امنیت را در مرزهای دیجیتال رها کردهایم
بازار ديجيتال – موضوع امنیت در فضای تولید و تبادل اطلاعات که افتا خوانده ميشود، موضوع جدیدي نیست. تعدد شوراها و کمیسیونهای افتا در کشور و متولیان متعدد که بعضی به صورت بخشی و برخی به صورت فرابخشی سعی در تاثیرگذاری در این فضا را دارند، نشان از اهمیت این مقوله دارد.
ولیکن با بروز بحرانهایی مانند ورود استاکسنت که نام نخستین بدافزار صنعتی را نیز برخود دارد، نقاط ضعف متعدد ساختار امنیت را در فضای تبادل اطلاعات نشان داد. اینکه مراکز واکنش سریع نسبت به رویدادهای امنیت مجازی هیچگونه فعالیت قابل قبولی نداشتند و مراکز آگاهیرسانی دولتی یا دانشگاهی نیز بسیار عقبتر از بخش خصوصی حرکت کردند، لزوم بازنگری در ساختار این مراکز و ساختار کلان کشور را بيش از پیش آشکار کرد. در میزگردی که با همین رویکرد تشکیل شد، کارشناسان بخش خصوصی به کندوکاو در این موضوع پرداختند.
عليرضا صالحی: میزگرد امروز درباره بررسی وضعیت امنیت اطلاعات در شرکتها و سازمانهای بزرگ کشورمان است که ميخواهیم بحث را با اپیدمي بدافزاری به نام استاکس نت که شبکههای صنعتی کشورمان را هدف قرار گرفته بود، شروع کنیم و ببینیم که چه اتفاقی همزمان با حمله این بدافزار به صنایع کشورمان اتفاق افتاده و عکسالعمل نهادهای مربوطه چه بوده است. ابتدا خوب است مقداری درباره استاکسنت و اتفاقات بدی که برای شبکههای صنعتی کشورمان در این مورد افتاده صحبت کنیم.
عباسنژاد: اولین مساله، در حقیقت سه ویژگی خاص استاکس نت است که این بدافزار را از دیگر انواع بدافزارها متمایز کرده است.
نکته اول اینکه، بررسی استاکس نت نشان ميدهد که این بدافزار از یک حفره امنیتی سیستم عامل ویندوز استفاده ميکند که کاملا ناشناخته بوده و در نتیجه، تمام کامپیوترهای ویندوزی ميتوانند مورد حمله قرار بگیرند.
نکته دوم اینکه استاکس نت اولین ویروسی است که برای سیستمهای صنعتی نوشته شده است. استاکس نت نرمافزارهای شرکت زیمنس (اسکادا) را بیشتر هدف خودش قرار ميدهد که ویژگی بسیار متفاوتش این است که رمز عبور پیش فرضی که در نرم افزار اسکادا وجود دارد به صورت Hard Code درون این ویروس قرار گرفته است. در نتیجه ویروس ميتواند کلیه اطلاعات بانک اطلاعاتی سیستم اسکادا را بخواند و به مرکز فرمان بدافزار ارسال كند.
نکته سوم هم در این مورد این است که این بدافزار از روشی برای شناسایی خود به عنوان یک نرمافزار مجاز استفاده ميکند، که درایورهای سیستمياستفاده ميکنند. یعنی با جعل یک امضای دیجیتالی مربوط به سازندگان سخت افزار، خود را به عنوان یک برنامه مجاز معرفی مينماید. پس عملا راهکارهای امنیتی (مانند ضدویروسها) این برنامه را به صورت پیش فرض به عنوان ویروس شناسایی نميکنند.
صالحی: برنامههای اسکادا عمدتا در چه صنایعی استفاده ميشوند؟
عباسنژاد: برنامههای اسکادا تقریبا در تمام صنایع کشور استفاده ميشوند، ولی در شبکه توزیع برق، در کارخانههای تولیدی و در سایتهای صنعت نفت بیشتر مورد استفاده قرار ميگیرند.
