حملات و تهدیدهای اینترنتی در گفتوگو با علیرضا منافی
امنیت باید یکپارچه باشد
اوج داستان نفوذ به سیستمهای سازمانهای مهم کشوری به انتشار ویروسی به نام استاکسنت بازمیگردد ویروسی که بعد از انتشارش باعث توجه مسوولان کشور به مقوله امنیت و ارائه راهکارهایی برای بالا بردن سطح امنیت در فضای مجازی کشور شد. علیرضا منافی فعال در بخش امنیت شبکههای کامپیوتری و مجازی اما این پرسش را مطرح میکند که نهادها، سازمانها و حتی شرکتهای بزرگ و کوچک فعال درکشور تا چه اندازه در برابر حملات سایبری آمادگی دارند؟ با منافی، مدیرعامل شرکت امن افزار گستر شریف، در خصوص وضعیت امنیت شبکهای در کشور گفتوگویی انجام دادهایم که میخوانید.
بسیاری از کارشناسان معتقدند که توجه به امنیت در فضای ارتباطات و فناوری اطلاعات یک کلید مفقود شده است. این در حالی است که طی چند سال گذشته و با افزایش حملات سایبری به ایران، شاهد حضور شرکتهای امنیتی و برنامههای متنوع دولت برای افزایش امنیت در بخش ارتباطات و فناوری اطلاعات کشور بودهایم. با این حال هیچ کدام از این راهها باعث افزایش امنیت در این بخش و کاهش حملات سایبری نشده است. به نظر شما علت به وجود آمدن این شرایط چه میتواند باشد؟
منظورتان این است که امنیت در فضایIT معنی نمی دهد؟
نه منظورم این است که با اینکه طی چند سال تلاشهایی برای افزایش امنیت در این بخش انجام شده اما به نظر میرسد این تلاشها نتیجهای نداشته است. شما این موضوع را قبول دارید؟
در حال حاضر بیشترین حراست فیزیکی از سازمانهای حساس کشور میشود. به طوری که اشخاص و کارمندان برای فعالیت در آن گزینش میشوند و شبکههای آن کاملا ایزوله شده است. امنیت یک سلسله اقداماتی را میطلبد. حال سوال من این است که ما در این سلسله اقدامات در چه مرحلهای هستیم؟ یکی از این اقدامات، فراهم کردن امنیت فیزیکی است که سازمانها در این مورد در بهترین وضعیت قرار دارند. اما چرا این سازمانها با یک حمله ویروسی مانند استاکسنت دچار اختلال شدند؟
در شرح حال ویروس استاکسنت همین قدر بس که از این ویروس به عنوان اولین ویروس در دنیای آیتی یاد میشود که با هدف تخریب زیرساختهای حیاتی یک کشور ساخته شده است، موضوعی که اخیرا از سوی اتحادیه اروپا به آن صحه گذاشته شده است. این ویروس این توان را داشت که زیرساختهای حیاتی کشور را از کار بیندازد.
چه شرایطی باعث شد که این ویروس بتواند به این سیستم رخنه کند ؟
ما اعتقاد داریم که در دنیای آیتی مرزی وجود ندارد حتی اگر شبکهها از هم جدا باشند. استاکسنت کنترلهای دور متغیر موتورهای زیمنس را نشانه گرفت. یعنی PLCهایی را که برای کنترل دور موتورهای متغیر بودند مورد نفوذ قرار داد. PLC یک مدار کنترلی است که کاربردهای فراوانی دارد. مثلا شما از یک PLC برای اینکه درب را به صورت اتوماتیک باز و بسته کند استفاده میکنید. PLCها دو نوع هستند یا میتوانید روی آن برنامهنویسی انجام دهید که این نوع منعطف هستند یا دستهای دیگر از
PLCها فیکس هستند و تنها قابلیت انجام یک کار را دارند.
چگونه ویروس استاکسنت شبکه سازمانهای حساس را آلوده کرد؟
آلودگی از سیستمهای PLC شروع شد و ما حدس میزنیم لپتاپهای آلوده مهندسان هندی که برای راهاندازی نرمافزار اسکادا به سیستم متصل شده بودند عامل این آلودگی بود. در واقع کد آلوده از لپتاپ به داخل سیستم وارد شد و از تبعات آن این بود که از وقتی که متوجه شدیم تا یک سال کسی جرات نمیکرد دست به کاری بزند و چون هنوز داخل PLCها آلوده بود و نگرانی تخریب وجود داشت.
