خودنمايي سايبر آسيب‌پذيرايران

ساعات پاياني جمعه شب بود كه دسترسي به شبكه اينترنت در ديتاسنتر افرانت، شاتل، صبانت و. . . با اختلال مواجه شد و اندكي نگذشت كه بسياري از سايت‌ها و پايگاه‌هاي خبري نيز از دسترس خارج شدند تا يك حمله سايبري را گوشزد كنند؛‌حمله‌اي كه وزير ارتباطات و فناوري اطلاعات با پيام توييتري خود هم آن را تأييد كرد و هم از تلاش براي به دست گرفتن كنترل اوضاع خبر داد. اين حمله سايبري طي دوساعت مهار شد و بر اساس گزارش مركز «ماهر» هيچ دسترسي غيرمجازي به اطلاعات شهروندان اتفاق نيفتاده است. با تمام اينها چنين حملاتي در اين سطح باگ‌هاي امنيتي را گوشزد مي‌كند كه در صورت نرسيدن به استقلال در حوزه فضاي مجازي
مي‌تواند به آسيب‌هايي جدي منتهي شود.
توييت‌هاي محمد جواد آذري جهرمي درباره حملات سايبري 17 اسفند حكايت از آن داشت كه آقاي وزير در حال رصد ماجراست.
نخستين توييت وي در ساعت 12 و 24 دقيقه جمعه‌شب با تأييد حمله سايبري همراه بود«امشب برخي از مراكز داده كشور با حمله سايبري مواجه شده‌اند. تعدادي از مسيرياب‌هاي كوچك به تنظيمات كارخانه‌اي تغيير يافته‌اند. مركز ماهر به ياري اين مراكز داده، حمله را كنترل كردند و در حال اصلاح شبكه‌هاي آنان به حالت طبيعي هستند. تلاش‌ها براي ناامن جلوه دادن‌ها يك فرصت براي اصلاح اشكال‌هاست».
توييت آخر وزير در ساعت يك و 15 دقيقه بامداد شنبه از بازگشت اوضاع به حالت عادي خبر مي‌داد. آذري جهرمي كه همچنان پيگير ماجراست روز گذشته درباره اين حمله گفت: ‌حدود3هزار و ۵۰۰ مسيرياب از مجموع چندصد هزار مسيرياب شبكه كشور متأثر از حمله شده‌اند. عملكرد شركت‌ها در دفع حمله و بازگرداني به شرايط عادي مناسب ارزيابي شده است. وي در عين حال پذيرفت كه ضعف در اطلاع‌رساني مركز ماهر به شركت‌ها و نيز ضعف در پيكره‌بندي مراكز داده وجود داشته است. آنطور كه جهرمي درباره اين حمله توضيح مي‌دهد، ‌به لحاظ بزرگي حمله اينترنتي جمعه‌شب، ۲ درصد سهم كشور ما بوده و ايران به لحاظ حجم حمله در جمع ۱۰ كشور اول جهان هم نبوده است.نقشه تأثير حملات نيز نشان مي‌دهد كه روسيه و امريكا بيشترين آسيب را از اين حملات ديده‌اند. وي تأكيد مي‌كند:‌نوع حمله اخير از نوع منع سرويس بوده و سرقت اطلاعاتي صورت نگرفته است. آقاي وزير معتقد است با توجه به اينكه در اين حمله از پرچم كشور امريكا استفاده شده به نظر مي‌رسد منشأ حمله از منطقه خاورميانه نبوده است. به گفته وي با هك پرچم ايالات متحده، اعتراضي درباره انتخابات امريكا صورت گرفته است.

