زمانی که «جیمز ماتیس» در نخستین روز کاری خود بهعنوان وزیردفاع امریکا در دفتر خود حاضر شد، مشکلات فراوانی را پیشرو دید. او از همان ابتدا به این نتیجه رسید که سیستمهای رایانهای و شبکههای داخلی وزارت دفاع امریکا حفرههای امنیتی خطرناک دارد. گروه هکری که با ماتیس همکاری میکرد با یک بررسی اولیه به او گزارش داد در یکی از ابزارهای معمول که در وزارتخانه برای انتقال اطلاعات بین رایانهها مورد استفاده قرار میگیرد نقاط آسیبپذیر خطرناک دارد و میتواند آنها را با دردسرهای بزرگ مواجه کند.این گروه هکری در اصل بهعنوان بخشی از برنامه جامع شناسایی نقاط آسیبپذیر وزارت دفاع امریکا حفرههای مذکور را شناسایی کرد.
کارشناسانی که در این گروه حضور داشتند، پول قابل ملاحظهای دریافت کردند تا حفرههای شناسایی شده را برطرف بکنند و جلوی بروز هر گونه مشکل سایبری برای آژانسهای دولتی امریکا را بگیرند. وزیر دفاع امریکا دو روز پیش در آخرین بیانیه خود اعلام کرد که به نظر او بهترین روش برای ایمنسازی دولت امریکا کمک گرفتن از هکرها است.
هکرهای امنیتبخش
«پیت یاورسکی» یکی از 80 هکر «کلاه سفید» در جهان است که برای کمک به سازمانها فعالیت میکند و پس از هک کردن سیستمها و شناسایی مشکلات، آنها را با مسئولان امنیتی در میان میگذارد تا هرچه سریعتر نقطه آسیبپذیر وصله شود. یاورسکی هماکنون همکاریهای نزدیکی را با وزارت دفاع امریکا آغاز کرده است و بر اساس آخرین تصمیمات «جیمز ماتیس» وظیفه تأمین امنیت دو سیستم داخلی وزارت دفاع امریکا به عهده او گذاشته شده است.
یاورسکی که هماکنون در سن 32سالگی به سر میبرد و ملیت کانادایی دارد یکی از اعضای گروه DISCREET است که این گروه برای شرکت Synack کار میکند. این شرکت امنیتی قراردادی را به ارزش 4 میلیون دلار با پنتاگون به امضا رسانده است تا به موجب آن در دوره ریاست جمهوری ترامپ امنیت کامل را برای سیستمهای داخلی وزارت دفاع امریکا برقرار کند.
طی طرح سه ماههای که در ماه فوریه به پایان رسید، یاورسکی و گروه هکری او در شرکت Synack مدیریت کامل سیستمهای حیاتی و اصلی پنتاگون را در دست داشتند و با بررسیهای دقیق و کامل خود موفق شدند نقاط آسیبپذیر فراون را در آن شناسایی کنند. این آسیبپذیریها به گونهای بود که میتوانست به صورت مستقیم عملیاتهای نظامی امریکا در مناطق دریایی را با اختلال مواجه کند. زمانی که این گروه هکری فعالیت خود را آغاز کردند تنها چهار ساعت طول کشید تا بتوانند این حفره خطرناک را شناسایی کنند و همین مسأله نشان داد سیستم داخلی وزارت دفاع امریکا تا چه اندازه آسیبپذیر است.
چهارشنبه گذشته شرکت تولیدکننده ابزارهای امنیتی Synack با انتشار بیانیهای اعلام کرد مرکز سرمایهگذاری مایکروسافت مبلغ 21 میلیون دلار در این شرکت تزریق کرده است تا امکان توسعه فعالیتهای آنها فراهم شود.
یاورسکی که مدیریت یکی از بخشهای اصلی شرکت امنیتی را در دست دارد برخلاف دیگر همکاران خود که معمولاً روی یک حفره خاص یا ترفند امنیتی تمرکز میکنند، یک هکر کاملاً مستقل است که تمام شبانه روز وقت خود را در مرکز مهندسی رایانهای فرمانداری اونتاریو میگذارد و از این کار لذت میبرد که تمام زندگی خود را به تأمین امنیت شبکههای رایانهای اختصاص داده است. او روزها بهعنوان کارمند رسمی دولت امریکا فعالیت میکند و در هنگام شب بهعنوان یکی از پیمانکاران شرکت Synack همکاریهای خود را با آنها ادامه میدهد و به کمک دیگر هکرهایی که در این شرکت حضور دارند، تمام نقاط شبکه داخلی پنتاگون را بازبینی میکند تا هرگونه حفره و مشکل امنیتی را در آنها شناسایی کند.
