سازمان‌های جاسوسی غرب، به دلیلی دغدغه‌های امنیتی استفاده داخل سازمانی پی‌سی‌های ساخت لنوو را ممنوع کرده‌اند

سازمان‌های جاسوسی انگلیس، استرالیا، نیوزیلند، کانادا و آمریکا استفاده از پی‌سی‌های لنوو را در داخل این سازمان‌ها و توسط کارکنانشان ممنوع کرده‌اند. این سازمان‌ها از آسیب‌پذیری‌های امنیتی و رخنه‌هایی که طی بررسی‌ها در این پی‌سی‌ها پیدا شده است و منجر به دسترسی از راه دور یا ریموت شدن به پی‌سی‌های لنوو می‌شود، واهمه دارند.

07-27-2013 08-23-44 AM

البته کشورهای غربی مدت‌هاست که دچار فوبیای محصولات چینی شده‌اند، پیش از این، آنها شرکت‌های هواوی و ZTE را هم متهم کرده بودند.

در حول و حوش سال 2005 بود که بعد از بررسی‌های دقیق، پی‌سی‌های لنوو از نظر امنیتی در آزمایشات سربلند بیرون نیامدند و «درهای پشتی» در سخت‌افزار و آسیب‌پذیری‌ها در نرم‌افزار آنها پیدا شد.

07-27-2013 08-18-09 AM

جزئیات این آسیب‌پذیری‌ها جزو مورد محرمانه و طبقه‌بندی‌شده است و تنها به این بسنده شده است که این مشکلات باعث دسترسی از راه دور می‌شود.

دغدغه دیگر سازمان‌های امنیتی غرب، وابستگی و اتصال زیاد لنوو به دولت چین است. خود لنوو به صورت صریح موضع‌گیری نکرده است و تنها به این اکتفا کرده است که از چنین ممنوعیتی خبر نداشته است.

اما در کل چیزی که از این خصومت‌ها نمایان می‌شود که این میزان بالای شکاکیت باید دلیلی داشته باشد:

دولت‌های غربی به این دلیل نمی‌توانند به شرکت‌های سازنده سخت‌افزار چینی اعتماد کنند که از احوال خود مطلع هستند و می‌دانند که شرکت‌های خودشان «درهای پشتی» در محصولات تعبیه می‌کنند.

در این مورد یک متخصص امنیتی به نام فریناز کوشانفر گفته است که خود شخصا با مقاماتی از سازمان امنیت ملی آمریکا یا NSA دیدار کرده است که روی «کاشت»‌های مخرب کار کرده‌اند.

07-27-2013 08-18-34 AM

بعد از افشاگری اسنودن، ما هر روز شاهد انتشار اخباری هستیم که در دنیای امروز به هیچ کس و هیچ چیز نمی‌شود اعتماد کرد.

تا پیش از این شاید بسیاری از کاربران ساده‌دلانه تصور می‌کردند که اگر نفوذی به سخت‌افزار یا نرم‌‌افزار مورد استفاده آنها صورت می‌گیرد، اینها ناشی از نقصی غیرعمدی در طراحی و برنامه‌نویسی هستند، این نقص‌های غیرعمدی مسلما وجود دارند، اما تا همین چند وقت پیش اگر می‌شنیدیم که کسی صحبت از «درهای پشتی» یا «راه‌های نفوذ مخفی عمدی» در محصولات نرم‌افزاری و سخت‌افزاری شرکت‌های معتبر می‌کند، او را متهم به پارانویا می‌کردیم.

شاید برای بسیاری از کاربران، این قضایا اصلا مهم نباشد، چرا که فکر می‌کنند کارشان پیش پا افتاده‌تر از آن است که رصدش سودی به حال کسی داشته باشد، اما در یک نگاه وسیع‌تر، بیایید تخیل کنیم و پی‌سی‌هایی را تصور کنیم که مثلا وقتی کاربر آنها به دفعات از کلیدواژه‌های خاصی استفاده کند، اطلاعاتی را به صورت خودکار به یک سازمان جاسوسی بفرستند، یا مثلا تصور کنید که یک برنامه صفحه‌گسترده بتواند رأسا همین کار را بکند، یا اصلا تصور کنید که در بعد کلان، تجهیزات شبکه‌های ارتباطی یک کشور چنین مشکلی را داشته باشند.

