نفوذ به شیرپوینت مایکروسافت، ابعاد امنیتی و دلایل انحصار

چرا همیشه پای مایکروسافت وسطه؟

این اتفاق باعث شده دوباره این سوال مطرح بشه که چرا ما به جای مایکروسافت، بیشتر از شرکت‌هایی مثل رد هت (Red Hat) استفاده نمی‌کنیم؟ این آسیب‌پذیری‌ها وقتی مشتری‌های شما سازمان‌های مهمی مثل وزارت دفاع (DoD) هستن، قابل قبول نیست.

هیچکس گوگل رو چیزی کمتر از یه قلعه نفوذناپذیر نمی‌دونه، اما وقتی نوبت به یه نهاد دولتی میرسه که مسئول حفظ جان مردم آمریکاست، انگار همه میگن: «آهان، اونا احتمالا یه شیرپوینت آسیب‌پذیر روی سرورهای داخلی‌شون دارن که راحت میشه هکش کرد».

پس چرا اینجوریه؟ چرا محصولات مایکروسافت تو این بخش‌ها یه جورایی بازار رو در انحصار خودشون گرفتن، در حالی که گزینه‌های امن‌تر (مبتنی بر لینوکس) وجود دارن که خیلی ارزون‌تر هستن و به طور گسترده هم استفاده میشن؟ مگه امنیت اولویت شماره یک تو این فضاها نیست؟

داستان شیرپوینت: یه هیولای فرانکنشتاینی

یکی از دلایل اینه که شیرپوینت از طریق دسکتاپ وارد سازمان‌ها شد. مایکروسافت اون رو به عنوان نسل جدیدی از فولدرهای اشتراکی با قابلیت‌های «اینترانت» معرفی کرد. اگه شما از قبل یه ویندوز سرور برای اشتراک‌گذاری فایل داشتید، شیرپوینت تقریبا «رایگان» در میومد.

نسخه‌های اولیه کیفیت فوق‌العاده پایینی داشتن، حتی برای استانداردهای خود مایکروسافت. اما شیرپوینت به عنوان آینده توسعه اپلیکیشن‌های سمت سرور مایکروسافت معرفی شد. برای همین تمام شرکت‌های مشاور و فروش برای هر پروژه سروری، سراغ شیرپوینت رفتن.

برای توسعه‌دهنده‌ها، این یه کابوس بود. زیر این پلتفرم یه هیولای فرانکنشتاینی از تیکه‌های کد احیا شده از دپارتمان‌ها و پروژه‌های مختلف مایکروسافت بود که خیلی ناشیانه با چسب و تیکه‌های نخ به هم وصل شده بودن. لیست‌ها (ساختار اصلی شیرپوینت برای دایرکتوری‌های فایل) درست کار نمی‌کردن، سیستم تحت بار کم هم از کار می‌افتاد، تاخیرش حتی برای کارهای ساده غیرقابل قبول بود و فایل‌ها بعد از رفت و برگشت به سرور، بدون تغییر باقی نمی‌موندن.

با گذشت سال‌ها، مایکروسافت کاربردش رو از «پلتفرم آینده برای اپ‌های سفارشی اداری» به «اینترانت آماده با تنظیمات ظاهری» و در نهایت به «فولدرهای اشتراکی آفیس ۳۶۵ روی کلود» تغییر داد.

آیا واقعا امنیت اولویت اوله؟

جواب کوتاهش اینه: نه. این محیط‌ها هم دقیقا مثل هر محیط IT دیگه‌ای با همین اندازه هستن. امنیت مهم در نظر گرفته میشه، اما باعث فروش محصول نمیشه. این ویژگی‌ها و هزینه و همینطور تخصص موجود از طرف تامین‌کننده هست که انتخاب‌ها رو مشخص میکنه. امنیت بیشتر با قول‌ها و گواهینامه‌ها پوشش داده میشه و اغلب به تیم‌های عملیاتی سپرده میشه تا مشکلاتش رو با آپدیت‌ها برطرف کنن.

