امنیت را در مرزهای دیجیتال رها کرده‌ایم
بازار دیجیتال - موضوع امنیت در فضای تولید و تبادل اطلاعات که افتا خوانده می‌شود، موضوع جدیدی نیست. تعدد شوراها و کمیسیون‌های افتا در کشور و متولیان متعدد که بعضی به صورت بخشی و برخی به صورت فرابخشی سعی در تاثیرگذاری در این فضا را دارند، نشان از اهمیت این مقوله دارد.

ولیکن با بروز بحران‌هایی مانند ورود استاکس‌نت که نام نخستین بدافزار صنعتی را نیز برخود دارد، نقاط ضعف متعدد ساختار امنیت را در فضای تبادل اطلاعات نشان داد. اینکه مراکز واکنش سریع نسبت به رویدادهای امنیت مجازی هیچ‌گونه فعالیت قابل قبولی نداشتند و مراکز آگاهی‌رسانی دولتی یا دانشگاهی نیز بسیار عقب‌تر از بخش خصوصی حرکت کردند، لزوم بازنگری در ساختار این مراکز و ساختار کلان کشور را بیش از پیش آشکار کرد. در میزگردی که با همین رویکرد تشکیل شد، کارشناسان بخش خصوصی به کندوکاو در این موضوع پرداختند.
علیرضا صالحی: میزگرد امروز درباره بررسی وضعیت امنیت اطلاعات در شرکت‌ها و سازمان‌های بزرگ کشورمان است که می‌خواهیم بحث را با اپیدمی‌ بدافزاری به نام استاکس نت که شبکه‌های صنعتی کشورمان را هدف قرار گرفته بود، شروع کنیم و ببینیم که چه اتفاقی همزمان با حمله این بدافزار به صنایع کشورمان اتفاق افتاده و عکس‌العمل نهادهای مربوطه چه بوده است. ابتدا خوب است مقداری درباره استاکس‌نت و اتفاقات بدی که برای شبکه‌های صنعتی کشورمان در این مورد افتاده صحبت کنیم.
عباس‌نژاد: اولین مساله، در حقیقت سه ویژگی خاص استاکس نت است که این بدافزار را از دیگر انواع بدافزارها متمایز کرده است.
نکته اول اینکه، بررسی استاکس نت نشان می‌دهد که این بدافزار از یک حفره امنیتی سیستم عامل ویندوز استفاده می‌کند که کاملا ناشناخته بوده و در نتیجه، تمام کامپیوترهای ویندوزی می‌توانند مورد حمله قرار بگیرند.
نکته دوم اینکه استاکس نت اولین ویروسی است که برای سیستم‌های صنعتی نوشته شده است. استاکس نت نرم‌افزارهای شرکت زیمنس (اسکادا) را بیشتر هدف خودش قرار می‌دهد که ویژگی بسیار متفاوتش این است که رمز عبور پیش فرضی که در نرم افزار اسکادا وجود دارد به صورت Hard Code درون این ویروس قرار گرفته است. در نتیجه ویروس می‌تواند کلیه اطلاعات بانک اطلاعاتی سیستم اسکادا را بخواند و به مرکز فرمان بدافزار ارسال کند.
نکته سوم هم در این مورد این است که این بدافزار از روشی برای شناسایی خود به عنوان یک نرم‌افزار مجاز استفاده می‌کند، که درایورهای سیستمی‌استفاده می‌کنند. یعنی با جعل یک امضای دیجیتالی مربوط به سازندگان سخت افزار، خود را به عنوان یک برنامه مجاز معرفی می‌نماید. پس عملا راهکارهای امنیتی (مانند ضدویروس‌ها) این برنامه را به صورت پیش فرض به عنوان ویروس شناسایی نمی‌کنند.
صالحی: برنامه‌های اسکادا عمدتا در چه صنایعی استفاده می‌شوند؟
عباس‌نژاد: برنامه‌های اسکادا تقریبا در تمام صنایع کشور استفاده می‌شوند، ولی در شبکه توزیع برق، در کارخانه‌های تولیدی و در سایت‌های صنعت نفت بیشتر مورد استفاده قرار می‌گیرند.
