قطعی اینترنت، عامل اصلی نا امنی در فضای مجازی است

چقدر تلخ است که اینترنت قطع باشد و هنوز هم نیازی نبینند که ما از دنیا باخبر باشیم.

حتی وقتی یک اتصال نیم‌بند هم می‌دهند، باز اجازه‌ی بروزرسانی سرورها و سایت‌ها داده نمی‌شود، و این برای کسی که روی زیرساخت، امنیت، و پایداری سرویس کار می‌کند، فقط یک محدودیت ساده نیست – یک ریسک عملیاتی جدی است.

چون در دنیای امروز، به‌روزرسانی امنیتی یک انتخاب لوکس نیست، بخشی از حداقل‌های نگهداری سیستم است.

وقتی وصله‌های امنیتی به‌موقع نصب نشوند، سرورها و سرویس‌ها عملاً در برابر باگ‌ها و اکسپلویت‌ها بی‌دفاع می‌مانند.

از طرف دیگر، این سؤال هم همیشه هست:

واقعاً می‌ارزد برای اینکه یک عده‌ای از بازار سیاه VPN و فروش دسترسی سود ببرند، این‌همه زیرساخت و دسترسی به دانش و به‌روزرسانی قربانی شود؟

به قول معروف عامل اصلی طلاق، ازدواج است. آیا می‌شود برای اینکه آمار طلاق کاهش پیدا کند، ازدواج را ممنوع کرد؟؟؟ خیر!!! چون این فقط یک شوخی است.
در این مورد هم اینترنت عامل ناامنی دیجیتال و فضای مجازی نیست، بلکه قطعی اینترنت علت اصلی ناامنی است. چون با وجود همین قطعی شاهد بسیاری از هک ها و خرابکاری ها در سرورها و دیتاسنترها و سایت های سازمانها، بانک ها و نهادهای مختلف بودیم.

وقتی دنیای لینوکس هم ناگهان امن مطلق نیست

من مدت‌هاست که یوتیوب و سایت‌های مرجع امنیتی و فناوری را دنبال می‌کنم، و چیزی که این روزها بیشتر از هر چیز توجهم را جلب کرده، حجم باگ‌ها و حملات تازه‌ای است که درباره‌ی لینوکس و ابزارهای زیرساختی آن منتشر می‌شود.

سال‌ها این دو نگاه خیلی رایج بود:

• لینوکس متن‌باز است، پس از نظر امنیتی مسئله‌ای ندارد
• لینوکس نسبت به ویندوز و مک جامعه هدف عمومی کوچک‌تری دارد، پس کمتر زیر حمله می‌رود

اما واقعیت امروز پیچیده‌تر از این حرف‌هاست.

متن‌باز بودن، به‌خودی‌خود، امنیت را تضمین نمی‌کند.

کمتر دیده شدن هم فقط مدت محدودی کار می‌کند.

به‌خصوص حالا که ابزارهای تحلیل، fuzzing، reverse engineering و حتی هوش مصنوعی، سرعت کشف ضعف‌ها را چند برابر کرده‌اند.

نتیجه این شده که باگ‌هایی پیدا می‌شوند که سال‌ها در زیرساخت‌های حیاتی زندگی کرده‌اند، بدون اینکه کسی متوجهشان باشد.

بررسی CVE-2024-3094 و CVE-2024-6387: دو هشدار مهم برای مدیران سرور لینوکس

1- بک‌دور XZ Utils با شناسه‌ی CVE-2024-3094

یکی از مهم‌ترین نمونه‌های اخیر، XZ Utils backdoor بود، یک حمله‌ی زنجیره تأمین که در نسخه‌های 5.6.1 و 5.6.0 دیده شد.

بر اساس گزارش اولیه‌ی Andres Freund در فهرست امنیتی OSS، نسخه‌های tarball upstream پروژه‌ی xz آلوده شده بودند و این کد مخرب می‌توانست در برخی شرایط روی sshd اثر بگذارد.

این مورد با شناسه‌ی CVE-2024-3094 ثبت شد.

نکته‌ی ترسناک ماجرا این بود که xz یک ابزار کوچک و به‌ظاهر کم‌حاشیه است، اما در دل زنجیره‌ی اعتماد لینوکس جا دارد.

یعنی یک آسیب در این لایه، می‌تواند اثرش را به لایه‌های بسیار مهم‌تری منتقل کند.

2- regreSSHion در OpenSSH با شناسه‌ی CVE-2024-6387

نمونه‌ی دوم، آسیب‌پذیری CVE-2024-6387 بود که OpenSSH در انتشار 9.8 به آن اشاره کرد.

طبق اعلام رسمی، این آسیب‌پذیری در نسخه‌های portable OpenSSH از 8.5p1 تا 9.7p1 وجود داشت و می‌توانست در برخی شرایط به اجرای کد با سطح دسترسی root منجر شود.

OpenSSH همچنین توضیح داد که بهره‌برداری موفق از این آسیب‌پذیری روی سیستم‌های 32-bit Linux/glibc با ASLR نشان داده شده است.