یه نفر تعریف میکنه که حدود ۱۸ سال پیش توی یه استارتاپ نرم‌افزاری که با مایکروسافت همکاری داشت کار می‌کرده. اونها بخش وب اپلیکیشن ابزارشون رو با شیرپوینت ساختن تا خودشون رو برای مایکروسافت جذاب‌تر کنن، حتی اگه هیچ مزیت واقعی براشون نداشت. مشکلات پشتیبانی «دیوانه‌کننده» بود. در نهایت یک چرخه کامل توسعه رو صرف این کردن که اپلیکیشن وب رو از شیرپوینت خارج کنن و یه وبسایت مستقل درست کنن. بعد از این کار، تماس‌های پشتیبانی به شدت کم شد.

مقایسه با لینوکس: سیب با پرتقال؟

یه نکته مهم اینه که شیرپوینت خود ویندوز نیست. یه محصول مایکروسافته که فقط برای ویندوز سرور موجوده. اگه بخوایم سرویس‌های موجود روی لینوکس رو هم در نظر بگیریم، شاید به حجم مشابهی از مشکلات برسیم. مثلا ببینید چقدر برای سیستم‌های مدیریت محتوای (CMS) محبوب، آسیب‌پذیری (CVE) گزارش میشه.

البته بعضی‌ها میگن مقایسه درست‌تر با رد هت هست، چون اونها هم یه مجموعه کامل از محصولات رو ارائه میدن. حتی خود لینوکس هم فقط لینوکس نیست؛ در واقع گنو + لینوکس هست و یه وب‌سرور هم روش نصبه.

با اینکه لینوکس و انجین‌اکس (nginx) قدرت اکثر وبسایت‌های دنیا رو تامین می‌کنن و هدف خیلی بزرگی هستن، اما به نظر نمیرسه این نوع مشکلات رو داشته باشن. آمارها هم جالبه. در طول ۵ سال، حدود ۴۵۰۰ حادثه امنیتی برای سیستم‌های ویندوز ثبت شده در حالی که برای لینوکس فقط دو حادثه ثبت شده.

مایکروسافت هم از این ضعف‌ها یه صنعت دوم برای خودش درست کرده. دیگه فقط بیماری رو نمی‌فروشه، درمانش رو هم می‌فروشه. «آه، سیستم‌های ویندوز شما مشکل امنیتی دارن؟ در مورد راه‌حل‌های امنیتی گسترده ما چیزی شنیدین؟ فقط سالی دو برابر بودجه فعلی‌تون هزینه داره!»

چرا جایگزین کردن سخته؟ خندق واقعی مایکروسافت

واقعیت اینه که جایگزین کردن مایکروسافت خیلی سخته. دلیلش فقط آفیس نیست، بلکه اکتیو دایرکتوری (Active Directory) کلید اصلی ماجراست. این سیستم یه مدیریت یکپارچه برای کاربران، دستگاه‌ها، گروه‌ها و سیاست‌ها ارائه میده که همه چیز روی اون ساخته شده. خارج از دنیای ویندوز، هیچ چیزی حتی نزدیک به این هم نیست.

ابزارهای لینوکسی برای ارتباط با اکتیو دایرکتوری وجود دارن، اما هیچ جایگزینی براش نیست. با گروپ پالیسی (Group Policy) میشه هزاران تغییر پیکربندی رو با چند کلیک روی هر گروهی از کاربران یا کامپیوترها اعمال کرد.

حتی به عنوان یه طرفدار لینوکس، نمیشه انکار کرد که Outlook خیلی راحت با کلی چیزای اولیه کار میکنه. برای اولین بار وارد میشید، ایمیلتون رو چک می‌کنید، جلسه با مدیرتون روی تقویمه و… کلی یکپارچگی کوچیک اینجا وجود داره که وقتی سرور Exchange رو خاموش کنید، همه‌شون ناپدید میشن.

مقاومت در برابر تغییر

علاوه بر مسائل فنی، مقاومت انسانی هم وجود داره.

1. کارکنان: به خصوص بخش کارگری، در برابر یادگیری روش‌های جدید خیلی مقاومت می‌کنن، مگه اینکه ثابت بشه روش جدید واقعا آسون‌تره.
2. مدیران خرید و IT: این افراد اغلب نمی‌دونن دارن چی میخرن. اگه بگید «برای دفتر کامپیوتر جدید لازم داریم»، اولین کاری که می‌کنن اینه که از یه تامین‌کننده برای خرید یه عالمه کامپیوتر Dell پیشنهاد بگیرن، چون همیشه همین کار رو کردن. دپارتمان IT هم فقط کامپیوتر ویندوزی میده چون برای پشتیبانی از همون آموزش دیدن. لینوکس اصلا در نظر گرفته نمیشه چون چیزی در موردش نمی‌دونن.