صالحی: چرا این موضوع در کشور ما اینقدر حاد شده است؟
این مساله که این ویروس شبکه‌های صنعتی را مورد حمله قرار می‌دهد آن را به نخستین جاسوس افزار شبکه‌های صنعتی بدل کرده است. ضمن آنکه در اخباری که در این زمینه در اینترنت منتشر شده است، بسیاری از تولیدکننده‌های آنتی ویروس اعلام کرده‌اند که این اولین باری است که در بیست سال گذشته بیشترین تعداد کامپیوتر آلوده از یک بدافزار در ایران شناسایی شده اند. به عنوان نمونه، یکی از بررسی‌های شرکت سیمانتک نشان می‌دهد که در یک بازه 72 ساعته، ۱۴هزار کامپیوتر آلوده به استاکس نت در اینترنت پیدا شدند که از این تعداد در حدود ۶۰درصد که تقریبا چیزی در حدود 9-8 هزار کامپیوتر بوده مربوط به ایران می‌شده است. در نتیجه، این تصور را به جود می‌آورد که هدف ویروس، کاملا کشور ایران بوده است. بعد از کشور ایران هم، اندونزی و هند هرکدام با 18 درصد و 8 درصد کشورهای بعدی هستند که به ویروس استاکس‌نت آلوده هستند.
قطعا این ۱۴ هزار کامپیوتر تنها کامپیوترهایی نیستند که آلوده هستند. اولا در یک بازه زمانی ۷۲ ساعته بوده و ثانیا این گزارشی است که فقط سیمانتک اعلام کرده که مسوول برقراری امنیت و کنترل امنیت در سیستم‌های صنعتی زیمنس است.
بقایی: درباره استاکس نت و اینکه ظاهرا این بدافزار فعالیتش را از ماه‌ها قبل آغاز کرده بوده ولی خیلی از ما به تازگی متوجه شدیم، یا آنتی ویروس‌های مختلف به تازگی کشفش کردند یا مایکروسافت درواقع به موقع وصله امنیتی‌اش را منتشر نکرده یا علت دیگری داشته که همه و همه حائز اهمیت است. در واقع ببینید همان مواردی که اشاره شد و بحث اینکه این ویروس از امضاهای دیجیتالی‌های تعریف شده استفاده می‌کرده و از لحاظ رفتاری متفاوت بوده، باعث شده است که این مشکل کلا دیده نشود تا مثلا یک ماه یک ماه و نیم پیش، هیچ کدام از آنتی ویروس‌ها این را شناسایی نکرده بودند. در نتیجه این بدافزار خیلی راحت گسترش پیدا کرده است.
صالحی: این اصطلاح ویروس که ما در اینجا به کار می‌بریم یک اصطلاح کلی است برای هرگونه بدافزار یا نرم‌افزار مخرب. استاکس نت در واقع یک بدافزار است که ترکیبی از یک روت‌کیت و یک تروجان است که ما در اینجا برای یک مقدار ساده‌تر شدن بحث گاهی اوقات عنوان کلی ویروس را به کار می‌بریم، اما این را هم اضافه کنم که ظاهرا شرکت سیمانتک توضیح داده که این ویروس نزدیک به یک سال است که فعال بوده، ولی آنتی‌ویروس‌ها به تازگی آن را کشف کرده‌اند و مایکروسافت هم به تازگی وصله امنیتی مربوط به آن را منتشر کرده است. دلیل آن چه می‌تواند باشد؟
عباس نژاد: به نظر می‌رسد که اعلام وجود چنین ویروسی از ماه‌ها قبل بوده است؛ اما به دلیل اینکه پراکندگی ویروس مربوط به پراکندگی منطقه جغرافیایی خاصی بوده (عمدتا ایران و اندونزی) و بحث بین‌المللی در موردش وجود نداشته، در نتیجه حساسیت مراکز نظارت، مراقبت جهانی یا مراکز امداد یا همان Certهای جهانی برانگیخته نشده است. به همین علت هم هیچ‌گاه اخطارهای جهانی در این مورد منتشر نشده است، ولی یک مقدار عجیب‌تر این است که مایکروسافت هم وصله امنیتی را بعد از اینکه حفره امنیتی ویندوز توسط یک آنتی ویروس غیرآمریکایی مشخص آشکار می‌شود، بعد از دو هفته منتشر می‌کند؛ در حالی‌که این زمان معمولا ۴۸ساعت است. این نکته را هم اضافه کنم که وقتی می‌گوییم ۹ هزار کامپیوتر آلوده شده است، منظورمان دقیقا ۹هزار کامپیوتر نیست، بلکه ۹ هزار آدرس IP است که ممکن است برخی از آن آدرس‌ها خودشان شامل صدها یا چندهزار کامپیوتر باشند.
