جنگ مجازی جدی است
گفتوگو با هادی نعمتی، کارشناش ارشد کامپیوتر و متخصص سیستمهای کامپیوتری، درباره حملات سایبری
53 درصد از سایبراتکها (حملات بزرگ)، ضرری معادل حداقل 500 هزار دلار دارند. این عدد را یکی از مدیران سیسکو سال 2019 اعلام کرد. خب این عدد را اگر بخواهیم به تومان تبدیل کنیم، به رقمی حدود 13 تا 14 میلیارد تومان میرسیم که رقم بالایی است.
حملات سایبری به جایگاههای سوخت در روزهای گذشته توسط رئیس سازمان پدافند غیرعامل و همچنین دبیر شورایعالی مجازی تأیید شد. چندوچون این اتفاق به جهت مسائل امنیتی طبیعتا در اختیار رسانهها قرار نگرفته اما آنچه بیش از گذشته به چشم میآید، اهمیت فضای مجازی است. جنگ الکترونیک یا آنچه از آن با عنوان «جنگال» یاد میکنند، امروز بیش از هر روز دیگری اهمیت یافته. حملات سایبری، دفاع، صنایع استراتژیک کشور و… تمام اینها در معرض تهدید هستند و البته همچنان مؤلفههای پررنگ مسائل سایبری را برجسته میکنند. در این گفتوگو، هادی نعمتی، با دقت و موشکافی درباره چگونگی حملات سایبری گفته است. همچنین انواع و اقسام آن را توضیح داده و برخی احتمالات را نیز مطرح کرده است. بهویژه درباره آنچه در استاکسنت و شاید در جایگاههای سوخت اتفاق افتاد.
حملات سایبری چطور اتفاق میافتند؟
حمله سایبری قاعدتا تعریفی عام دارد که خیلی از مراجع امنیت روی این تعریف تأکید میکنند. بنابراین تعریف، هر حملهای که همراه با سوءنیتی باشد و توسط یک سازمان، گروه یا فردی به شبکه اطلاعاتی سازمانی اتفاق بیفتد و طی آن، اطلاعاتی سرقت برود یا تخریبی صورت گیرد، به آن میگویند حمله سایبری. این حملات انواع و اقسام مختلف دارد، به منظورهای مختلف شکل میگیرد و با روشهای متفاوت انجام میشود که هر کدام گستره خاص خودشان را دارند. این گستره مرتبط با سازمانها یا اشخاصی است که حملات را ترتیب دادهاند و همچنین اینکه چه هدف یا اهدافی را پشت این حملات دنبال میکنند.
رایجترین حملههایی که صورت میگیرد چه حملاتی است؟
یکی از رایجترین آنها از طریق «ملور» (malware) است؛ نرمافزارهایی که روی سیستمها نصب میشوند و تخریبهایی را مدنظر دارند؛ مثل ویروسها، تروجانها یا کرمهایی که روی سیستمها قرار میگیرند و خودشان را پخش میکنند. زمانی هم که فلشتان را به سیستم میزنید و فایلی را میبینید و آن فایل بلافاصله در سیستم شما پخش میشود، با ملور مواجه هستید. ملور ترکیبی از دو کلمه malicious و software است به معنی «نرمافزار خرابکاری». بخشی از حملات سایبری توسط ملورها صورت میگیرد، بخشی دیگر از این حملات از طریق فیشینگ (Phishing) شکل میگیرد؛ فیشینگ به معنای سرقت اطلاعات است بهصورت جا زدن شخص سرقتکننده بهعنوان یک سازمان معتبر و گرفتن یکسری اطلاعات شخصی از قربانی. نتیجه این حمله، میتواند نفوذ به سیستم اطلاعاتی فرد یا سازمانی مربوط به او باشد. به هر حال هر نفوذی که با گرفتن اطلاعات از خود شخص عمل کند، به آن میگویند فیشینگ. نوع دیگری وجود دارد که به آن میگویند «man-in-the-middle» (MITN). این نفوذ روی خود شبکه انجام میشود؛ بهصورتی که فردی بین شما و شبکه قرار میگیرد و اطلاعات شما را به سرقت میبرد. بهطور مثال شما هر روز به یک شبکه وایفایی وصل میشوید، هکری میآید و این وسط اسم آن شبکه وایفای را همراه با اطلاعاتش کپی میکند و شما اشتباها به آن شبکه وصل میشوید. شما هم طبق معمول اطلاعاتتان از جمله یوزر و پسوردتان را وارد میکنید و در نتیجه فردی که بین شما و منبع اصلی قرار گرفته، اطلاعات شما را به سرقت میبرد. نمونه دیگری که خیلی رواج دارد و در ایران هم به شکل گسترده سال گذشته انجام شد، به دیداس (DDos) مشهور است؛ denial-of-service. در دیداس معمولا ترافیک روانه اندپوینتها میکنند. اندپوینت چیست؟ جایی که دادهها ردوبدل میشوند. در دیداس، دیتاهای فراوانی را روانه اندپوینتها میکنند؛ طوریکه سختافزار توانایی پاسخگویی به این حد از درخواست را ندارد. در نتیجه سختافزار دیگر نمیتواند جوابگو باشد و بسیاری از اطلاعات داخل شبکه به مقصد نمیرسد. مثلا وقتی من مسیجی را به شما میدهم، پیام من در این محدوده از بین میرود و دیگر به دست شما نمیرسد.