کاری که این ویروس بعد از نفوذ به شبکهها انجام داد چه بود؟
وقتی شبکه توسط این ویروس آلوده شد ابتدا دور موتور را دوبرابر میکند ودر گام بعدی دور موتور را نصف کرد و نهایتا دور موتور را روی صد هرتز بالاتر از آنچه برنامهریزی شده است فیکس کرد. تصور کنید یک ماشین با سرعتی بیشتر از حد مجازش حرکت کند. مثلا در نیروگاهها این کار میتوانست باعث استهلاک موتورها شود.
چرا بر این باور هستید که ویروس استاکسنت قصد تخریب گسترده نداشت؟
استهلاک موتورهای مثلا یک نیروگاه در مرحله بعد باعث تخریب آن میشد و تخریب نیروگاه تنها به کشور ایران صدمه وارد نمیکرد، بلکه باعث ایجاد ضرر و صدمه به کل کشورهای جهان میشد. طراحان و منتشرکنندگان ویروس استاکسنت نمیخواستند این تنها ویروسی باشد که به این بخش صدمه میزند. جالب است بدانید که همزمان با کشف ویروس استاکسنت پیشبینی شد که ویروسهایی شبیه به استاکسنت هر شش ماه منتشر خواهند شد که پیشبینی هم درست از آب در آمد و بعد از چند ماه شاهد حضور ویروسیهایی همچون دوکوو، وایپرو فلیم بودیم. تمام این ویروسها با برنامه ریزی وارد شبکههای داخلی کشور شدند و هرکدام ماموریت خاصی بر عهده داشتند یعنی اگر هدف استاکسنت اختلال در مثلا موتور نیروگاهها بود دوکو هدفش جاسوسی از شبکههای کشور بود.
به نظر شما امنیت پایین شبکههای کامپیوتری در داخل کشور باعث نفوذ و ایجاد صدمه توسط این ویروسها به کشور شد یا دلایل دیگری در این امر دخیل است؟
اول این که امنیت ۱۰۰ درصد وجود ندارد. اما بهرغم آن، به طور کلی امنیت در کشور ما جدی گرفته نمیشود. یعنی شاید سازمانها و شرکتهای مختلف در کشور هزینههای میلیونی برای بالا بردن امنیت شبکهای خود پرداخت کنند ولی این هزینهها با یک بیتوجهی به هدر میرود. در واقع در کشور ما هزینه نفوذ به شبکهها بسیار پایین است و همین مساله را بدتر میکند. در جریان نفوذ ویروس استاکسنت هم همین بیتوجهی باعث نفوذ ویروس به شبکه شد؛ یعنی هنگام نصب نرمافزار خاص( نرمافزار اسکادا) روی شبکه نیروگاه، هیچ کدام از مهندسان ما پسورد پیش فرض نرمافزار را تغییر نداده بودند.
اگر این حداقل کار انجام شده بود از آنجا که ویروس برای نفوذ به شبکه نیاز به «لاگین» داشت نمیتوانست روی PLCها قرار گیرد.
در حال حاضر با توجه به اهمیت امنیت در فضای مجازی، شرکتهای زیادی در کشور مشغول به ارائه خدمات در بخش امنیت شبکه و... هستند و هر کدام نیز با انتخاب یک شعار خاص سعی میکنند کاربران را به سمت خود جذب کنند، اما رفته رفته این نوع فعالیتها باعث سردرگمی متقاضیان این خدمات شده به نوعی که نمیدانند واقعا کدام خدماتدهنده سرویس بهتری به آنها ارائه میکند. پیشنهاد شما برای انتخاب یک خدمات دهنده مناسب در بخش امنیت مجازی چیست؟
راهحل برای جلوگیری از سردرگمی کاربران در این بخش تهیه و اجرای استانداردهای این صنعت است. خوشبختانه در این زمینه ایران به این بلوغ رسیده است و دارای آزمایشگاههایی است که کیفیت و استاندارد محصولات و خدمات امنیتی را مورد سنجش قرار میدهد. با این کار هر شرکتی که ادعای اول بودن در این حوزه را دارد باید تاییدیه لازم را داشته باشد.
یک کاربر شاید چندان تخصصی در خصوص بررسی این نوع تاییدیهها نداشته باشد از طرف دیگر شرکتهای فعال در این بخش هر کدام ادعای داشتن تاییدیه و استاندارد داخلی و حتی بینالمللی را هم دارند.
باید عادت کرد و پرسید که تاییدیهای که یک شرکت ادعا میکند دارد از کجا به دست آمده و نشانه چیست؟ چطور این کار را افراد در مورد محصولات غذایی انجام میدهند؟ از ابتدا هم مردم چندان توجهی به داشتن استاندارد در مواد غذایی نداشتند اما با گذشت زمان و فرهنگ سازی مناسب به این سطح رسیدند مواد غذایی را که فاقد استاندارد است خریداری نکنند.
