جنگ مجازی جدی است

گفت‌وگو با هادی نعمتی، کارشناش ارشد کامپیوتر و متخصص سیستم‌های کامپیوتری، درباره حملات سایبری

53 درصد از سایبراتک‌ها (حملات بزرگ)، ضرری معادل حداقل 500 هزار دلار دارند. این عدد را یکی از مدیران سیسکو سال 2019 اعلام کرد. خب این عدد را اگر بخواهیم به تومان تبدیل کنیم، به رقمی حدود 13 تا 14 میلیارد تومان می‌رسیم که رقم بالایی است.

حملات سایبری به جایگاه‌های سوخت در روزهای گذشته توسط رئیس سازمان پدافند غیرعامل و همچنین دبیر شورای‌عالی مجازی تأیید شد. چندوچون این اتفاق به جهت مسائل امنیتی طبیعتا در اختیار رسانه‌ها قرار نگرفته اما آنچه بیش از گذشته به چشم می‌آید، اهمیت فضای مجازی است. جنگ الکترونیک یا آنچه از آن با عنوان «جنگال» یاد می‌کنند، امروز بیش از هر روز دیگری اهمیت یافته. حملات سایبری، دفاع، صنایع استراتژیک کشور و… تمام اینها در معرض تهدید هستند و البته همچنان مؤلفه‌های پررنگ مسائل سایبری را برجسته می‌کنند. در این گفت‌وگو، هادی نعمتی، با دقت و موشکافی درباره چگونگی حملات سایبری گفته است. همچنین انواع و اقسام آن را توضیح داده و برخی احتمالات را نیز مطرح کرده است. به‌ویژه درباره آنچه در استاکس‌نت و شاید در جایگاه‌های سوخت اتفاق افتاد.

حملات سایبری چطور اتفاق می‌افتند؟

حمله سایبری قاعدتا تعریفی عام دارد که خیلی از مراجع امنیت روی این تعریف تأکید می‌کنند. بنابراین تعریف، هر حمله‌ای که همراه با سوءنیتی باشد و توسط یک سازمان، گروه یا فردی به شبکه اطلاعاتی سازمانی اتفاق بیفتد و طی آن، اطلاعاتی سرقت برود یا تخریبی صورت گیرد، به آن می‌گویند حمله سایبری. این حملات انواع و اقسام مختلف دارد،‌ به منظورهای مختلف شکل می‌گیرد و با روش‌های متفاوت انجام می‌شود که هر کدام گستره خاص خودشان را دارند. این گستره مرتبط با سازمان‌ها یا اشخاصی است که حملات را ترتیب داده‌اند و همچنین اینکه چه هدف یا اهدافی را پشت این حملات دنبال می‌کنند.

رایج‌ترین حمله‌هایی که صورت می‌گیرد چه حملاتی است؟

یکی از رایج‌ترین آنها از طریق «مل‌ور» (malware) است؛ نرم‌افزارهایی که روی سیستم‌ها نصب می‌شوند و تخریب‌هایی را مدنظر دارند؛ مثل ویروس‌ها، تروجان‌ها یا کرم‌هایی که روی سیستم‌ها قرار می‌گیرند و خودشان را پخش می‌کنند. زمانی هم که فلش‌تان را به سیستم می‌زنید و فایلی را می‌بینید و آن فایل بلافاصله در سیستم شما پخش می‌شود، با مل‌ور مواجه هستید. مل‌ور ترکیبی از دو کلمه malicious و software است به معنی «نرم‌افزار خرابکاری». بخشی از حملات سایبری توسط مل‌ورها صورت می‌گیرد، بخشی دیگر از این حملات از طریق فیشینگ (Phishing) شکل می‌گیرد؛ فیشینگ به معنای سرقت اطلاعات است به‌صورت جا زدن شخص سرقت‌کننده به‌عنوان یک سازمان معتبر و گرفتن یک‌سری اطلاعات شخصی از قربانی. نتیجه این حمله، می‌تواند نفوذ به سیستم اطلاعاتی فرد یا سازمانی مربوط به او باشد. به هر حال هر نفوذی که با گرفتن اطلاعات از خود شخص عمل کند، به آن می‌گویند فیشینگ. نوع دیگری وجود دارد که به آن می‌گویند «man-in-the-middle» (MITN). این نفوذ روی خود شبکه انجام می‌شود؛ به‌صورتی که فردی بین شما و شبکه قرار می‌گیرد و اطلاعات شما را به سرقت می‌برد. به‌طور مثال شما هر روز به یک شبکه وای‌فایی وصل می‌شوید، هکری می‌آید و این وسط اسم آن شبکه وای‌فای را همراه با اطلاعاتش کپی می‌کند و شما اشتباها به آن شبکه وصل می‌شوید. شما هم طبق معمول اطلاعات‌تان از جمله یوزر و پسوردتان را وارد می‌کنید و در نتیجه فردی که بین شما و منبع اصلی قرار گرفته، اطلاعات شما را به سرقت می‌برد. نمونه دیگری که خیلی رواج دارد و در ایران هم به شکل گسترده سال گذشته انجام شد، به دی‌داس (DDos) مشهور است؛ denial-of-service. در دی‌داس معمولا ترافیک روانه اندپوینت‌ها می‌کنند. اندپوینت چیست؟ جایی که داده‌ها ردوبدل می‌شوند. در دی‌داس، دیتاهای فراوانی را روانه اندپوینت‌ها می‌کنند؛ طوری‌که سخت‌افزار توانایی پاسخگویی به این حد از درخواست را ندارد. در نتیجه سخت‌افزار دیگر نمی‌تواند جوابگو باشد و بسیاری از اطلاعات داخل شبکه به مقصد نمی‌رسد. مثلا وقتی من مسیجی را به شما می‌دهم،‌ پیام من در این محدوده از بین می‌رود و دیگر به دست شما نمی‌رسد.

