[ + رضا مقدری ]
ماهنامه ي الکترونيکي شبکه امن - شماره اول - سال اول - ارديبهشت ۱۳۸۴ - صفحه ي 15: مقاله ی زیر ترجمه یی از مقاله ی Scott Granneman تحت عنوان ?Where is Google headed که در SecurityFocus منتشر شده میباشد.
Scott Granneman یکی از مشاویرن برجسته ی کمپانی Bryan Consulting واقعه در سنت لوئیز و متخصص ارائه سرویس های اینترنتی و توسعه ی اپلیکیشنهای مبتنی به منظور استفاده های تجاری، آموزشی و بنیادی میباشد .
موفقیت برخی اوقات باعث میشود مردم کارهای خنده داری انجام دهند، کارهایی که بعضا ممکن است بسیار عجیب یا بچه گانه باشند و یا حتی انجامشان در شرایط عادی برای دیگران بسیار دشوار و غیر ممکن باشد. به عنوان مثال چندین سال پیش یک کارگر ساختمانی بازنشسته به نام Phil Lee در قرعه کشی لاتاری در استان BCکانادا برنده شد. بر خلاف سایر جوایز کلانی که در لاتاری اهدا میشود اینبار رقم جایزه ی Phil چندان رقم زیادی نبود، در اصل جایزه ی وی در حدود صد هزار دلار کانادایی معادل هفتاد و شش هزار دلار آمریکایی بود. البته این رقم برای یک کارگر بازنشسته مثل Phil رقم کمی هم نبود.
وقتی از وی سئوال شد قصد دارد پول جایزه اش را چگونه خرج کند، او برای خرج کردن پولش چندین ایده ی متفاوت داشت. مقدم ترین چیزی که نسبت به سایر موارد در ذهنش وجود داشت این بود که بخشی از پولش را به اعضای خانواده اش بدهد و بعد از آن نیز به این فکر میکرد که برای خودش یک جفت کفش شیک و مخصوص پیاده روی و یک دست دندان مصنوعی نو بخرد. یک مرد شصت ساله تا اینجا ایده هایی خوب و مناسب برای خرج کردن پولش داشت.
اما چیزی که باعث شد من او را به خاطر بسپارم آخرین نقشه اش برای خرج پولهایش بود، او گفت قصد دارد الباقی پولش را یک سنگ قبر بخرد، یک سنگ قبر بسیار شکیل که بر روی آن عبارتی ویژه و یک مجموعه ی عکس به خصوص کنده کاری شده باشد. آن موقع با این ایده ی Phil فقط میتوانستم بگویم درود بر تو ای Phil دوست داشتنی.
از آخرین باری که من نگاهی بر گوگل داشتم، تغییرات اساسی بسیاری در این موتور جستجو صورت گرفته است. بسیار بزرگتر از قبل شده، خودش را تکامل بخشیده و کماکان در حال خلاقیت روزافزون و ارائه سرویس های جدید آن هم به صورت روزانه میباشد و سهامش ظرف همین مدت کوتاه ارزشی بیلیون دلاری پیدا کرده است. در عین حال گوگل حالا با اقتدار در مقابل غولهایی چون مایکروسافت و یاهو ایستاده و با آنها رقابت میکند و از رقبای کوچک گذشته اش فاصله یی بسیار زیاد گرفته است.
اما متاسفانه افراد بد با اندیشه های بدتر این روزها بیش از همیشه از گوگل بهره میگیرند. آخرین یادداشت من درباره ی گوگل راجع به تمرین یافتن آسیب پذیریها با استفاده از این موتور جستجو بود، در این یادداشت سعی شده بود تا یافتن مواردی همچون: فایلها و اطلاعات محرمانه یی که بر اثر اشتباه در معرض نمایش برای عموم گذاشته شده اند، باگهای قابل سو استفاده در نرم افزارها و یا حفره های نفوذ پذیر در شبکه ها با استفاده از موتوز جستجوی گوگل آموزش داده شود. سایتهای اندکی لیستی از کلمات و عباراتی که باعث میشداطلاعات حساس و یا آسیب پذیرهایشان فاش شود را تهیه نموده بودند. لیستی که من با نام Googledroks از اینگونه موارد تهیه کرده بودم میتوانست گنجینه یی از ایده ها برای نفوذگران و حمله کنندگان تازه کار باشد. به عنوان یک اقدام عاقلانه امنیتی و در اصل عملی متقابل نسبت به عمل آن دسته از نفوذگران یاد شده انتظار میرفت اکثر متخصصین امنیت این لیست را بازدید کنند و از برخی موارد ارائه شده در آن برای سایتهایی که سرپرستی آن را بر عهده دارند و یا با آنها در رابطه با مسائل امنیتی مشاوره میکنند بهره برداری نمایند. با کمی هوشمندی، مقداری زبان برنامه نویسی Perl و با استفاده از Google Web API ، میتوانستید اسکریپتهایی بنویسید که به صورت اتوماتیک منابع و اطلاعات سایت شما را پردازش نموده و گزارشی از لیست آسیب پذیری هایی که در معرض دید مراجعه کنندگانتان قرار داده اید را بدست آورید. البته افراد بد و نفوذگران نیز میتوانستند چنین اسکریپتهایی تهیه نمایند... اما چیزی که هست بسیار بعید بود که مراجعه کنندگان یا بهتر بگوئیم بازدید کنندگان چنین گزارشهایی را تهیه نمایند.
