شماره شانزدهم خبرنامه دیدهبان
۲۸ آبان ۱۴۰۳ - ۱۳:۳۹
هنگامی که یک سازمان از تهدیدها آگاه شود، میتواند از شرکتی نظیر ماندیانت بخواهد که به جستجوی متجاوزان پرداخته و پس از یافتن آنها، بیرونشان کند. ماندیانت از ترکیبی از ابزارها و اطلاعات برای ارزیابی مدارک و شواهد به دست آمده از شبکهها، کامپیوترها و برنامههای کاربردی استفاده میکند.
یک مجله آمریکایی در گزارشی به بررسی روشهایی که جاسوسی مجازی منجر به ویرانگری واقعی میشود پرداخت.
مجله «فارن افرز» که توسط اندیشکده تأثیرگذار و پرنفوذ آمریکایی «شورای روابط خارجی» منشتر میشود طی گزارشی نوشت: ایالات متحده با تهدیدهای بیسابقهای در فضای سایبر روبهرو است. اما واشنگتن در تلاشهای خود برای کاهش آنها، یکی از بهترین ابزارهایش، یعنی تحریمهای اقتصادی، را نادیده گرفته است. دولت اوباما باید بدون درنگ، هم برای بازداشتن کشورهای خارجی، و هم عوامل غیر دولتی که سیستمهای کامپیوتری آمریکایی را هک میکنند، شروع به استفاده از تحریمها نماید.
*سایبر برای هر شخص یا گروهی که با آن به تعامل میپردازد به شکلی متفاوت نمود مییابد
این جهان، که توسط مهندسین خلق شده و همه از آن استفاده میکنند، برای هر شخص یا گروهی که با آن به تعامل میپردازد به شکلی متفاوت نمود مییابد. فضای سایبری برای ارتش امریکا، یک حوزه جنگ و مبارزه است؛ برای یک دانشجو، مکانی است برای تعامل با دیگر همسالانش؛ و برای یک شرکت تجاری، مکانی است برای کسب درآمد، و این فهرست به همین ترتیب ادامه مییابد.
*جاسوسی دیجیتال در دنیای امنیت سایبری موضوعی جنجالی و مهم است
بحث و گفتگو در مورد یک موضوع مرتبط، یعنی امنیت سایبری، نیز همین ویژگیها را داراست. چگونگی دستیابی به امنیت، یا حتی تعریف آن، نیز به مشترکان و کاربران بستگی دارد. جاسوسی دیجیتال، برای اکثر افراد در دنیای امنیت سایبری، یک موضوع جنجالی و مهم است. آیتمهای خبری اندکی چنین جنبش و پویایی نظیر گزارشی که در ماه فوریه توسط شرکت من، ماندیانت، در مورد واحد 61398 منتشر شد، در این دنیای مجازی ایجاد کردهاند. این گزارش تاریخچه هفت ساله جاسوسیهای دیجیتال توسط واحد 61398 علیه حداقل 141 شرکت غربی را افشا کرد. ماندیانت، جاسوسیهای سایبری چینی را ردیابی کرد و به یک ساختمان اداری 12 طبقه در خارج از شانگهای رسید.
* امکان تبدیل جاسوسی به ویرانگری موضوعی است که اغلب نادیده گرفته میشود
مسلماً هر نوع اقدام به جاسوسی، موضوعی جدی و مهم است، اما برخی از افراد تفاوت جاسوسی در جهان سایبری را با جاسوسی در جهان فیزیکی درک نمیکنند. عده اندکی به این موضوع واقف هستند که همان ابزارهای لازم برای انجام جاسوسیهای دیجیتال، میتواند به متجاوزان اجازه دهد که یک گام به جلو برداشته و ویرانگریهای دیجیتال نیز به بار آورند. زمانی که دشمن به یک سیستم کامپیوتری نفوذ میکند، میزان خسارتی که وارد میکند یا نمیکند، کاملاً به قصد و نیت خودش بستگی دارد. این که چنین اقداماتی را باید جنگ تلقی کرد یا خیر بیشتر یک تصمیمگیری سیاسی است، اما امکان تبدیل جاسوسی به ویرانگری موضوعی است که اغلب نادیده گرفته میشود.
*جاسوسی سایبری با جنگ سایبری بسیار تفاوت دارد
منتقدان در اظهار این که جاسوسی تنها یک مرحله پایینتر از یک حمله دیجیتال تمام عیار (که میتواند اقدام به جنگ تفسیر شود) میباشد، درنگ نمیکنند. به عنوان مثال، «بروس اشنایر» ، به گزارشهای فعالیتهای سایبری چین چنین پاسخ داد: «این یک جنگ سایبری نیست. این در واقع هیچ نوع جنگی نیست. این جاسوسی است، و درک تفاوت آن با جنگ مهم است. گذاشتن نام جنگ بر روی آن، تنها به ترسهای ما دامن زده و هیزمی برای آتش تسلیحات جنگ سایبری میشود».