صالحی: چرا این موضوع در کشور ما اینقدر حاد شده است؟
این مساله که این ویروس شبکههای صنعتی را مورد حمله قرار میدهد آن را به نخستین جاسوس افزار شبکههای صنعتی بدل کرده است. ضمن آنکه در اخباری که در این زمینه در اینترنت منتشر شده است، بسیاری از تولیدکنندههای آنتی ویروس اعلام کردهاند که این اولین باری است که در بیست سال گذشته بیشترین تعداد کامپیوتر آلوده از یک بدافزار در ایران شناسایی شده اند. به عنوان نمونه، یکی از بررسیهای شرکت سیمانتک نشان ميدهد که در یک بازه 72 ساعته، ۱۴هزار کامپیوتر آلوده به استاکس نت در اینترنت پیدا شدند که از این تعداد در حدود ۶۰درصد که تقریبا چیزی در حدود 9-8 هزار کامپیوتر بوده مربوط به ایران ميشده است. در نتیجه، این تصور را به جود ميآورد که هدف ویروس، کاملا کشور ایران بوده است. بعد از کشور ایران هم، اندونزی و هند هرکدام با 18 درصد و 8 درصد کشورهای بعدی هستند که به ویروس استاکسنت آلوده هستند.
قطعا این 14 هزار کامپیوتر تنها کامپیوترهایی نیستند که آلوده هستند. اولا در یک بازه زمانی 72 ساعته بوده و ثانیا این گزارشی است که فقط سیمانتک اعلام کرده که مسوول برقراری امنیت و کنترل امنیت در سیستمهای صنعی زیمنس است.
بقایی: درباره استاکس نت و اینکه ظاهرا این بدافزار فعالیتش را از ماهها قبل آغاز كرده بوده ولی خیلی از ما به تازگی متوجه شدیم، یا آنتی ویروسهای مختلف به تازگی کشفش کردند یا مایکروسافت درواقع به موقع وصله امنیتیاش را منتشر نکرده یا علت دیگری داشته كه همه و همه حائز اهمیت است. در واقع ببینید همان مواردی که اشاره شد و بحث اینکه این ویروس از امضاهای دیجیتالیهای تعریف شده استفاده ميکرده و از لحاظ رفتاری متفاوت بوده، باعث شده است كه این مشکل کلا دیده نشود تا مثلا یک ماه یک ماه و نیم پیش، هیچ کدام از آنتی ویروسها این را شناسایی نکرده بودند. در نتیجه این بدافزار خیلی راحت گسترش پیدا کرده است.
صالحی: این اصطلاح ویروس که ما در اینجا به کار ميبریم یک اصطلاح کلی است برای هرگونه بدافزار یا نرمافزار مخرب. استاکس نت در واقع یک بدافزار است که ترکیبی از یک روتکیت و یک تروجان است که ما در اینجا برای یك مقدار سادهتر شدن بحث گاهی اوقات عنوان کلی ویروس را به کار ميبریم، اما این را هم اضافه کنم که ظاهرا شرکت سیمانتک توضیح داده که این ویروس نزدیک به یک سال است که فعال بوده، ولی آنتیویروسها به تازگی آن را کشف کردهاند و مایکروسافت هم به تازگی وصله امنیتی مربوط به آن را منتشر کرده است. دلیل آن چه ميتواند باشد؟
عباس نژاد: به نظر ميرسد که اعلام وجود چنین ویروسی از ماهها قبل بوده است؛ اما به دلیل اینکه پراکندگی ویروس مربوط به پراكندگی منطقه جغرافیایی خاصی بوده (عمدتا ایران و اندونزی) و بحث بینالمللی در موردش وجود نداشته، در نتیجه حساسیت مراکز نظارت، مراقبت جهانی یا مراکز امداد یا همان Certهای جهانی برانگیخته نشده است. به همین علت هم هیچگاه اخطارهای جهانی در این مورد منتشر نشده است، ولی يك مقدار عجیبتر این است که مایکروسافت هم وصله امنیتی را بعد از اینکه حفره امنیتی ویندوز توسط یک آنتی ویروس غیرآمریکایی مشخص آشکار ميشود، بعد از دو هفته منتشر ميکند؛ در حالکه این زمان معمولا ۴۸ساعت است. این نکته را هم اضافه کنم که وقتی ميگوییم ۹ هزار کامپیوتر آلوده شده است، منظورمان دقیقا ۹هزار کامپیوتر نیست، بلکه ۹ هزار آدرس IP است که ممکن است برخی از آن آدرسها خودشان شامل صدها یا چندهزار کامپیوتر باشند.
