کسانی که قکر می کنند " من لینکی را باز نمیکنم ؛ پس هک نمیشوم" بخوانند!

کراس سایت اسکریپتینگ (Self XSS) چیست و چگونه امنیت سایبری و موقعیت جغرافیایی _ فیزیکی و متعاقب آن احیانا جان و مال و ناموس و بلکه هم آزادی شما را به خطر می اندازد ؟

حتما تا به حال استتوس هایی قریب به این مضمون از دوستان مشاهده فرموده اید :

" لینکی که از طرف من میاد باز نکنید ویروسه ! من نیستم ! " ( پس چه کسیست ؟ ) ...

این اتفاق معمولا با کلیک قربانی بر روی لینک یا ویدئویی که با استفاده از مهندسی اجتماعی زینت داده شده می افتد اما همیشه هم داستان از این قرار نیست ( توجه داشته باشید که کارکرد Social Engineering یا همان هنر مهندسی اجتماعی می تواند مخاطب عام یا خاص را هدف خود قرار دهد .

برای مثال کلیپهایی با پیش نمایش پورن و جاذبه های جنسی مخاطب - قربانی عام را هدف قرار میدهد و لینک با اشاره به یک مطلب خاص در موردی که برای شما اهمیت خصوصی دارد و تصور هم میکنید کسی از آن آگاه نیست مخاطب - قربانی اش خاص است ) ... عام ترین استفاده از این روش تبلیغات کاذب هدفمند ؛ اسپم و حملات تکذیب سرویس به وب سایت ها با استفاده از هویت و پهنای باند قربانی بوده و هست .

اهداف بعدی دستیابی به تنظیمات کاربری ؛ ربایش کوکی های مرورگر؛ هک حساب کاربری ؛ تزریق کدهای تخریب و دسترسی از راه دور و لینک کردن و هدایت قربانی به وبسایت های ثانویه ء مخرب هستند .

شاید تصور کنید فیسبوک از پروتکل امن ( Https) بهره می برد پس همه چیز در امن و امان است !

اما اینطورها هم نیست . در این حمله مهاجم کدهای سمت کلاینت ( رایانه شخصی شما ) را مستقیم هدف نمی گیرد . هکر ابتدا یک وبسایت با ضعف امنیتی و حفره XSS در وب می یابد و کدهای مخرب خود را که معمولا جاوا اسکریپت هستند به آن inject ( تزریق ) میکند . در XSS هكرها كدهاي خود را جايگزين كدهاي صفحات وب پويا مي كنند . اجازه بدهید ساده تر توضیح بدهم .

وقتی شما آدرسی را در مرورگر خود تایپ میکنید یا تقریبا هر اقدامی برای مشاهده یک ویدئو یا تصویر و عنصری پویا در وب انجام میدهید در حقیقت با ارسال یک پاکت (Paket) این درخواست را با سروری که اطلاعات درخواستی شما روی آن است در میان میگذارید .

اين حمله اغلب هنگامي صورت مي گيرد كه يك سايت جهت درخواست اطلاعات كاربر از Query string استفاده مي نمايد . كدهائي كه جايگزين كدهاي صفحات پويا مي شوند، در پاسخ این درخواست بر روي كامپيوتر كاربر اجرا مي شوند. اين كدها مي توانند اطلاعات با اهميت موجود در كامپيوتر او را سرقت ببرند و به صورت مخرب بكار گيرند. ساده ترش میکنم :

هکرها کدهای سمت سرویس دهنده ( وبسایتها ) را دستکاری میکنند تا به اطلاعات سمت سرویس گیرنده ( شما ) دسترسی پیدا کنند .

این حمله بر اساس ترکیبی از مهندسی اجتماعی و نقاط ضعف مرورگر کار میکند .

اینکه شما تصور کنید هیچ فایلی را باز نمیکنم یک توهم صورتی بیشتر نیست . مثل این می ماند شما بگویید من نامه ایی را باز نکرده می خوانم ! وقتی ویدئویی را می بینید یا حتی تصویری را مشاهده میکنید و یا هر اطلاعاتی برای شما مرئی و قابل رویت میشود در حقیقت فایل آن روی رایانه شما بارگذاری ( Load ) شده که شما همچنین امکانی را فراهم دارید .

حالا فکر کنید آیا شما برای دیدن مطلبی که در فیسبوک لینک شده فیسبوک را ترک نمیکنید ؟ خیر ؟ بسیار .... ویدئویی که در فلان سایت خبری آپلود شده و شما در داخل فیسبوک روی پیش نمایش آن کلیک میکنید چطور ؟ ویترینش در فیسبوک است و فایلش در سرور بیرون فیسبوک و کافی است هکر فرآیند اعتبار سنجی ورودی و خروجی ارتباط امن را دور بزند .

