همه ما می دانیم که اینترنت یک مکان امن و پایدار نیست. با دستاوردهای فوق العاده در به اشتراک گذاری اطلاعات و راحتی که اینترنت به ارمغان می آورد، فرصت هایی برای بهره برداری فراهم می شود. تقلب، آزار و اذیت، نظارت، سانسور، دستکاری اجتماعی و سیاسی، جاسوسی صنعتی و سیاسی، سرقت اطلاعات و تبعیض در یکی از بزرگترین ابزارهایی که تا کنون بوسیله انسان ساخته شده است، نگه داشته شده است.
طراحی و چالش های پیش رو که مهندسان سراسر جهان باید تصور کنند راه خود را از دست می دهند. من به شدت بر تجهیزات شبکه تمرکز می کنم، اما این مشکل به مراتب فراتر از این افق است. رایانه های شخصی، دستگاه های موبایل، سیستم های صنعتی، ابر و پایگاه های داده در سراسر جهان با مسائل جدی مواجه هستند که فراتر از محدوده این نوشتار است.
تاریخچه کمی:
با توجه به رشد اینترنت در دهه های 80 و 90، برخی از شرکت ها به عنوان رهبران بازار در حوزه های خاص خود به سمت بالا رفته اند. سیستم های سیسکو پادشاه شبکه هستند، اگرچه رهبری آنها در شبکه های بی سیم، سوئیچینگ، مسیریابی و فایروال در طول زمان کاهش می یابد. Juniper، Arista، Huawei و تعدادی دیگر از رقبای کوچک و متوسط به افزایش تسلط سیسکو بر عملکرد اصلی اینترنت کمک کرده است.
من در اینجا درباره سیسکو صحبت خواهم کرد زیرا آنها رهبران بازار هستند. این مسئله به هر یک از رقبای خود نیز بستگی دارد.
موقعیت سیسکو در بحث رمزگذاری:
سیسکو قابلیت های نظارت را مستقیما به سخت افزار آن، که آن را "Intercept قانونی" می نامد، طراحی می کند. ایده این است که یک شرکت با استفاده از تجهیزات سیسکو می تواند دسترسی به اجرای قانون را به انجام تحقیقات، احتمالا با برخی از فرایندهای قانونی و یک حکم دادگاه. در اینجا برخی از اسناد در مورد چگونگی راه اندازی Intercept قانونی در تجهیزات سیسکو شما ارائه شده است. اطلاعات بیشتر
و برخی از اطلاعات در مورد آنچه که Intercept حقوقی در واقع انجام می دهد:
شما متوجه خواهید شد که زبان در مستندات بارها و بارها با مشکل مواجه است. مصادره قانونی در نظر گرفته شده است که توسط اعضای قانون یا مقامات دولتی که دارای پایه قانونی برای انجام نظارت هستند استفاده شود. همانطور که با همه چیز در دنیای رایانه، ساختن مفروضات درباره اینکه چگونه کاربران به سیستم شما دسترسی پیدا می کنند، منجر به مشکالت می شود.
مشکل شماره 1: دسترسی محدود به هیچ شیوه ای معقول نیست
هر کسی که دسترسی داشته باشد می داند که چگونه راه حل قانونی می تواند مردم را در شبکه خود نگه دارد. هیچ کنترل، سیستم گواهی یا سایر محدودیت ها برای جلوگیری از دسترسی وجود ندارد.
مشکل 2: بیش از 150 خطای امنیتی که می توانند به هکرها دسترسی داشته باشند
در اینجا لیستی از مشکلات امنیتی برای IOS سیسکو است. نادیده گرفتن DoS به دلیل آنکه در واقع به کسی دسترسی ندارد، لیستی طولانی از مسائل جدی وجود دارد که شامل جواهرات مانند:
کاربران از راه دور می توانند با استفاده از نام کاربری و رمز عبور سخت افزاری به روتر با قدرت کامل مدیر وارد شوند. [19659002] کاربران از راه دور می توانند به روتر با دسترسی محدود با نام کاربری و رمز عبور سخت افزاری وارد شوند، اما پس از آن می تواند دسترسی به قدرت کامل مدیر را افزایش دهد.