*سه حوزه فعالیتهای سایبری
درک عمومی از دفاع، جاسوسی و جنگ دیجیتال باید بهبود یابد. افرادی با پیشینه نظامی، از سه اصطلاح جهت تشریح فعالیتهای سایبری استفاده میکنند: دفاع از شبکههای کامپیوتری (CND) ، سوءاستفاده و استخراج از شبکههای کامپیوتری (CNE)، و حمله به شبکههای کامپیوتری (CNA). CND که وظیفه محافظت از اطلاعات دیجیتال در برابر هکرها را بر عهده دارد، میان همگان یک امر خوب تلقی میگردد. CNE و CNA مسئلهسازتر هستند چون شامل انجام اقداماتی تهاجمی علیه یک هدف مشخص میباشند.
متخصصان غربی در حوزه امنیت، CNE را به عنوان جاسوسی دیجیتال، و CNA را به عنوان تغییر دادن، مختل کردن، یا تخریب سیستمهای کامپیوتری، چه به صورت مجازی و چه به صورت فیزیکی، در نظر میگیرند. به عنوان نمونههایی از CNE میتوان به نفوذ به شبکههای کامپیوتری برای سرقت اسرار تجاری یا دیگر دادههای حساس، کنترل بر تایپ کردن اشخاص و سرقت رمزهای عبور آنها، یا ربودن اطلاعات هنگام وبگردی آنها در اینترنت، اشاره کرد. تغییر رکوردها و سوابق پایگاه داده یا حذف کردن دادهها نمونهای از CNA مجازی بوده و استفاده از کامپیوترها برای خسارت زدن یا ویران کردن تجهیزات یا وارد کردن صدمات دیگر در جهان واقعی، نمونههایی از CNA فیزیکی میباشد.
* «استاکسنت»؛ تنها جنگسایبری
اصطلاح «جنگ سایبری» معمولاً به استفاده از یک سلاح دیجیتال برای وارد کردن صدمات فیزیکی اطلاق میگردد. تا کنون، تنها نمونه از این مورد که مورد پذیرش عمومی قرار گرفته، حمله استاکسنت علیه تأسیسات هستهای ایران بوده است. برخی افراد اصطلاح «جنگ سایبری» را بسیار آزادانه و بیقید و بند مورد استفاده قرار میدهند، یا بسیاری از انواع اقدامات دیجیتال را تا زمانی که به عملیات نظامی جهان واقعی مرتبط باشند، جنگ سایبری میپندارند. همانند زمانی که هکرهای روسی، وبسایتهای گرجستان را در طول جنگ سال 2008 میان دو کشور تخریب نمودند.
*دشمنی که قادر به جاسوسی باشد، قادر به خسارت زدن هم هست
دشمنی که قادر به جاسوسی باشد، قادر به خسارت زدن هم هست، و این تنها به قصد و نیتش بستگی دارد. در نتیجه، بسته به هدفی که مورد حمله قرار میگیرد، جاسوسی سایبری میتواند به سرعت به یک جنگ سایبری مبدل شود، جنگی که در آن از تسلیحات دیجیتال برای اعمال خسارات فیزیکی استفاده میگردد.
* آیا متجاوز تصمیم میگیرد جاسوسی کند، یا دست به تخریب و ویرانگری بزند؟
این الگوی حمله را در نظر بگیرید. متجاوز در ابتدا اقدام به شناسایی هدف مورد نظر کرده تا نقاط ضعف آن را بررسی کرده و راههایی برای سرقت یا دستکاری دادهها بیابد. سپس، محتویات و مطالبی که به شکل سلاح درآمدهاند (مثلاً سندی با کدهای مخرب و ویروسی، یا لینکی به یک وبسایت مخرب) را از طریق یک پیام ایمیل ارسال مینماید. گیرنده ایمیل پیوستهای آن را باز کرده یا روی لینک کلیک میکند، و این کار موجب میشود که کامپیوتر وی تبدیل به قربانی متجاوز گردد. متجاوز اکنون میتواند کامپیوتر قربانی را کنترل کرده و آزادانه اهداف خود را دنبال نماید.
