در انتظار برنامه برای دفاع سایبری

م.ر. بهنام رئوف

این روزها با گسترش استفاده از رایانه و تلفن‌های هوشمند مجهز به سیستم عامل، فعالیت هکرها و ویروس نویسان هم افزایش یافته است. البته این فعالیت‌ها که در زمانی بیشتر برای خرابکاران سایبری جنبه سرگرمی یا قدرت نمایی هکرها محسوب می‌شد اما امروز با ورود به چهارمین دهه از فعالیت آنها، بیشتر به یک تجارت تبدیل شده است. تجارتی که گاهی وقت‌ها با پرداخت پول برای خرابکاری در یک نهاد دولتی یا شرکت خصوصی همراه بوده و گاهی نیز تخریب یا جمع آوری اطلاعات را برای مقاصدی خاص در بر می‌گیرد.

جنگی با ابزار صفر و یک

در چند سال گذشته اما با آمدن ویروس‌های صنعتی و حملات پیاپی به مراکز حساس کشور داستان ویروس‌های رایانه‌ای ابعاد تازه‌ای به خود گرفته اند. هم اکنون تقریبا هر ۶ ماه یکبار خبری از حمله یک ویروس به رایانه‌های داخلی منتشر می‌شود. در حالی که انتظار می‌رفت بعد از حمله ویروس استاکس نت آمادگی مقابله با تهدیدات ویروس در کشور چند برابر شود، اما شواهد نشانگر آن است که تا زمان وقوع بحران برنامه‌ای برای امنیت شبکه‌ای یا وجود نداشته یا اگر هم وجود داشته باشد به شکل کلی فراگیر نیست. همچنین تعدد مراکز رسیدگی‌کننده به این موضوع باعث شده است که در مواقع بحرانی اخبار و اطلاعات صحیح و درستی منتشر نشود. در این بین خبرهای منتشر شده از سوی شرکت‌های فعال در بخش آنتی‌ویروس و اطلاعاتی که از سوی آنها منتشر می‌شود نیز مزید بر علت شده و اندک اخبار منتشر شده را هم با ابهام روبه‌رو می‌کند. چرا که عموما اخبار منتشر شده از سوی شرکت‌های امنیتی فعال در این بخش بیشتر جنبه تجاری، تبلیغاتی و بازار گرمی برای محصولات آنها را خواهد داشت.

در جهان و به خصوص کشورهای اروپایی و آمریکایی تداوم انتشار ویروس‌ها و حملات مخرب هکرها باعث شده تا دولت‌ها در این بخش دست به کار شده و سالانه با اختصاص بودجه‌های کلان اقدام به تدوین برنامه‌ای مدون در بخش امنیت سایبری خود داشته باشند. برنامه‌ای که به عنوان مثال در ایالات متحده آمریکا توسط رییس‌جمهور تصویب و به تمام دستگاه‌های اجرایی کشور ابلاغ شده و لازم الاجرا است.

همانطور که گفته شد اما به نظر می‌رسد که در ایران چنین برنامه‌ای وجود نداشته باشد. از سوی دیگر به نظر می‌رسد مدیران ایرانی بیشتر به فکر اینترنت ملی یا همان شبکه ملی اطلاعات هستند. آنها معتقدند که با به‌کار گیری این شبکه بسیاری از مشکلات از جمله حملات سایبری یا ویروسی حل خواهد شد حال آنکه تجربه چند ویروس گذشته نشان می‌دهد که مشکل در این بخش دسترسی به اینترنت و شبکه‌های جهانی نیست؛ چرا که ویروس‌ها به راحتی و به واسطه یک درایو اطلاعاتی و توسط یک نیروی انسانی هم می‌توانند وارد شبکه‌های داخلی شوند.

