هنگامی که حرف از کرک نرم افزار می شود، عده ی زیادی آن را با هک اشتباه می گیرند. درواقع بسیاری از افراد فکر می کنند که کرک همان هک کردن است. اگر شماهم اینگونه فکر می کنید، باید بگوییم که کاملا در اشتباه هستید. کرک و هک دو مقوله جدا از هم هستند که هر یک سازوکار خاص خود را دارند. در ادامه قصد داریم به طور مفصل درباره کرک و هرآنچه به آن مربوط است صحبت کنیم.

کرک چیست ؟

از واژه کرک معمولا به عنوان شکننده رمزها و باز کردن قفل نرم افزارها یاد می شود. اگر بخواهیم بیشتر توضیح دهیم باید بگوییم که کرک نرم افزار به حذف ویژگی های ناخواسته یا باز کردن ویژگی های بیشتر مانند ویژگی های محافظت در برابر کپی اشاره دارد. به این معنی که با انجام ترفندها و نوشتن چند کد برنامه نویسی دسترسی به یک نرم افزاری که قابل کپی کردن نیست را باز می کند. به کسی که این کار را انجام می دهد و درواقع کرک می کند ، کرکر می گویند.

همانطور که می دانید نرم افزارهای زیادی وجود دارند که دسترسی به همه قابلیت هایشان رایگان نیست. یا اینکه امکان کپی کردن و دانلود رایگان آنها وجود ندارد. در این موارد کرکرها با شکستن رمزها ، دسترسی رایگان را باز می کنند.

کرک نرم افزار در بسیاری از کشورها یک فعالیت غیرقانونی است. زیرا منجر به نقض حق چاپ می شود. اما متاسفانه در کشور ما از قانون کپی رایت نرم افزارها چندان پشتیبانی نمی شود.

با این حال ، اقدامات انجام شده توسط توسعه دهندگان نرم افزار برای خلاص شدن از شر کرکرها ، به موفقیت چندانی نرسیده است. توسعه دهندگان نرم افزارها در سراسر دنیا و به خصوص ایران به دلیل این تهدید ، قربانی از دست دادن درآمد هستند.

اهداف کرکرها

خوب مسلم است که هر گروه برای انجام کارهایشان هدف و مقصودی دارند. کرکر ها نیز بی دلیل اقدام به شکست قفل ها و باز کردن دسترسی ها نمی کنند.

کرکر ها معمولا برای کسب درآمد از افرادی که به دسترسی به یک نرم افزار نیاز دارند ، پولی دریافت کرده و اقدام به باز کردن قفل های آن نرم افزار می کنند. البته کرکرهایی که به این شکل کار می کنند در سطح پایینی از حرفه شان قرار دارند. این نوع کرکر ها گاها با بازکردن قفل اکانت های مختلف مانند اینستاگرام اقدام به هک و نفوذ به اطلاعات قربانی می کنند.

اما عده ی دیگری از کرکرها به دلیل خصومت های شخصی که با شرکت ها و یا توسعه دهندگان نرم افزار دارند. نرم افزارهای آن شرکت را کرک کرده و به صورت رایگان و یا با قیمت پایین در اختیار عموم قرار می دهند. به این ترتیب به شرکت موردنظرشان خسارات زیادی را وارد می کنند.

همانطور که می دانید در بازار فروش نرم افزار هم مانند هر بازار دیگری، رقابت وجود دارد. این رقابت گاها باعث می شود که بعضی از شرکت ها برای کرک و هک کردن نرم افزار رقیب و پایین نشان دادن امنیت آنها از کرکرها کمک می گیرند.

روش های کرک کردن

کرک کردن هم مانند هک کردن روش های مختلفی دارد که هر کرکر می تواند از یک روش مخصوص به خود استفاده نماید. البته که امنیت نرم افزارها روز به روز بیشتر شده و روش های قدیمی دیگر جواب نمی دهد. اما به هر حال چند روش هست که همیشه مورد کاربرد کرکرها بوده است.

لازم به ذکر است که بسیاری از این روش ها برای بازکردن رمز عبور اکانت های شما هم به کار می رود. بنابراین آنها را بشناسید و از هک شدن به این طریق جلوگیری نمایید.

Logical Bomb : 1

هنگامی که یک نرم افزار را نصب می کنید، در قسمت عریف لایسنس نرم افزار یا همان کدهای نوشته شده آن، بخشی وجود دارد که وظیفه بررسی کردن این کدها را به عهده دارد. این قسمت معمولا به صورت چند کد شرطی نوشته می شود.

به عنوان مثال نوشته می شود که اگر کلید فعالسازی نرم افزار برابر بود با 34768987 کلیه فعالیت های نرم افزار فعال شود. یا اگر کلید فعالسازی نرم افزار 4569909865 بود فعالیت های نرم افزار بعد از 30 روز بسته شود. ( توجه داشته باشید که این یک مثال به زبان فارسی است و با زبان برنامه نویسی متفاوت است.)

خوب در این حالت کرکر با نفوذ به کدهای برنامه فقط چند کد را عوض کرده و به طور مثال کد 34768987 را وارد می کند. به این ترتیب دسترسی بدون هزینه و همیشگی را باز می کند. به این نوع حمله Logical Bomb یا بمب منطقی می گویند.