این همان لحظه کلیدی است: آیا متجاوز تصمیم میگیرد جاسوسی کند، یا دست به تخریب و ویرانگری بزند؟ در اکثر موارد، پاسخ همواره جاسوسی کردن بوده است. متجاوزان معمولاً بیشترین استفاده را از دسترسی به هدف و سرقت بی سر و صدای دادهها میبرند. این مورد هم در خصوص جرائم سایبری با انگیزههای مالی و هم جاسوسی دیجیتال صدق میکند. پنهانی بودن و مداوم بودن این نوع جاسوسیهاست که ارزش دارد. سارقان دیجیتال حرفهای نمیخواهند با تخریب دادهها یا ایجاد آثار فیزیکی، حضور خود را اعلام نمایند.
* هکتیویستها چه کسانی هستند؟
تعداد اندکی از موارد، که معمولاً توسط افرادی موسوم به هکتیویستها انجام میشوند، شامل تخریب دادهها نیز هستند. اکثر ناظران چنین اقداماتی را همانند خرابکاری میدانند. متجاوز میخواهد قربانی را آشفته و خجالتزده کند، بنابراین به هدف مذکور نفوذ کرده، دادهها را به سرقت میبرد، با نابود کردن فایلهای کلیدی کامپیوترهای آن را از کار میاندازد، و سپس اخبار پیروزیها و دستاوردهای خود را روی اینترنت منتشر میسازد. این مدل بسیار با دنیای CNE و CNA متفاوت است.
* برخی افراد خارج از جوامع هکتیویستها نیز به دنبال تخریب و ویرانگری هستند
متأسفانه، سه پرونده اخیر نشان میدهند که برخی افراد خارج از جوامع هکتیویستها نیز به دنبال تخریب و ویرانگری هستند. در ماه اوت سال 2012، شرکت نفت دولتی عربستان سعودی، که با نام شرکت آرامکو عربستان نیز مشهور است، از یک تخریب دیجیتال آسیب دید. به گفته «عبدالله السعدان» ، یکی از معاونین شرکت، متجاوزین خارجی فایلهایی کلیدی را از بیش از 30.000 کامپیوتر پاک کردند. سرلشکر «منصور الترکی»، سخنگوی وزارت کشور عربستان، اظهار داشت که «این حمله نتوانست به هدف نهایی خود، که متوقف ساختن جریان نفت عربستان بود، دست پیدا کند.» چند سال بعد، راسگاز، شرکتی با سهام مشترک متعلق به پترولیوم قطر و اکسون موبیل، و یکی از بزرگترین تأمینکنندگان گاز طبیعی مایع، گزارش داد که از یک حمله مشابه آسیب دیده است.
در تازهترین مورد که در ماه مارس گذشته به وقوع پیوست، حملات مخرب دیجیتالی بیش از 48 هزار کامپیوتر را در کره جنوبی تحت تأثیر قرار داد. سه ایستگاه تلویزیونی و سه بانک گزارش دادند که فایلهای حیاتی سیستمها توسط نرمافزارهای مخرب مورد حمله قرار گرفتهاند و آثار این حملات، مشابه صدمات وارده به شرکت آرامکو عربستان و راسگاز بوده است. مقامات کره جنوبی این حملات را به کره شمالی نسبت دادند.
*تفاوت حملات دیجیتالی در چیست؟
مهم است که در این زمینه، میان حملات دیجیتال که به طور موقت شبکهها را مختل کرده، و حملاتی که دادهها را پاک میکنند، تمایز قائل شویم. نوع اول حملات با عنوان DDoS یا حملات «حمله توزیع شده محروم سازی از سرویس» (Distributed Denial of Service) شناخته میشود. در این روش متجاوزان، کامپیوترهای هدف را با ترافیک شبکهای جعلی، غرق کرده و توانایی قربانی برای ارتباط با اینترنت و همچنین توانایی سایرین برای بازدید از شبکههای مورد حمله را کاهش میدهند. خسارتهای ناشی از چنین حملاتی به محض این که متجاوز حمله را متوقف سازد، یا یک شرکت امنیتی به کمک قربانی بیاید، پایان مییابد. این نوع حمله روشی از حمله محرومسازی از سرویس (Denial of Service attack) (یا به اختصار DoS) است که در آن حملهکننده با تعداد زیادی از کامپیوترها و شبکههایی که در اختیار دارد، حمله را صورت میدهد. در این روش تمام رایانهها یکی از روشهای حمله را که در ذیل ذکر شدهاند را همزمان با هم انجام میدهند که ممکن است در برخی موارد خسارات جبران ناپذیری را به بار آورد.