بابادی نیا: مطلبی که من می‌خواهم به آن اشاره کنم این است که این مخاطره به دلیل اینکه جهانی نبوده یا برای کشورهای خاصی مشکل به وجود آورده بوده مورد توجه قرار نگرفته است؛ اما برای ما و با توجه به وضعیت خاصی که در دنیا داریم باید حائز اهمیت باشد. آیا ما باید منتظر باشیم تا شرکت‌های دیگر برای مشکلات ما راه حل پیدا کنند؟ اصلا شما فرض کنید که این ویروس برای انجام عملیات در ایران طراحی شده است، وظیفه ما به عنوان کارشناسان امنیت یا بخش‌های دولتی به عنوان متولیان امنیت چیست؟ مطلع هستید که ما در کمیسیون افتا در زمینه اطلاع‌رسانی کارهایی را انجام داده‌ایم و اساسا اطلاع رسانی در این حوزه در رسانه‌ها و مطبوعات از جانب کمیسیون افتا صورت گرفته است. ولی ما انتظار کمک و حمایت بیشتری از بخش دولتی داریم؛ علی‌الخصوص که در این مورد خاص، اطلاعات بخش دولتی مورد حمله قرار گرفته‌اند.
صالحی: بحث به جای خیلی خوبی رسید. ما در دانشگاه‌ها مراکز آپا را داریم به عنوان مراکزی که وظیفه آگاهی‌رسانی وضعیت امنیتی را برعهده دارند. مراکز Cert هم داریم که وظیفه پایش، اطلاع‌رسانی و ارائه راهکار در فوریت‌های امنیتی را عهده‌دار هستند. این مراکز هم در همه بخش‌های مهم کشور هستند و ظاهرا مشغول فعالیت می‌باشند. از آقای بقایی می‌پرسم که گزارشی در خصوص فعالیت این مراکز روی استاکس نت دارید یا خیر و ظاهرا تیمی ‌در وزارت صنایع هم مامور شده است که خسارت‌های وارده توسط استاکس نت را بررسی کند و راه‌حل پیشنهاد بدهد.
بقایی: همان‌طور که اشاره شد نکته مهم اینجا است که ظاهرا استاکس نت برای ایران طراحی شده است. حالا ممکن است در نقاط دیگر هم فعالیت‌هایی داشته است، چون به هر حال گسترش پیدا می‌کند. به نظر من، بحث صدمه بسیار جدی بوده که ظرف یک سال گذشته این ویروس نه تنها بسیاری از اطلاعات صنعتی کشورمان را برده است، بلکه امکان دارد تغییراتی را در سیستم‌ها برای فعالیت‌های مخرب آتی ایجاد کرده باشد؛ اما الان بعد از گذشت یک سال از این قضیه حساسیتش ظرف یک ماه گذشته افزایش یافته است، اما چرا؟ چون همین مراکز بین‌المللی اعلام خطر کرده‌اند و دوستانی هم که در داخل ایران به مراکز آپا و Cert اعلام خطر کرده‌اند، نادیده گرفته شده‌اند. متاسفانه هیچ اعلام خطر جدی و سراسری از جانب مراکز Cert و آپا خطاب به مراکز صنعتی و کاربران اعلام نشده است.
بابادی نیا: ببینید این موضوع مثل این است که مثلا فرض کنید که ارتش متجاوز یک کشور یک سال است که مناطق مرزی کشوری را بمباران کرده است، حالا بعد از یک‌سال بگویند که در حال بررسی موارد مشکوک یا حملات احتمالی هستیم.
ما به عنوان بخش خصوصی و متخصص وظیفه داریم این آگاهی‌رسانی را انجام دهیم که وجود یک ویروس، وجود یک تروجان با این مشخصات از یک حمله نظامی ‌کمتر نیست. فرض کنید یک کشور ثالث می‌خواهد با حمله نظامی‌ مراکز صنعتی کشورمان را به دست بگیرد؛ اما اینجا بدون درگیری، اطلاعات مراکز صنعتی خارج می‌شود و به دست دشمن می‌رسد. اگر ما نتوانیم مرزهای مجازی یا دیجیتالی کشورمان را امن کنیم، نمی‌توانیم به کلیت امنیت کشورمان هم چندان امیدوار باشیم.