در دی‌داس، دیتاهای فراوانی را روانه اندپوینت‌ها می‌کنند؛ طوری‌که سخت‌افزار توانایی پاسخگویی به این حد از درخواست را ندارد. در نتیجه سخت‌افزار دیگر نمی‌تواند جوابگو باشد و بسیاری از اطلاعات داخل شبکه به مقصد نمی‌رسد

همان حمله‌ای که سال گذشته در مخابرات ایران اتفاق افتاد؟

بله، خود وزیر ارتباطات هم در این باره صحبت کرد. در این حمله با همین دی‌داس مواجه بودیم که حدود 75 درصد اطلاعات روی شبکه ایران به مقصد خود نمی‌رسید. خب قاعدتا ما در این مورد با یک سایبراتک (حمله بزرگ) مواجه بودیم. وقتی 75 درصد اینترنت یک کشوری را مشغول می‌کند و اجازه کار نمی‌دهد، عملا ضررهای بزرگی می‌زند.

عموما این زیان‌ها را چقدر برآورد کرده‌اند؟

53 درصد از سایبراتک‌ها (حملات بزرگ)، ضرری معادل حداقل 500 هزار دلار دارند. این عدد را یکی از مدیران سیسکو سال 2019 اعلام کرد. خب این عدد را اگر بخواهیم به تومان تبدیل کنیم، به رقمی حدود 13 تا 14 میلیارد تومان می‌رسیم که رقم بالایی است.

در این حملات سخت‌افزارها مورد هدف قرار می‌گیرند که ضررهایی تا این حد بالا به هدف مورد حمله، متحمل می‌کنند.

لزوما سخت‌افزار نیست. گاهی ممکن است سخت‌افزار هیچ آسیبی نبیند اما ضررها به‌خاطر اطلاعاتی باشد که از بین رفته. همین‌طور عملیات بازگشت به شرایط اولیه برای سازمان یا شرکت مربوطه هزینه‌بر است. یا مثلا برقرار کردن امنیت و پوشاندن حفره‌های امنیتی هزینه‌بر می‌شود. در هر حال این رقم، رقم بالایی است.

پرسشی که اینجا مطرح می‌شود این است که اگر ما با یک شبکه داخلی و لوکال مواجه باشیم، آیا امکان بسیاری از این حملات را می‌گیریم؟

خیر. چون این حملات صرفا از طریق اینترنت اتفاق نمی‌افتند. به‌عنوان مثال من اشاره‌ای به بعضی حملات بزرگ می‌کنم تا ماجرا کامل‌تر برایتان روشن شود. یکی از قوی‌ترین حملاتی که تا به‌حال اتفاق افتاده و از آن با عنوان جنگ دیجیتال نام می‌برند «استاکس‌نت» است.

