هکر، سوار بر یاهو

سیده‌طاهره موسوی

کارشناس‌ارشد تکنولوژی مهندسی نرم‌افراز

حتماً شنیده‌اید که می‌گویند: «گاهی به نعل می‌زنیم و گاهی به میخ». به میخ با چکشی به قطر مدادنوکی سوزنی زده‌ایم و به نعل هم با ساتوری به تیزی حرف‌های تیز امنیتی خواهیم زد و از وسط تکه‌تکه‌اش خواهیم کرد. به گمانم، میخ را هنوز به خاطر دارید! همان پاشنه‌ی آشیل خودمان که حتماً همه الآن حسابی محکمش کرده‌اید و نعل هم که مدتی عجیب بر یابوی شهرت، چنان عقاب‌آسا می‌دوید که فکر می‌کرد تا ابد، همه را از اوج قله‌ی بلندقد، نگاه خواهد کرد؛ آن‌چنان با یابو به مُخ زمین خورد که باید مدتی در آی‌سی‌یو، تحت مراقبت‌های ویژه‌ی مهندسی بستری شود تا بلکه هزاران هزار کد یونیک تزریقش کنند تا دوباره به هوش بیاید.

این عروس تعریفی که از آن‌دسته عروس‌های تعریفی قدیم است، سال‌هاست که هواداران زیادی دارد، از آن هواداران کِل‌کش.

وقتی اینترنت به خانه‌های مردم هبوط کرد، دیگر کسی دلش نمی‌خواست برای نامه‌فرستادن، قدم‌رنجه‌کند تا سرِ صندوق پستی تا این‌که چاپارهای اداره‌ی پست، نامه را بعد از اندی و قرنی به دست گیرنده برسانند؛ آن هم اگر در بین راه، نامه مفقودالاثر نشود. یاهوی سوار بر ادعا، پیش‌قدم شد و یک صندوق مفت به همه داد؛ از آن صندوق‌هایی که قفلی به محکمی میخ طویله دارند و از آن‌جا که نبوغ آدمی به‌شکل کاملاً زیرپوستی همیشه دستور می‌دهد کوفت باشد هر چه مفت باشد. این کوفت مجانی را با جان و دل پذیرفت و از این صندوق، تا آن‌جا که دلت بخواهد، استفاده کرد. هر اندازه که دلش خواست، نامه به پر کفترهای یابوسوار بست و تا خرخره صندوق را با تمام زندگی مخفیِ خود، پُر کرد. همه از کوچک بگیر تا بزرگ، فایل‌هایی را که در درایو درسی، در زیرپوشه‌ی تحقیق‌های بنیادین ذخیره کرده بودند - تا یک‌وقت، کس غریبه‌ای نبیند - در صندوق همیشگی و محکم یاهو به ودیعت گذاشتند تا بعدها همگان ببینند.

انگاری که همه، رازهای‌شان را در دل کره‌ی ماه، امانت گذاشته بودند و چه‌قدر ماه بود این ماه! کلی سرگرمی؛ موزیک، خرید، چت، ایمیل و... . خلاصه همه‌چیز خوب بود تا این‌که راست و چپ مهندس‌های باهوش و مغز بدجنس، خواستند که در کره‌ی ماه اجلال نزول کنند و هر کدام یک حفره‌ای کشف کنند که به نام خودشان نام‌گذاری کنند. این فضانوردان باهوش، از هر فضایی استفاده می‌کردند و هر راهی را تست می‌کردند؛ از فیشینگ بگیر تا XSS. راستی از XSS رونمایی نکرده‌ایم! XSS یک راه گذشتن از قفل‌ بدون‌کلید است، مثل کریس آنجل. شنیده‌اید وقتی کسی به خرید می‌رود، زرق‌وبرق آن کالا، چشمانش را می‌دزدد. در XSS هم با استفاده از زرق‌وبرق طراحی صفحه‌، اطلاعات را می‌دزدند؛ یعنی بچه‌زرنگ‌ها، همراه با صفحه، تعدادی کدهای مخرب جاوااسکریپتی می‌گذارند تا آن زرق‌وبرق‌ها نفوذ کنند و کارهای تخریب‌گرانه‌ی‌شان را انجام دهند.

