محققان و شرکتهای امنیت سایبری به طور مستمر برای معرفی سیستمهای امنیتی دیجیتال پیشرفته تلاش میکنند تا از دستیابی هکرها به دادههای مهم از شرکتها و سازمانهای بزرگ جلوگیری کنند. با این حال، یک مطالعه اخیر توسط محققان دانشگاه کمبریج نشان میدهد که تقریباً تمام کدهای رایانه ای در برابر یک باگ خاص آسیب پذیر هستند که در حال حاضر در همه کامپایلرهای کد رایانه ای موجود در بازار وجود دارد.
مطالعهای با عنوان “منبع تروجان: آسیب پذیری های نامرئی” اخیرا توسط محققان امنیتی از انگلستان منتشر شده است. در مقاله 15 صفحهای، محققان نحوه تأثیر Trojan Source بر کامپایلرهای کدنویسی را توضیح میدهند که برنامههای نرمافزاری هستند که کدهای نوشته شده توسط انسان را به آنچه “کد ماشین” نامیده میشود، کامپایل و تبدیل میکنند.
برای کسانی که نمی دانند، زمانی که یک توسعه دهنده شروع به توسعه یک برنامه نرم افزاری می کند، معمولاً با هزاران خط کد نوشته شده به زبان های سطح بالا مانند C++، جاوا یا پایتون شروع میشود. اگرچه این زبانها زبانهای تخصصی هستند، اما همچنان باید کد را به بیتهای باینری به نام کد ماشین تبدیل کرد که کامپیوتر بتواند آن را بفهمد. اینجاست که کامپایلرها وارد تصویر میشوند زیرا میتوانند خطوط کد نوشته شده توسط انسان را به زبان باینری که سیستم های کامپیوتری آن را درک می کنند ترجمه کنند.
بنابراین، آسیب پذیری اخیراً کشف شده بر اکثر کامپایلرهای کد رایانه و چندین محیط توسعه نرم افزار تأثیر میگذارد. این شامل کدگذاری متن دیجیتالی یونیکد استاندارد است که سیستمهای رایانهای را قادر میسازد تا بدون توجه به زبان، اطلاعات را مبادله کنند. طبق گزارش برایان کربس، گزارشگر امنیت سایبری، این اشکال به طور خاص بر الگوریتم دو جهته یا «Bidi» یونیکد تأثیر میگذارد و میتواند متون اسکریپت های ترکیبی را مدیریت میکند.
طبق یافته های این مطالعه، تقریباً هر کامپایلر کد آسیب پذیری مذکور را دارد. از این رو، یک هکر میتواند از این حفره برای دسترسی به کامپایلرهای کد و تغییر کدگذاری اصلی برنامه در طول فرآیند کامپایل استفاده کند. به این ترتیب، حتی توسعهدهنده اصلی از کدنویسی نادرست در برنامههای خود که ممکن است به هکر اجازه دسترسی به سیستمهای رایانهای را بدهد، نمیداند.
در نتیجه، این گزارش نشان میدهد که این آسیبپذیری میتواند حملات زنجیره تامین در مقیاس بزرگ را در بسیاری از صنایع آغاز کند. بنابراین، طبق گزارش کربس، افشای آسیبپذیری با سازمانهای مختلف در بازار هماهنگ شد. این گزارش همچنین حاکی از آن است که برخی از شرکتها قول دادهاند که راههایی را برای رفع این آسیبپذیری ارائه کنند.
«این واقعیت که آسیبپذیری Trojan Source تقریباً همه زبانهای رایانه را تحت تأثیر قرار میدهد، آن را به فرصتی نادر برای مقایسه پاسخهای بین پلتفرمی و بین فروشندهای معتبر در سراسر سیستم و از نظر زیستمحیطی معتبر تبدیل میکند. از آنجایی که حملات قدرتمند را میتوان به راحتی با استفاده از این تکنیک ها راه اندازی کرد، برای سازمان هایی که در یک زنجیره تامین نرم افزار مشارکت میکنند، ضروری است که ساز و کاری را برای مقابله با این باگ پیاده سازی کنند.”