که ما لوکیشن کی را داشته باشیم، خواهیم توانست هر کلیدی را که می‌خواهیم برای خود بسازیم. در واقع، به‌صورت تئوری می‌توانیم از این اطلاعات برای کلون کردن هر نوع کلیدی استفاده و هر نوع سایبرلاک نصب شده در بخش‌های مختلف را باز کنیم.» 
این امکان وجود دارد که کلید را به نحوی اصلاح کنیم تا افرادی که می‌توانند در زمان‌هایی خاص قفل‌ها را باز کنند، بازتعریف کنیم یا این مقادیر را تغییر دهیم. مسئله‌ای که سایبرلاک در فروش محصولات خود به آن‌ها بسیار تأکید دارد. حتی می‌توان فایل لاگ را نیز دستکاری کرد که بر این اساس نمی‌توان اطلاعات صحیحی از نحوه استفاده از قفل‌ها به‌دست آورد. باید گفت چنین حمله‌ای نیازمند دسترسی به قفل فیزیکی است که این قفل‌ها نیز به‌صورت ممتد زیر نظر دوربین‌های حفاظتی قرار دارند و دسترسی به آن‌ها کار چندان آسانی نیست. 

آسیب‌پذیری سایبرلاک‌ها مسئله چندان تازه‌ای نیست
دیویس و همکاران وی در نخستین گام بخش‌های فیزیکی این قفل‌ها را بررسی کردند تا بتوانند اطلاعات بیش‌تری درباره آن‌ها به‌دست آورند. به گفته دیویس پروژه آن‌ها در ابتدا چندان جدی نبوده و در کنار سایر کارهای آن‌ها دنبال می‌شده است. وی در این باره به وایرد گفته است که ما تنها می‌خواستیم یک پست در وبلاگمان منتشر کنیم. 
او به‌ناگاه یک سایبرکی را که در eBay برای فروش قرار داده شده بود پیدا کرد و در ماه اکتبر گذشته آن را خرید. بعد از آن بود که وی و همکارانش چهار قفل خریدند و دو کلید را نیز از فروشنده‌های رسمی سایبرلاک خریداری کردند. آن‌ها کار ارزیابی امنیتی این قفل را در ژانویه آغاز کردند و بعد از مدتی با همکاری سایر محققانی که در این پروژه‌ها از قبل کار کرده بودند توانستند آسیب‌پذیری‌هایی را در این قفل‌ها پیدا کنند. ظاهراً پیش از آن‌که دیویس و همکارانش تحقیقاتی روی این قفل‌ها انجام دهند، افراد دیگری نیز روی آن‌ها کار کرده و توانسته بودند آسیب‌پذیری‌هایی را در بخش‌های الکترونیک آن‌ها پیدا کنند. در نهایت، این موارد باعث شد تا آن‌ها بتوانند الگوی رمزنگاری اطلاعات این قفل‌ها را کشف و داده‌های رمزنگاری شده آن‌ها را رمزگشایی کنند و در زمان انتقال سایت‌کی به قفل این اطلاعات را بخوانند. محققان آی‌اواکتیو در مرحله نخست توانستند فرم‌ویر که روی چیپی در بدنه قفل قرار داده شده است، باز کنند و مقدار سایت‌کی را که در آن ذخیره شده است کشف کنند؛ مقداری که به‌صورت کاملاً ساده و متنی در آن قرار داده شده است. آن‌ها بعداً فهمیدند که هکر حتی به این کار نیز نیازی ندارد؛ زیرا به‌سادگی می‌توان مقدار سایت‌کی را در هنگام انتقال از کلید به قفل به سرقت برد و با استفاده از الگوی رمزنگاری آن را رمزگشایی کرد. اگرچه توانایی به سرقت بردن اطلاعات سایت‌کی طی فرآیند تشخیص هویت نیز قبلاً توسط بسیاری دیگر از محققان حوزه امنیت اطلاعات کشف شده بود. البته فرآیند رمزگذاری پیش از انتقال اطلاعات از قفل به کلید انجام می‌شود، اما با باز کردن فرم‌ویر و کشف الگوریتم رمزنگاری سرقت اطلاعات کار بسیار ساده‌ای است. با داشتن الگوریتم رمزنگاری یک هکر می‌تواند به‌راحتی سایت‌کی را کشف کند و حتی به باز کردن فیزیکی قفل نیز نیاز نیست. 

وکلای سایبرلاک وارد ماجرا می‌شوند
در همین زمینه، دیویس می‌گوید او و همکارانش تلاش‌های زیادی برای ارتباط با سایبرلاک انجام داده‌اند تا آن‌ها را از وجود چنین آسیب‌پذیری مطلع سازند. نخستین تماس روز 31 مارس اتفاق افتاد، پیامی که توسط لینکدین به مهندس ارشد امنیت این شرکت ارسال شد. محققان از این مهندس خواستند که این ضعف امنیتی را به شرکت منتقل کنند، اما آن‌ها هیچ جوابی از وی دریافت نکردند. دومین ایمیل در یکم آوریل به نشانی support@cyberlock.com ارسال و سومی نیز به گروه فروش سایبرلاک ارسال شد. دیویس تمام این موارد را در اختیار وایرد قرار داده است و در هر کدام از محققان امنیتی از شرکت آن‌ها یعنی آی‌اواکتیو به‌عنوان یکی از شرکت‌های خوش‌نام در حوزه امنیت فناوری اطلاعات نام برده‌اند. اما روز یازدهم آوریل آن‌ها ایمیلی را به زنی به‌نام تمی در بخش ارتباط با رسانه‌های سایبرلاک ارسال کردند و این کار را مجدد در نوزدهم آوریل نیز انجام دادند (شکل 1). در تمام این موارد آی‌اواکتیو هیچ پاسخی دریافت نکرد تا زمانی که در روز 29 آوریل نامه‌ای را از جونز دی دریافت کردند. محققان آی‌اواکتیو از جونز دی تقاضا کردند ثابت کند نماینده سایبرلاک است، اما پس از آن اتفاق‌هایی روی داد که موجب بدتر شدن اوضاع و ناراحتی دیویس و همکاران وی شد.

شکل 2

در نهایت، در چهارم می جونز دی دومین نامه را به آن‌ها ارسال کرد (شکل 2). در این نامه اذعان شده بود سایبرلاک به تلاش محققانی که در این حوزه فعالیت می‌کنند، ارج می‌نهد. آن‌ها آی‌اواکتیو را متهم کرده بودند که در فرآیندی افشاگرانه قصد داشته است به سایبرلاک ضربه بزند. 

شکل 3

جونز دی همچنین آی‌اواکتیو را متهم کرد که با سوء نیت اقدام به کشف آسیب‌پذیری‌های امنیتی سایبرلاک کرده است و ابزاری که آن‌ها از آن برای کشف رمزگذاری‌های امنیتی در سایبرلاک استفاده کردند، ابزاری نیست که به‌صورت عمومی در اختیار مردم باشد تا هر کس بتواند از آن‌ها برای هک کردن سایبرلاک‌ها استفاده کند. جونز البته به این مسئله اشاره کرده است که محققان امنیتی دیگر نیز پیش از این قفل‌های سایبرلاک را مورد ارزیابی قرار داده و آسیب‌پذیری‌هایی در آن مشاهده کرده‌اند. وایرد نتوانست با جونز دی و ربکین تماس برقرار کند تا نظرهای آن‌ها را نیز در این موضوع منتشر کند. سرانجام این منازعه هنوز مشخص نیست، اما آن چیزی که در این میان معلوم است این است که جدال بین شرکت‌ها و محققان امنیتی پایان نخواهد یافت.