همه پیشبینیهایی که کردهایم و تمهیداتی که اندیشیدهایم آیا میتوانیم تضمین کنیم که هم اکنون بدافزار دیگری مانند Flame در شبکه ما و بدور از چشمان ما جولان نمیدهد؟
علی کیائی فر* - یک سال پیش در چنین روزهایی خبرهایی منتشر شد که حکایت از یک حمله سایبری به شبکه وزارت نفت داشت. بدلیل حساسیت موضوع، اطلاعرسانی مناسبی در مورد ماهیت حمله و گستردگی آن انجام نمیگرفت. اما قطع بودن شبکه و در دسترس نبودن Serverها در شبکه وزارت نفت برای چند هفته حکایت از آن داشت که این حمله یک حمله متفاوت و بی سابقه است.
بررسیها چند هفته پشت درهای بسته ادامه داشت تا اینکه در روز ۷ خرداد ماه ۹۱ مرکز ماهر خبر کشف یک بدافزار پیچیده بنام Flame را منتشر کرد.
بدنبال آن شرکتهای سیمانتک و کسپرسکی نیز تحلیلهای دقیقتری را از ماهیت و عملکرد این بدافزار پیچیده منتشر کردند.
خواندن این تحلیلها برای هرکارشناس امنیتی شگفتانگیز و غیرقابل باور بود.
هیچکس تردیدی نداشت که این حمله کاملا هدفمند و از سوی یک دولت متمول طراحی و حمایت شده است. این بدافزار حداقل به مدت ۲ سال و بر اساس برخی شواهد بیش از ۵ سال قبل از کشف آن، تولید شده و مورد بهرهبرداری قرار گرفته است. بدافزاری که تاکنون نمونه مشابهی نداشته و هدف آن قطعا ایران بوده است.
Flame با نفوذ به شبکه، اقدام به جمعآوری اطلاعات، اسناد، تصاویری از Desktop و حتی ضبط صدای محیط از طریق میکروفون کرده و با مکانیزمهای پیچیده رمزنگاری به مقاصد نامعلوم ارسال میکرده است.
این بدافزار از میان تمام فایروالها و آنتیویروسهای ایرانی و غیرایرانی عبور کرده و در دل شبکهها نفوذ کرده و مانند یک ربات، از راه دور کنترل میشد و فرمانهای جدید را از اتاق فرمانش دریافت کرده و اجرا میکرد و در نهایت یک روز پس از شناسایی توسط مرکز ماهر، دستور خودکشی را از سازندگانش دریافت کرد و خود را نابود کرد تا بسیاری از رازهای آن سر به مهر و مکتوم باقی بماند!(اطلاعات دقیقتر را در گزارش مشروح ایتنا دنبال کنید.)
تجربه Flame برخی اظهارات گذشته مدیران را که همواره با اطمینان خاطر از امنیت بالای زیرساخت های IT در کشور سخن میگفتند نقض کرد و ثابت کرد حتی با داشتن Firewallهای چندلایه خارجی و ایرانی و نیز آنتیویروسهای قوی نمیتوان تضمین کرد که بدافزاری مانند Flame از دل شبکه ما سردرنمیآورد!
از این جهت سازمانهای دولتی با سرعت تمام بخشنامههایی را مبنی بر قطع اینترنت در شبکههای داخلی خود صادر کردند و مدیران شبکه را ملزم کردند که اینترنت را از شبکه داخلی سازمان بصورت فیزیکی جدا کنند.
هرچند که بسیاری از سازمانها به اجبار شبکه اینترنت را از شبکه داخلی بصورت فیزیکی و با صرف هزینههای فراوان جدا کردند اما به مرور زمان بدلیل نیاز کسب و کار سازمان به اینترنت، اندک اندک درهای اینترنت را مجددا بسوی شبکههای خود گشودند و تجربه Flame را آرام آرام به فراموشی سپردند.
اینک که یک سال از آن فضای ملتهب و تصمیمات خلقالساعه میگذرد فرصت مناسبی است که در فضایی آرام و همراه با تدبیر، تجربیات بدافزار Flame را مرور کرده و با این دیدگاه، وضعیت امنیتی شبکههای خود را ممیزی کنیم و به سئوالات زیر پاسخ دهیم:
۱- جایگاه امنیت شبکه برای مدیران ارشد سازمانها چقدر اهمیت دارد؟ به عبارت دیگر سازمانها حاضرند چقدر هزینه کنند تا تجربه تلخ دیگری مانند Flame برایشان تکرار نشود؟
۲- پس از تجربه Flame چه اقدام مثبتی در جهت جلوگیری از ورود بدافزارهای مشابه به شبکه سازمان خود انجام دادهایم؟ این اقدامات تا چه میزان مؤثر بودهاند؟
۳- سازمان تا چه اندازه پای اجرای سیاستهای امنیتی تدوین شده ایستاده است؟
۴- آیا کارشناسان و حتی کاربران ما آموزشهای لازم را برای اجرای صحیح و دقیق سیاستهای امنیتی دیدهاند؟
۵- کارشناسان امنیتی و کاربران ما تا چه میزان دغدغههای امنیتی را جدی میگیرند و نکات امنیتی را رعایت میکنند؟
۶- برای همزمانی استفاده کاربران از شبکه داخلی و اینترنت چه تمهیدات امنیتی اندیشیدهایم؟
۷- از میان طرحهای جداسازی اینترنت از شبکه داخلی(شامل روشهای فیزیکی و مجازی به روشهای VDI و Virtual Application) آیا روشی را که برگزیدهایم پاسخگوی نیازهای سازمان است؟
۸- آیا زمان آن نرسیده است که برای حفظ امنیت بیشتر و محافظت از اطلاعات سازمان از روشهای بروز Cloud Computing و ابرهای خصوصی در سازمان خود استفاده کنیم؟
۹- آیا برای مدیریت حافظههایی که به پورتهای USB متصل میشوند و منشأ بسیاری از تهدیدات هستند سیاست مدون و عملی را پیادهسازی کردهایم؟
۱۰- و دست آخر اینکه با همه پیشبینیهایی که کردهایم و تمهیداتی که اندیشیدهایم آیا میتوانیم تضمین کنیم که هم اکنون بدافزار دیگری مانند Flame در شبکه ما و بدور از چشمان ما جولان نمیدهد؟
----------------------------------------------------------------
* مدیر تحقیق و توسعه شرکت آینده نگاران (آیکو)