*حملات پاک کردن دادهها، مخربتر هستند
حملات پاک کردن دادهها، مخربتر هستند. هنگامی که یک متجاوز دادهها را نابود میسازد، به طور کلی مطالب را از هارد درایو هدف پاک میکند. اگر هیچ کپی دیگری از دادهها وجود نداشته باشد، آنها برای همیشه از دست میروند. اگر سیستم آسیبدیده، یک عملیات تجاری بسیار مهم را اجرا کند، آن عملیات تا وقتی که کامپیوتر بازسازی یا مرمت شود دچار اختلال خواهد شد. به عنوان مثال، متجاوزی که به محاسبات کنترل کننده یک دستگاه رزونانس مغناطیسی یا روباتی که قطعات خودرو را پرس میکند، حمله مینماید، میتواند به شکلی موثر تجارت و کسبوکار را متوقف سازد.
*در فضای سایبری، توانایی سرقت، معادل با توانایی نابودسازی است
در تمامی این سه پرونده (شرکت آرامکو عربستان، راسگاز، و کره جنوبی) ، متجاوزین احتمالاً به شکلی یکسان عمل کردند. متهاجمان احتمالاً خیلی راحت میتوانستند تصمیم بگیرند که روزها، هفتهها، یا ماهها به جاسوسی از این شرکتها بپردازند. اگر بازرسان موفق میشدند متجاوزان را شناسایی کرده و متهاجمان را بیرون کنند، برخی مفسران ادعا میکردند که این حمله هم یک مورد دیگر از جاسوسیهای بیضرر بوده است. هر چه باشد، متجاوزان هنگامی که آزادانه در شبکههای قربانی پرسه میزدند، نگاهی هم به دادهها انداختهاند. با این حال، حقیقت این است که در فضای سایبری، توانایی سرقت، معادل با توانایی نابودسازی است. هر نمونهای از بهرهبرداری از شبکههای کامپیوتری، یک پرونده بالقوه از حمله به شبکههای کامپیوتری است.
* راهکارهای که باید برای مقابله با جاسوسان سایبری اتخاذ کرد
پرداختن به این مسئله نیازمند در نظر گرفتن چند مرحله است. اول اینکه سیاستگذاران باید نگرشهای بیقید و آسانگیرانه خود نسبت به «جاسوسیِ صِرف» را به شکلی مناسب بازبینی کنند. درست است، برخی از متجاوزان احتمالاً اعمال خود را به جاسوسی محدود کرده و تصمیم میگیرند خسارتی وارد نکنند؛ اما همه چنین لطفی نخواهند کرد. دوم این که، سازمانهایی که هدف حمله قرار میگیرند باید بدانند که متجاوزان به طور معمول به شبکههای آنها نفوذ میکنند. هر کسی که یک شبکه را راهاندازی میکند، باید یک ذهنیت شکارچیوار را هم در خود ایجاد کند، و سعی کند عملیاتی انجام دهد که متجاوزین را پیش از این که تصمیم بگیرند دادهها را سرقت کرده یا نابود نمایند، ردیابی و شناسایی کند. سوم این که، سازمانها باید با همنوعان خود، شرکتهای تأمینکننده موارد ایمنی که قابل اعتماد و درستکار هستند، و نهادهای دولتی همکاری کنند تا اطلاعات مربوط به تهدیدها را به قالبهایی استاندارد شده و دستگاهخوان نظیر قالب OpenIOC از ماندیانت، یا بیان ساختار یافته اطلاعات تهدیدی از MITRE تغییر دهند.
هنگامی که یک سازمان از تهدیدها آگاه شود، میتواند از شرکتی نظیر ماندیانت بخواهد که به جستجوی متجاوزان پرداخته و پس از یافتن آنها، بیرونشان کند. ماندیانت از ترکیبی از ابزارها و اطلاعات برای ارزیابی مدارک و شواهد به دست آمده از شبکهها، کامپیوترها و برنامههای کاربردی استفاده میکند تا تهدیدهای نهان را کشف کرده و به قربانیان کمک کند که شبکه خود را به یک وضعیت قابل اعتماد بازگردانند.
*باید با جاسوسان سایبری مقابله جدی کرد
سازمانها زمانی که بتوانند متجاوزین را سریعاً در شبکههای خود شناسایی کرده و پیش از این که دشمن مأموریت خود را (هر چه که هست) تکمیل نماید، او را از بین ببرند، پیروز خواهند بود. دیگر بیش از نمیتوانیم پشت این طرز فکر که فعالیتهای متجاوزانه را میتوان تحمل کرد چون هدفشان صرفاً جاسوسی است، پنهان شویم.
مجله «فارن افرز» که توسط اندیشکده تأثیرگذار و پرنفوذ آمریکایی «شورای روابط خارجی» منشتر میشود طی گزارشی نوشت: ایالات متحده با تهدیدهای بیسابقهای در فضای سایبر روبهرو است. اما واشنگتن در تلاشهای خود برای کاهش آنها، یکی از بهترین ابزارهایش، یعنی تحریمهای اقتصادی، را نادیده گرفته است. دولت اوباما باید بدون درنگ، هم برای بازداشتن کشورهای خارجی، و هم عوامل غیر دولتی که سیستمهای کامپیوتری آمریکایی را هک میکنند، شروع به استفاده از تحریمها نماید.