حمله به تأسیسات هسته‌ای نطنز…

بله، پشت این حمله آمریکا و رژیم صهیونیستی بودند. البته اطلاعات من از این حمله، بنابر منابع خارج از کشور است. بنابراین خودم نه آنها را کاملا تأیید می‌کنم و نه می‌توانم کامل رد کنم؛ صرفا اطلاعاتی را که تحت تحقیقات بزرگی در شرکت‌هایی نظیر کسپرسکای و سمنتک انجام شده، ارایه می‌دهم. بنابراین گزارش‌ها استاکس‌نت، ترکیبی از انواع و اقسام حملات بود. نوعی کرم و مل‌ور بود که خودش را پخش می‌کرد و طبق آی‌پی‌ سیستم‌ها هم انتخاب می‌کرد کجا باید پخش شود. در واقع انتشار مل‌ور استاکس‌نت، حدود 60 درصد فقط روی آی‌پی‌های ایرانی اتفاق افتاد. یعنی سیستم‌های ویندوزی تحت آی‌پی ایران را هدف قرار داد. پروژه استاکس‌نت از سال 2005 شروع شد و گویا تیمی 30 نفره روی آن کار می‌کردند. البته آنچه گفته‌اند این است که تعداد نفرات تیم بسیار بیشتر بوده اما مقصودم گستره و عمق این حمله است. در طول دو سال هم هیچ شرکتی نتوانست استاکس‌نت را پیدا کند و بعد از اینکه پخش آن گسترش پیدا کرد، تازه فهمیدند با چه نوع ویروسی مواجه هستند. این کرم ابتدا از طریق حفره‌های امنیتی، عمدتا ویندوز، وارد سیستم می‌شد، بعد وقتی وارد سیستم می‌شد شروع به تکثیر می‌کرد، اگر فلش به سیستم می‌خورد، خودش را منتشر می‌کرد، از طریق شبکه به همین شکل پخش می‌شد و در واقع از خودش کپی می‌گرفت و منتشر می‌شد. روند کپی و تکثیر در این کرم هم چنان برنامه‌ریزی‌شده بود و تا زمانی ادامه داشت که به سیستم هدف می‌رسید. نکته قابل تأمل این بود که حتی در زمان انتشار هم سیستم‌های هدف را مدنظر داشت. از طریق آی‌پی، سیستم‌های ایرانی و سیستم‌های ویندوزی را هدف قرار می‌داد و هدف اصلی‌اش چه بود؟ یک‌سری PLCهای (برنامه‌های کنترل قطعی) زیمنس که روی سانتریفیوژها نصب می‌شود. به این ترتیب از طریق ویندوز پخش می‌شد و از طریق حفره‌های امنیتی داخل یکی از برنامه‌های شرکت زیمنس با عنوان WinCC داخل می‌شد. کار این برنامه چه بود؟ PLCهای شرکت زیمنس را برنامه‌نویسی می‌کند. وقتی برنامه‌نویسی PLCها را به‌عهده دارد، طبیعتا نحوه کارش را هم مشخص می‌کند. این ویروس آنقدر خودش را پخش کرد که توانست از طریق یک فلش وارد تأسیسات هسته‌ای ایران شود.

انتشار مل‌ور استاکس‌نت، حدود 60 درصد فقط روی آی‌پی‌های ایرانی اتفاق افتاد. یعنی سیستم‌های ویندوزی تحت آی‌پی ایران را هدف قرار داد. پروژه استاکس‌نت از سال 2005 شروع شد و گویا تیمی 30 نفره روی آن کار می‌کردند

خب سوالی که قبلا پرسیدم همین بود. می‌شد کامل جلوی چنین چیزی را گرفت، چون در نهایت عامل انسانی باعث ورود ویروس شد. برای همین پرسیدم که شبکه لوکال آیا ضمانت بالایی برای امنیت نیست؟

ببینید؛ اینکه می‌گویند از طریق فلش وارد تأسیسات هسته‌ای ایران شد، صرفا یک حدس است. ممکن است عامل انسانی باعث ورود این ویروس شده باشد و ممکن است حفره‌ای در امنیت شبکه لوکال آنجا باعث این امر شده باشد. در واقع ویروس قدرتمندی بود و از هر طریقی امکان دارد که پخش شده باشد، اما نکته قابل تأمل در این ویروس این بود که به کسی که PLCها را برنامه‌نویسی می‌کرد، تغییراتی را که خود شخص اعمال می‌کرد، نشان نمی‌داد. این ویروس وارد شد تا به PLCهایی که روی فرکانس خاصی کار می‌کردند رسید. البته فرکانس‌ها را دقیق نمی‌دانم ولی حول‌وحوش 1200 هرتز بود. PLCهایی را که روی آن فرکانس کار می‌کردند پیدا کرد و شروع کرد به عوض کردن فرکانس چرخشی. نکته اینجاست وقتی فرکانس‌های چرخشی را عوض می‌کرده، یعنی دور موتور سانتریفیوژ را عوض می‌کرده، باز هم به سیستم مانیتورینگ نشان نمی‌داده.

یعنی نمایش قبل را نشان می‌داده؛ نشان می‌داده که همه چیز عادی است.

بله، خب زمانی که فرکانس سانتریفیوژهای دوربالا عوض می‌شود، قاعدتا درست کار نمی‌کنند. البته من نمی‌دانم چه اتفاقی برای این سانتریفیوژها افتاد؛ ممکن است از مدار خارج شده باشد، ممکن است منفجر شده باشند، اینها را ما نمی‌دانیم. ولی در هر حال صحبت اینجاست که این ویروس ترکیبی از انواع اتک‌ها (حملات) بود.