در دیداس، دیتاهای فراوانی را روانه اندپوینتها میکنند؛ طوریکه سختافزار توانایی پاسخگویی به این حد از درخواست را ندارد. در نتیجه سختافزار دیگر نمیتواند جوابگو باشد و بسیاری از اطلاعات داخل شبکه به مقصد نمیرسد
همان حملهای که سال گذشته در مخابرات ایران اتفاق افتاد؟
بله، خود وزیر ارتباطات هم در این باره صحبت کرد. در این حمله با همین دیداس مواجه بودیم که حدود 75 درصد اطلاعات روی شبکه ایران به مقصد خود نمیرسید. خب قاعدتا ما در این مورد با یک سایبراتک (حمله بزرگ) مواجه بودیم. وقتی 75 درصد اینترنت یک کشوری را مشغول میکند و اجازه کار نمیدهد، عملا ضررهای بزرگی میزند.
عموما این زیانها را چقدر برآورد کردهاند؟
53 درصد از سایبراتکها (حملات بزرگ)، ضرری معادل حداقل 500 هزار دلار دارند. این عدد را یکی از مدیران سیسکو سال 2019 اعلام کرد. خب این عدد را اگر بخواهیم به تومان تبدیل کنیم، به رقمی حدود 13 تا 14 میلیارد تومان میرسیم که رقم بالایی است.
در این حملات سختافزارها مورد هدف قرار میگیرند که ضررهایی تا این حد بالا به هدف مورد حمله، متحمل میکنند.
لزوما سختافزار نیست. گاهی ممکن است سختافزار هیچ آسیبی نبیند اما ضررها بهخاطر اطلاعاتی باشد که از بین رفته. همینطور عملیات بازگشت به شرایط اولیه برای سازمان یا شرکت مربوطه هزینهبر است. یا مثلا برقرار کردن امنیت و پوشاندن حفرههای امنیتی هزینهبر میشود. در هر حال این رقم، رقم بالایی است.
پرسشی که اینجا مطرح میشود این است که اگر ما با یک شبکه داخلی و لوکال مواجه باشیم، آیا امکان بسیاری از این حملات را میگیریم؟
خیر. چون این حملات صرفا از طریق اینترنت اتفاق نمیافتند. بهعنوان مثال من اشارهای به بعضی حملات بزرگ میکنم تا ماجرا کاملتر برایتان روشن شود. یکی از قویترین حملاتی که تا بهحال اتفاق افتاده و از آن با عنوان جنگ دیجیتال نام میبرند «استاکسنت» است.