همین موضوع باعث شد جامعه‌ی امنیتی خیلی جدی‌تر به مسئله نگاه کند.

چرا این اتفاق‌ها مهم‌اند؟

این دو نمونه فقط «دو باگ دیگر» نیستند.

این‌ها نشانه‌ی یک واقعیت بزرگ‌ترند:

1- امنیت، مسئله‌ی زنجیره‌ی اعتماد است

وقتی یک ابزار پایه‌ای مثل xz یا یک سرویس کلیدی مثل sshd آسیب‌پذیر می‌شود، مشکل فقط در همان پروژه نیست، مشکل در کل مدل اعتماد اکوسیستم است.

2- متن‌باز بودن یعنی امکان بررسی، نه تضمین امنیت

Open source بودن کمک می‌کند ضعف‌ها زودتر کشف شوند، اما اگر فرایند نگهداری، بررسی کد، امضاها، و انتشار نسخه‌ها ضعیف باشد، باز هم خطر باقی می‌ماند.

3- تأخیر در به‌روزرسانی، ریسک را چند برابر می‌کند

وقتی اینترنت محدود است یا دسترسی به منابع امنیتی سخت می‌شود، نصب وصله‌ها عقب می‌افتد.

و این یعنی همان فاصله‌ای که مهاجم‌ها عاشقش هستند. یعنی شبکه داخلی کشور اعم از سایت‌ها، سرورها، فایروال‌ها و هر دیوایسی که در شبکه وجود دارد، دستگاه‌های خودپرداز حتی و … تبدیل می‌شود به بهشتی برای هکرها.

4- ابزارهای جدید کشف آسیب‌پذیری سرعت بازی را عوض کرده‌اند

امروز تحلیل ایستا، fuzzing، و حتی مدل‌های هوش مصنوعی می‌توانند الگوهای مشکوک را در کد، باینری، یا رفتار سرویس‌ها بهتر از قبل پیدا کنند.

به همین دلیل، باگ‌هایی که شاید سال‌ها پنهان مانده بودند، حالا یکی‌یکی بیرون می‌آیند.

پیشنهاد مطالعه: اگر دوست دارید با خدمات ما آشنا بشید میتونید به صفحه خدمات وب2 نکست مراجعه کنید.

نتیجه‌ای که برای ما مهم است

برای ما که با سرور، سایت، وردپرس، لینوکس، و زیرساخت سروکار داریم، پیام این خبرها روشن است:

• به‌روزرسانی امنیتی را نباید عقب انداخت
• به منابع رسمی و مخزن‌های اصلی اعتماد بیشتر از شایعه‌ها و کانال‌های غیررسمی است
• باید هرجا ممکن است monitoring, backup, patch management, و incident response را جدی گرفت
• و از همه مهم‌تر، دسترسی به دانش فنی و اخبار امنیتی باید جزو حداقل‌های یک اکوسیستم سالم باشد

چون وقتی دسترسی به اطلاع‌رسانی محدود شود، اولین چیزی که ضربه می‌خورد «امنیت» است.

و وقتی امنیت ضربه بخورد، هزینه‌اش را همه می‌پردازند – از توسعه‌دهنده تا مدیر سرور، از کسب‌وکار کوچک تا زیرساخت بزرگ.

ختم کلام

آنچه این روزها درباره‌ی لینوکس، OpenSSH، و XZ Utils می‌بینیم، یک هشدار جدی است:

امنیتِ زیرساخت چیزی نیست که بشود با فرضیات قدیمی درباره‌ی متن‌باز بودن یا کم‌مخاطب بودن سیستم‌عامل‌ها به آن اطمینان کرد.

شاید مخاطب و بهره‌بردار از سیستم‌عامل‌های خانواده لینوکس و یونیکس کمتر از کاربران ویندوزی باشد، ولی بار آنها بیشتر است. میلیون‌ها سرور در سراسر دنیا منجمله ایران وجود دارند که فقط خدا میداند چه میزان از سرمایه‌های شخصی و شرکتی و سازمانی و سال‌ها عمر و زمان توسعه دهندگان مختلف را در خود جا داده‌اند.

چیزی که بعید میدونم ذره‌ای برای مسئولین و تصمیم گیران این کشور اهمیتی داشته باشه.
سریعترین، راحت ترین و غیرمسئولانه‌ترین کار ممکن همینه که به محض اینکه شرایط باب میلتون نبود اینترنت رو قطع کنید.

دنیای امروز پر از کشف‌های تازه، تهدیدهای امنیتی، و باگ‌هایی است که سال‌ها پنهان مانده‌اند.

و اگر دسترسی به اطلاعات و بروزرسانی‌ها محدود بماند، این تهدیدها نه کم‌تر، بلکه خطرناک‌تر می‌شوند.

منابع اصلی و مرجع برای نگارش محتوای فنی این یادداشت:

CVE-2024-3094

CVE-2024-6387

مخازن GitHub پروژه XZ