چرايي حمله سايبري جمعه‌شب

جهرمي مي‌گويد: اين اشكال امنيتي براساس خطاي روترهاي سامانه سيسكو به وجود آمد و دسترسي را با اشكال مواجه كرد و در نهايت تجهيزات از مدار خارج شد. البته حفره امنيتي در تجهيزات سيسكو حدود ۱۰ روز پيش منتشر شد كه شركت ارتباطات زيرساخت و اپراتورهاي تلفن همراه و برخي اپراتورهاي اينترنت به اين تذكر توجه كرده بودند،‌اما مابقي به دليل تعطيلات عيد به اين موضوع توجهي نشان ندادند.
وي با تأكيد بر اينكه وزارت ارتباطات در چارچوب مسئوليت خود شبكه ارتباطي را ايمن و آن را مديريت كرده است، افزود: از اين جهت، هسته شبكه ملي اطلاعات با مشكلي مواجه نشد. البته وظيفه مركز ماهر اين بود كه با درجه اهميت بالا اين حفره امنيتي را منعكس مي‌كرد،‌اما شبكه شركت‌ها به دليل فريزنگهداشته شدن، اين هشدار را جدي نگرفتند. جهرمي از تشكيل جلسه مجدد براي رسيدگي كامل‌تر به اين موضوع خبر داد و گفت: حملات سايبري يكي از واقعيات فضاي مجازي است و نظام‌هايي براي جلوگيري از عوارض و حواشي اين حملات وجود دارد كه بايد آن را چابك‌تر و فعال‌تر كنيم. از سوي ديگر مركز پيشگيري حوادث سايبري ما و شركت‌هاي ارائه‌دهنده خدمات بايد روابطشان عميق‌تر شود و دستورالعمل‌هاي امنيتي بايد به‌روزرساني شود. سرهنگ نيك‌نفس،‌رئيس مركز تشخيص و پيشگيري پليس فتاي نيروي انتظامي با بيان اينكه اختلال در سرويس اينترنت كشور صرفاً قطعي و كندي ارتباطات را در پي داشته و هيچ‌گونه دسترسي غيرمجاز يا نشت اطلاعات رخ نداده است، درباره چرايي حمله صورت گرفته مي‌گويد: اين حمله سايبري ناشي از آسيب‌پذيري امنيتي در سرويس پيكربندي از راه دور تجهيزات سيسكو بوده و با توجه به اينكه روترها و سوييچ‌هاي مورد استفاده در سرويس‌دهنده‌هاي اينترنت و مراكز داده نقطه گلوگاهي و حياتي در شبكه محسوب مي‌شوند،‌ايجاد مشكل در پيكربندي آنها تمام شبكه مرتبط را به‌صورت سراسري دچار اختلال كرده و قطع دسترسي كاربران اين شبكه‌ها را در پي داشته است.

هشداري كه جدي گرفته نشد

بنا به تأكيد رئيس مركز تشخيص و پيشگيري پليس فتاي ناجا بررسي‌هاي اخير تيم تالوس كه مرجع تهديدشناسي و امنيت تجهيزات سيسكو است، نشان‌دهنده وجود اين نقص امنيتي در بيش از168 هزار ابزار فعال در شبكه اينترنت بوده است.
وي تصريح مي‌كند: حدود يك‌سال قبل نيز شركت مزبور هشداري مبني بر جست‌وجوي گسترده هكرها به‌دنبال ابزارهايي كه قابليت پيكربندي از راه دور (smart install client) به‌روي آنها فعال است، منتشر كرده بود. همچنين اطلاعات كامل و جزئيات فني مربوط به آسيب‌پذيري مزبور به‌همراه وصله امنيتي مربوطه، 10روز قبل (هشتم فروردين) اعلام شده است.
رئيس مركز تشخيص و پيشگيري پليس فتاي ناجا با بيان اينكه هكرها مي‌توانند با سوءاستفاده از آسيب‌پذيري شناسايي‌شده علاوه بر سرريز بافر به حذف و تغيير پيكربندي سوييچ‌ها و روترهاي سيسكو و كارانداختن خدمات آنها اقدام كنند و همچنين قابليت اجراي كد از راه دور به‌روي آنها را داشته باشند، مي‌افزايد: در اقدام فوريتي توصيه مي‌شود مديران شبكه سازمان‌ها و شركت‌ها با استفاده از دستور «show vstack» به بررسي وضعيت فعال بودن قابليت smart install client اقدام و با استفاده از دستور «no vstack» آن را غيرفعال كنند. سرهنگ نيك‌نفس تأکید مي‌كند:مسئولان فناوري اطلاعات سازمان‌ها و شركت‌ها بايد نسبت به بررسي مستمر آخرين آسيب‌پذيرهاي سامانه‎ها و ابزارها اقدام و نسبت به به‌روزرساني و رفع نواقص احتمالي در اسرع وقت اقدام كنند.

50 هزار حمله سايبري در يك سال

اين اما نخستين حمله سايبري به كشورمان نيست و بي‌ترديد آخرين آنها هم نخواهد بود. اواخر بهمن‌ماه سال گذشته هم سايت چند روزنامه هك شد كه بر اساس گزارش مركز ماهر پس از دريافت فايل‌هاي ثبت وقايع از حملات انجام شده از سرويس‌دهنده‌ها با تحليل و بررسي تاريخچه حملات و آسيب‌پذيري‌ها حجم بالايي از فايل‌ها مورد تحليل و آناليز قرار گرفت و آي‌پي مبدأ حملات استخراج شد كه شامل پنج آي‌پي از كشورهاي انگلستان و امريكا بوده است.
پيش از اين، رئيس سازمان پدافند غيرعامل كشور در گفت‌وگو با شبكه العالم گفته بود: سال 95 بيش از 50 هزار حمله سايبري به زيرساخت‌هاي كشور گزارش شده است كه حدود 94 درصد آن كم اهميت يا با اهميت متوسط بود و حدود 6درصد آن پرخطر بود كه خوشبختانه با اقداماتي كه از قبل در قالب پدافند غيرعامل و سايبري در زيرساخت‌هاي سايبري صورت گرفته بود، بخشي از آن را قبل از وقوع كشف كرديم.