بروس اشنایر در مصاحبه اختصاصی با جام جم

در دنیای رمزنویسی و امنیت سیستم های رایانه ای تاکنون کسی نتوانسته است به مهارت بروس اشنایر پرزیدنت www.counterpane.com برسد.

کد خبر: ۱۸۲۸۰

به جرات می توان گفت تاکنون هیچ کس نتوانسته الگوریتم بلوفیش و توفیش که وی خالق آن بوده را بشکند واین مرد فراقاره ای با کارکردن روی شبکه هایی نظیر Citabank, Canon، کامپک ، شرکت والت دیسنی ، اینتل ، MCI، مایکروسافت ، میتسوبیشی ، نت اسکیپ ، NSA، اوراکل و زیراکس و... توانسته حاکمیت بلامنازع الگوریتم خود را برای ایمن کردن سیستم ها با موفقیت کامل و بدون نقص ، پیاده کند. بروس که مهندس رایانه و فوق لیسانس فیزیک است ، با نوشتن 6کتاب از جمله Liesand Secrets با تیراژ 80هزار نسخه در کنار مقالات متعدد و شرکت در کنفرانس های رمزنویسی و امنیت سیستم ها در سراسر جهان توانسته است دست هر نفوذگری را از شبکه های تحت پوشش خود دور کند. از آنجایی که بحث امنیت در چند سال اخیر دغدغه خاطر بزرگان قوم اینترنت شده و در سیاست های شبکه سازی و نگهداری سیستم های رایانه ای چه در بعد نرم افزاری و چه در بعد سخت افزاری حرف اول را می زند؛ بر آن شدیم تا پای صحبتهای بروس بنشینیم و از راهنمایی های او بهره مند شویم:

بتازگی برخی از دانشمندان با ارائه نظریه ای ادعا کردند به زودی کرم رایانه ای ساخته می شود که می تواند تمام اینترنت و شبکه های رایانه ای را بخورد. عقیده شما در این باره چیست؛
البته ! به نظر من راههای زیادی برای ظهور چنین پدیده خطرناکی وجود دارد و اگر زیاد سخت نگیریم ، می بینیم که آدمهای بیکار با چاشنی بدخواهی ، با داشتن نبوغ خاص می توانند آن را به منصه ظهور برسانند. بنابراین باید منتظر ورود ناگهانی آن باشیم!
همان طور که مطلعید قلب اینترنت تحت حملات DDOS قرار گرفت و از کار افتاد. براستی آلترناتیوی برای جلوگیری از این گونه حملات که موسوم به بمبهای هسته ای هکرهاست ، وجود دارد؛
خبرهای مربوط به حملات DOS از سال 1999به صورت وسیع بازتاب یافت و موسساتی نظیر Cert سعی کردند این پدیده را بصراحت توضیح دهند و طغیان بسته های اطلاعاتی مصنوعی درصدر اخبار دنیای رایانه ها آمد؛ اما به عقیده من حملات DOS یا DDOS پدیده جدیدی محسوب نمی شود و از سالها پیش نیز وجود داشته است . تنها فرقی که کرده این است که اولا، منبع حمله از نظرها غایب شده و کسی براحتی نمی تواند متوجه آن شود و ثانیا، دیگر یک منبع برای حمله وجود ندارد؛ بلکه حمله کنندگان با در اختیار گرفتن ماشین های واسط (Zombie) حملات خود را به طور خودکار با یک برنامه نوشته شده از روی چند منبع و ماشین اجرا می کنند و به واسطه منابع بی شمار نظیر ISPهای سوراخ ، محیطهای چت و... زوال و مرگ یک شبکه را فراهم می کنند. حمله کنندگان نمی توانند با این گونه حمله ها شماره کارتهای اعتباری و سایر اطلاعات را به سرقت ببرند؛ بلکه با ابزاری ساده ترافیک را مختل کرده ومانع از دسترسی دیگران به شبکه می شوند. داستان ، داستان حمله پیتزاهای سفارشی آلیس به باب است ، آن هم زمانی که آلیس با تلفن 100پیتزا سفارش داد و همگی با هم به در خانه باب می رسید و وقتی با هم زنگ خانه را می زنند باب از ایوان یکصد سفارش پیتزا می بیند که باید پول آنها را هم پرداخت کند و هر چه نگاه می کند، اثری از سفارش دهنده نمی بیند؛ چون اصلا وجود خارجی آن هم پشت در خانه وی ندارد. به عقیده من راه حل و چاره اساسی برای جلوگیری از این گونه حملات نوسازی دروازه های اینترنت است که با بازسازی روی این پروتکل ها می توان جلوی این نوع حملات مصنوعی و بسیار خطرناک را گرفت . خنده دار است ؛ اما واقعیت دارد که اولین فریکرها(نفوذگران به سیستم های مخابراتی) از طریق سوت زدن پشت خطوط تلفن فهمیدند که می توانند ابزاری به نام Blue Box , Black Box و غیره را برای اهداف نفوذگرانه خود بسیج نمایند و مخابرات را در اختیار خود بگیرند. اما متاسفانه نقشه ای برای بازسازی ساختار اینترنت به طور دقیق و مشخص وجود ندارد و به همین دلیل شاهد حمله به قلب اینترنت بودیم که تنها در آخر با تغییر فیزیکی محل سرورها، توانستند داروی مسکن را به خورد شبکه اینترنت بدهند.
اگر از شما بپرسند از میان سیستم عامل های ویندوز و لینوکس کدامیک را ترجیح می دهید، چه می گویید؛
در بسیاری از موارد، من ویندوز را بهتر از سایر سیستم عامل ها دیدم . این سیستم عامل بسیار حالت عام و همه گیر دارد و کار کردن با آن نیز آسان تر از بقیه است . در ضمن نرم افزارهای متعدد و بیشتری هم با آن سازگاری داشته و قابل نصب و اجرا روی آن است ؛ اما از نقطه نظر امنیتی و بحث ایمنی سیستم قطعا لینوکس بهتر از ویندوز است . چرا که کمتر جنبه عام دارد و exploit کمتری هم نسبت به ویندوز روی آن نوشته شده است . بنابراین علاقه مندان کمتری برای نوشتن ویروس روی لینوکس اعلام آمادگی کرده و بسیار هم کمتر می توانند با مهارت های خود آن را بشکنند.
آینده هکرهای خاکستری را چگونه می بینید؛
در سراسر تاریخ دیده ایم مردمانی وجود داشته اند که بالای قانون به طور موفقیت آمیزی حرکت کرده اند. آنچه تحت عنوان هکرهای خاکستری یا کارشناسان امنیت سیستم مطرح شده چیز نویی در علوم رایانه ای محسوب نمی شود. من فکر می کنم آنها تاریخ را درمی نوردند و در آینده نیز قطعا حرف اول را در بحث امنیت خواهند زد.
فناوری فایروال ها به کدام سو پیش می روند؛ بهتر می شوند یا بدتر؛
به عقیده من باید فناوری فایروال ها را در حد وسط قرار دهیم . مشکلی که امروز داریم بر سر داشتن یا نداشتن فایروال ها نیست . همگان می دانند که وجود فایروال چه سخت افزاری و چه نرم افزاری واجب است ، منتها نحوه نصب و کاربرد آن است که دارندگان آن را با مشکل مواجه ساخته و به دلیل کمبود دانش فنی آن را مریض سر پا نگه می دارند.