بابادی نیا: مطلبی که من ميخواهم به آن اشاره کنم این است که این مخاطره به دلیل اینکه جهانی نبوده یا برای کشورهای خاصی مشکل به وجود آورده بوده مورد توجه قرار نگرفته است؛ اما برای ما و با توجه به وضعیت خاصی که در دنیا داریم باید حائز اهمیت باشد. آیا ما باید منتظر باشیم تا شرکتهای دیگر برای مشکلات ما راه حل پیدا کنند؟ اصلا شما فرض کنید که این ویروس برای انجام عملیات در ایران طراحی شده است، وظیفه ما به عنوان کارشناسان امنیت یا بخشهای دولتی به عنوان متولیان امنیت چیست؟ مطلع هستید که ما در کمیسیون افتا در زمینه اطلاعرسانی کارهایی را انجام دادهایم و اساسا اطلاع رسانی در این حوزه در رسانهها و مطبوعات از جانب کمیسیون افتا صورت گرفته است. ولی ما انتظار کمک و حمایت بیشتری از بخش دولتی داریم؛ علیالخصوص که در این مورد خاص، اطلاعات بخش دولتی مورد حمله قرار گرفتهاند.
صالحی: بحث به جای خیلی خوبی رسید. ما در دانشگاهها مراکز آپا را داریم به عنوان مراکزی که وظیفه آگاهیرسانی وضعیت انیتی را برعهده دارند. مراکز Cert هم داریم که وظیفه پایش، اطلاعرسانی و ارائه راهکار در فوریتهای امنیتی را عهدهدار هستند. این مراکز هم در همه بخشهای مهم کشور هستند و ظاهرا مشغول فعالیت ميباشند. از آقای بقایی ميپرسم که گزارشی در خصوص فعالیت این مراکز روی استاکس نت دارید یا خیر و ظاهرا تیمي در وزارت صنایع هم مامور شده است که خسارتهای وارده توسط استاکس نت را بررسی کند و راهحل پیشنهاد بدهد.
بقایی: همانطور که اشاره شد نکته مهم اینجا است که ظاهرا استاکس نت برای ایران طراحی شده است. حالا ممکن است در نقاط دیگر هم فعالیتهایی داشته است، چون به هر حال گسترش پیدا ميکند. به نظر من، بحث صدمه بسیار جدی بوده که ظرف یک سال گذشته این ویروس نه تنها بسیاری از اطلاعات صنعتی کشورمان را برده است، بلکه امکان دارد تغییراتی را در سیستمها برای فعالیتهای مخرب آتی ایجاد کرده باشد؛ اما الان بعد از گذشت یک سال از این قضیه حساسیتش ظرف یک ماه گذشته افزایش یافته است، اما چرا؟ چون همین مراکز بینالمللی اعلام خطر کردهاند و دوستانی هم که در داخل ایران به مراکز آپا و Cert اعلام خطر کردهاند، نادیده گرفته شدهاند. متاسفانه هیچ اعلام خطر جدی و سراسری از جانب مراکز Cert و آپا خطاب به مراکز صنعتی و کاربران اعلام نشده است.
بابادی نیا: ببیند این موضوع مثل این است که مثلا فرض کنید که ارتش متجاوز یک کشور یک سال است که مناطق مرزی كشوري را بمباران کرده است، حالا بعد از یکسال بگویند که در حال بررسی موارد مشکوک یا حملات احتمالی هستیم.
ما به عنوان بخش خصوصی و متخصص وظیفه داریم این آگاهیرسانی را انجام دهیم که وجود یک ویروس، وجود یک تروجان با این مشخصات از یک حمله نظامي کمتر نیست. فرض کنید یک کشور ثالث ميخواهد با حمله نظامي مراکز صنعتی کشورمان را به دست بگیرد؛ اما اینجا بدون درگیری، اطلاعات مراکز صنعتی خارج میشود و به دست دشمن ميرسد. اگر ما نتوانیم مرزهای مجازی یا دیجیتالی کشورمان را امن کنیم نميتوانیم به کلیت امنیت کشورمان هم چندان امیدوار باشیم.