کارشناسان حوزه امنیت شبکه در کشور معتقدند که متاسفانه نهادهای دولتی توجه چندانی به مقوله امنیت اطلاعات ندارند. استفاده و تهیه نرم‌افزارهای آنتی‌ویروس نمی‌تواند جوابگوی تخریب‌ها و حملات ویروسی باشد، همانطور که نصب دزدگیر روی خودرو هم نمی‌تواند احتمال سرقت را صد در صد از میان بردارد. آنها می‌گویند: متاسفانه مدیران آی تی در سازمان‌های دولتی اعتقادی به خدمات پشتیبانی یا مشاوره‌ای در بخش امنیت اطلاعات ندارند. همچنین استفاده از نرم‌افزارهای غیر اورجینال و قفل شکسته که قابلیت به روز رسانی آنها از بین رفته است نیز می‌تواند به عنوان یک آلترناتیو احتمال آسیب‌پذیری در این بخش را افزایش دهد.

ویروس‌های داخلی

جدا از حملات هکرها و ویروس‌های صنعتی مخرب این روزها اما شاهد استفاده از ویروس‌های ساخت داخل هم هستیم. ویروس‌هایی که بیشتر به بهانه ضربه زدن به نشانه‌های تجاری طراحی شده و هدف نهایی آنها پایین آوردن سهم بازار یک شرکت و افزایش سهم بازار سایر رقبای آن شرکت است.

ناریلام، ویروسی که هفته گذشته خبر انتشارش برای نخستین بار توسط سیمانتک منتشر شده بود از جمله این ویروس‌ها است. بنا به گزارش منتشر شده از سوی سیمانتک، کرم رایانه‌ای «ناریلام» به دنبال کلمات فارسی می‌گردد و با وارد شدن به بانک‌های اطلاعاتی حسابداری، سفارش اقلام و سامانه‌های مدیریت مشتریان سازمان‌ها و شرکت‌ها، اطلاعات آنها را جایگزین یا حذف می‌کند.

سیمانتک می‌گوید که این کرم رایانه‌ای که «W۳۲.Narilam» نام دارد را در تاریخ ۱۵ نوامبر کشف کرده اما شونیچی ایمانو، محقق امنیت سیمانتک، جمعه دو هفته پیش جزئیات این خبر و عملکرد این بدافزار را در مقاله‌ای منتشر کرده است. به نوشته شونیچی ایمانو و بنا بر نقشه‌ای که وی در وب‌سایت سیمانتک منتشر کرده، تمرکز حملات این بدافزار جدید، ایران است و چند مورد از حملات «ناریلام» نیز در بریتانیا و ایالات متحده، ازجمله در ایالت آلاسکا مشاهده شده‌است.

بعد از انتشار این خبر و بازتاب آن توسط رسانه‌ها اما حقایق دیگری پیرامون این ویروس منتشر شد. ویروس یا تروجانی که می‌رفت به عنوان قسمت جدیدی از سریال حمله‌های مخرب ویروسی در چند سال گذشته تبدیل شود، اما ویروس جدیدی نبود بلکه تنها یک نسخه به روز شده از ویروسی بود که در سال ۲۰۱۰ کشف شده بود. آن هم توسط بخش آپا از دانشگاه شیراز.

درست روز بعد از انتشار خبر این ویروس مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای «ماهر» گزارش داد که بر خلاف اخبار منتشر شده این بدافزار در سال ۸۹ یعنی ۲۰۱۰ توسط مراکز و شرکت‌های فعال در حوزه امنیت فناوری اطلاعات کشور شناسایی و گزارش شده است.

دامنه فعالیت این بدافزار و انتشار آن بسیار محدود بوده و تنها کاربران محصولات نرم افزاری سیستم‌های مالی وحسابداری را هدف قرار داده که این کاربران می‌توانند با اسکن سیستم توسط آنتی ویروس به روز شده اقدام به پاک سازی آن نمایند.

در این بین اما برخی از شرکت‌های امنیتی از موج ایجاد شده استفاده کرده و در خبرهایی عنوان می‌کردند که تنها آنتی ویروس آنها قادر به پاکسازی این ویروس هستند، در حالی که چنین خبری از اساس دروغ بوده و تمامی آنتی ویروس‌های موجود قابلیت مبارزه با این ویروس را داشتند.