اوایل، اجلال نزول، لازم نبود. همین که هکرها از دور با تلسکوپ‌شان زوم می‌کردند، کافی بود تا بتوانند به ایمیل‌ها پاتک بزنند؛ یعنی یک ایمیل فیش‌فیشی یا زرق‌وبرقی برای کاربر می‌فرستادند تا در دام بیفتد. بعد از آن، هکرها خوب که نگاه کردند، دیدند که روی این کره‌ی ماه، چه حفره‌های جالبی هست و هر کدام تصمیم گرفتند که کریستوف کلمبی شوند و روی کره‌ ماه، به کشف حفره‌ها نایل آیند. خلاصه، همه‌ی بچه‌زرنگ‌های هکری، بار و بنه را بستند و شروع به سفر کردند. از جمله، زرنگ‌ترین آن‌ها، «شاهین رمضانی» بود که با فیشینگ و زرق‌و‌برق XSS توانست نحوه‌ی ورود به ایمیل‌ها را کشف کند. بعد از آن، «ابراهیم حجازی» مصری بود که با عملیاتی موشک‌آسا، توانست حفره‌ی خیلی‌بزرگی را کشف کند؛ حفره‌ای که با آن، به‌راحتی توانست حساب کاربری ادمین (مدیر) را به‌دست آورد و بعد از آن هم، می‌توانست به هر جایی که دوست دارد، سرک بکشد و بقیه‌ی اطلاعات سایت، ایمیل‌ها و رمز‌ها را به‌دست بیاورد و خلاصه، حسابی افشاگری کند. یکی از مهم‌ترین افشاگری‌های این بچه‌زرنگ هکرها، این بود که یک راز نهفته را در صندوق یاهو کشف کند. آن‌هم این‌که، هسته‌ی اصلی سرور یاهو از سال 2012 به بعد، به‌روز نشده است. خلاصه، حسابی پته‌ی تنبل‌بازی‌های یاهو را ریخت روی آب. یاهو که دید این آبروی چندین و چند‌ساله‌اش، با یک حفره‌ی فسقلی از دست رفته - البته به دید بچه‌زرنگ‌ها، بیش‌تر گودال بود تا حفره - فوراً یک وصله‌ی بزرگ - از آن وصله‌هایی که در کودکی، به زانوهای شلوارهای سیب‌زمینی درآورده‌ی‌مان می‌زدیم - روی حفره زد و کاملاً هم روی آن را پوشاند؛ البته ابزار وصله‌ها در فتوشاپ هم تقریباً می‌توانست به یاهو کمک کند تا عکس به یادمانده در ذهن هکرها را هم ترمیم کند، با تصویر کاملاً صاف، هموار و بی‌حفره. زمان به‌خوبی سپری می‌شد که باز سال بعدش، دوباره هکری (ابراهیم رأفت) از خطه‌ی هکرپرور مصر، راهی فضا شد و با استفاده از یک حفره‌ی دیگر، حدود یک‌میلیون نوشته و یادداشت کاربران را حذف کرد. بدتر از آن، پس از رصد حفره‌های روبه‌رشد، نقشه‌ی نفوذ را هم با خود آورد و آدرس دایره‌دایره‌های کوچک حفره‌ها را در اختیار همه قرار داد. دوباره یاهوی بی‌نوا، باز از همان وصله‌زدن استفاده کرد. این‌طور که می‌گذرد، یاهو کم‌کم خیاط خوبی از آب درمی‌آید. دوران به‌‎خوبی سپری می‌شد که باز هم یک نخبه‌ی ایرانی، به نام «بهروز صادقی‌پور»، این‌دفعه هشت حفره‌ی امنیتی کشف کرد و آدرس آن‌ها را به یاهو داد. بیش‌تر این آسیب‌‌ها، مربوط به صفحه‌های خرید، موزیک و... بود و صفحه‌ها به این نحو آسیب‌پذیر می‌شدند که در بخش نظر این صفحه‌ها، یک هکر با نظرها و مطالبی که آغشته‌ بود به زرق‌وبرق XSS می‌توانست یک سناریوی هک بچیند.

تصور کنید که اگر این هکرها، فقط افشاگری‌های ایمیل‌های ما را می‌کردند چه می‌شد، وای‌وای! تمام راز دلِ ما برملا می‌شد. در آخر، یاهو و گوگل، یعنی همان نعل و میخ، تصمیم گرفتند کاری کنند تا دیگر آن‌قدر آبروی‌شان نرود، به‌ویژه یاهو که دیگر هر میکروهکری که از جلوی مانیتور به صفحه‌اش نگاه می‌کند چهارستون بدنش می‌لرزد. اصلاً دیگر یاهو، سوارِ یابو که نیست، هیچ، از قاطر هم پیاده شد و هکر سوارش شده.