تا چه اندازه میتوان به محصول ایرانی و تاییدیههایی که دارد اعتماد کرد؟
خوشبختانه در حال حاضر سازمان فناوری اطلاعات در حال ارائه تاییدیه لازم به محصولات و خدمات امنیتی است. از سوی دیگر مرکز ریشه در حوزه امضای دیجیتال هم در این بخش فعالیت میکند. برای مثال توکن امنافزار در آزمایشگاههای این مرکز در بین ۱۵ توکن داخلی و خارجی رتبه اول را به دست آورده است. این رتبه بندی براساس ۵۰۰ شاخص به دست میآید و به این راحتیها نیست. برای اعتماد به این تاییدیهها کافی است به سایت مرکز ریشه مراجعه و گزارش مربوط به محصول خریداری شده را دریافت کنید.
استاندارد مورد استفاده در این آزمایشگاه از چه طریق مورد تایید قرار میگیرد. با توجه به مسائل سیاسی و تحریمی به نظر نمیرسد که استانداردهای این آزمایشگاهها مورد تایید نهادهای بینالمللی مربوطه قرار بگیرد.
در کشور ما متولی استاندارد موسسه ملی استاندارد ایران است. برای محصولی مانند UTM یک شرکت، این محصول از سازمان فناوری اطلاعات تاییدیه دارد. استاندارد ارزیابی و تایید این محصول
ISO/IEC 15408 است.این استاندارد در موسسه استاندارد ایران نیز به صورت ملی تدوین شده است. این تایید به معنای یک مرجع ملی است. در حال حاضر سه آزمایشگاه در کشور داریم که بر اساس این استانداردها محصولات را ارزیابی امنیتی میکنند.
با توجه به تمامی نکاتی که به آن اشاره میکنید، اما بسیاری از کارشناسان حوزه آی تی بر این باورند که محصولات ایرانی کیفیت لازم را نداشته و از نظر امنیتی قابل رقابت با محصولات خارجی نیستند.
باید دید در چه زمینهای این ادعا مطرح میشود.محصولات ایرانی برای به کارگیری در بخش small و medium کاملا جوابگوی نیاز شرکتها و نهادهای فعال در کشور است.
وقتی شما با هیچ نهاد بین المللی برای دریافت تاییدیه ارتباط ندارید چگونه میتوان به این محصولات اعتماد کرد؟
مراجع و ابزارهای سنجش محصولات در آزمایشگاههای ما بینالمللی است.برای مثال مرکز ریشه جمهوری اسلامی کاملا استاندارد و با هزینه بسیار بالایی تاسیس شده است. اما مانند ترکیه به ریشه بینالمللی وصل نیست، زیرا این مرکز بینالمللی یک شرکت آمریکایی است که به ما اجازه اتصال نمیدهد.اما این به معنی غیر قانونی بودن محصولات ما و ناامن بودن آنها نیست.ما در سطح ملی قانونی هستیم، اما این محصولات به دلیل تحریمها در سطح بین المللی هنوز معتبر نیست.
پیشنهاد شما به یک شرکت یا سازمان در رده کوچک یا بزرگ برای بالا بردن امنیت شبکهای چیست؟
در حال حاضر مسوولان سازمانها و شرکتها به بحث امنیت در فضای مجازی بهای خاصی میدهند برای آن ممکن است ردیف بودجه تعیین کنند و این بخش را جزو برنامههای استراتژیک بلند مدت خود
به حساب میآورند.
اما به بخش امنیت در لایههای پایین که شامل امضای دیجیتال، استفاده از محصولات امنیتی مطمئن مانند فایروال، یو تی ام و... است توجه نمیکنند. چند سال پیش یک شرکتی برای دریافت مشاوره در بخش امنیت فضای مجازی به ما مراجعه و اعلام کرد که یک میلیارد بودجه به این شرکت اختصاص داده شده و سازمان پدافند غیر عامل هم به آنها دستور داده که باید یک کار امنیتی صورت بگیرد بنابراین آنها تصمیم دارند فقط 10 میلیون از این بودجه را صرف بخش امنیت شبکه کامپیوتری و مجازی خود کنند و اکثر این مبلغ را هم صرف خرید سرور کنند.