بحث‌های حاشیه‌ای: مقایسه با دزدی ماشین

یه بحث جالبی هم در این مورد شکل گرفته. یکی میگه: «اگه تو محله شما هر ماشینی که دزدیده میشه از یه کارخونه خاص باشه، به نفع شماست که بپرسید چرا و شاید موقع خرید ماشین جدید این نکته رو در نظر بگیرید».

یکی دیگه جواب میده: «این اتفاق می‌افته. ماشین‌های گرون‌تر دزدیده میشن ولی ماشین‌های ارزون‌تر نه. دلیلش این نیست که ماشین‌های ۴۰ ساله امنیت بهتری دارن، بلکه ریسک در برابر پاداش برای ماشین‌های لوکس با ارزش فروش بالا در بازار سیاه، بیشتره».

بعد یه نفر دیگه میگه: «نه، دزدها ماشین‌های گرون رو هدف قرار نمیدن. بیشترین ماشین‌های دزدیده شده در آمریکا هیوندای و کیا ارزون قیمت هستن. دزدها چیزی رو هدف قرار میدن که دزدیدنش و فروختن قطعاتش آسون باشه، نه ماشین‌های لوکس».

رویکردهای جدید امنیتی: اعتماد صفر (Zero Trust)

در دنیای امروز، رویکردهای امنیتی هم در حال تغییره. دیگه فقط به چیزهایی مثل VPN اعتماد نمیشه. یه مفهوم جدید به اسم «اعتماد صفر» (Zero Trust) مطرح شده. ایده اصلی اینه که همه مکان‌های شبکه غیرقابل اعتماد در نظر گرفته میشن. به جای اینکه یه بار به شبکه وصل بشی و به همه جا دسترسی داشته باشی، برای هر درخواست به صورت پویا و بر اساس سیاست‌های مشخص، یه تونل ارتباطی ایجاد و بعدش حذف میشه.

نسخه مایکروسافت از «اعتماد صفر» میگه «هویت، محیط امنیتی جدیده»، اما این ایده کامل نیست. در معماری اعتماد صفر NIST، برای هر درخواست، دسترسی‌ها بر اساس ویژگی‌ها (ABAC) کنترل میشه. این یعنی حتی اگه دستگاه شما توی شبکه داخلی شرکت باشه، باز هم مثل اینه که از اینترنت عمومی وصل شده و باید هویتش برای هر کاری تایید بشه.

مشکلات روزمره کاربران با شیرپوینت

در نهایت، جدا از بحث‌های امنیتی و فنی، تجربه کاربری هم مهمه. خیلی‌ها از شیرپوینت دل خوشی ندارن:

• رابط کاربری وب شیرپوینت خیلی کند و پر از باگه.
• یه فولدر بی‌مصرف به اسم «General» توی ریشه فایل‌ها وجود داره که نمیشه حذفش کرد.
• اسکرول کردن توی فولدرهایی که فایل‌های زیادی دارن سخته چون هر صفحه جدا جدا لود میشه.
• جستجو ضعیفه و فیلترها درست کار نمیکنن.
• بعضی چیزا مثل مدیریت گروه‌های دسترسی باید از طریق Outlook انجام بشه!

یکی از کاربران میگه: «رئیسم یک سال تمام سعی کرد منو مجبور کنه شیرپوینت رو راه‌اندازی کنم. در نهایت یه تکنیسین دیگه استخدام کرد و اون “توی یه بعد از ظهر” راه‌اندازیش کرد. اما هیچکس هیچوقت ازش استفاده نکرد».

منابع

• Global hack on Microsoft Sharepoint hits U.S., state agencies, researchers say | Hacker News
• US nuclear weapons agency breached using Microsoft SharePoint hack
• Microsoft servers hacked by Chinese state-backed groups, firm says
• Yahoo ist Teil der Yahoo-Markenfamilie.
• Microsoft servers hacked by Chinese state-backed groups, firm says – BBC News
• Chinese Hackers Are Exploiting Flaws in Widely Used Software, Microsoft Says – The New York Times
• Microsoft Sharepoint hack: Hundreds of organisations and US government agencies hit in global cyberattack | The Independent