لایه های پنهان بحران قطع اینترنت/ کیایی‌فر: عمده هک‌های امنیتی در زمان قطع اینترنت اتفاق افتاد

در روزهایی که قطع اینترنت با عنوان یک تدبیر امنیتی توجیه می‌شود، لایه‌ای پنهان‌تر از بحران در زیرساخت‌های دیجیتال کشور در حال شکل‌گیری است؛ بحرانی که از اختلال در زندگی روزمره و کسب‌وکارهای آنلاین فراتر می‌رود و به قلب امنیت شبکه‌ها، سامانه‌های دولتی، بانک‌ها، دیتاسنترها و سرویس‌های حیاتی می‌رسد. در چنین وضعیتی، بازگشت اینترنت نیز پایان ماجرا نیست؛ زیرا ممکن است مسیرهای نفوذ پیش‌تر باز شده باشند، بدافزارها و درهای پشتی در شبکه‌ها جا گرفته باشند و تهدید، پیش از آشکار شدن، در زیرساخت‌های کشور منتظر زمان مناسب مانده باشد.

علی کیایی‌فر، کارشناس حوزه امنیت سایبری، امنیت اطلاعات و شبکه، معتقد است قطع گسترده اینترنت نه‌تنها امنیت زیرساخت‌های کشور را افزایش نداده، بلکه با جلوگیری از به‌روزرسانی تجهیزات، سیستم‌عامل‌ها و نرم‌افزارها، سطح آسیب‌پذیری شبکه‌های سازمانی، دولتی و خصوصی را به شکل جدی بالا برده است.

او که با «اقتصادنیوز» گفتگو کرده، می‌گوید: «در دنیای امروز اینترنت دیگر یک ابزار لوکس نیست، بلکه زیرساختی حیاتی مانند آب، برق، جاده و حمل‌ونقل است، زیرساختی که قطع طولانی‌مدت آن هم زندگی شهروندان را مختل می‌کند و هم راه نفوذ به سامانه‌های حساس را برای مهاجمان، حتی هکرهای کم‌تجربه‌تر، ساده‌تر می‌سازد.»

گفت‌وگوی اقتصادنیوز با علی کیایی‌فر، متخصص امنیت اطلاعات و شبکه را بخوانید.

****

*آقای کیایی‌فر! اجازه بدهید از این مسئله شروع کنیم که قطع گسترده اینترنت در این مدت چه ریسک‌هایی برای کارهای دیجیتال، زیرساخت‌های آی‌تی، شبکه‌های اجتماعی و به‌طور کلی امنیت فضای دیجیتال ایجاد کرد؟

در زندگی امروز، اینترنت خودش به یک زیرساخت برای زندگی تبدیل شده است. در حقیقت، اینترنت دیگر یک ابزار روزمره لوکس نیست؛ بلکه همان‌طور که بشر در جامعه امروز به آب، برق، جاده و حمل‌ونقل نیاز دارد، به اینترنت هم نیاز دارد.

این زیرساخت طی سالیان طولانی به وجود آمده و زندگی بشر به آن وابسته شده است. امروز نه‌تنها کسب‌وکارها، بلکه زندگی یک شهروند عادی هم به‌شدت به این زیرساخت اینترنتی وابسته است. قطع کردن اینترنت واقعاً به این معناست که زندگی انسان به‌هم می‌ریزد؛ یعنی بخش زیادی از زندگی بشر امروز، شهروند جامعه مدرن امروز، دچار اختلال جدی می‌شود.

البته ممکن است در شرایط اضطراری بتوان اینترنت را به‌صورت موقت قطع کرد؛ همان‌طور که پلیس ممکن است بنا به دلایلی یک جاده را به‌صورت موقت ببندد. اما مسدودسازی دائمی این مسیر، یعنی مسیر اینترنت، باعث اختلالات جبران‌ناپذیری در زندگی بشر می‌شود.

توجیهی که برخی دستگاه‌های امنیتی دارند این است که اگر اینترنت وصل باشد، منجر به ناامن شدن فضای ارتباطی ایران می‌شود. از یک زاویه اگر نگاه کنیم، این توجیه، توجیه درست و منطقی‌ای است؛ چون همه تجهیزات ما، چه در زیرساخت‌های شبکه‌های کامپیوتری و چه حتی در موبایل‌هایی که شهروندان در اختیار دارند، تجهیزاتی هستند که هم سخت‌افزارشان خارجی است و هم سیستم‌عامل‌ها و نرم‌افزارهایی که روی آنها نصب شده، خارجی هستند.