اما در روزهای پایانی سال گذشته بالاخره یک کلاه سیاه در جایی دقیقا همان کاری را انجام داد که من درباره اش هشدار داده بودم، یک کرم جدید به طور وسیع نرم افزار PHP Bulletin Board یا همان phpBB را مورد حمله قرار داد. این کرم یک نسخه نصب شده از phpBB را که در آن حفره های امنیتی php موجود مرتفع نگردیده بود را پیدا میکرد و سپس با یافتن و استفاده از حفره های موجود کلیه ی صفحات تولید شده سایت با تمامی فرمتها از قبیل HTML, PHP, ASP و JSP را حذف میکرد و سپس صفحه ی اصلی سایت را با صفحه ی جدیدی که درش نوشته شده بود “This site is defaced!!! This site is defaced!!! NeverEverNoSainty WebWorm Generation X” (این سایت توسط کرم وب NeverEverNoSainty نسل X سقوط کرده است(. نسل X در اصل بیانگر این بود که از زمان انتشار این کرم تا به لحظه ی موجود چند نسل جدید از این کرم تولید شده است. در برخی موارد پژوهشگران 24 نسل متفاوت از این کرم را کشف نمودند.
اما چیزی که جالب بود منابع و شیوه یی بود که این کرم برای گسترش بیشتر از آن بهره میبرد در اصل این کرم گوگل را به یک منبع ایده آل برای یافتن قربانیانش بدل ساخته بود. بعد از اولین آلودگی های ایجاد شده توسط این کرم مشخص گردید کرم Santy گوگل را با عبارتی ویژه جهت یافتن نسخه های نصب شده یی از phpBB که ارتقا داده نشده اند و به روز نگردیده اند جستجو میکند و پس از یافتن این نسخه های phpBB آنها را مورد تهاجم قرار داد و از بین میبرد. ده ساعت طول کشید تا گوگل جلوی جستجوها و تقاضاهای این کرم برای جستجو را بگیرد و در طول ده ساعت چیزی حدود چهل هزار سایت مورد حمله قرار گرفتند و سقوط کردند. این اتفاق سبب گردید تا گوگل در حوزه مسائل امنیتی بیشتر فعال شود، Santy بسیار عالی از گوگل بهره گرفت و ظرف مدت کوتاهی با گوگل کاری را کرد که بی سابقه بود لذا گوگل میبایستی بیشتر دقت میکرد زیرا ممکن بود کرمهای بعدی فاجعه خلق کنند.
(البته میبایستی به این نکته اشاره کرد Santy از گوگل به عنوان تنها منبع خود بهره نبرده بود. SantyB از نتایج جستجو در یاهو و AOL نیز برای کشف نسخه های آسیب پذیر phpBB استفاده نمود و یا حتی SantyD از نسخه ی برزیلی گوگل برای جستجوی اهدافش بهره برد.)
اما فقط کرمها نبودند که از گوگل به عنوان شریکشان در انجان اهدافشان بهره میگرفتند. عده یی دیگر از کلاه برداران از گوگل و یا سایتهای مشابه برای کلاه برداری کردن و به جیب زدن پول کاربران عادی بهره میبردند. تا به اکنون سارقین مجازی با یک ایمیل یکی از ساده ترین شیوه های نفوذ را خلق کرده بودند: شما یک ایمیل دریافت میکنید که ظاهرا از طرف Paypal, eBay و یا بانک شماست و خواسته است تا برخی از اطلاعات خصوصیتان را به روز نمایید شما بر روی لینک موجود در نامه کلیک میکنید و با صفحه یی شبیه سازی شده با صفحه ی سایت مورد نظرتان روبه رو میشوید این صفحه آنقدر دقیق و با جزئیات طراحی شده است که شما هرگز متوجه جعلی بودن آن نمیشود، اطلاعات شخصی حساساتان را وارد میکنید و بعد هم کلید Submit را فشار میدهد، تمام شد! حالا یک نفوذگر یا یک سارق نام کاربری و شماره ی رمز کارت اعتباریتان و یا بسیاری از اطلاعات محرمانه ی دیگر شما را میداند.
