روزی که اژدها اینترنت را خورد !

 حملات سایبری در جمعه، ۱۷ فروردین ۱۳۹۷، تعدادی از سایت‌های ایرانی را از کار انداخت. در پی بروز اختلالات اینترنتی در کشور وزیر ارتباطات و فناوری اطلاعات نیز نسبت به این اتفاق واکنش نشان داد و ضمن تایید این خبر از حمله سایبری به برخی مراکز داده، خبر داد. خبرها حاکی از این است که اوضاع به حالت عادی بازگشته اما این اتفاق و میزان خسارت‌های وارده همچنان درحال بررسی است. در این میان، با توجه به خدشه‌ای که در امنیت بسیاری از دیتاسنترهای ایرانی وارد شده است، ‌ آیا می‌توان این ضعف امنیتی را مرتبط با عملکرد وزارت ارتباط دانست؟

در تاریخ 17 فروردین به صورت ناگهانی تعداد زیادی از سایت‌های اینترنتی از دسترس کاربران خارج شدند. این اختلال ناشی از یک حمله سایبری به زیرساخت‌های ایران بود. بنابراین در پی این حمله سایبری برخی از سایت‌های خبری هم برای چند ساعت دچار مشکل شدند. پس از این قطعی گسترده محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات ایران با انتشار پست‌هایی در صفحه شخصی خود در توئیتر این حمله سایبری به برخی مراکز داده ایران را تایید کرد. محمد جواد آذری جهرمی در توییت‌هایی در این باره نوشت: «امشب برخی از مراکز داده کشور با حمله سایبری مواجه شده‏اند. مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکه های آنان هستند. تلاش‌ها برای ناامن جلوه دادن‌ها یک فرصت برای اصلاح اشکال‌هاست. بررسی‌های اولیه حاکی از آن است که در تنظیمات مسیریاب‌های مورد حمله قرار گرفته با حک پرچم ایالات متحده اعتراضی درباره انتخاب امریکا صورت گرفته است. دامنه حملات فراتر از ایران است و منشا حملات در دست بررسی است. » وی در اولین ساعات روز شنبه در توییتی جدید عنوان کرد: « ‏تا کنون بیش از ۹۵ درصد مسیریاب‌های متاثر از حمله به حالت عادی بازگشتند و سرویس‌دهی را از سر گرفتند.»

کنترل حمله سایبری ظرف ۲ ساعت

محمدجواد آذری جهرمی به توضیحات خود در توئیتر اکتفا نکرد و در گفت‌وگوی خبری درباره حمله سایبری توضیح داد. وی با اشاره به گستردگی جغرافیایی این حمله سایبری گفت: «بررسی‌های فنی از نقشه منتشر شده از این حمله سایبری نشان می دهد که بیشترین گستردگی جغرافیایی مربوط به کشورهای اروپایی، هندوستان و ایالات متحده امریکا بوده است.»

وی با بیان اینکه از میزان حمله اینترنتی شب گذشته در جهان تنها دو درصد در ایران روی داده است، عنوان کرد: «ایران به لحاظ حجم حمله، در جمع ۱۰ کشور اول جهان نبوده است. به بیان دیگر بزرگی میزان تاثیرپذیری این حمله سایبری در ایران ۲ درصد بوده و نقشه تاثیر حملات نیز نشان می دهد که روسیه و آمریکا بیشترین آسیب را از این حملات دیده اند.»

وزیر ارتباطات با بیان اینکه از میان ۱۹۵ هزار تجهیزات مورد حمله واقع شده مربوط به کمپانی سیسکو، ۵۵ هزار مورد در آمریکا و ۱۴ هزار مورد در چین بوده است و ایران در جمع ۱۰ کشور از این لحاظ نبوده است، افزود: «اما به لحاظ اثرپذیری شرکت‌ها، شرکت توزیع کننده خدمات اینترنت رسپینا ششمین شرکت اثرپذیر در این حمله سایبری گزارش شده است. به نحوی که ۱۷۰۰ روتر از این شرکت، آسیب پذیر بوده اند.» وی با اشاره به اینکه این حملات از نوع منع سرویس بوده و سرقت اطلاعاتی در این زمینه صورت نگرفته است، خاطرنشان کرد: «از زمان آغاز حمله و از دسترس خارج شدن روترها، شاهد افت ترافیکی در شبکه ارتباطی کشور بودیم که در کمتر از ۲ ساعت، ۹۵ درصد تجهیزات و ترافیک ارتباطی به حالت عادی برگشت.»

لازم به یادآوری است که سابق بر این شرکت سیسکو در رابطه با مشکل امنیتی به کاربران اطلاع‌رسانی کرده و آپدیت‌های جدید را هم در اختیار کاربران خود قرار داده بود اما این اطلاع‌رسانی نتوانست از وقوع حملات سایبری جلوگیری کند. حال باید بررسی کرد که چرا به رغم چنین اقدامی 17 فروردین بسیاری از سایت‌ها از دسترس خارج شدند. مهدی یوسفی کارشناس شبکه و امنیت اطلاعات در گفت‌وگو با «ابتکار» در این خصوص اظهار کرد: « این مشکل در ایجاد تغییرات در تجهیزات شبکه که همان روتر و سوئیچ است، ریشه دارد. این اتفاق برای زیرساخت‌های متعلق به شرکت سیسکو رخ داده و این شرکت، یک شرکت آمریکایی است.» وی تصریح کرد: «تمام دیتاسنترهای شرکت‌های بزرگ برای وصل شدن به اینترنت باید روتر و سوئیچ داشته باشند و شرکت‌های مورد حمله قرار گرفته، تجهیزات سیسکو را داشته‌اند و درواقع از یک ضعف امنیتی رنج می‌بردند و هکرها هم وارد تنظیمات تجهیزات شده‌اند و تغییراتی ایجاد کرده یا آن را ازکار انداخته‌اند.» وی خاطرنشان کرد: « در ایران هم شاتل ، آسیاتک ، صبانت، افرانت و.. هم با این مشکل مواجه شدند و درواقع ارتباط آنها با اینترنت قطع شد و بسیاری از سایت‌ها و اپلیکیشن ها هم قطع شدند و بسیاری از کسب و کارهایی که از جمله مشتریان این شرکت‌ها بودند هم با مشکلاتی مواجه شدند.»