*سایبر برای هر شخص یا گروهی که با آن به تعامل میپردازد به شکلی متفاوت نمود مییابد
این جهان، که توسط مهندسین خلق شده و همه از آن استفاده میکنند، برای هر شخص یا گروهی که با آن به تعامل میپردازد به شکلی متفاوت نمود مییابد. فضای سایبری برای ارتش امریکا، یک حوزه جنگ و مبارزه است؛ برای یک دانشجو، مکانی است برای تعامل با دیگر همسالانش؛ و برای یک شرکت تجاری، مکانی است برای کسب درآمد، و این فهرست به همین ترتیب ادامه مییابد.
*جاسوسی دیجیتال در دنیای امنیت سایبری موضوعی جنجالی و مهم است
بحث و گفتگو در مورد یک موضوع مرتبط، یعنی امنیت سایبری، نیز همین ویژگیها را داراست. چگونگی دستیابی به امنیت، یا حتی تعریف آن، نیز به مشترکان و کاربران بستگی دارد. جاسوسی دیجیتال، برای اکثر افراد در دنیای امنیت سایبری، یک موضوع جنجالی و مهم است. آیتمهای خبری اندکی چنین جنبش و پویایی نظیر گزارشی که در ماه فوریه توسط شرکت من، ماندیانت، در مورد واحد 61398 منتشر شد، در این دنیای مجازی ایجاد کردهاند. این گزارش تاریخچه هفت ساله جاسوسیهای دیجیتال توسط واحد 61398 علیه حداقل 141 شرکت غربی را افشا کرد. ماندیانت، جاسوسیهای سایبری چینی را ردیابی کرد و به یک ساختمان اداری 12 طبقه در خارج از شانگهای رسید.
* امکان تبدیل جاسوسی به ویرانگری موضوعی است که اغلب نادیده گرفته میشود
مسلماً هر نوع اقدام به جاسوسی، موضوعی جدی و مهم است، اما برخی از افراد تفاوت جاسوسی در جهان سایبری را با جاسوسی در جهان فیزیکی درک نمیکنند. عده اندکی به این موضوع واقف هستند که همان ابزارهای لازم برای انجام جاسوسیهای دیجیتال، میتواند به متجاوزان اجازه دهد که یک گام به جلو برداشته و ویرانگریهای دیجیتال نیز به بار آورند. زمانی که دشمن به یک سیستم کامپیوتری نفوذ میکند، میزان خسارتی که وارد میکند یا نمیکند، کاملاً به قصد و نیت خودش بستگی دارد. این که چنین اقداماتی را باید جنگ تلقی کرد یا خیر بیشتر یک تصمیمگیری سیاسی است، اما امکان تبدیل جاسوسی به ویرانگری موضوعی است که اغلب نادیده گرفته میشود.
*جاسوسی سایبری با جنگ سایبری بسیار تفاوت دارد
منتقدان در اظهار این که جاسوسی تنها یک مرحله پایینتر از یک حمله دیجیتال تمام عیار (که میتواند اقدام به جنگ تفسیر شود) میباشد، درنگ نمیکنند. به عنوان مثال، «بروس اشنایر» ، به گزارشهای فعالیتهای سایبری چین چنین پاسخ داد: «این یک جنگ سایبری نیست. این در واقع هیچ نوع جنگی نیست. این جاسوسی است، و درک تفاوت آن با جنگ مهم است. گذاشتن نام جنگ بر روی آن، تنها به ترسهای ما دامن زده و هیزمی برای آتش تسلیحات جنگ سایبری میشود».
*سه حوزه فعالیتهای سایبری
درک عمومی از دفاع، جاسوسی و جنگ دیجیتال باید بهبود یابد. افرادی با پیشینه نظامی، از سه اصطلاح جهت تشریح فعالیتهای سایبری استفاده میکنند: دفاع از شبکههای کامپیوتری (CND) ، سوءاستفاده و استخراج از شبکههای کامپیوتری (CNE)، و حمله به شبکههای کامپیوتری (CNA). CND که وظیفه محافظت از اطلاعات دیجیتال در برابر هکرها را بر عهده دارد، میان همگان یک امر خوب تلقی میگردد. CNE و CNA مسئلهسازتر هستند چون شامل انجام اقداماتی تهاجمی علیه یک هدف مشخص میباشند.