اما به نظر میرسد حالا دیگر سارقین مجازی ایمیلها را به فراموشی سپرده اند و روی گوگل برای جذب قربانیانشان حساب باز کرده اند. یک سارق یک فروشگاه مجازی تقلبی راه اندازی میکند و سپس صبر میکند تا گوگل فروشگاه وی را وارد فهرست خودش نماید. سپس یک کاربر چیزی را برای خرید در گوگل جستجو میکند و گوگل هم متاسفانه وی را به فروشگاه سارق هدایت میکند. در این فروشگاه که همه چیز هم به نظر درست میرسد تصاویری از کالای مورد نظر کاربر وجود دارد و در زیر هر تصویر لینکی برای نمایش بزرگتر تصویر گنجانده شده است، قربانی بر روی یکی از این لینکها کلیک میکند و همه چیز تمام میشود به جای تصویر یک فایل زیپ خودش را باز میکند و یک اسب تروجان را بر روی کامپیوتر قربانی نصب می نماید. و یا سایتهایی هستند که ممکن است شما از آنها کالایی را با استفاده از کارت اعتباریتان خریداری کنید ولی هرگز کالای شما را برای شما نفرستند ولی چه فرقی میکند در هر دو حالت یک کاربر ساده متحمل ضرر شده است!
همانطوری که در مقالات قبلی هم گفته ام سعی من بر این نیست که گوگل را مقصر جلوه دهم، من فقط آرزو دارم آنها به صورت فعالانه تری با اینگونه موارد که روز به روز هم بیشتر میشوند مقابله نمایند و تصور میکنم گوگل بایستی به شعار کمپانی اش "هرگز بد نباش" بیشتر توجه کند و آنرا واقعا عملی سازد.
نگرانی من به صورت واقعی از زمانی شروع شد که متوجه شدم کوکی های متعلق به سایت گوگل تا سال 2038 بر روی کامپیوتر کاربران باقی خواهند ماند و از بین نخواهند رفت. با انتشار نسخه یی بتای جدیدی از تولبار گوگل در چند هفته ی پیش درگیری و نگرانی من نسبا به گوگل تشدید هم شد.
گوگل قابلیت جدیدی را به تولبار ارائه شده اش که بر روی نرم افزار اینترنت اکسپلور ویندوز مینشیند افزوده است و نام آن AutoLink میباشد، زمانی که یک کاربر کلید AutoLink را در روی این تولبار کلیک میکند لینکهای جدیدی در صفحه ی مقابل کاربر تولید میشوند، این لینکها چیزهایی شبیه به این موارد هستند:
Book ISBN - Amazon.com
Address - Google Maps
Car license plate number - Carfax
Package tracking numbers - UPS or FedEx
حالا موارد قابل انتقاد کوچکی وجود دارند که باعث میشوند تا ما از قابلیت AutoLink چشم بپوشیم. به عنوان مثال این قابلیت به صورت پیش فرض فعال نیست و هر کاربری که میخواهد آن را فعال سازد میبایستی به صورت دستی برای هر دفعه فعال سازیش بر روی یک صفحه وب آن را کلیک نماید. کمی بعد تر لینکهایی که تولید شده اند از نو تولید نمیگردند، بلکه فقط متونی که لینک نشده اند فعال میگردند. من از سرویس مشابهی نیز بهره گرفتم که کدهای صفحات وب را با روشی مشابه برای استفاده من مفید سازی میکرد این سرویس در چیزی نبود جز شیوه ی جستجوی بهتر الحاقی مرورگر فایرفاکس .برای مثال این سرویس نتایج گوگل را بازنویسی نموده و در کنار هر یک از آنها یک پیش نمایش از نتیجه ی مربوطه را به صورت یک تصویر کوچک به نمایش در می آورد. و در کنار این قابلیت، قابلیت بلوکه کردن نتایج تبلیغاتی و تبلیغات هم بسیار به چشم می آمد و کمک میکرد تا صفحات مورد نظرم را به راحتی و بدون تبلیغات مزاحم رویت نمایم. در شرایط مذکور من احساس میکردم محتوای صفحات وب برای استفاده من از نو تولید شده و کاملا بهینه سازی شده اند چیزی که در استفاده از قابلیتAutoLink تولبار گوگل به هیچ وجه نمیتوان احساس کرد.