کاربران از راه دور می توانند تمام ترافیک را از طریق SNMP گوش فرا دهند (توجه داشته باشید: SNMP چیزی است که مورد استفاده قرار می گیرد برای ارتباط همه اطلاعات مربوط به حقوقی قانونی)
در کل، 5 نکته مهم کنترل کامل در IOS سیسکو فقط در نیمه اول سال 2018 وجود دارد.
این چیزی است که اضافه می کند این است که آژانس های مخفی روز به روز دنده ای که اینترنت را قدرتمند می کند. شما همچنین مشکلی جدی با سایر مارک های اصلی تجهیزات شبکه خواهید داشت.
این مشکلات را چگونه مورد سوء استفاده قرار می گیرید؟
این بستگی به این دارد که مهاجم شما چه می خواهد. NSA (و احتمالا دیگران) به ترافیک BGP دست زده اند تا اطلاعات را دستکاری و دستکاری کنند. همچنین ایمن است که فرض کنیم که با این نوع معایب جدی در اختیار آنها قرار بگیرد، میتواند هر طرف دیگری را که میخواهند کنترل کند. ما همچنین می دانیم که NSA ذخیره ابرداده اهداف برای نظارت بر فعالیت های خود را ذخیره می کند و حتی داده های رمزگذاری شده را از وب سایت های https و سرویس های رمزگذاری شده به پایان رسانده با امید به وجود آمدن تکنولوژی برای شکستن رمزگذاری در یک بعد از آن
چی می توانیم انجام دهیم؟
این یک مسیر طولانی و بی روح است. سیستم عامل های روتر باید منبع باز باشند. این تنها راه است که شما می توانید بررسی مجدد کد را فعال کنید و اجازه دهید عمومی (و مشتریان شرکت) تأیید کند که نرم افزاری که تجهیزات خود را ایمن نگه می دارد و کاربر ناقص نمی تواند با دستگاه خود وارد شود [19459002[user:cisco
pass:
… و دسترسی مدیر به سیستم های اصلی شبکه خود را دریافت می کنند.
نور ارائه شده توسط نرم افزار باز کردن نرم افزار بلافاصله امکان از این نوع معایب را از بروز رسانی حذف می کند. این به اطمینان جهان اطمینان می دهد که این سیستم ها قابل اعتماد هستند.
حتی اگر ما مجبور به انتقال به رایانه های شخصی برای ارائه خدمات شبکه ای مانند تجهیزات سیسکو و جنرال موتورز باشیم، این رایانه های شخصی بر روی سیستم عامل بسته باقی می ماند که قابل اعتماد نیست. اینتل موتور مدیریت و پردازنده پردازشگر پلتفرم AMD هر دو جعبه سیاه با بالاترین سطح دسترسی امنیتی به یک کامپیوتر است و توانایی برقراری ارتباط در شبکه های بدون سیستم عامل حتی بر روی کامپیوتر نصب شده است. در مورد اینتل مدیریت موتور، حتی می تواند کار کند در حالی که کامپیوتر خاموش شده است اگر آن را وصل است. تحقیقات گسترده ای را که آیا آیا اینتل ME می تواند به طور کامل برداشته شده است، اما تا کنون ما تنها می توانید آن را غیر فعال کنید.
تا روزی می رسد که ما می توانیم یکبار دیگر به کامپیوترها و شبکه هایمان اعتماد کنیم، ما باید رمزگذاری رمزگذاری را رمزگذاری کنیم. استفاده از ارائه دهنده مجاز معتبر VPN صفحات وب که https نیستند را مشاهده نکنید (اجازه دهید رمزگذاری این کار را آسان کرده باشد و دیگر هیچ اتهام دیگری وجود ندارد). پیام ها و ایمیل هایتان را رمزگذاری کنید و به تجهیزاتی که بین شما و شخصی که با آن ارتباط برقرار می کنید اعتماد نکنید.
درباره Derek Zimmer
Derek رمزگشایی، متخصص امنیت و فعال در حریم خصوصی است. او دارای دوازده سال تجربه امنیتی و شش سال تجربه در طراحی و اجرای سیستم های حریم خصوصی است. وی تأسیس صندوق بهبود فناوری متن باز (OSTIF) را به منظور ایجاد و بهبود راه حل های امنیتی منبع باز از طریق حسابرسی، رفع مشکلات و جمع آوری و مدیریت منابع تأسیس کرد.