حالا سؤال اینجاست که راه تشخیص این «درهای پشتی» و این آسیب‌پذیری‌ها برای یک کاربر معمولی و برای یک کشور چیست و چه ضوابط و پروتکل‌های امنیتی و برنامه‌هایی باید اجرا شوند.

 منبع


  این نوشته‌ها را هم بخوانید

18 دیدگاه

    1. ازاد رو کمی باز کنید چون امنیت برای نرمافراز ازاد و غیر ازاد فرق نداره چون پروتکل های ارتباطی یکی حتی اگر امنیت هسته ازاد مثل لینوکس رو بگید همین چند وقت قبل بود که سیمنتک یک آسیب‌پذیری امنیتی خطرناک در هسته اصلی یا کرنل سیستم عامل متن باز لینوکس پیداکرد که سالها ازش سوء استفاده میشود و از اون بدتر این که هیچ شرکت مسئول رفع اون نیست و خود کاربران باید اون رو رفع کنند.اما سایر نرم افزارها تکلیفشون مشخص اینهمه اصلاحه برای فایرفاکس و کروم که لااقل شرکت پاسخگو دارند برای چیه اخه امنیت ازاد گرفتار نداره.
      همین اتفاقی که برای اسکاپ افتاد و به همه یاداوری کرد که فضای مجازی حریم شخصی نداره خیلی از دوستان نرمافزار های اپن سورس رو پیش نهاد کردن مگه دیتای جابه به جا شده برای اپن سورس قابل دریافت از طریق سایرین نیست جای تعجب هنوز افراد فکر کنند امیت به باز بسته بودن کد ربط داره.

      همون طور که اقا فرشاد گفته پروتکولهای ارتباطی یک حتی سیستم رمز گذاری الگوریتم مشخص
      پکتهای اینترنتی قابل باز شدن و تغییر و تنها را استفاده از یک فایر وال خوب چون انها حتی حملات لایه فیزیکی ام تشخیص میدهند البته تحلیل دیتا کاره زیاد ساده نیست برای همین اکثر شرکتها به یک متخصص امنیت نیاز دارد ولی افراد عادی یک فایر وال خوب کفایت مکنه و نفوذ رو برای افراد مزاحم تا مرز 90% غیر ممکن میکنه

      1. دوست من تفاوتش اینه که سیاست یک نرم‌افزار که مجوز آزاد داره نمیتونه پنهان کارانه یا مغرضانه باشه چون مستقیما کدهاش رصد میشه…
        کی گفته هیچ شرکتی مسئول رفع اون نیست؟ کرنل یه تیم بزرگ توسعه دهنده و مسئول داره…
        فایرفاکس یه نرم‌‌افزار آزاد هست.

        مسلما امنیت به باز و بسته بودن کد ربط داره!
        شما وقتی نتونی به خود نرم‌افزار اطمینان کنی امنیت پروتکل ارتباطی تو درجه دوم قرار میگیره.

        1. تیم توسعه دهنده دارد ولی مسئول من که ندیدم بهد هم منهم همین رو میگم امنیت ربطی متن باز
          متن ازاد متن بسته متن … نداره همه و همه در معرض خطره شما منضور روشن نگرفتی عزیز

          1. شما اصل خوندی نظر من رو خوب من در مورد فایر فاکس همین رو گفنتم فقط اضافه کردم شرکت موزیلا مسولیت پذیر است اوکی

          2. بنیاد لینوکس (Th Linux Foundation) عضوهای خیلی زیادی از شرکت‌های معروف داره. از اینتل و گوگل تا تویوتا عضو بنیاد لینوکس هستند و سالانه صدها هزار دلار حق عضویت می‌دهند. این بنیاد مدیرعامل و مدیر اجرایی و همهٔ این جور چیزها رو داره. دوره‌های آموزشی رسمی برگزار می‌کنه. مدرک‌های رسمی می‌ده. هر ساله چندین کنفرانس بین‌المللی برگزار می‌کنه.