البته دامنه ی انتقاد به AutoLink بسیار وسیع تر از این حرفهاست من به شخصه اعتقاد دارم این قابلیت دارای مشکل است و ضررش بیش از فایده اش است و البته ظاهرا این اعتقاد شخص من نیست، افرادی همچون Dave Winer, Robert Scoble و Danny Sullivan یکی از اعضای SearchEngineWatch نیز با من هم عقیده هستند و طراح و توسعه دهنده صفحات وب Jeffrey Zeldman نیز در یادداشتی AutoLink را کاملا مورد نکوهش قرار داده است.
رابطه ی گوگل با صفحات وب دقیقا چیزی شبیه رابطه ی مایکروسافت با سیستم عاملهای کامپیوترهاست، در اصل میتوان برای این دو کمپانی تعادلی بدین شکل را نوشت، مایکروسافت : سیستم عاملها :: گوگل : موتور جستجوی صفحات وب. به سال 2001 برگردیم جایی که مایکروسافت تازه اینترنت اکسپلورر نسخه ی شش را معرفی نموده بود. در آن نسخه از اینترنت اکسپلورر مایکروسافت قابلیتی را تحت عنوان Smart tag معرفی کرده بود که دقیقا چیزی شبیه بهAutoLink گوگل بود و دست بر قضا این قابلیت آنقدر مورد انتقادهای تند قرار گرفت که مایکروسافت نهایتا آن را برای همیشه از اینترنت اکسپلورر حذف نمود.
با نگاهي به گذشته متوجه شباهتهاي يکساني بين Smart Tags مایکروسافت و AutoLink گوگل میشویم، البته این شباهتها نبایستی باعث تعجب گرددند زیرا طراح و مجری هر دو برنامه تقریبا یک نفر بوده است. اما یک تفاوت کلی در دو برنامه موجود است آنهم اینکه لینکهای تولید شده توسط Smart Tags بنفش و به همراه زیرخط بوده که این ترکیب رنگ بندی باعث میشود تا این لینکها کاملا از لینکهای ثابت موجود در صفحه متمایز گردند در حالی که لینکهای تولید شده توسط AutoLink گوگل آبی بوده آنهم به همراه زیر خط یعنی فرمت و رنگ بندی لینکهای گوگل دقیقا همان شکلی است که در اکثریت صفحات وب مرسوم میباشد. پس بنابراین زمانی که کلید AutoLink را در تولبار گوگل فشرده میشود بازدید کننده نمیتواند تشخیص دهد که کدامیک از لینکها توسط ناشر صفحه و کدامیک توسط AutoLink گوگل تولید شده است، تنها راه ممکن برای تمیز دادن این لینکها از یکدیگر نگه داشتن ماوس بر روی آنها و منتظر شدن برای نمایش توضیح مربوط به لینک است که من بسیار بعید میدانم تعداد زیادی از کاربران چنین کاری را انجام دهند. در حقیقت اکثریت کاربران وب توجه چندانی به توضیحات لینکها که پس از چند ثانیه توقف ماوس بر روی آنها ظاهر میگردد ندارند.
وضعیت آنجا وخیم تر میشود که گوگل هیچ حق انتخابی را برای ناشران و تولید کنندگان صفحات وب در نظر نگرفته است! مایکروسافت برای این قشر یک META tag به خصوص در نظر گرفته بود که با قرار دادن آن توسط ناشرین صفحات در ما بین کدهای صفحه قابلیت Smart Tags در آن صفحه غیر فعال میگردید. اما گوگل هیچ ابزاری را بدین منظور در نظر نگرفته است. (البته یک منبع غیر رسمی اخیرا کدی را برای غیر فعال کردن AutoLink گوگل منتشر ساخته است که با زبانهای JavaScript، Perl، PHP، ASP سازگاری نسبتا مناسبی دارد، اما گوگل خود رسما هیچ کد یا ابزاری را در این زمینه منتشر نساخته است).
