وقتی همه خوابیم !

وقتی همه خوابند، در آن سوی آب‌ها افرادی پشت دستگاه‌های کاریشان نشسته‌اند و در حال برنامه‌ریزی حمله دیگری هستند اما با یک تفاوت... آنها در درجه اول به فکر این هستند که در صورت موفقیت‌آمیز بودن حمله بتوانند با استفاده از تجربیات گذشته به دور از چشم دیگران در بیشترین زمان ممکن فعالیت کنند.
من آنها را دیگر هکر نمی‌نامم، آنها سربازان جنگ‌های نوین امروز هستند. اهداف آنها دیگر تنها معطوف به مراکز هسته‌ای یا نظامی کشور نیست بلکه از کمپانی‌های پتروشیمی، یا تولید سازه‌های صنعتی تا شرکت‌های دانش بنیان که در زمینه‌های مختلف کار می‌کنند متمرکز شده است.

بعد از حمله استاکس‌نت ناکارآمدی سیستم موجود امدادرسانی رایانه‌ای متاسفانه به خوبی مشخص شد.
در روزهای نخست پاسخگویی به این رخداد امنیتی زمان بسیاری جهت هماهنگی‌های اولیه صرف شد، شرکت‌های خارجی در بررسی بدافزار استاکس‌نت و ابعاد آلودگی گوی رقابت را از مراکز داخلی ربوده بودند.

اما می‌توان ناکارامدی سیستم موجود را به دو بخش اساسی تقسیم نمود که در این نوشته سعی شده به هر دو دلیل به طور کوتاه پرداخته شود و از عنوان کردن مسائل فنی که به دفعات در سایت‌های داخلی و خارجی مورد بررسی قرار گرفته‌اند پرهیز شود.

نوآوری در حمله به سیستم‌های صنعتی نکته اولی بود که جامعه متخصص امنیت اطلاعات را در ایران و همچنین جهان به چالش کشید.
بدافزار استاکس‌نت به عنوان اولین بدافزار صنعتی و همچنین اولین حمله هدفمند به سیستم‌های صنعتی از طریق بدافزار نام خود را در تاریخ ثبت کرد.

بخش دیگر مشکل در داخل کشور عدم داشتن برنامه راه برای کوتاه‌مدت و بلندمدت در مورد حملات هدفمنددر مراکزی مانند ماهر و گوهر‌های داخلی سازمان‌ها بود.
مرکز ماهر بر طبق شناسنامه خدمت مرکز ماهر که از درگاه سازمان فناوری اطلاعات قابل مشاهده است تمام توانایی خود را بر روی راه‌اندازی شبکه هانی‌نت و بررسی بدافزارهای خروجی از این شبکه متمرکز کرده بود و در نتیجه در مقابل حمله پیچیده‌ای مانند استاکس‌نت برنامه خاصی نداشته و حتی ناکارآمدی این سیستم در حمله به تاسیسات نفتی با عنوان بدافزارهای فلیم و وایپر دوباره نمود پیدا کرد.

بعد از حملات استاکس‌نت مرکز ماهر و همچنین مراکز دانشگاهی و زیرشاخه‌های آنها به طور قابل توجهی به تقویت خود پرداختند. تهیه استاندارد‌های برخورد با مخاطرات، تولید ضدبدافزار بومی، بدست آوردن آخرین اطلاعات از حملات در سطح جهان در حد توان به دلیل تحریم‌های ایران و همچنین ارتقا سطح علمی نیروهای فنی در اختیار را می‌توان به عنوان اصلی‌ترین سرشاخه‌های این تغییرات نام برد.
اما با وجود تمام این فعالیت‌های رو به جلو، باز بدافزار "وایپر" و "فلیم" نفس متخصصان امنیت داخل کشور را در سینه حبس کرد.

اما دلایل اصلی این مسئله چه بود؟!