          3. عریزم توسعه دهنده با شرکت مسئول فرق داره
            بنیاد لینوکس بنیاد بنیاد نه شرکت یعنی مسئولیت در مقابل حفره امنیتی و غیره نداره فکر نمی کنم خیلی هم فهمش سخت باشه لا شما بگو کل دنیا عضوش مئولیت خدمات نداره اوووکیییی الان خود شما میتونی عضو این بنیاد بشی

          4. مدرک مگه ربطی به مسیولیت داره یعنی الان کامپتیا که داره مدرک شبکه یا امنیت میده مسئول تمام شبکه های دنیا بد نیست کمی راجع لینوکس و بنیادش تحقیق کنید بسته امیتی بعد از گذشت 10 ماه اعلام خبر ساخته شد تازه خودشما باید نصبش کنی و بنیاد مسئول اطلاع رسانی و … نیست

          5. آقا یا خانم عزیز، من چندین دقیقه تلاش کردم نوشته های شما را بخوانم و دست کم از یکی اش سر دربیاورم که نشد. دوست گرامی ای کاش به جای نوشتن دهها نظر، یکی را ویرایش و قابل فهم میکردید. گمان کنم شما نظراتتان را مینویسید که دیگران بخوانند و بفهمند و نمی توان گفت “روش نگارش خودم است، دوست دارم غلط غلوط و غیر قابل فهم باشد!”

          6. خب یک بار کامل توضیح میدم
            نفوذ و امنیت در دنیای امروز ربط یا ارتباط کمی به سیستم عامل داره، خب اگر شما حتی کمی از امنیت سر در بیارید،باید بدانید نفوذ لایه و مرحله های مختلف داره که ابتدای ترین انها پرسه اتنتیکیشن برای مثال کربراس ، قفل‏‌های یو اس بی ‌یا همون یو اس بی‌ توکن ‏‌ها، مولد رمز های یکبار مصرف، کارتخوان‏‌ای هوشمند و قابل حمل و نرم‏‌افزار های قابل نصب بر روی ابزارهای موبایلی که گاهی دو مرحله و یا یک مرحله ای هستند اما هیچ یک ربطی به سیستم عامل ندارند و ممکن از طرف شرکتهای تولیدی متن باز یا بسته باشد. شکست کد بسته یا باز این ابزار در مرحله ابتدای … تا نفوذ های فوق حرفهای به نرم افزار و اپلیکیشن و… به کد باز یا کد بسته ربطی نداره
            اما در مورد اینکه سیمنتک یک آسیب‌پذیری امنیتی خطرناک در هسته اصلی یا کرنل سیستم عامل متن باز لینوکس پیداکرد که سالها ازش سوء استفاده میشود آقا مسعود (یا نام می خواهم چه کار؟ )یا … به هر علتی متوجه نیست و یا دانش کافی نداره که این اسیب پذیری مسئولیت برای بنیاد لینوکس ایجاد نمیکنه همون طور که اصیلاحه رو یکی از توسعه دهندگان خرد (کوچک) بیرون داد نه از طرف خود بنیاد، جناب مسعود، با بیان این مطلب که این بیاد مدرک میده یا فلا شرکت عضوش میخواهد بگه که نه این بنیاد مسئول ولی تابه حال اپدیتی که بیرون نداده اقا، من مثال زدم که شرکت کامپتیا comptia داره مدرک های مختلف میده پس مسئول شبکه جهانی یا امنیت یا … چون مدارک اونهارو میده یا فارق تحصیل مسول هستند نه اینطور نیست .

            اما در مورد فایر فاکس و کروم بیان شد که این نرم افزارها که کد باز هستند ایا امن هستند حتی باوجود شرکتهای مسولیت پذیری مثل موزیلا و… دارن این مثالی بود برای دوستانی که فکر میکنند کد بازی امنیت.
            اما
            اقای
            نام می خواهم چه کار؟ یا مسعود یا هر دوست دیگه من نظرات رو با فرض علم دوستان به موارد اولیه ای تی بیان میکنم برای همین شاید گنگ باشد اما خود شما گفتد
            نام می خواهم چه کار؟ شما هم املا و برخی اشتباهات میبینی چرا جان کلام بیان شده بود
            جناب مجیدی من خواهش دارم از این به بعد با صلاح دید خود نظرات من که به نظر شما گنگ هستند را خود شما تذکر دهید تا اصلاح کنم فکر نمی کنم اگر کسی دقت کنه اصل مطلب رو متوجه نشود