اینکه بگوییم چون یک شبکه لوکال است و احتمال حمله به آن کم است، چنین چیزی درست نیست. من احتمال می‌دهم از طریق یک مل‌ور وارد شده باشند و دسترسی مستقیم گرفته باشند. یا از طریق یکی از کارمندان یا شبکه‌ای که درست پیکربندی (Config) نشده

پس ما در هیچ سیستمی نمی‌توانیم به صددرصد امنیت برسیم. درست است؟

بله، واقعا صددرصدی وجود ندارد. ما در امنیت کامپیوتر یک‌سری مؤلفه‌ها داریم که باید مراعات شود. تازه بعد از اینکه این مؤلفه‌ها رعایت شد، بعد از آن به یک امنیت نسبی می‌رسیم. حالا هر لحظه یکی از مؤلفه‌ها نقض شود، امکان این وجود دارد که حمله‌ای صورت بگیرد. این را هم بگویم که در تمام دنیا سایبردیفنس (دفاع سایبری) هیچ‌وقت نتوانسته به پیشرفت سایبراتک (حمه سایبری) برسد.

یاد مثلی افتادم که می‌گویند کلاه‌بردار همیشه یک قدم از سوژه خودش جلوتر است.

دقیقا، در واقع قدرت دفاع آنقدر بالاتر نرفته. مدیر سیسکو می‌گوید 80 درصد بیزینس‌های آمریکایی که بر پایه تکنولوژی اطلاعات هستند، توانایی هزینه کردن برای امنیت را ندارند. یعنی امکان حمله به 80 درصد از این بیزینس‌ها وجود دارد. در واقع این موضوع به یک مسأله ملی تبدیل شده. مثلا در آمریکا سه سازمان ملی در این زمینه دارند کار می‌کنند که به عنوان مثال می‌شود به آژانس امنیت ملی اشاره کرد (NSA). برای همین ما هم در ایران باید در سطحی بالا مسائل امنیتی در این زمینه را تقویت کنیم. البته نمی‌شود به گروه‌هایی که در ایران دارند در این زمینه کار می‌کنند خرده گرفت چون به هر حال ما به لحاظ مسائل اینچنین عقب‌تر هستیم. وقتی شرکت‌های قدرتمند آمریکایی به لحاظ مالی نمی‌توانند روی مسائل دفاعی کار کنند، طبیعتا سازمان‌ها نمی‌توانند خیلی روی این موضوع هزینه کنند. برای همین باید نوعی پشتیبانی ملی در این زمینه صورت گیرد. چون گاهی می‌تواند ضررهای بسیار بالایی به صنایع کشور بزند.

درباره حمله به جایگاه‌های سوخت چه نظری دارید؟

ببینید؛ گفتند ما در جایگاه‌های سوخت با شبکه لوکال مواجه بودیم، اما چطور به آن دسترسی پیدا کردند؟ ممکن است دسترسی از طریق یک نرم‌افزار آْلوده و مل‌ور اتفاق افتاده باشد؛ ویروسی که داخل سیستم رفته، بک‌در (back-door) ایجاد کرده یا دسترسی به عنصر خارجی به‌وجود آورده تا بتواند وارد شبکه شود و دستکاری‌هایی را اعمال کند. شاید هم شیوه‌ای دیگر داشته. فرض کنید شخص رفته کنار وای‌فای یکی از شعبات سوخت ایستاده، آنجا را هک کرده، از طریق شبکه آن شعبه، دسترسی مستقیم گرفته و داخل سیستم رفته. در واقع احتمالات خیلی زیاد است و اینکه بگوییم چون یک شبکه لوکال است و احتمال حمله به آن کم است، چنین چیزی درست نیست. من احتمال می‌دهم از طریق یک مل‌ور وارد شده باشند و دسترسی مستقیم گرفته باشند. یا از طریق یکی از کارمندان یا شبکه‌ای که درست پیکربندی (Config) نشده. در هر حال ممکن است از طرق مختلفی که گفتم وارد شده‌اند، مدتی اطلاعات کسب کرده‌اند، شبکه‌ها را رصد کرده‌اند و در نهایت زمانی که می‌خواستند،‌ حمله را صورت داده‌اند. حالا اینکه اطلاعات را از بین برده‌اند یا تخریب کرده‌اند، به هر حال آسیب بزرگی به کشور زده‌اند.

ممکن است به این مطالب نیز علاقه‌مند باشید
ارسال دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.

از اینکه دیدگاه خود رو با ما در میان گذاشتید، خرسندیم.