صالحی: این را هم درنظر بگیرید که ما نه تنها نسبت به بمباران تاسیساتمان واکنش نشان نداده‌ایم، بلکه نمی‌دانیم در چه محل‌هایی مین گذاری شده که ممکن است در آینده فعال شوند. آقای عباس‌نژاد بد نیست در اینجا مختصری هم به ارتباطاتی که با مراکز Cert و آپا در خصوص استاکس نت گرفته شده اشاره کنید.
عباس‌نژاد: اول اشاره کنم که یکی از وظایف مراکزی مانند Cert این است که باید با یک نشانه، وضعیت امنیت کشور را مشخص کنند. مثلا پرچم سبز یا زرد یا قرمز نشان بدهند، ولی مرکز فوریت‌های امنیتی کشورمان برای بدافزاری که صرفا برای ایران نوشته شده بود هیچ وقت اعلام نکردند که وضعیت قرمز است، هیچ وقت در اخبار نگفتند که مواظب باشید، هیچ وقت ایمیل یا نامه‌ای ارسال نشد به همه مسوولان شبکه‌ها که گفته شده باشد باید واکنش نشان بدهید یا چه کاری باید انجام بدهید. متاسفانه تنها کاری که مراکز آپا و Cert برای ما انجام دادند یک ترجمه فارسی و نامناسب از متون خارجی بود که آن هم بسیار دیر روی سایت‌هایشان قرار گرفت. شرکت سیمانتک برایش مهم نبود که کاری برای ما انجام بدهد، همچنین مایکروسافت؛ اما ظاهرا برای خودمان هم مهم نبود که کاری انجام دهیم.
در مورد سوال شما، جریان از پنج شنبه بیست و چهار تیر ماه شروع شد؛ یعنی زمانی که ما فهمیدیم که در شبکه‌های ایران و اینترنت ایران اتفاق غیرمتعارفی می‌افتد. مثلا پهنای باند دچار مساله شده، یا سیستم‌هایی به طور غیرعادی ری استارت می‌شوند و مواردی از این دست. بلافاصله روز بعد؛ یعنی جمعه ما خبری را در سایت مایکروسافت دیدیم که به مورد مشکوکی اشاره کرده بود که حاصل گزارش قبلی یک آنتی ویروس غیرآمریکایی بود. این خبر نشان می‌داد که یک ویروس از طریق فلش‌های USB در حال تکثیر است. بررسی‌ها هم نشان می‌داد که هدف ویروس، شبکه‌های ایرانی است.
صالحی: چرا حافظه‌های فلش؟
عباس‌نژاد: به دلیل اینکه اصولا تنظیمات سیستم‌های صنعتی با USB است. سپس یکشنبه 27/04/89 ما به مراکز آپا و Cert اعلام کردیم (از طریق ایمیل) که ما می‌دانیم ویروسی با این ویژگی‌ها منتشر شده و این هم مشخصات آن. اگر فکر می‌کنید ما کمکی می‌توانیم بکنیم آماده همکاری هستیم؛ اما هیچ جوابی دریافت نشد. بعد از آن ما منابع اطلاعاتی خودمان را فرستادیم و اعلام کردیم که ممکن است این موارد به شما کمک کند که بازهم جوابی دریافت نکردیم. در تاریخ سی و یکم باز هم اطلاعات کامل دیگری را برای این مراکز فرستادیم، ولی عملا باز هیچ اتفاق دیگری نیفتاد. یک روز بعد چند تا از آنتی ویروس‌های بزرگ، اطلاعات دیگری را منتشر کردند و گفتند که کم کم مشکل دارد جهانی می‌شود.
هفت روز دیگر هم گذشت و بازهم هیچ واکنشی مشاهده نشد. همه آنتی‌ویروس‌ها قادر به شناسایی مشکل بودند و مایکروسافت هم وصله امنیتی منتشر کرده بود. بالاخره پنج‌شنبه ۷ مرداد یک متن ترجمه شده روی سایت آپا و سرت قرار گرفت که عملا به نظر می‌رسید که یک کار دانشجویی است که حالت ترجمه یک مقاله را دارد. یعنی پانزده روز طول کشید تا یک مستند فارسی در این زمینه منتشر شود.