یاهویی و گوگولی، طوفان فکری راه‌انداخته‌اند تا ماهِ بدون حفره شوند. بالأخره هر دوی آن‌ها تصمیم گرفتند دست‌به‌دست هم بدهند و ایمیل‌ها را طوری رمز کنند که فرستنده، یک قفلی را روی نامه بزند که فقط گیرنده کلید آن را داشته باشد؛ مثلاً تصور کنید فقط همان پرنده‌ای که نامه را برده، می‌تواند با نوکش برای گیرنده باز کند و هیچ پرنده‌ای بین مبدأ و مقصد نمی‌تواند حتی از سه فرسخی هیچ نگاه نفوذگرانه به نامه‌ها کند چه برسد که بخواهد استراق چشم‌شان کند.

حالا به هرحال، ما این قصه را گفتیم که یادتان باشد، حتی با فکرهای انیشتینی، یاهو و گوگل در محیط مجازی صددرصد نیستند. حالا یاهو و گوگل می‌گویند که ما دوقبضه نامه‌ی‌تان را با پست سفارشی می‌فرستیم و یک لشکر بادی‌گارد هم همراه نامه‌های‌تان روانه می‌کنیم؛ یا با نیروی ویژه، از فایل‌های شخصی‌تان مراقبت شبانه‌روزی می‌کنیم و یادداشت‌ها و نظرهای‌تان را مثل ورق‌های کاغذ، محکم به هم منگنه می‌کنیم تا کسی بازش نکند؛ اما این هکرهایی که ما می‌بینیم، با دست‌بند زرنگی‌شان، دست هرچه نیروی ویژه و لشکر را از پشت بسته‌اند و با یک رودستی به شما، دوباره تا اعماق ایمیل که هیچ، تا اعماق فولدرهای مخفی کامپیوتر هم نفوذ می‌کنند. کلاً اینترنت برای هکرها، حکم آزادراه بدون‌کنترل را دارد که با سرعتی که روی شوماخرها را کم می‌کند در تک‌تک صفر و یک‌ها نفوذ کنند و با گذاشتن صفرتیری بر سرِ آن‌ها، آن‌ها تمام عکس‌ها و فیلم‌های ما را دودستی تقدیم‌شان کنند! چه اکشن هیجان‌آوری، درست مثل فیلم کبری11! پس، بدین‌سان عقل سلیم طی یک سخن‌رانی تراژیک حکم می‌کند: آن رازهایی که قبلاً در بقچه‌های‌تان قایم کرده بودید، سریع به همان‌جا منتقل کنید. دیگر بقچه‌ی خصوصی‌تان را در ایمیل‌ها پهن نکنید؛ چراکه شاید بقچه‌ی‌تان را چند نفر کاملاً ناآگاهانه ببینند؛ ولی دیگر کل دنیا نخواهند دید؛ به‌ویژه دماغ‌عملی‌ها هم دقت کنند و عکس قبل از عمل را بهتر است، نابود کنند!

در آخر، یک سؤال مهم، جلبک‌های مغز را وادار به جنبش می‌کند، آن‌هم این‌که کریس آنجل، پیشِ هکرها دوره ‌دیده است یا هکرها پیشِ کریس آنجل؟ جوابش خیلی هم مهم نیست؛ اما بهتر نیست هکرها دست از سر یاهو، گوگل، ایمیل و اصلاً امنیت بردارند؛ بعد کارهای خارق‌العاده، مثل کریس آنجل انجام دهند؟ آن‌وقت، در دنیایی پر از امنیت زندگی می‌کنیم و مدام می‌خوانیم «همه چی آرومه، من چه‌قدر خوش‌بختم!»

اصلاً اگر هکرها آرام شوند، استرس‌ها کوچ می‌کنند. استرس‌ها که کوچ کنند، موهای سر رشد می‌کنند. قلب سریع‌تر از ساعت می‌زند. پول‌های‌مان روزبه‌روز بیش‌تر می‌شود. پول‌ها که بیش‌تر شد، مسافرت می‌رویم. مسافرت که رفتیم با خیال راحت عکس می‌گیریم. عکس که گرفتیم، می‌گذاریم در ایمیل‌مان، که اگر ‌هاردمان سوخت، عکس‌های‌مان را تا ابد داشته باشیم! بعد، هر بار که ایمیل‌مان را بازکردیم، عکس‌های‌مان را می‌بینیم. بعد، امید به زندگی بیش‌تر می‌شود. تازه مهم‌تر از همه، سرعت اینترنت بالامی‌رود. بعد، ما مجبور نیستیم برای بازشدن یک صفحه ایمیل‌مان، صدتا دعا بخوانیم و در آخر هم، برای صفحه‌ی مانیتور، چکی به مبلغ یک مشت جان‌آسا بکشیم، تازه فشار خون هم نمی‌گیریم. هکرجان! بی‌خیال!

امنیت با دستِ هکر، سر بریده‌است/ کی می‌گه ایمیلِ من، هکر ندیده‌است؟