        2. رصد شدن کد ها ربطی به امنیت نداره اگر این طور که شما میگی باشه باید نرم افزار های کد بسته رو هیچ خطری تهدید نکنه احتمالا شما از کد نوسی و نفوذ سر در نمی یاری چون بیش از 99% حملات از طریق پرتهای باز و پروتکل ها به وچجود میاید بله نفوذ به سیستم مثل اپاچی با دوبی متفاوت ولی شما احتیاجی به دوستن کد نداری ودر بسیاری از موارد با اسنیف کردن نرمافزاری می تونی به اون نوفوذ کنی بله حمله های سطح اپلیکشن یا نرمافزار خاص در صورت داشتن کد حمله علمی تر وتشخیص اون سخت تر است

  1. لیست سفید آنتی‌ویروس‌ها رو هم به موارد بالا اضافه کنید!
    راه تشخیص درهای پشتی بررسی و موشکافی دقیق لاگ کانکشن‌های سیستم توسط افراد خبره و متخصص هست. ولی اگر پروتوکول‌های اینترنتی رو هم از ابتدا طوری ساخته باشند که کانکشن‌های خاصی رو بصورت مخفیانه و دور از چشم هر گونه نرم‌افزارهای مونیتور کننده و خارج از مراجع RFC ایجاد کنند، چی؟! (مثلاً در پایین‌ترین لایه، یعنی لایه فیزیکی شبکه یا همون سخت‌افزار نهایی)

  2. خب خود شرکت هوایی اعلام کرده بود که تمام شرکت ها این کار انجام میدن، و لنوو که بسیاری از قسمتهای سختافرازی شو از ای بی ام خریده یعنی خب از زمانی که امکان ریموتینیگ اختراع شد این قابلیت وجود داشته وامریکا این لطف رو به جهان میکرده و میکنه.
    زیرو دی یا هر نامی برای هر اسیب پذیری که سالهاست به تجارت تبدیل شده وهمه از اون اگاه هستند اگر هم کسی شک داشت بعد از اس تاکس نت نه دیگه
    شما وقتی مدرک، سی یی اچ ورژن 5 (فکر کنم 5 چون در ورژن 7 نیست)می خواهید بگیرید در یک از اسلاید ها توصیه شده حتما بعد از این مدرک در صورتی که پارانویا نگرفتید بله نگرفتید (البته یک شوخی) به روان پزشک مراجه کنید.
    تنها راه شناخت هر چیز(چیز بگم بهتر) که ارتباطات چیز داره استفاده از یک فایر وال در اصل تمام شرکتهای انتی ویروس هم از همین ترفند برای پیدا کردن ویروس استفاده میکنند البته هر دو نوع سخت افرازی که در لایه های پایین تر شبکه کار میکنه یا نرمافزاری که در همه لایه کار مکنه احتیاج به یک متخصص داره چون اکثر اوقات از حفره های امنیتی نرمافزارهای دیگه استفاده می کنند که البته برای شرکتهای امنیتی پیداکردنش راحت البته نه خیلی.
    “در این مورد یک متخصص امنیتی به نام فریناز کوشانفر گفته است”
    لااقل توی ویکی پدیای فارسی و انگلیس حرفی از تخصص امنیتی نزده بله متخصص برق وکامپیوتر یا متخصص ریاضیات یا متخصص فرار مغز رو نوشته

  3. درود

    بله بک‌دورهای سخت‌افزاری و نرم‌افزاری معمولا همیشه و همه‌جا وجود دارند. یکی از دلایلی که روی نرم‌افزار آزاد هیچ دولتی زیاد سرمایه‌گذاری نمی‌کنه (برای ترویجش در جامعه) همینه چون به شرکت‌ها می‌تونن فشار بیارند برای ایجاد چنین مواردی یا در ازای اعطای یک سری امتیازات، ازشون چنین خدماتی رو انتظار داشته باشند ولی دنیای نرم‌افزار آزاد کاملا آزاده و هر برنامه‌نویسی میتونه به کدها دسترسی داشته باشه و بررسی‌شون کنه و به ایرادهای چنینی پی ببره.