متخصصان غربی در حوزه امنیت، CNE را به عنوان جاسوسی دیجیتال، و CNA را به عنوان تغییر دادن، مختل کردن، یا تخریب سیستمهای کامپیوتری، چه به صورت مجازی و چه به صورت فیزیکی، در نظر میگیرند. به عنوان نمونههایی از CNE میتوان به نفوذ به شبکههای کامپیوتری برای سرقت اسرار تجاری یا دیگر دادههای حساس، کنترل بر تایپ کردن اشخاص و سرقت رمزهای عبور آنها، یا ربودن اطلاعات هنگام وبگردی آنها در اینترنت، اشاره کرد. تغییر رکوردها و سوابق پایگاه داده یا حذف کردن دادهها نمونهای از CNA مجازی بوده و استفاده از کامپیوترها برای خسارت زدن یا ویران کردن تجهیزات یا وارد کردن صدمات دیگر در جهان واقعی، نمونههایی از CNA فیزیکی میباشد.
* «استاکسنت»؛ تنها جنگسایبری
اصطلاح «جنگ سایبری» معمولاً به استفاده از یک سلاح دیجیتال برای وارد کردن صدمات فیزیکی اطلاق میگردد. تا کنون، تنها نمونه از این مورد که مورد پذیرش عمومی قرار گرفته، حمله استاکسنت علیه تأسیسات هستهای ایران بوده است. برخی افراد اصطلاح «جنگ سایبری» را بسیار آزادانه و بیقید و بند مورد استفاده قرار میدهند، یا بسیاری از انواع اقدامات دیجیتال را تا زمانی که به عملیات نظامی جهان واقعی مرتبط باشند، جنگ سایبری میپندارند. همانند زمانی که هکرهای روسی، وبسایتهای گرجستان را در طول جنگ سال 2008 میان دو کشور تخریب نمودند.
*دشمنی که قادر به جاسوسی باشد، قادر به خسارت زدن هم هست
دشمنی که قادر به جاسوسی باشد، قادر به خسارت زدن هم هست، و این تنها به قصد و نیتش بستگی دارد. در نتیجه، بسته به هدفی که مورد حمله قرار میگیرد، جاسوسی سایبری میتواند به سرعت به یک جنگ سایبری مبدل شود، جنگی که در آن از تسلیحات دیجیتال برای اعمال خسارات فیزیکی استفاده میگردد.
* آیا متجاوز تصمیم میگیرد جاسوسی کند، یا دست به تخریب و ویرانگری بزند؟
این الگوی حمله را در نظر بگیرید. متجاوز در ابتدا اقدام به شناسایی هدف مورد نظر کرده تا نقاط ضعف آن را بررسی کرده و راههایی برای سرقت یا دستکاری دادهها بیابد. سپس، محتویات و مطالبی که به شکل سلاح درآمدهاند (مثلاً سندی با کدهای مخرب و ویروسی، یا لینکی به یک وبسایت مخرب) را از طریق یک پیام ایمیل ارسال مینماید. گیرنده ایمیل پیوستهای آن را باز کرده یا روی لینک کلیک میکند، و این کار موجب میشود که کامپیوتر وی تبدیل به قربانی متجاوز گردد. متجاوز اکنون میتواند کامپیوتر قربانی را کنترل کرده و آزادانه اهداف خود را دنبال نماید.
این همان لحظه کلیدی است: آیا متجاوز تصمیم میگیرد جاسوسی کند، یا دست به تخریب و ویرانگری بزند؟ در اکثر موارد، پاسخ همواره جاسوسی کردن بوده است. متجاوزان معمولاً بیشترین استفاده را از دسترسی به هدف و سرقت بی سر و صدای دادهها میبرند. این مورد هم در خصوص جرائم سایبری با انگیزههای مالی و هم جاسوسی دیجیتال صدق میکند. پنهانی بودن و مداوم بودن این نوع جاسوسیهاست که ارزش دارد. سارقان دیجیتال حرفهای نمیخواهند با تخریب دادهها یا ایجاد آثار فیزیکی، حضور خود را اعلام نمایند.
* هکتیویستها چه کسانی هستند؟
تعداد اندکی از موارد، که معمولاً توسط افرادی موسوم به هکتیویستها انجام میشوند، شامل تخریب دادهها نیز هستند. اکثر ناظران چنین اقداماتی را همانند خرابکاری میدانند. متجاوز میخواهد قربانی را آشفته و خجالتزده کند، بنابراین به هدف مذکور نفوذ کرده، دادهها را به سرقت میبرد، با نابود کردن فایلهای کلیدی کامپیوترهای آن را از کار میاندازد، و سپس اخبار پیروزیها و دستاوردهای خود را روی اینترنت منتشر میسازد. این مدل بسیار با دنیای CNE و CNA متفاوت است.