پس از گذشت حدود دو سال سال و آشنایی مراکز مبارزه با رخدادهای رایانه‌ای از جمله مرکز ماهر، چرا تشخیص این بدافزارها و دزدی اطلاعات آنها به درازا کشید و چرا اطلاعات تکمیلی از میزان آلودگی، نقاط شروع آلودگی و غیره منتشر نشد؟! در صورتی که آمار دقیق از میزان خسارات به صورتی علمی مطرح می‌شد شاید زنگ خطری بود برای دیگر مراکز صنعتی و علمی! اما متاسفانه مسئولان وقت از اعلام مقداز لازم جزئیات خسارات وارده به سیستم‌ها و اطلاعات سر باز زدند و حتی در برخی از موارد آن را انکار کردند.

راستش را بخواهید، ما با خودمان صادق نیستیم، دلیل اصلی این است. چرا که اگر این حملات را جنگ سایبری بنامیم، همانگونه که دشمنان ما به فرماندهان متخصص در امور فضای دیجیتال چه از لحاظ پدافند و چه آفند همکاری می‌کنند ما در ایران مدیران قویی در برخورد با اینگونه حملات کم داریم شاید کمتر از انگشتان یک دست. مدیرانی که در این سطح دست به فعالیت می‌زنند می‌بایست به دلیل فنی با آخرین دانش روز همراه باشند و همچنین به مشاورین قدرتمند دسترسی داشته باشند، که بیشتر اوقات به دلیل عدم تامین منابع مالی از استخدام افراد حرفه‌ای در سمت مشاور خودداری می‌کنند و سعی می‌کنند تا این نیاز را از طریق ارتباط با مراکز دانشگاهی برطرف سازند، که در مراکز دانشگاهی نیز با توجه به مشغولیت‌های فراوان در پروژه‌های خود در دادن مشاوره از کیفیت مناسب برخوردار نیستند.
قرار نیست مراکز دانشگاهی موفق کشور به دلیل داشتن سابقه درخشان در زمینه‌های علمی، در مورد امنیت اطلاعات هم تجربیات مشابهی داشته باشند.
در واقع راس هرم ماهر که می‌بایست اشراف خود را به طبقاتی پایین مانند مراکز آپا و گوهر اعمال کند کلا از لحاظ مدیریتی دچار مشکل است. قابل ذکر است در مواردی که مراکز آپا نیاز تبادل اطلاعات با مرکز ماهر داشته باشند موضوع فرق می‌کند و هر گونه تبادل اطلاعاتی مفید برای طرفین تلقی می‌شود. در اینجا موضوع ضعف در دید کلان مدیریتی است که مرکز ماهر می‌بایست به سطوح پایینی خود اعمال کند.


بحث مدیریت رخدادهای رایانه‌ای با رخداد‌های دیگر غیرمترقبه کمی فرق دارد. اصول کلی که همه آن را می‌دانند مدیریت منابع و پاسخگویی در کمترین زمان است. اما وقتی مدیران مراکز گوهر، آپا، ماهر و مراکزی از این دست تنها بر روی تخصیص بودجه‌های خود متمرکز هستند سخت است مجالی برای فکر کردن در مورد حملات جدید، و چگونگی کشف و جلوگیری از آنها،  و حتی در برخی موارد به علت عدم داشتن اطلاعات فنی و حتی استفاده نکردن از مشاورهای متخصص در این زمینه راه را به کلی اشتباه می‌روند.
نکنه دیگر مخفی کردن اطلاعات و آمار از میزان خسارت است آن هم به بهانه‌ای مثل اینکه فقط ما در ایران می‌دانیم و این اطلاعات محرمانه هستند نیز کمی سطحی نگری است. در اینجا فراموش می‌کنیم حمله کننده‌ها هم در جریان هستند! به عنوان مثال برای ۲ سال یا شاید بیشتر در حملات استاکس‌نت یا فلیم تمامی اطلاعات در دستان حمله کنندگان بوده و آنها به خوبی از میزان آلودگی در مراکز مختلف در ایران و دیگر نقاط جهان خبر داشته‌اند در میان بایت بایت اطلاعات سیستم‌های ما در حال گشت و گذار بوده‌اند.