    توجه کنین که وقتی یه برنامه تجاری به بازار عرضه میشه، حتی اگه دولوپر نخواد هم با هیچ دولت و سازمان امنیتی کار کنه، باز هم برای شرایط خاصی که ممکنه نیازش بشه، توی سورس برنامه بک‌دورهایی رو قرار میده تا بتونه توی اون شرایط بهش دسترسی داشته باشه.

    در مورد سخت‌افزار هم این مورد صادقه و اغلب طراحان سخت‌افزار چنین موردی رو عمدا تعبیه می‌کنند و اگه روزی هم فاش شد، میگن یه باگ بوده و انسان جایزالخطا!
    هرچند که معمولا طراحان از این تفکر اشتباه عامه مردم که باگ و بک‌دور و … مختص نرم‌افزار هست سوء استفاده می‌کنند. و از اونجاییکه بندرت سخت‌افزار از لحاظ امنیتی بررسی میشه و نتیجه‌اش برای عموم تقریبا منتشر نمیشه، طراحان سخت‌افزار و شرکت‌های تولید کننده، جسارت بیش‌تری در این زمینه پیدا می‌کنند.

    البته ترس از محصولات چینی توسط کشورهای مختلف کاملا بجاست و من در عجبم که چطور کشور ما براحتی تجهیزات چینی رو وارد کل سطوح کرده! شاید بخاطر روابط (فعلا) دوستانه‌ای که دارند فکر می‌کنند چینی‌ها براشون از امریکایی‌ها و اروپایی‌ها امن‌ترند!

    ضمنا جناب دکتر فکر نمی‌کنین نحوه اظافه شدن تبلیغات به وبلاگتون کم‌کم محیط وبلاگتون رو داره شبیه وبلاگ‌های زرد و هرزه‌نویس فارسی‌زبان می‌کنه؟
    به اون تبلیغات متنی با پس‌زمینه فیروزه‌ای زیر پست‌هاتون نگاهی بندازین که چطور برای جلب توجه داره چشمو کور می‌کنه!

    مطمئن باشین اگه گوگل برای تبلیغاتش پس‌زمینه رنگی بذاره درصد قابل توجهی از مشتریانش رو از دست میده. این قاعده در مورد وبلاگ‌های پارسی‌زبان هم صادقه.
    تبلیغاتی که جلب توجه کنند و چشم رو آزار بدن، اولین مواردی خواهند بود که وارد لیست سیاه افزونه‌های adblock میشن :-)

    1. بله البته بک دور سخت افزاری به سادگی که شما میگید نیست چون بلاخره استاندارد امنیتی سخت افزاری هم وجود دارد البته من این رو نفی نمیکنم که سرقت اطلاعات وجو ندارد ولی به سادگی که شما میگیدم نیست چون ما متخصص سخت افزار کم نداریم و اینطور نیست همه مشغول ساخت این طور وسایل باشند همیشه هم باگ نیست گاهی امکاناتی فراهم میشه که امکان سوئ استفاده از اون زیاد مثل جاسوس ابزاری که به فایلهای ویمور حمله میکنه اون از یک امکان این نرم افزار برای شبیه سازی سخت افزار استفاده میکنه و راهی هم به جز کد گذاری روی ایمجها قابل انجام نیست اصلا بک دور نقص امنیتی یا… نیست یک امکان حالا شما اسم اینو رو بک دور میزارید ،امکان اجباری ویروسی شدن میزاری

      1. دوست عزیز

        اول از همه ازتون خواهش می‌کنم، التماستون می‌کنم یک دوره کلاس نگارش حتما تشریف ببرین چون برای خوندن نوشته‌های شما اگه کل پارسی‌نویسان جهان رو جمع کنم فکر نکنم موفق بشم منظور نوشته‌هاتونو بگیرم!
        اون‌جوری که شما می‌نویسید، فقط خودتون همونجور می‌تونین بخونینش و برای بقیه این روش نگارش شما فقط یکسری حروف هستند که سرهم شدند نه جمله و گاهی نه حتی کلمه!!