2 : جدول رنگین کمان

هنگامی که کلمه عبور شما روی سرور ذخیره می شود. به جای ذخیره کردن به عنوان متن ساده ، در رشته های بی معنی وو کدهایی خاص رمزگذاری می شوند. این فرایند hashing نام دارد و از سوءاستفاده رمز عبور شما جلوگیری می کند. هر وقت رمز ورود خود را برای ورود به سیستم وارد می کنید ، به یک مقدار hash تبدیل می شود و با رمز قبلی ذخیره شده مقایسه می شود. و اگر مقادیر منطبق باشند ، شما وارد سیستم می شوید.

اکنون ، از آنجا که گذرواژه‌ها به هش تبدیل شده‌اند، هکرها با کرک کردن هش رمز عبور ، احراز هویت را بدست می آورند. و آنها این کار را با استفاده از یک جدول رنگین کمان ، لیستی از هشدارهای از پیش محاسبه شده از ترکیب های ممکن رمز عبور انجام می دهند. هکرها می توانند به سمت جدول رنگین کمان نگاه کنند تا هش را خراب کنند و در نتیجه رمزعبور شما را کرک کنند.

بنابراین ، هش رمز عبور را از پایگاه داده می یابد و نیاز به ترک آن را از بین می برد. و علاوه بر این ، نیازی به یافتن رمز عبور نیست. اگر هش مطابقت داشته باشد ، نقض موفقیت آمیز است.

3 : حمله بی رحمانه ( Brute Force Attack)

در یک حمله بی رحمانه ، مهاجم سعی می کند با ارسال ترکیبات مختلف تا زمان یافتن صحیح رمز عبور ، آن را خراب کند. مهاجم از نرم افزاری استفاده می کند تا این فرآیند را به صورت خودکار و اجرای ترکیبی جامع از کلمه عبور در زمان کمتری انجام دهد. در چند سال گذشته ، چنین نرم افزاری با پیشرفت سخت افزار و فناوری تقویت شده است. در سال 2012 ، یک متخصص کرک از خوشه رایانه ای رونمایی کرد که می تواند 350 میلیارد ترکیب در هر ثانیه حدس بزند .  و می تواند هر رمزعبور استاندارد Windows را در کمتر از 6 ساعت بشکند.

4 : مهندسی اجتماعی

در حالی که روشهای فوق در مورد رمزگشایی با استفاده از آسیب پذیری های فنی است . مهندسی اجتماعی از خطاهای انسانی و روانشناسی استفاده می کند. به عبارت ساده مهندسی اجتماعی عملی برای فریب قربانی و به دست آوردن اطلاعات محرمانه مانند اطلاعات بانکی یا کلمه عبور است.

دلیل اینکه این روش در بین مجرمان سایبری بسیار شیوع دارد این است که آنها می دانند که انسان ها بهترین راه برای دستیابی به اطلاعات مهم هستند. و از طریق مهندسی اجتماعی ، آنها به جای یافتن روشهای جدیدی برای شکسته شدن فناوری ایمن و پیشرفته ، از روشهای آزمایش شده برای سوء استفاده و دستکاری احساسات بشر استفاده می کنند.

به عنوان مثال ، فریب دادن شخصی برای به اشتراک گذاشتن رمزعبور خود به جای تلاش برای کرک کردن ، بسیار ساده تر خواهد بود. در حقیقت ، مطابق با KnowBe4 ، شرکتی که آموزش آگاهی در مورد امنیت را ارائه می دهد ، 97٪ از اهداف مجرمان سایبری از طریق مهندسی اجتماعی به دست می آید.

5 : فیشینگ

فیشینگ نوعی مهندسی اجتماعی است که توسط مجرمان سایبری یا همان هکرها و کرکرها برای فریب کاربران و به دست آوردن اطلاعات حساس آنها مورد استفاده قرار می گیرد. این نوع حمله بیشتر برای سرقت های بانکی هنگام خرید اینترنتی استفاده می شود.

فیشینگ معمولا از طریق ایمیل ، جعل آدرس اینترنتی ، پیامک ، ارسال لینک و … انجام می شود. که رایج ترین آنها از طریق ایمیل ، تلفن و پیام کوتاه می باشد.

در هر یک از این نوع حمله ها، مهاجم به عنوان شخصی از یک سازمان مشروع روبرو می شود و حس کنجکاوی ، ترس یا فوریت را در قربانیان ایجاد می کند و سعی می کند آنها را فریب دهد تا اطلاعات حساسی از قبیل – اطلاعات شناسایی ، اطلاعات مالی و بانکی ، رمزهای عبور و …

به طور مثال می توان یک ایمیل فیشینگ را در نظر گرفت ، که در مورد کارت اعتباری مسدود شده و ایجاد احساس فوریت برای قربانی ارسال می شود. و او را مجبور به ورود به سیستم می کند. این ایمیل حاوی پیوندهایی به وب سایتهای جعلی است که شبیه به قانونی هستند اما به عنوان یک ابزار استفاده می شوند. هنگامی که روی پیوند کلیک کرده و اطلاعات خود را وارد کنید. کار برای هکر تمام است، او به تمام اطلاعات موردنیاز خود رسیده و صفحه، کارت اعتباری ، گوشی و یا هرچیز دیگری را هک خواهد کرد.