معاون وزیر ارتباطات و فناوری اطلاعات در مصاحبه‌ای در تاریخ ۸ مهر ۱۳۹۱ عنوان نموده‌اند: «مرکز ماهر در چند رویداد رایانه‌ای حتی بسیار سریع‌تر و دقیق‌تر از برندهای معروف امنیتی دنیا عمل کرد و تنها برخی ملاحظات مانع از اعلام عمومی دستاورد‌های مقتدرانه مرکز ماهر شد.»
این در حالی است که در یک هفته گذشته مراکز تحقیق ضدبدافزار جهانی از آلودگی بیش از ۵۰۰۰ سیستم رایانه‌ای در ایران به بدافزاری به نام Rovnix خبر دادند. بدافزاری که می‌تواند به راحتی از سیستم‌های رایانه‌ای جاسوسی کند یا مشکلات دیگری به وجود بیاورد.
این ۵۰۰۰ سیستم در کدام مراکز جای گرفته‌اند؟ چند درصد آنها حاوی اطلاعات حساس می‌باشند؟ چند دسته دولتی و چند دسته در بخش‌های خصوصی به آن آلوده شده‌اند؟ پراکندگی آلودگی در استان‌ها چگونه است؟

تمام این سوالات را مرکز ماهر به راحتی می‌تواند از لحاظ فنی پاسخ دهد. به همان راحتی که یک کمپانی ضدبدافزار اروپایی این اطلاعات را منتشر کرده اما با وجود در دست داشتن شریان اینترنت در ایران هنوز اطلاعات خاصی در این زمینه توسط هیچ مجموعه‌ای در داخل منتشر نگردیده است.
امسال در سال اقتصاد و فرهنگ، با عزم ملی و مدیریت جهادی، آیا جای آن نیست از ملاحظات سطحی دست برداریم و به هزاران شرکت دانش بنیان و مراکز صنعتی که به تولید علم و محصولات بومی می‌پردازند و چرخ‌دنده‌های اقتصاد کشور را به حرکت درمی‌آورند هشدار دهیم؟ شرکت‌هایی که بدون هیچ لایه دفاعی و بدون آشنایی با مخاطرات حمله‌های اینترنتی مانند دزدی اطلاعات صنعتی، طرح‌ها و نقشه‌ها،... تنها با یک مودم ADSL به اینترنت متصل شده‌اند و تمام سرمایه علمی شرکت‌های خود را بر روی سیستم‌های داخلی ثبت می‌کنند آیا لیاقت اطلاع‌رسانی دقیق‌تر و سرویس‌دهی بهتر را ندارند؟

من در این سری مقالات سعی می‌کنم تا عنوان کنم مراکز پاسخگویی به رخداد‌های امنیتی می‌بایست چه راهی را در پیش بگیرند تا در قدم اول دوباره غافلگیر نشوند، در هر صورت هیچ کشوری نمی‌تواند در مقابل تمام حملات دفاع کاملی انجام دهد، تنها تجربیات بدست آمده از حملات گذشته و بررسی نقاط ضعف و پوشش آنها می‌تواند راه را برای کارشناسان امنیت روشن تر کند. تا زمانی که به هر دلیل مراکز آمارگیری و پاسخگویی تحت عنوان محرمانگی دست به انتشار اطلاعات حوادث نزنند نفوذگران با حملات هدفمند بیشتر از گذشته و به دور از چشم مراکز دولتی و خصوصی به جاسوسی اطلاعاتی از سیستم‌های داخل کشور ادامه خواهند داد.

------------------------------------------------------------
منابع:
-  http://www.farsnews.com/newstext.php?nn=13910708000762
-  www.itc.ir/portals/0/maher2.pdf