تصور این است که اگر اینترنت وصل باشد و اگر گوشی‌های همه شهروندان مثلاً به گوگل‌پلی متصل باشند، ممکن است دشمن از سلطه خودش بر فناوری سوءاستفاده کند و یک آپدیت بدهد که تمام گوشی‌های شهروندان کشور رفتار خاصی مطابق خواسته‌های دشمنان ما انجام دهند؛ مثلاً شنود کنند یا موقعیت فیزیکی و جغرافیایی شهروندان را به یک مرکز تحت سلطه دشمنان گزارش بدهند و مواردی از این دست.

برای مشکلی راه‌حل ارائه کرده‌ایم که اساساً وجود نداشت!

در چنین مواردی، این نگرانی واقعاً باید مورد توجه قرار بگیرد؛ اما از طرف دیگر، راهکاری که دوستان ارائه کرده‌اند، یعنی قطع اینترنت، به‌نوعی پاک کردن صورت مسئله است. این کار نه‌تنها منجر به امنیت بیشتر نمی‌شود، بلکه هم ناامنی ایجاد می‌کند و هم اختلال جدی در وضعیت زندگی معمولی شهروندان به وجود می‌آورد.

ما ابتدا یک راهکار ارائه می‌دهیم و آن هم قطع اینترنت است؛ برای حل معضلی که تصور می‌کنیم راهکارش قطع اینترنت است. بعد همین قطع اینترنت خودش منجر به این می‌شود که ببینیم دوباره یک مشکل جدید ایجاد کرده‌ایم؛ و آن مشکل این است که زندگی مردم و همشهریان‌مان واقعاً دچار مشکل شده و کسب‌وکارها هم آسیب دیده‌اند.

بعد برای مشکلی که خودمان ایجاد کرده‌ایم، دوباره یک راهکار ارائه می‌دهیم؛ و آن راهکار این است که اینترنت را با یک فرمت دیگر در اختیار گروه‌هایی قرار می‌دهیم. الان هم می‌بینیم که به‌تدریج مردمی که بیشتر از دیگران نیازمند اینترنت بودند و احتمالاً نسبت به مردم عادی اطلاعات حساس‌تری دارند، اینترنت را در اختیارشان قرار داده‌ایم.

به نوعی می‌توان گفت ما برای مشکلی راه‌حل ارائه کرده‌ایم که از ابتدا اساساً به این شکل وجود نداشت. چون مشکل را خودمان ایجاد کرده‌ایم، دوباره آمده‌ایم برای آن راهکاری ارائه داده‌ایم.

شهروندان اینترنت را دارند، اما زیرساخت‌های شبکه‌ای ما اینترنت ندارند

در نهایت اگر نگاه کنیم، می‌بینیم شهروندان ما اینترنت را دارند، اما زیرساخت‌های شبکه‌ای ما اینترنت ندارند. نداشتن اینترنت باعث می‌شود تمام تجهیزاتی که خارجی هستند و آسیب‌پذیری‌هایی دارند، نتوانند آپدیت‌های لازم را از طریق اینترنت دریافت کنند تا آن آسیب‌پذیری‌ها برطرف شود.

هر روز در دنیا آسیب‌پذیری‌های جدیدی در شبکه‌های کامپیوتری، تجهیزات، سیستم‌عامل‌ها و نرم‌افزارها کشف می‌شود. از این آسیب‌پذیری‌ها می‌توان سوءاستفاده کرد، شبکه‌ها را هک کرد و به آنها نفوذ کرد. حالا بعد از گذشت نزدیک به سه ماه از قطعی اینترنت، انبوهی از آسیب‌پذیری‌ها در دنیا کشف شده که در ایران برطرف نشده‌اند.

اگر قبلاً یک گروه هکری حرفه‌ای باید جست‌وجو می‌کرد تا احتمالاً آسیب‌پذیری‌ای پیدا کند و از آن آسیب‌پذیری محدود علیه یک سازمان یا دستگاه دولتی استفاده کند، الان آن دستگاه دولتی سه ماه است هیچ‌کدام از این آسیب‌پذیری‌ها را پچ نکرده است.

*یعنی ما نسبت به سه ماه قبل از نظر امنیتی بسیار آسیب‌پذیرتر شده‌ایم؟

بله، بسیار آسیب‌پذیرتر شده‌ایم. دیگر برای هک کردن زیرساخت‌های ما لازم نیست یک نفر هکر حرفه‌ای باشد یا گروه‌های هکری حرفه‌ای وارد عمل شوند. چون انبوه آسیب‌پذیری‌هایی که در این سه ماه کشف شده‌اند و در کشور پچ نشده‌اند، باعث شده حتی مبتدی‌ترین هکرها هم بتوانند مهم‌ترین زیرساخت‌های ما را هک کنند و به حساس‌ترین زیرساخت‌های کشور نفوذ کنند

به لطف قطع اینترنت، هک کردن زیرساخت‌های کشور دیگر سخت نیست

به لطف قطع اینترنت، هک کردن زیرساخت‌های کشور دیگر کار سختی نیست و خیلی راحت می‌شود آنها را هک کرد.