حال این روش می تواند با باز کردن یک صفحه وب یا کلیک بر روی لینک و یا حتا باز کردن یک ایمیل ! هم اجرایی شود.

از آنجا که در سرویسهای امنیتی بلاد کفار قحط الرجال است و گاها مشاهده شده افرادی بیمار که بیکار هم هستند با استفاده از ترکیب این روشها یک فعال ناشناس سایبری را به دام انداخته و با فراهم کردن موجبات دراز کردنش امکان استخدام قراردادی خود را هم در یک نهاد امنیتی فراهم می آورند و همچنین با توجه به اینکه گفتگو ندارد کفار دشمنان ما هستند در راستای عدم یاری رسانی احتمالی به دشمنان فوق الذکر ادامه توضیحات فنی مقاله را درز گرفته ؛ به روش پیشگیری به زبان ساده می پردازیم .

اوصیکم به :

باز نکردن ایمیلهای ناشناس و حتی از آشنایان با سابجکتی که از آن دوست سابقه نداشته است . (در مواردی که امنیت شخص بالاست و نفوذگر با استفاده از هک دوستان و آشنایان حمله خود را برنامه ریزی میکند )

بروز رسانی مرورگر و اطمینان از اینکه از آخرین نسخه ء آن استفاده میکنید .

بروزرسانی نرم افزار (RunTime) جاوا و استفاده از آخرین نسحه ء آن بر روی رایانه ء شخصی .

بروز رسانی و استفاده از آخرین توزیع نرم افزار ادوب فلش پلیر برای مشاهده ء فایلهای پویا در صفحات وب.

کلیک نکردن بر روی لینکهای بی خود و بی جهت در صفحات آدم های معتبر !

نرفتن به آدرس وبلاگهای ناشناس و خصوصا بدون بازدید یا کم بازدید ( به هبچ عنوان از این وبلاگها چیزی را مستقیما دانلود نکنید ) .

بازنکردن صفحات وب ناشناس و حدالامکان بازدید نکردن از وبسایتهای روسی و چینی ( بزرگترین ناقضین پروتکل های رایج ؛ محترم و پدر مادر دار شبکه ) .

استفاده نکردن از هر وسیله ایی که همراه با Bind کردن فایل آلوده ( مخلوط کردن دو برنامه با هم و با آیکون جعلی یا همان Fake Profram ها ) با یک برنامه و یا آیکون عجیب غریب به نام فیلتر شکن به خورد شما می دهند .

خرید نکردن و عدم استفاده از سرویسهای پراکسی غیر معتبر مانند کریو و غیره در صورتی که از سلامت سرویس دهنده آن آگاه نیستید . ( بیش از 90 % از تجهیزات میزبانی این سرویس دهنده ها بر روی سرورهای متعلق یا تحت دسترسی مقامات امنیتی کشورهاست )

به حداقل رساندن امکان شناسایی اطلاعات شخصی مانند تاریخ دقیق تولد و شهری که در آن زندگی میکنید و علایق شخصی شما ( مثلا حتا علاقه مندی به فال قهوه و مارک و برند خاصی که همیشه برای استفاده از آن وسواس دارید )

باز نکردن لینک از سوی افراد با هویت مشکوک در پیام خصوصی فیسبوک .

نرفتن به گفتگوی در چت با دوستانی که بعد مدتها دختر خاله ؛ پسرخاله فیسبوکی شده اید اما واقعا آنها را نمیشناسید خصوصا در یاهو و سرویسهای نا آشنا و یا نوظهور دیگر .

استفاده نکردن از App های رایگان و ناشناس که کلی امکانات رایگان را قربة الی الله به شما وعده میدهند بر روی گوشی های هوشمند و تبلت های شخصی .

-از توضیح "این کد رو کپی کن بزن تو مرورگرت و اینتر رو بزن و ده دقیقه صبر کن تا پستهات هوارتا لایک بخوره و عدد پی گیرهات ( همان فالورها ) بچسبه به سقف " گذشتم .. این دوستان به روانکاو حاذق و پزشک متخصص مراجعه فرمایند .( ما که از این مخاطبین و دوست ها نداریم ... گفته باشم ! ) ...

به خاطر داشته باشید که :

تنها دو چیز در عالم نهایت ندارد ؛ هستی و حماقتهای انسان . ( انشتاین )

**پس قبل از هر اقدامی برای وسوسه شدن به خودتان فرصت فکر کردن بدهید .**

پی نوشت فنی : مخفف Cross Site Scripting، CSS مي باشد اما از آنجا كه CSS به عنوان مخفف Cascading Style Sheets نيز استفاده میشود ، به منظور جلوگيري از بروز اشتباه، XSS را به Cross Site Scripting نسبت داده اند.

سعید حسن زاده