* برخی افراد خارج از جوامع هکتیویستها نیز به دنبال تخریب و ویرانگری هستند
متأسفانه، سه پرونده اخیر نشان میدهند که برخی افراد خارج از جوامع هکتیویستها نیز به دنبال تخریب و ویرانگری هستند. در ماه اوت سال 2012، شرکت نفت دولتی عربستان سعودی، که با نام شرکت آرامکو عربستان نیز مشهور است، از یک تخریب دیجیتال آسیب دید. به گفته «عبدالله السعدان» ، یکی از معاونین شرکت، متجاوزین خارجی فایلهایی کلیدی را از بیش از 30.000 کامپیوتر پاک کردند. سرلشکر «منصور الترکی»، سخنگوی وزارت کشور عربستان، اظهار داشت که «این حمله نتوانست به هدف نهایی خود، که متوقف ساختن جریان نفت عربستان بود، دست پیدا کند.» چند سال بعد، راسگاز، شرکتی با سهام مشترک متعلق به پترولیوم قطر و اکسون موبیل، و یکی از بزرگترین تأمینکنندگان گاز طبیعی مایع، گزارش داد که از یک حمله مشابه آسیب دیده است.
در تازهترین مورد که در ماه مارس گذشته به وقوع پیوست، حملات مخرب دیجیتالی بیش از 48 هزار کامپیوتر را در کره جنوبی تحت تأثیر قرار داد. سه ایستگاه تلویزیونی و سه بانک گزارش دادند که فایلهای حیاتی سیستمها توسط نرمافزارهای مخرب مورد حمله قرار گرفتهاند و آثار این حملات، مشابه صدمات وارده به شرکت آرامکو عربستان و راسگاز بوده است. مقامات کره جنوبی این حملات را به کره شمالی نسبت دادند.
*تفاوت حملات دیجیتالی در چیست؟
مهم است که در این زمینه، میان حملات دیجیتال که به طور موقت شبکهها را مختل کرده، و حملاتی که دادهها را پاک میکنند، تمایز قائل شویم. نوع اول حملات با عنوان DDoS یا حملات «حمله توزیع شده محروم سازی از سرویس» (Distributed Denial of Service) شناخته میشود. در این روش متجاوزان، کامپیوترهای هدف را با ترافیک شبکهای جعلی، غرق کرده و توانایی قربانی برای ارتباط با اینترنت و همچنین توانایی سایرین برای بازدید از شبکههای مورد حمله را کاهش میدهند. خسارتهای ناشی از چنین حملاتی به محض این که متجاوز حمله را متوقف سازد، یا یک شرکت امنیتی به کمک قربانی بیاید، پایان مییابد. این نوع حمله روشی از حمله محرومسازی از سرویس (Denial of Service attack) (یا به اختصار DoS) است که در آن حملهکننده با تعداد زیادی از کامپیوترها و شبکههایی که در اختیار دارد، حمله را صورت میدهد. در این روش تمام رایانهها یکی از روشهای حمله را که در ذیل ذکر شدهاند را همزمان با هم انجام میدهند که ممکن است در برخی موارد خسارات جبران ناپذیری را به بار آورد.
*حملات پاک کردن دادهها، مخربتر هستند
حملات پاک کردن دادهها، مخربتر هستند. هنگامی که یک متجاوز دادهها را نابود میسازد، به طور کلی مطالب را از هارد درایو هدف پاک میکند. اگر هیچ کپی دیگری از دادهها وجود نداشته باشد، آنها برای همیشه از دست میروند. اگر سیستم آسیبدیده، یک عملیات تجاری بسیار مهم را اجرا کند، آن عملیات تا وقتی که کامپیوتر بازسازی یا مرمت شود دچار اختلال خواهد شد. به عنوان مثال، متجاوزی که به محاسبات کنترل کننده یک دستگاه رزونانس مغناطیسی یا روباتی که قطعات خودرو را پرس میکند، حمله مینماید، میتواند به شکلی موثر تجارت و کسبوکار را متوقف سازد.
*در فضای سایبری، توانایی سرقت، معادل با توانایی نابودسازی است
در تمامی این سه پرونده (شرکت آرامکو عربستان، راسگاز، و کره جنوبی) ، متجاوزین احتمالاً به شکلی یکسان عمل کردند. متهاجمان احتمالاً خیلی راحت میتوانستند تصمیم بگیرند که روزها، هفتهها، یا ماهها به جاسوسی از این شرکتها بپردازند. اگر بازرسان موفق میشدند متجاوزان را شناسایی کرده و متهاجمان را بیرون کنند، برخی مفسران ادعا میکردند که این حمله هم یک مورد دیگر از جاسوسیهای بیضرر بوده است. هر چه باشد، متجاوزان هنگامی که آزادانه در شبکههای قربانی پرسه میزدند، نگاهی هم به دادهها انداختهاند. با این حال، حقیقت این است که در فضای سایبری، توانایی سرقت، معادل با توانایی نابودسازی است. هر نمونهای از بهرهبرداری از شبکههای کامپیوتری، یک پرونده بالقوه از حمله به شبکههای کامپیوتری است.