حمله به تأسیسات هستهای نطنز…
بله، پشت این حمله آمریکا و رژیم صهیونیستی بودند. البته اطلاعات من از این حمله، بنابر منابع خارج از کشور است. بنابراین خودم نه آنها را کاملا تأیید میکنم و نه میتوانم کامل رد کنم؛ صرفا اطلاعاتی را که تحت تحقیقات بزرگی در شرکتهایی نظیر کسپرسکای و سمنتک انجام شده، ارایه میدهم. بنابراین گزارشها استاکسنت، ترکیبی از انواع و اقسام حملات بود. نوعی کرم و ملور بود که خودش را پخش میکرد و طبق آیپی سیستمها هم انتخاب میکرد کجا باید پخش شود. در واقع انتشار ملور استاکسنت، حدود 60 درصد فقط روی آیپیهای ایرانی اتفاق افتاد. یعنی سیستمهای ویندوزی تحت آیپی ایران را هدف قرار داد. پروژه استاکسنت از سال 2005 شروع شد و گویا تیمی 30 نفره روی آن کار میکردند. البته آنچه گفتهاند این است که تعداد نفرات تیم بسیار بیشتر بوده اما مقصودم گستره و عمق این حمله است. در طول دو سال هم هیچ شرکتی نتوانست استاکسنت را پیدا کند و بعد از اینکه پخش آن گسترش پیدا کرد، تازه فهمیدند با چه نوع ویروسی مواجه هستند. این کرم ابتدا از طریق حفرههای امنیتی، عمدتا ویندوز، وارد سیستم میشد، بعد وقتی وارد سیستم میشد شروع به تکثیر میکرد، اگر فلش به سیستم میخورد، خودش را منتشر میکرد، از طریق شبکه به همین شکل پخش میشد و در واقع از خودش کپی میگرفت و منتشر میشد. روند کپی و تکثیر در این کرم هم چنان برنامهریزیشده بود و تا زمانی ادامه داشت که به سیستم هدف میرسید. نکته قابل تأمل این بود که حتی در زمان انتشار هم سیستمهای هدف را مدنظر داشت. از طریق آیپی، سیستمهای ایرانی و سیستمهای ویندوزی را هدف قرار میداد و هدف اصلیاش چه بود؟ یکسری PLCهای (برنامههای کنترل قطعی) زیمنس که روی سانتریفیوژها نصب میشود. به این ترتیب از طریق ویندوز پخش میشد و از طریق حفرههای امنیتی داخل یکی از برنامههای شرکت زیمنس با عنوان WinCC داخل میشد. کار این برنامه چه بود؟ PLCهای شرکت زیمنس را برنامهنویسی میکند. وقتی برنامهنویسی PLCها را بهعهده دارد، طبیعتا نحوه کارش را هم مشخص میکند. این ویروس آنقدر خودش را پخش کرد که توانست از طریق یک فلش وارد تأسیسات هستهای ایران شود.
انتشار ملور استاکسنت، حدود 60 درصد فقط روی آیپیهای ایرانی اتفاق افتاد. یعنی سیستمهای ویندوزی تحت آیپی ایران را هدف قرار داد. پروژه استاکسنت از سال 2005 شروع شد و گویا تیمی 30 نفره روی آن کار میکردند
خب سوالی که قبلا پرسیدم همین بود. میشد کامل جلوی چنین چیزی را گرفت، چون در نهایت عامل انسانی باعث ورود ویروس شد. برای همین پرسیدم که شبکه لوکال آیا ضمانت بالایی برای امنیت نیست؟
ببینید؛ اینکه میگویند از طریق فلش وارد تأسیسات هستهای ایران شد، صرفا یک حدس است. ممکن است عامل انسانی باعث ورود این ویروس شده باشد و ممکن است حفرهای در امنیت شبکه لوکال آنجا باعث این امر شده باشد. در واقع ویروس قدرتمندی بود و از هر طریقی امکان دارد که پخش شده باشد، اما نکته قابل تأمل در این ویروس این بود که به کسی که PLCها را برنامهنویسی میکرد، تغییراتی را که خود شخص اعمال میکرد، نشان نمیداد. این ویروس وارد شد تا به PLCهایی که روی فرکانس خاصی کار میکردند رسید. البته فرکانسها را دقیق نمیدانم ولی حولوحوش 1200 هرتز بود. PLCهایی را که روی آن فرکانس کار میکردند پیدا کرد و شروع کرد به عوض کردن فرکانس چرخشی. نکته اینجاست وقتی فرکانسهای چرخشی را عوض میکرده، یعنی دور موتور سانتریفیوژ را عوض میکرده، باز هم به سیستم مانیتورینگ نشان نمیداده.
یعنی نمایش قبل را نشان میداده؛ نشان میداده که همه چیز عادی است.