واقعیت قضیه اینجاست که در سال ۲۰۰۵ هر نویسنده یی که از پلتفرم وب برای انتشار مطالبش بهره میگیرد، لینکها بخش عمده و یکی از ستونهای اصلی نوشتهایش خواهند بود. زمانی که گوگل لینکهای یک صفحه وب را دچار تغییر میکند یعنی نوشته های مرا آنهم بدون هیچ توجهی به من دچار تغییر میکند، و مسلما اهداف تبلیغاتی سود جویانه گوگل هیچ سود و پیامد مفیدی برای من نخواهند داشت. یک مثال کوچک از ضرری که AutoLink میتواند بزند را برایتان می آورم، به فرض مثال من اگر یک کتابفروشی آنلاین داشته باشم AutoLink گوگل خیلی راحت ISBN های موجود در صفحات وب کتابفروشی مرا تبدیل به لینکهایی به سمت سایت قدرتمندی همچون Amazon میکند و به راحتی کتابفروشیم را از پا در می آورد. گوگل و کمپانی های شریکش از فعالیت من به نفع خودشان استفاده تبلیغاتی و تجاری میکنند و من هیچ راه حلی برای جلوگیری از آن ندارم. همچنين من براي استفاده سايرين از سايتم يک توافق نامه درست کرده ام ولي AutoLink آن را کاملا به زیر پا میگذارد و در صفحه یی که متعلق به من است چیزهایی را تبلیغ میکند که شاید اصلا مورد قبول من نباشند.
اما اجازه بدهید در صدر اعتراض هایمان یک مورد دیگر را بیافزاییم، کوکی های گوگل تا سال ۲۰۳۸ باطل نمیشوند و گوگل یک ابزار استخراج اطلاعات به نام گوگل تولبار بر روی کامپیوترهای ما دارد که هر آنچه بخواهد را میتواندتوسط آن راجع به ما در عرض چند ثانیه به دست آورده و از کامپیوترمان استخراج نماید. این امر مرا نگران میکند، آیا گوگل واقعا شعار "Don't be evil" یا هرگز بد نباش را اجرا میکند؟
بلاک کننده ی تبلیغات تا زمانی که من نخواهم چیزی را بلاک نمیکند و ابزار بهینه سازی جستجوی گوگل که در موزیلا تعبیه شده است صفحات وب گوگل را تغییر نمیدهد بلکه واقعا محتوای این صفحات را به شکلی مفید برای کاربران بهینه سازی میکند ولی آنچه که گوگل انجام میدهد چی؟ این دقیقا همان سوالی است که جای بحث فراوان دارد و شاید بتوان آن را به مناظره گذاشت.
من امیدوارم گوگل در فعالیتها و عملکرد اخیرش تجدید نظر کند،و یک سوال از این کمپانی دارم: اگر گوگل بر استفاده از AutoLink اصرار ورزد و از آن سود نیز کسب کند آیا ممکن است مایکروسافت به فکر بازگرداندن Smart Tags به اینترنت اکسپلورر بیافتد؟ و یک پیغام کوتاه هم دارم: در دنیا کامپیوترهایی که مجهز به اینترنت اکسپلورر هستند بسیار بیشتر از کامپیوترهایی هستند که مجهز به اینترنت اکسپلورر به همراه گوگل تولبار میباشند. اگر گوگل احتیاط ننماید و حواسش را جمع نکند ممکن است روزی بیاید که ما مشغول صحبت راجع به یک سنگ قبر برای یک کمپانی شکست خورده و نابود شده باشیم، سنگ قبری که شاید شبیه به آن چیزی باشد که Phil Lee کارگر ساختمان بازنشسته کانادایی برای خودش میخواست سفارش دهد.
[ + منبع: Iran secure net - X party به نقل از SecurityFocus ]
Excerpt / Where is Google headed: Success sometimes makes people do funny things, things that may seem bizarre, childish, or even foolhardy to others. To those undergoing the new brush with wild success, however, their actions make complete sense. For instance, several years ago a retired former construction worker named Phil Lee won the lottery in British Columbia, Canada. It wasn't an enormous amount of money as lotteries go - only about $100,000 Canadian, or about $76,000 American - but it was a good amount for Phil.
When asked how he was going to spend his money, Phil tossed out several ideas. First of all, he thought of others: he was going to give some money to his family. Next, he thought of himself, which no one could begrudge, by pledging to buy some decent walking shoes and a new set of false teeth. For a man in his 60s, those were good purchases.
But it was Phil's final plan for his money that made me remember him. He said that he was going to use some of his money to buy a tombstone - an extra special tombstone that would have engraved on it the words "Been there, done that," and quite a series of pictures: "a champagne glass, a royal flush, a slot machine, a nude woman facing backwards and a stick of dynamite with a lit fuse." Wow! Phil, I salute you! [ + Read full story in SecurityFocus ]
3 comments:
گوگل رو نمي دونم ولي گمونم من فعلا تو كما تشريف دارم. همينوطر ترجمه هام
هي پسر مباركه! شيريني ميدي باز؟:))
سلام ... لينكيدم
Post a Comment