بخش خصوصی هدف تخریب

ویروس «ناریلام» درست بر عکس شده کلمه «مالیران» است که نام یکی از برنامه‌های معروف حسابداری است. برنامه‌های حسابداری و مالی مورد حمله قرار گرفته توسط این ویروس محصولات شرکت «طراح سیستم» است. شرکتی با ۲۵ سال سابقه فعالیت. در اولین مراجعه به سایت این شرکت یک پیام اخطار پیرامون این ویروس منتشر شده است. پیامی با این مضمون: «به دلیل بد افزار

W۳۲.Narilam لطفا از اطلاعات مالی خود نسخه پشتیبان (backup) تهیه نمایید».

تورج تیموری، عضو هیات مدیره این شرکت در این باره به ما می‌گوید: ما هم از خبرهای منتشر شده متوجه این ویروس شده‌ایم، چرا که تا به حال گزارش خاصی در مورد خرابکاری‌های این ویروس از مشتری هایمان نداشتیم. او می‌گوید: بعد از خبرهای منتشر شده با تمام مشتری‌ها چه آنهایی که قرارداد پشتیبانی داشته و چه آنهایی که چنین قراردادی نداشتند از طرف مسوولان فنی شرکت تماس و در خواست شده تا از اطلاعات خود نسخه پشتیبان تهیه کنند. تیموری ادامه می‌دهد از بین تمام مشتری‌ها فقط یک شرکت بوده است که می‌گوید با چنین ویروسی مواجه شده اما نرم افزار آنتی ویروس نصب شده روی سیستم آن را پیدا و پاک کرده است در نتیجه متاسفانه تا به این لحظه موفق نشده ایم که به سورس این ویروس دست بیابیم. همچنین حملاتی که عنوان می‌شود این ویروس در کشورهای خارجی داشته صحت ندارد و ممکن است کاربران نرم افزار ما به همراه رایانه قابل حمل خود در مسافرت خارج از کشور بوده باشند و مورد حمله قرار گرفته باشند.

عضو هیات مدیره طراح سیستم با اشاره به طرح شکایت در دادسرای جرایم رایانه‌ای و پیگیری از طرف پلیس فتا عنوان می‌کند: مطمئن هستیم که این ویروس یک ویروس داخلی بوده و به دلیل غرض ورزی‌های شخصی یا شرکتی نوشته و منتشر شده است؛ چرا که تنها نرم‌افزارهای شرکت ما را هدف قرار داده و جز بدنام کردن شرکت و سابقه طراح سیستم نمی تواند هدف دیگری داشته باشد. به همین دلیل حدس و گمان‌های موجود را به مراجع قضایی ارائه و تا حصول نتیجه پیگیر این موضوع خواهیم بود.

او در مورد خبرهای منتشر شده از سوی مراکز امنیتی می‌گوید: به جز خبری که به تازگی منتشر شده است در مورد سوابقی که در آن به کشف این ویروس در سال ۲۰۱۰ اشاره می‌کند هیچ مدرک، مشکل یا خرابکاری‌ای از سوی مشتریان تا به امروز به ما گزارش نشده است و نمی‌دانیم چرا این خبرها به این شکل منتشر شده است. تنها دلیلی که برای این کار متصور هستیم خراب کردن نام شرکت و برند خود می‌دانیم، زیرا این ویروس تا به این لحظه هیچ خسارت مالی‌ای برای هیچ‌کدام از مشتریان ما نداشته و تنها متضرر اصلی این جریان برند شرکت ما است.

تیموری در پایان با اشاره به این نکته که این ویروس اولین تجربه بخش خصوصی در تهدیدهای سایبری است تاکید می‌کند که تیم برنامه نویسی شرکت در حال حاضر مشغول افزایش و بالابردن توان امنیتی برنامه‌های شرکت است.