بابادی‌نیا: قسمت آزاردهنده مساله اینجا است که شما تازه بعد از این مدت می‌بینید که نه تنها به این همه اعلام خطر توجهی نشده، بلکه یک متن ترجمه شده از منابع خارجی به عنوان خروجی چنین مراکزی منتشر شده است. به نظر من باید این مراکز پاسخگوی ضعف‌هایشان در مورد این مساله باشند و اعلام کنند که چرا در مواجهه با چنین مشکلی تا این حد ناتوان بوده‌اند. آیا به دلیل عدم وجود دانش فنی بوده است؟ آیا به دلیل بهره نگرفتن از تخصص بخش خصوصی بوده است؟ یا مسائل دیگری داشته‌اند.
صالحی: اجازه بدهید. قدری از این فضا فاصله بگیریم و به سازمان‌هایی بپردازیم که از سیستم‌های امنیت داده‌ها مانند آنتی‌ویروس و فایروال اورجینال استفاده می‌کنند. از آقای بقایی سوال می‌کنم که وضعیت این سازمان‌ها در مواجهه با چنین خطراتی چگونه است؟
بقایی: ببینید حداقل یک حفاظ کوچک خیلی بهتر از نداشتن حفاظ است. در واقع در عمل شاید خیلی از آنها صدمه دیدند ولی مسلما صدمه‌ای که دیدند کمتر از آنهایی بوده است که مثلا سیستم عامل بودن آپدیت نداشته‌اند یا از آنتی ویروس‌های قفل شکسته استفاده می‌کردند. ضمن اینکه فعالیت‌های غیرعادی در شبکه‌ها شناسایی می‌شوند و به مدیر شبکه اطلاع داده می‌شوند؛ اما شما می‌دانید که هیچ وقت نمی‌توان گفت که شما با داشتن آنتی ویروس یا فایروال دارای امنیت صددرصدی هستید.
درواقع امنیت مدیریت شده می‌تواند چنین مشکلاتی را حل و فصل کند والا تنها با داشتن تجهیزات امنیتی، نمی‌توان به تامین کامل امنیت فکر کرد. می‌خواهم تاکید کنم که داشتن تجهیزات امنیتی از بروز بسیاری از مشکلات جلوگیری می‌کند، ولیکن مدیریت امنیت است که می‌تواند در چنین مواقعی کارساز باشد.
عباس‌نژاد: من این بحث را اینطور تکمیل می‌کنم که ما در حوزه امنیت سه نوع رفتار متفاوت داریم، اول رفتار اصلاحی است؛ یعنی مشکلی پیش آمده که باید اصلاحش بکنیم، مثل همین که الان باید وصله امنیتی ویندوز نصب شود تا جلوی صدمات یک بدافزار گرفته شود. بحث دوم اقدام اصلاحی است؛ یعنی بیاییم ببینیم علت وقوع این مشکل چه بوده است و روش پایه ای پیاده کنیم تا از این به بعد با چنین مشکلاتی مواجه نشویم و روش سوم، اقدام پیشگیرانه است و آن این است که ببینیم چکار بکنیم که دچار چنین معضلاتی نشویم.
صالحی: متاسفانه اقدام پیشگیرانه در کشور ما غایب است. ما هنوز از بدافزارهای قدیمی ‌مانند SQL Slammer هم ضربه می‌خوریم و به طور روزانه مشغول مبارزه با چنین مشکلاتی هستیم. خوب مراکزی مانند Cert وظیفه تحلیل چنین وضعیت‌ها و ارائه راه‌حل‌هایی را بر عهده دارند.
بابادی نیا: دقیقا همین‌طور است. تا زمانی که با بهره گرفتن از دانش فنی همه متخصصان کشور و به ویژه بخش خصوصی به مقابله با چنین مشکلاتی نپردازیم و به مقوله امنیت به عنوان فرآیندی که نیاز به مدیریت مستمر دارد نگاه نکنیم، باید منتظر وقوع چنین مواردی هم باشیم.

حمید بابادی‌نیا، رییس کمیسیون افتا در سازمان نظام صنفی رایانه‌ای استان تهران

علیرضا صالحی، سخنگوی کمیسیون افتا در سازمان نظام صنفی رایانه‌ای استان تهران

علی عباس‌نژاد، مشاور امنیت و کارشناس جرم‌شناسی رایانه‌ای

سینا بقایی، کارشناس امنیت فناوری اطلاعات