        هرچند مطمئن نیستم شما چی خواستی بگی ولی برداشتی که از نوشته‌های شما بعد از چندین‌بار خوندن کردم اینه که شما می‌خواهید بفرمایید مهندسین و متخصص‌های سخت‌افزار زیادی وجود دارند که این‌گونه موارد رو بررسی می‌کنند و یا استانداردهایی برای این امور تدوین شده که همه ملزم به رعایتشون هستند و همچنین با کدگذاری میشه جلوی این کار رو گرفت.

        جمله آخرتون رو که کلا ازش نتونستم هیچی سر در بیارم. فکر کنم کدگذاریش خیلی خرفت بود و من از دیکد کردنش عاجز موندم ;-)

        در مورد اینکه متخصصین سخت‌افزاری فراوانی در سرتاسر دنیا وجود دارند و سخت‌افزارهارو انالیز می‌کنند جای شکی نیست اما آیا شرکت‌ها سورس سخت‌افزارها و چیپ‌هاشونو در دسترس این متخصصین قرار میدن تا بررسی‌شون کنند؟

        مورد بعدی هم در مورد استانداردهاست، بستگی داره تعریف شما از استاندارد چی باشه! اینو کلا وارد مقوله امنیت توی این وهله نکنین چون اصلا بک‌دورها و باگ‌ها ارتباطی به استانداردهای اجباری ندارند!

        در نهاست میرسیم به مقوله کدگذاری. شما زمانی می‌تونی به کدگذاری اعتماد کنی که بحث فقط سر نرم‌افزار باشه ولی وقتی خود سخت‌افزار هم رخنه امنیتی داره و راه‌هایی برای نفوذ، چه تضمینی وجود داره؟

        توجه کنین که شما یه قفل سخت‌افزاری برای ورود به کامپیوترتون دارین که اون قفل توسط سنسورهایی که داره صاحبش که شما باشین رو شناسایی م اجازه ورود بهتون میده که بعد از ورود همه اطلاعات موجود توی کامپیوتر در دسترس قرار می‌گیرند. حالا این قفل از شما به سرقت رفته و دست شخص ثالثی بهش رسیده که از قضا میدونه اطلاعات شما کجا ذخیره شدند و تا پشت درش هم رفته (کامپیوتر شما در دسترس شخص هست چه از طریق اینترنت و چه بصورت فیزیکی) حالا بصورت نرمال یعنی شخص دسترسی به اطلاعات شما نداره چون کلید (قفل سخت‌افزاری) فقط برای شما مجوز ورود رو صادر می‌کنه.
        حالا تصور کنین که اون قفل یک بک‌دور داره و از قضا شخصی که اونو بدست آورده، از بک‌دور هم خبر داره. حالا براحتی اطلاعات خودش رو وارد قفل میکنه و خودشو بجای شما جا میزنه و به اطلاعات دسترسی پیدا می‌کنه.

        هنوز هم فکر می‌کنین انکریپشن امنیت رو تأمین می‌کنه؟

        یادمون باشه. امنیت هیچ‌وقت ۱۰۰٪ نیست :-)

  4. به نظر من همه این بک دورها و کسب اطلاعات از هر طریق عادی بنظر میرسه! همه کشورها در صورتی که توان و مهارت کافی در هر زمینه ای برای کسب اطلاعات داشته باشند همچین کاری می کنند حالا اون کشور چین نباشد آمریکا باشد یا … باشد. بهر حال لازمه حضور و پیشرفت کسب اطلاعات هست حالا سازمان های جاسوسی برای کسب اطلاعات به قول خودشون خرابکارنه و پیش گیری از بروز آن و شرکت های تجاری برای بازخورد عملکرد مشتریها و فروش محصولات خود و برنامه ریزی در راستای آینده و ….! بهر حال باید بپذیریم که این حریم خصوصی بصورت آنلاین وجود نداره و احتمالاً هم نخواهد داشت! چون بنظر من حریم خصوص هر شخصی رو خود اون شخص تعیین می کنه و محدودیت ها و آزادیهایش ممکنه از یک شخص تا شخصی دیگر متفاوت باشه! پس قضیه یکم سخت میشه و هر شخصی نمیتونه سخت افزار و نرم افزار خودشو درست کنه و مورد استفاده قرار بده! پس همیشه در حس رصد شدن را داشته باشیم!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
[wpcode id="260079"]