صالحی: این را هم درنظر بگیرید که ما نه تنها نسبت به بمباران تاسیساتمان واکنش نشان ندادهایم، بلکه نميدانیم در چه محلهایی مین گذاری شده که ممکن است در آینده فعال شوند. آقای عباسنژاد بد نیست در اینجا مختصری هم به ارتباطاتی که با مراکز Cert و آپا در خصوص استاکس نت گرفته شده اشاره کنید.
عباسنژاد: اول اشاره کنم که یکی از وظایف مراکزی مانند Cert این است که باید با یک نشانه، وضعیت امنیت کشور را مشخص کنند. مثلا پرچم سبز یا زرد یا قرمز نشان بدهند، ولی مرکز فوریتهای امنیتی کشورمان برای بدافزاری که صرفا بای ایران نوشته شده بود هیچ وقت اعلام نکردند که وضعیت قرمز است، هیچ وقت در اخبار نگفتند که مواظب باشید، هیچ وقت ایمیل یا نامهای ارسال نشد به همه مسوولان شبکهها که گفته شده باشد باید واکنش نشان بدهید یا چه کاری باید انجام بدهید. متاسفانه تنها کاری که مراکز آپا و Cert برای ما انجام دادند یک ترجمه فارسی و نامناسب از متون خارجی بود که آن هم بسیار دیر روی سایتهایشان قرار گرفت. شرکت سیمانتک برایش مهم نبود که کاری برای ما انجام بدهد، همچنین مایکروسافت؛ اما ظاهرا برای خودمان هم مهم نبود که کاری انجام دهیم.
در مورد سوال شما، جریان از پنج شنبه بیست و چهار تیر ماه شروع شد؛ یعنی زمانی که ما فهمیدیم که در شبکههای ایران و اینترنت ایران اتفاق غیرمتعارفی ميافتد. مثلا پهنای باند دچار مساله شده، یا سیستمهایی به طور غیرعادی ری استارت ميشوند و مواردی از این دست. بلافاصله روز بعد؛ یعنی جمعه ما خبری را در سایت مایکروسافت دیدیم که به مورد مشکوکی اشاره کرده بود که حاصل گزارش قبلی یک آنتی ویروس غیرآمریکایی بود. این خبر نشان ميداد که یک ویروس از طریق فلشهای USB در حال تکثیر است. بررسیها هم نشان ميداد که هدف ویروس، شبکههای ایرانی است.
صالحی: چرا حافظههای فلش؟
عباسنژاد: به دلیل اینکه اصولا تنظیمات سیستمهای صنعتی با USB ست. سپس یکشنبه 27/04/89 ما به مراکز آپا و Cert اعلام کردیم (از طریق ایمیل) که ما ميدانیم ویروسی با این ویژگیها منتشر شده و این هم مشخصات آن. اگر فکر ميکنید ما کمکی ميتوانیم بکنیم آماده همکاری هستیم؛ اما هیچ جوابی دریافت نشد. بعد از آن ما منابع اطلاعاتی خودمان را فرستادیم و اعلام کردیم که ممکن است این موارد به شما کمک کند که بازهم جوابی دریافت نکردیم. در تاریخ سی و یکم باز هم اطلاعات کامل دیگری را برای این مراکز فرستادیم، ولی عملا باز هیچ اتفاق دیگری نیفتاد. یک روز بعد چند تا از آنتی ویروسهای بزرگ، اطلاعات دیگری را منتشر کردند و گفتند که کم کم مشکل دارد جهانی ميشد.
هفت روز دیگر هم گذشت و بازهم هیچ واکنشی مشاهده نشد. همه آنتیویروسها قادر به شناسایی مشکل بودند و مایکروسافت هم وصله امنيتی منتشر کرده بود. بالاخره پنجشنبه 7 مرداد یک متن ترجمه شده روی سایت آپا و سرت قرار گرفت که عملا به نظر ميرسید که یک کار دانشجویی است که حالت ترجمه یک مقاله را دارد. یعنی پانزده روز طول کشید تا یک مستند فارسی در این زمینه منتشر شود.