یاورسکی بر این باور است که تخصص و توانایی در تأمین امنیت سیستمهای رایانهای نباید محدود به چند شخص بماند و به همین خاطر با همکاری دولت امریکا کلاسهای آموزش امنیت سایبری برگزار میکند، مقالات علمی مینویسد، با گروههای آنلاین همکاری میکند و یک کتاب در مورد حفرههای امنیتی خطرناک در دست چاپ دارد.
هک کردن پنتاگون
هکرهای Synack نخستین افرادی هستند که از خارج سیستم دولتی وارد پنتاگون شدهاند و در یکی از امنیتیترین نقاط امریکا حضور یافتهاند تا کنترل و مدیریت حساسترین سیستمهای وزارت دفاع امریکا را در دست بگیرند و اجازه هک کردن آن را داشته باشند. البته به این افراد اجازه داده شده است تا زیر نظر مأموران امنیتی پنتاگون شبکه داخلی این سازمان را هک کنند و پس از شناسایی نقاط آسیبپذیر، راهحل آن را ارائه دهند.
بهار گذشته طرح جامعی با نام «هک کردن پنتاگون» مطرح شد و بر اساس آن دولت امریکا برای نخستین بار در طول تاریخ به هکرها اجازه داد سیستم داخلی آن را بررسی کنند و هرگونه نقص یا مشکل احتمالی را گزارش دهند.
«کتی موسوریس» بنیانگذار مرکز امنیتی Luta که از ابتدا به اجرای طرح «هک کردن پنتاگون» کمک کرد در این خصوص گفت: «پیش از آنکه تصمیم بگیریم هکرها را در این زمینه دخیل کنیم و از آنها بخواهیم شبکه داخلی پنتاگون را هک کنند، باید به این مسأله توجه داشته باشیم که این امر برای هکرها کاملاً غیرقانونی است که بخواهند نقاط آسیبپذیر و حفرههای امنیتی سایت اینترنتی وزارت دفاع امریکا را شناسایی کنند. بر اساس قوانین تعریف شده، حتی تلاش آنها برای رفع حفرههای امنیتی شناسایی شده هم غیرقانونی است و نباید در این زمینه اقدامی انجام دهند».
با وجود این طرح آزمایشی «هک کردن پنتاگون» در فاز نخست طی دوره زمانی 21 روزه به انجام رسید و موفقیتهای فراوانی در پی داشت. در این طرح صدها هکر شرکت کردند و پس از آنکه مشکلات فراوانی به دست آنها حل شد، دولت امریکا اعلام کرد طرح مذکور را گسترش میدهد و مجدد آن را به اجرا میرساند.
نوامبر گذشته وزارت دفاع امریکا با انتشار بیانیهای اظهار داشت، به قوانین موجود چند تبصره اضافه کرده است تا بر اساس آن به صورت کاملاً قانونی از هکرها کمک بگیرد و به کمک آنها بتواند مشکلات سایت اینترنتی خود را شناسایی کند. با این اتفاق وزارت دفاع امریکا قصد دارد در سه سال آینده به کمک دو شرکت HackerOne و Luta حدود 19 طرح دیگر برای کمک گرفتن از هکرها را به اجرا برساند و از این طریق تمام سیستمهای داخلی وزارت دفاع را از نظر امنیتی مورد بررسی قرار دهد.
البته در این زمینه برخی محدودیتها هم در نظر گرفته شده است. بهعنوان مثال هکرها اجازه ندارند سایت اینترنتی وزارت دفاع را طوری هک کنند که به طور کامل از کار بیفتد، یا اینکه فعالیتهای هکری نباید به گونهای صورت بگیرد که دسترسی کارمندان به شبکه داخلی قطع شود.
به هر حال، دولت امریکا به این نتیجه رسیده است که بهترین راه برای تأمین امنیت سایبری خود این است که از دشمنانش در این زمینه کمک بگیرد و به کمک هکرها مشکلات خود را برطرف کند. موفقیتهای امریکا در این زمینه باعث شده است تا بریتانیا نیز طرح مشابه برای کمک گرفتن از هکرها را مورد بررسی قرار دهد.