از این موارد زیاد است. اگر بخواهم مثال بزنم، مثلاً مایکروسافت اکسچنج، نرم‌افزار میل‌سرورهای سازمانی است. هر سازمانی در ایران که از اکسچنج استفاده می‌کند، الان آسیب‌پذیر است و از طریق این آسیب‌پذیری می‌توان به آن شبکه نفوذ کرد و تا عمق شبکه دسترسی گرفت.

مورد دیگر مربوط به سی‌پنل است. آسیب‌پذیری‌هایی که روی سی‌پنل وجود دارد، در حد بحرانی است. تمام وب‌سایت‌هایی که با سی‌پنل بالا آمده‌اند و زیرساخت‌شان سی‌پنل است، می‌توانند به‌راحتی هک شوند و وب‌سایت‌شان تسخیر شود. اکسپلویت این آسیب‌پذیری‌ها موجود است و نیاز نیست فرد حتماً هکر حرفه‌ای باشد تا بتواند به این زیرساخت‌ها نفوذ پیدا کند.

خطر هک سازمان‌های ایرانی در کمین است چون...

اگر فردا اینترنت وصل شود، سازمان‌های ایرانی باید به‌سرعت این آسیب‌پذیری‌ها را پچ کنند؛ وگرنه باز هم شاهد اخبار زیادی از هک، نفوذ و اختلال در زیرساخت‌های کشور خواهیم بود. زیرساخت کشور به‌شدت آسیب‌پذیر شده است.

*اگر فرض کنیم فردا اعلام شود اینترنت وصل می‌شود، آیا همین آسیب‌پذیری‌های انباشته‌شده خودش می‌تواند محل نگرانی باشد؟ یعنی ممکن است بگویند چون الان آسیب‌پذیر هستیم، اینترنت را وصل نمی‌کنیم؟

هر روزی که اینترنت را وصل نمی‌کنند، کشور نسبت به روز قبل آسیب‌پذیرتر می‌شود. این مسئله از نظر فنی و تکنیکال کاملاً روشن است. زیرساخت‌ها الان هم آسیب‌پذیر و قابل نفوذ هستند.

ما دو نوع هکر داریم. یک دسته هکرهای مبتدی هستند؛ یعنی کسانی که از هر نقطه دنیا تلاش می‌کنند به یک آی‌پی آسیب‌پذیر نفوذ کنند و آن را هک کنند.

اما یک گروه دیگر هم داریم که به آنها گروه‌های APT گفته می‌شود؛ یعنی گروه‌های پیشرفته و وابسته به دولت‌های متخاصم. این گروه‌های APT برای نفوذ، هیچ‌وقت نیاز ندارند اینترنت ایران وصل باشد. تجربه هم نشان داده رخدادهای اخیر مربوط به زیرساخت‌های کشور، همه در زمانی اتفاق افتاده که اینترنت کشور قطع بوده است.

عمده هک‌های امنیتی در زمان قطع اینترنت اتفاق افتاد

مثلاً در ایام جنگ ۱۲ روزه، اتفاقاتی برای بانک پاسارگاد رخ داد، صرافی نوبیتکس هک شد و در جنگ اخیر هم اختلالاتی در زیرساخت‌های بانک ملی و بانک سپه به وجود آمد. همه این موارد در دوره‌ای اتفاق افتاد که اینترنت قطع بود.

بنابراین گروه‌های حرفه‌ای برای نفوذ به زیرساخت‌های دولتی هیچ‌وقت روی اتصال اینترنت حساب نمی‌کنند. آنها از قبل نفوذ خودشان را به زیرساخت‌ها انجام داده‌اند و در زمانی که لازم باشد و نیاز پیدا کنند، می‌دانند اینترنت قطع خواهد شد؛ بنابراین از طریق واسطه‌های دیگر به زیرساخت کشور نفوذ می‌کنند و عملیات مخرب خودشان را انجام می‌دهند.

در حال حاضر که اینترنت قطع است و نزدیک به سه ماه است آسیب‌پذیری‌های کشور پچ نشده، کار نفوذ برای گروه‌های APT بسیار آسان است؛ بسیار آسان. شبکه و زیرساخت کشور به‌شدت در معرض تهدید امنیتی است.