بله، خب زمانی که فرکانس سانتریفیوژهای دوربالا عوض میشود، قاعدتا درست کار نمیکنند. البته من نمیدانم چه اتفاقی برای این سانتریفیوژها افتاد؛ ممکن است از مدار خارج شده باشد، ممکن است منفجر شده باشند، اینها را ما نمیدانیم. ولی در هر حال صحبت اینجاست که این ویروس ترکیبی از انواع اتکها (حملات) بود.
اینکه بگوییم چون یک شبکه لوکال است و احتمال حمله به آن کم است، چنین چیزی درست نیست. من احتمال میدهم از طریق یک ملور وارد شده باشند و دسترسی مستقیم گرفته باشند. یا از طریق یکی از کارمندان یا شبکهای که درست پیکربندی (Config) نشده
پس ما در هیچ سیستمی نمیتوانیم به صددرصد امنیت برسیم. درست است؟
بله، واقعا صددرصدی وجود ندارد. ما در امنیت کامپیوتر یکسری مؤلفهها داریم که باید مراعات شود. تازه بعد از اینکه این مؤلفهها رعایت شد، بعد از آن به یک امنیت نسبی میرسیم. حالا هر لحظه یکی از مؤلفهها نقض شود، امکان این وجود دارد که حملهای صورت بگیرد. این را هم بگویم که در تمام دنیا سایبردیفنس (دفاع سایبری) هیچوقت نتوانسته به پیشرفت سایبراتک (حمه سایبری) برسد.
یاد مثلی افتادم که میگویند کلاهبردار همیشه یک قدم از سوژه خودش جلوتر است.
دقیقا، در واقع قدرت دفاع آنقدر بالاتر نرفته. مدیر سیسکو میگوید 80 درصد بیزینسهای آمریکایی که بر پایه تکنولوژی اطلاعات هستند، توانایی هزینه کردن برای امنیت را ندارند. یعنی امکان حمله به 80 درصد از این بیزینسها وجود دارد. در واقع این موضوع به یک مسأله ملی تبدیل شده. مثلا در آمریکا سه سازمان ملی در این زمینه دارند کار میکنند که به عنوان مثال میشود به آژانس امنیت ملی اشاره کرد (NSA). برای همین ما هم در ایران باید در سطحی بالا مسائل امنیتی در این زمینه را تقویت کنیم. البته نمیشود به گروههایی که در ایران دارند در این زمینه کار میکنند خرده گرفت چون به هر حال ما به لحاظ مسائل اینچنین عقبتر هستیم. وقتی شرکتهای قدرتمند آمریکایی به لحاظ مالی نمیتوانند روی مسائل دفاعی کار کنند، طبیعتا سازمانها نمیتوانند خیلی روی این موضوع هزینه کنند. برای همین باید نوعی پشتیبانی ملی در این زمینه صورت گیرد. چون گاهی میتواند ضررهای بسیار بالایی به صنایع کشور بزند.
درباره حمله به جایگاههای سوخت چه نظری دارید؟
ببینید؛ گفتند ما در جایگاههای سوخت با شبکه لوکال مواجه بودیم، اما چطور به آن دسترسی پیدا کردند؟ ممکن است دسترسی از طریق یک نرمافزار آْلوده و ملور اتفاق افتاده باشد؛ ویروسی که داخل سیستم رفته، بکدر (back-door) ایجاد کرده یا دسترسی به عنصر خارجی بهوجود آورده تا بتواند وارد شبکه شود و دستکاریهایی را اعمال کند. شاید هم شیوهای دیگر داشته. فرض کنید شخص رفته کنار وایفای یکی از شعبات سوخت ایستاده، آنجا را هک کرده، از طریق شبکه آن شعبه، دسترسی مستقیم گرفته و داخل سیستم رفته. در واقع احتمالات خیلی زیاد است و اینکه بگوییم چون یک شبکه لوکال است و احتمال حمله به آن کم است، چنین چیزی درست نیست. من احتمال میدهم از طریق یک ملور وارد شده باشند و دسترسی مستقیم گرفته باشند. یا از طریق یکی از کارمندان یا شبکهای که درست پیکربندی (Config) نشده. در هر حال ممکن است از طرق مختلفی که گفتم وارد شدهاند، مدتی اطلاعات کسب کردهاند، شبکهها را رصد کردهاند و در نهایت زمانی که میخواستند، حمله را صورت دادهاند. حالا اینکه اطلاعات را از بین بردهاند یا تخریب کردهاند، به هر حال آسیب بزرگی به کشور زدهاند.