نقش دولت در این بین چقدر میتواند تاثیرگذار باشد؟
اخیرا مصوبهای از طرف دولت اعلام شده است که بر اساس سند افتا همه دستگاههای دولتی تا آخر برنامه پنجم باید استاندارد ISMS 27001 را پیاده کنند. دولت برای این کار بودجه در نظر گرفته که این بودجه اختصاص رقمی در حدود 3 تا 5 میلیون به شرکتها و سازمانها برای پیاده کردن ISMS است و این در حالی است که پیادهسازی استاندارد ISMS نیاز به هزینهای در حدود 50 میلیون دارد. کل قضیه با این برنامهریزی نامناسب بودجهای از طرف دولت آسیب میبیند.
مسوولان وزارت ارتباطات یکی از راههای بالا بردن امنیت اطلاعات در کشور را منوط به راهاندازی رسمی شبکه ملی اطلاعات میدانند آیا واقعا این پروژه کمکی به افزایش امنیت شبکهای کشور میکند؟
پروژه خوبی است، اما برای توضیح باز بر میگردم به مثال همان خانه با ده اتاق که درب یک اتاق آن خراب است بنابراین با اینکه 9 اتاق دارای درب امن هست امکان نفوذ به آن به خاطر باز بودن یک درب همچنان هست. ویروس استاکسنت به شبکهای نفوذ کرد که خصوصیتر و قطعا امن تر از شبکه ملی اطلاعات بود.
با افزایش حملات اینترنتی به کشور اظهارنظرهای گوناگونی از سوی مسوولان دولتی منتشر شده است. برای مثال رضا تقیپور وزیر سابق ارتباطات و اطلاعات پیوسته با نگاهی منفی اینترنت را یک تکنولوژی جاسوس و مضر برای کشور معرفی میکرد و خواستار راهاندازی هرچه سریعتر اینترنت ملی بود در حالی که ویروسی مانند استاکس نت نه از طریق اینترنت که همانطور که گفتید از طریق یک فلش منتقل شد. چقدر دانش و اطلاعات مسوولان دولتی، مدیران سازمانها و شرکتهای مختلف در کشور میتواند به رشد بحث امنیت در کشور کمک کند.
متاسفانه برخورد مسوولان ما درخصوص هر مسالهای سیاسی است و برخورد فنی مناسبی در این زمینه تا کنون دیده نشده است. IT تنها حوزهای است که برخورد سیاسی در آن جواب نمیدهد. با دانش باید برخورد دانشی داشت. با فناوری مخرب باید با فناوری جنگید. گاهی وقتها مسوولان ما نظرات اشتباهی را مطرح میکنند که حتی مشاوران آنها نیز تلاشی برای تصحیح آن انجام نمیدهند.
اما در کنار نبود برنامه دقیق و جامع در بخش امنیت شاهد متولیان بیشماری نیزدر این بخش هستیم از جمله سازمان فناوری اطلاعات، سازمان پدافند غیرعامل، سازمان رخدادهای یارانهای و... وجود چنین سازمانهای مختلفی ضروری است؟
تعدد سازمانها خوب است اما به شرطی که سر منشا آنها به هم وصل باشد. وقتی حرکتها در این بخش، استراتژیک و همراه با یک برنامهریزی یکپارچه نباشد و دستگاههای مختلف نیز یکدیگر را قبول نداشته باشند بنابراین هر بخش مجزا عمل خواهد کرد.
اتفاقی که متاسفانه درحال حاضر در کشور در حال رخ دادن است و این تعدد سازمان و عدم هماهنگی بین آنها سبب شده که شاهد برنامه ریزی متمرکز در حوزه امنیت کشور نباشیم.
پارلمان اروپا چندی پیش قانونی را تصویب کرد که هر حمله اینترنتی که در بخش امنیت رخ میدهد سریعا باید به صورت عمومی گزارش شود. در ایران اطلاع رسانی در زمینه حملات پراکنده است و گاه یکی تکذیب و دیگری تایید میکند. آیا اطلاع رسانی در زمینه چنین حملاتی باید عمومی شود یا خیر؟
متاسفانه در این بخش عمق جریانات مورد بررسی قرار نمیگیرد. مسوولان سازمانهای ما با حجم زیادی از اطلاعات روبهرو هستند که نمیدانند این اطلاعات را چگونه بررسی و آنها را اعلام کنند.
همین امر سبب پنهانکاری میشود. طبیعتا همه اطلاعات را نباید فاش کرد اما برخی موضوعات را باید به صورت فنی و روشن برای کاربران بازگو کرد. لزومی ندارد که کاربران از تک تک اتفاقات باخبر شوند، اما همین که به صورت روشن مسائل برای آنها بازگو شود، این کار باعث آرامش خاطر آنها میشود.
ارسال نظر