به هر حال من، شما و همه شهروندانی که در این کشور زندگی می‌کنیم، اطلاعات شخصی‌مان در بسیاری از سامانه‌های دولتی و غیردولتی ثبت شده است. اطلاعات مختلفی که بخشی از حریم خصوصی ماست، در این سامانه‌ها وجود دارد. همه این اطلاعات الان به‌شدت آسیب‌پذیر هستند و هر هکری با یک حمله ساده می‌تواند آنها را در اختیار بگیرد.

چه‌بسا همین حالا هم نفوذ اتفاق افتاده باشد، اما سازمان‌ها و زیرساخت‌های ما هنوز از آن خبردار نشده باشند. بر اساس تجربه، بسیاری از گروه‌های هکری زمانی که زیرساخت‌های کشور آسیب‌پذیر هستند، به آنها نفوذ پیدا می‌کنند، اما عملیات مخرب را فوراً انجام نمی‌دهند. صبر می‌کنند تا زمان مناسب برسد و وقتی شرایط فراهم شد، استفاده مطلوب خودشان را انجام می‌دهند و ضربه را وارد می‌کنند.

همین حالا هم اینترنت وصل شد؛ آسیب پذیریمان حل نمی‌شود چون...

بنابراین حتی اگر اینترنت الان هم وصل شود و همه آسیب‌پذیری‌ها را هم برطرف کنیم، باز نمی‌توانیم خیال‌مان راحت باشد که قبلاً به این زیرساخت‌ها نفوذ نشده است. ممکن است هکرها قبلاً نفوذ کرده باشند، بدافزارهایی را نصب کرده باشند، درِ پشتی یا بک‌دورهایی را در زیرساخت‌ها قرار داده باشند و زیرساخت‌های ما هنوز متوجه نشده باشند. بعد در زمانی که لازم باشد، از این بک‌دورها استفاده کنند.

*می‌توانیم بگوییم آسیب‌پذیری در کدام بخش‌ها بیشتر است؟ مثلاً سرویس‌های ابری، پرداخت، دیتاسنترها یا بخش‌های دیگر؟ بیشترین آسیب را کدام قسمت می‌بیند یا همه بخش‌ها به‌طور یکسان آسیب‌پذیر شده‌اند؟

وقتی شبکه قابل نفوذ می‌شود، همه جا قابل نفوذ می‌شود. اما آن چیزی که بیشتر به ما آسیب می‌زند، زیرساخت‌های حیاتی است؛ زیرساخت‌هایی که زندگی مردم به آنها وابسته است. مثل بانک‌ها، دستگاه‌های دولتی، کسب‌وکارهای خصوصی بزرگ و پلتفرم‌هایی مثل اسنپ. اینها کسب‌وکارهایی هستند که زندگی مردم امروز به‌شدت به آنها وابسته شده است.

وقتی نفوذ اتفاق می‌افتد، دیگر تفاوت زیادی ندارد که این نفوذ از کجا شروع شده باشد. اما نکته‌ای که وجود دارد این است که چون اینترنت قطع است، گروه‌های خارجی علاقه‌مند می‌شوند به جاهایی نفوذ کنند که تجهیزات امنیتی قوی ندارند و در عین حال ممکن است اینترنت‌شان وصل باشد.

مثلاً ممکن است یک مدرسه، یک مرکز فرهنگی، یک مدرسه مذهبی یا یک دانشگاه هدف قرار بگیرد. اینها مراکزی هستند که برای نفوذ جذاب‌ترند؛ از این جهت که هم تجهیزات امنیتی کمتری دارند و هم چون اطلاعات محرمانه سنگینی در آنها وجود ندارد، نفوذ به آنها آسان‌تر است.

گروه‌های مهاجم ابتدا به این زیرساخت‌ها نفوذ پیدا می‌کنند و بعد از آنجا به سمت اهداف دیگر می‌روند. این دستگاه‌ها و زیرساخت‌های اولیه که امنیت چندانی ندارند، اصطلاحاً زامبی می‌شوند. مهاجمان از طریق همین زامبی‌ها به دستگاه‌های دولتی، زیرساخت‌های بانکی و کسب‌وکارهای بزرگ بخش خصوصی نفوذ می‌کنند و عملیات تخریبی خودشان را انجام می‌دهند.نکته اصلی همین است که قطع اینترنت، به‌جای آنکه مسئله امنیت را حل کند، خودش مسئله تازه‌ای ساخته است. این وضعیت هم زندگی شهروندان و کسب‌وکارها را مختل کرده و هم زیرساخت‌های کشور را از نظر امنیتی آسیب‌پذیرتر کرده است.