* راهکارهای که باید برای مقابله با جاسوسان سایبری اتخاذ کرد
پرداختن به این مسئله نیازمند در نظر گرفتن چند مرحله است. اول اینکه سیاستگذاران باید نگرشهای بیقید و آسانگیرانه خود نسبت به «جاسوسیِ صِرف» را به شکلی مناسب بازبینی کنند. درست است، برخی از متجاوزان احتمالاً اعمال خود را به جاسوسی محدود کرده و تصمیم میگیرند خسارتی وارد نکنند؛ اما همه چنین لطفی نخواهند کرد. دوم این که، سازمانهایی که هدف حمله قرار میگیرند باید بدانند که متجاوزان به طور معمول به شبکههای آنها نفوذ میکنند. هر کسی که یک شبکه را راهاندازی میکند، باید یک ذهنیت شکارچیوار را هم در خود ایجاد کند، و سعی کند عملیاتی انجام دهد که متجاوزین را پیش از این که تصمیم بگیرند دادهها را سرقت کرده یا نابود نمایند، ردیابی و شناسایی کند. سوم این که، سازمانها باید با همنوعان خود، شرکتهای تأمینکننده موارد ایمنی که قابل اعتماد و درستکار هستند، و نهادهای دولتی همکاری کنند تا اطلاعات مربوط به تهدیدها را به قالبهایی استاندارد شده و دستگاهخوان نظیر قالب OpenIOC از ماندیانت، یا بیان ساختار یافته اطلاعات تهدیدی از MITRE تغییر دهند.
هنگامی که یک سازمان از تهدیدها آگاه شود، میتواند از شرکتی نظیر ماندیانت بخواهد که به جستجوی متجاوزان پرداخته و پس از یافتن آنها، بیرونشان کند. ماندیانت از ترکیبی از ابزارها و اطلاعات برای ارزیابی مدارک و شواهد به دست آمده از شبکهها، کامپیوترها و برنامههای کاربردی استفاده میکند تا تهدیدهای نهان را کشف کرده و به قربانیان کمک کند که شبکه خود را به یک وضعیت قابل اعتماد بازگردانند.
*باید با جاسوسان سایبری مقابله جدی کرد
سازمانها زمانی که بتوانند متجاوزین را سریعاً در شبکههای خود شناسایی کرده و پیش از این که دشمن مأموریت خود را (هر چه که هست) تکمیل نماید، او را از بین ببرند، پیروز خواهند بود. دیگر بیش از نمیتوانیم پشت این طرز فکر که فعالیتهای متجاوزانه را میتوان تحمل کرد چون هدفشان صرفاً جاسوسی است، پنهان شویم.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره پانزدهم خبرنامه دیدهبان
۲۷ آبان ۱۴۰۳ - ۱۳:۵۶
شماره چهاردهم خبرنامه دیدهبان
۱۹ آبان ۱۴۰۳ - ۱۱:۳۳
شماره سیزدهم خبرنامه دیدهبان
۱۵ آبان ۱۴۰۳ - ۱۳:۲۰
شماره دوازدهم خبرنامه دیدهبان
۲۰ شهريور ۱۴۰۳ - ۲۲:۴۹
شماره یازدهم خبرنامه دیدهبان
۱۷ مرداد ۱۴۰۳ - ۱۲:۲۳
شماره دهم خبرنامه دیدهبان
۰۱ مرداد ۱۴۰۳ - ۱۳:۵۶
شماره نهم خبرنامه دیده بان
۱۸ تير ۱۴۰۳ - ۱۸:۳۱
شماره هشتم خبرنامه دیده بان
۲۶ خرداد ۱۴۰۳ - ۱۳:۵۷
شماره هفتم خبرنامه دیده بان
۱۳ خرداد ۱۴۰۳ - ۱۰:۱۳
شماره ششم خبرنامه دیدهبان
۳۱ ارديبهشت ۱۴۰۳ - ۱۶:۰۶
شماره پنجم خبرنامه دیدهبان
۲۳ ارديبهشت ۱۴۰۳ - ۱۲:۳۷
شماره چهارم خبرنامه دیدهبان
۱۲ ارديبهشت ۱۴۰۳ - ۲۲:۳۳
شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