بنابراین با در اختیار داشتن یک سری اطلاعات فنی می‌توان به علت علمی این مشکل دست پیدا کرد اما سوال اینجا است که این اتفاق از سوی چه فرد یا افرادی مدیریت شده است؟ یوسفی در این رابطه عنوان کرد: « برخی می‌گویند که یک تیم هکری وابسته به دولت روسیه این اقدام را صورت داده است و سمانتک هم مدعی شده نام گروه هکری مسئول این حملات دراگون فلای است. این اتفاق هم مختص به ایران نبوده و در کل دنیا چنین اتفاقی رخ داده و در سراسر جهان 168 هزار سیستم را تحت تاثیر قرار داده است.»

ردیابی هکرها دشوار است

در شرایط کنونی، جرمی بین‌المللی رخ داده است و باید بررسی کرد آیا این قبیل جرایم از سوی دولت ایران قابل پیگیری است یاخیر. این کارشناس شبکه و امنیت اطلاعات در خصوص مسئولیت قضایی این اتفاق مطرح کرد: « به هر حال چنین عملی هم روال خاص خود را دارد. این حملات هکری را می‌توان رد یابی کرد و تا حدودی هم ممکن است که ردیابی‌های لازم صورت گیرد. » وی خاطرنشان کرد: « اما مشکلی که در این ردیابی‌ها وجود دارد این است که یک فرد خاص و کامپیوتری مشخص چنین حملاتی را مدیریت نمی‌کند و حملاتی که چنین وسعتی دارند معمولا توسط صدها و هزاران کامپیوتر در دنیا اتفاق می‌افتند و در حقیقت ردیابی آن را با مشکل مواجه می‌کند و در صورت ردیابی ممکن است نام 30 یا حتی 40 کشور به میان بیاید.» یوسفی تصریح کرد: « در چنین مواردی هکرها پیش از این حملات، برخی از کامپیوترها را آلوده می‌کنند و صاحب اصلی آن سیستم هم از این موضوع بی اطلاع است و بعد در تاریخ خاصی از کامپیوتر آلوده به عنوان مهاجم استفاده می‌کنند اما این بدین معنا نیست که صاحب اصلی کامپیوتر همان فرد مهاجم باشد. با این اوصاف، ردیابی چنین افرادی بسیار مشکل است.»

وزارت ارتباطات بی‌تقصیر است

لازم به یادآوری است که درست در شبی که این اتفاق رخ داد به فاصله بسیار کوتاهی وزیر ارتباطات وارد عمل شد و نسبت به این قضیه واکنش نشان داد و در تلاش بود تا اطلاع‌رسانی‌های لازم صورت گیرد اما باتوجه به اینکه چنین اتفاق در پی ضعف امنیتی رخ داده است، آیا می‌توان این ضعف امنیتی را مرتبط با عملکرد وزارت ارتباطات دانست؟ یوسفی در بخشی از صحبت‌های خود با بیان اینکه چنین مشکلی جهانی است، بنابراین هیچ انتقادی در این خصوص نسبت به وزارت ارتباطات وارد نیست، اظهار کرد: « در آی تی یک سری استانداردها برای مدیریت امنیت اطلاعات وجود دارد و به آن ISMS گفته می‌شود، بنابراین می‌توان بررسی کرد که چه روالی را باید در سازمان مورد نظر پیگیری کرد تا از نشت اطلاعات و حملات سایبری جلوگیری شود یا به حداقل برسد.» وی تصریح کرد: « با پیشرفت تکنولوژی سازمان‌ها مجبورند که همزمان از تجهیزات مختلف استفاده کنند و شرکت‌های آمریکایی و اروپایی برای این که به محصولشان خدشه‌ای وارد نشود دائما در حال به روزرسانی هستند و ممکن است که روزانه 30 نقص امنیتی را اعلام کنند. این اقدام برای شرکتی که 100 یا 200 مشترک دارد، شاید ممکن باشد چراکه تمام این به روز‌‌ رسانی‌ها مستلزم این است که شبکه قطع شود تا آن نقص امنیتی هم برطرف شود. با چنین توضیحی حال تصور کنید که مخابرات روزی 30 بار قطعی داشته باشد تا نقص امنیتی خود را پوشش دهد. این عمل چندان ممکن نیست.» وی با تاکید بر اهمیت در دسترس بودن در دنیای امروز عنوان کرد: « در دنیای شبکه چند نکته وجود دارد که باید مدنظر داشته باشیم و مهمترین آن در دسترس بودن است و شبکه همواره باید در دسترس باشد.» این کارشناس خاطر نشان کرد: «اگرشبکه ای برای رفع نواقص از دسترس خارج شود این عمل هم یک نوع نقص امنیتی محسوب می‌شود. این اتفاق باید در فضای آزمایشی امتحان و در صورت میسر بودن به مشترکان اعلام شود. شرکتی مانند افرانت که شرکتی زیرساختی است نمی‌تواند روزانه 20 مورد قطعی داشته باشد.» وی در پایان صحبت‏های خود افزود: « در شرایط کنونی بسیاری از شرکت‏ها را می‏توان نام برد که از نواقص بسیاری رنج می‌برند و این مشکلی است که در تمام دنیا وجود دارد.»