گفته می شود پنتاگون یک سلاح مرموز الکترونیکی دارد که می تواند درمواقع ضروری به دلیل در اختیار داشتن مرکز اینترنت از آن استفاده نماید. آیا این صحیح است؛
من نمی دانم و از وجود چنین چیزی مطلع نیستم ؛ اما قطعا هر ارتشی روی مبحث جنگهای سایبر کار می کند و پنتاگون هم از این قاعده مستثنا نیست . هم حمله و هم دفاع در استراتژی های اولیه هر سازمان نظامی قرار دارد و پنتاگون هم مطمئنم روی این نوع سلاحها سرمایه گذاری می کند و این کاملا طبیعی است . این که آنها در قلب اینترنت سلاح الکترونیکی نهاده اند و به وقتش از آن استفاده خواهند کرد، محتمل به نظر نمی رسد؛ اما امکانش هست که دنبال چنین چیزی باشند. همان طور که سایر کشورها نیز به دنبال داشتن چنین ایده ای در ذهن و به فعل رساندن آن در عمل هستند.
در آستانه سال جدید میلادی برخی از وقوع جنگهای سایبر میان دولتها و حکومتها نظیر آنچه میان چین و امریکا در سال 2001 رخ داد، خبر می دهند. به نظر شما چنین جنگی دوباره رخ خواهد داد؛
من در این مورد فعلا تردید دارم . پیش بینی و اظهار نظر درباره چنین جنگهایی اختراع و ابداع رسانه هاست ؛ اما یک چیزی را مطمئنم و آن این که هکرها دور خود یک حلقه احترام کشیده اند و گهگاهی هم به جان هم می افتند که نظیر آن را میان چین و امریکا و هند و پاکستان دیده ایم . باز هم تکرار می کنم که جنگ سایبر امکان دارد، اما احتمال اتفاق افتادنش جای شک دارد.
شما که استاد برجسته رمزنویسی هستید، فکر می کنید این علم چه نقش موثرتری را در توسعه ابزاری نظیر هویتهای بیومتریک و کارتهای اعتباری جدید و... می تواند بازی کند؛
واقعیت این است که بیومتریک ها اغوا کننده هستند. شما کلید خودتان هستید. صدای شما در خانه را برایتان می گشاید و اسکن اثر انگشت شما اجازه ورود به رایانه را می دهد. سگها قوه تشخیص دارند و انسانها نیز از روی صورتشان شناسایی می شوند. روی تلفن صدای شما هویت فردی شما را در ارتباط با طرف مقابل مورد شناسایی قرار می دهد. آنچه بیومتریک را برجسته می کند، ضبط و مقایسه این نوع اطلاعات روی بانک اطلاعاتی مخصوص و ویژه است . صدای آلیس روی تلفن هویت او را نزد شمابازگو می کند و اگر آلیس پشت خط نباشد، شما به او کمک نخواهید کرد و هویت او را تایید نمی کنید. بیومتریک کمک می کند که بگوید آلیس ، آلیس است ؛ همین ! نتیجه ای که می توان گرفت این است که بسختی می توان هویتهای بیومتریک را جعل کرد؛ اما اگر کسی بخواهد، می تواند همان را نیز با مقیاس گیری و الگوریتم سازی جعل کند. یعنی اگر کسی بتواند ماسکی بسیار طبیعی و شبیه آلیس بسازد، می تواند جلوی اسکنر و دوربین برود و خود را به جای آلیس جا بزند. تقلید از یک امضا سخت است ؛ اما اگر از روی یک کاغذ امضا شده بتوان امضای جعلی ساخت ، آن وقت همه چیز فرو می شکند. اگر اثر انگشت آلیس را از روی یک کاغذ کپی جعل کنیم و ماسک او را هم بزنیم ، شاید بتوانیم بیومتریک را گول بزنیم . حرف آخر این که هویت بیومتریک نیرومند و قوی است ، اما آنها مخفی و رمزی نیستند؛ بلکه همانی هستند که شما می بینید. یعنی قیافه همان قیافه و اثر انگشت همان اثر انگشت ، تنها منحصر به یک فرد هستند و تعلق به او دارند. همین!