بابادینیا: قسمت آزاردهنده مساله اینجا است که شما تازه بعد از این مدت ميبینید که نه تنها به این همه اعلام خطر توجهی نشده، بلکه یک متن ترجمه شده از منابع خارجی به عنوان خروجی چنین مراکزی منتشر شده است. به نظر من باید این مراکز پاسخگوی ضعفهایشان در مورد این مساله باشند و اعلام کنند که چرا در مواجهه با چنین مشکلی تا این حد ناتوان بودهاند. آیا به دلیل عدم وجود دانش فنی بوده است؟ آیا به دلیل بهره نگرفتن از تخصص بخش خصوصی بوده است؟ یا مسائل دیگری داشتهاند.
صالحی: اجازه بدهید. قدری از این فضا فاصله بگیریم و به سازمانهایی بپردازیم که از سیستمهای امنیت دادهها مانند آنتیویروس و فایروال اورجينال استفاده ميکنند. از آقای بقایی سوال ميکنم که وضعیت این سازمانها در مواجهه با چنین خطراتی چگونه است؟
بقایی: ببینید حداقل يك حفاظ کوچک خیلی بهتر از نداشتن حاظ است. در واقع در عمل شاید خیلی از آنها صدمه دیدند ولی مسلما صدمهای که دیدند کمتر از آنهایی بوده است که مثلا سیستم عامل بودن آپدیت نداشتهاند یا از آنتی ویروسهای قفل شکسته استفاده ميکردند. ضمن اینکه فعالیتهای غیرعادی در شبکهها شناسایی ميشوند و به مدیر شبکه اطلاع داده ميشوند؛ اما شما ميدانید که هیچ وقت نميتوان گفت که شما با داشتن آنتی ویروس یا فایروال دارای امنیت صددرصدی هستید.
درواقع امنیت مدیریت شده ميتواند چنین مشکلاتی را حل و فصل کند والا تنها با داشتن تجهیزات امنیتی، نميتوان به تامین کامل امنیت فکر کرد. ميخواهم تاکید کنم که داشتن تهیزات امنیتی از بروز بسیاری از مشکلات جلوگیری ميکند، ولیکن مدیریت امنیت است که ميتواند در چنین مواقعی کارساز باشد.
عباسنژاد: من این بحث را اینطور تکمیل ميکنم که ما در حوزه امنیت سه نوع رفتار متفاوت داریم، اول رفتار اصلاحی است؛ یعنی مشکلی پیش آمده که باید اصلاحش بکنیم، مثل همین که الان باید وصله امنیتی ویندوز نصب شود تا جلوی صدمات یک بدافزار گرفته شود. بحث دوم اقدام اصلاحی است؛ یعنی بیايیم ببینیم علت وقوع این مشکل چه بوده است و روش پایه ای پیاده کنیم تا از این به بعد با چنین مشکلاتی مواجه نشویم و روش سوم، اقدام پیشگیرانه است و آن این است که ببینیم چکار بکنیم که دچار چنین معضلاتی نشویم.
صالحی: متاسفانه اقدام پیشگیرانه در کشور ما غایب است. ما هنوز از بدافزارهای قدیمي مانند SQL Slammer هم ضربه ميخوریم و به طور روزانه مشغول مبارزه با چنین مشکلاتی هستیم. خوب مراکزی مانند Cert وظیفه تحلیل چنین وضعیتها و ارائه راهحلهايي را بر عهده دارند.
بابادی نیا: دقیقا همینطور است. تا زمانی که با بهره گرفتن از دانش فنی همه متخصصان کشور و به ویژه بخش خصوصی به مقابله با چنین مشکلاتی نپردازیم و به مقوله امنیت به عنوان فرآیندی که نیاز به مدیریت مستمر دارد نگاه نکنیم، باید منتظر وقوع چنین مواردی هم باشیم.
منبع : دنیای اقتصاد