هسته شبکه ملی اطلاعات کشور در امان ماند

با وقوع اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی، این موضوع بلافاصله در صدر اخبار قرار گرفت و شاید وزیر ارتباطات و فناوری اطلاعات را بتوان جزو نخستین افرادی دانست که در توئیتر و اینستاگرام نسبت به این موضوع واکنش نشان داد و به این ترتیب بار دیگر بر تأثیرگذاری شبکه‌های اجتماعی در زمینه اطلاع‌رسانی تأکید کرد. وزیر ارتباطات در آخرین پست توئیتری خود نیز از برگزاری جلسه اضطراری بررسی این حمله سایبری خبر داد.

موبنا – در این جلسه سعی شده است کنکاشی درباره اتفاقی که صورت گرفته، انجام شود.
واکنش‌ها در فضای مجازی
محمد جواد آذری جهرمی وزیر ارتباطات در یکی از توئیت‌های خود آورده است: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به‌ دلیل توجه به هشدار و انجام اقدام‌ها از حمله در امان مانده‌اند. وی همچنین در توئیتی جداگانه نوشت: حدود ۳۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متأثر از حمله شده‌اند. عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاع‌رسانی مرکز ماهر(مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای) به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده وجود داشته است.

 

نیم نگاه
محمد تسلیمی رئیس مرکز ماهر: حمله سایبری انجام شده تنها به ایران مربوط نمی شود و سوئیچ های سیسکو در کشورهای مختلف همچون هند، روسیه، چین و برخی کشورهای افریقایی مورد حمله قرار گرفته اند
احمدرضا نخجوانی مدیرعامل یک شرکتFCP : این حمله، نوعی آسیب پذیری است که در برخی از سوئیچ های سیسکو وجود داشته است و اینکه ۱۰ روز قبل خود شرکت سیسکو این آسیب پذیری ها را اعلام و حتی راه حل مقابله با آن را اعلام کرده بود از این رو شرکتهایی که به روز بودند، راه های مقابله با آن را می دانستند و با انجام راه حل پیشنهادی، عملا مشکلی متوجه این شرکت ها از جمله شرکت ما نبود
محمدعلی یوسفی زاده مدیرعامل یک شرکتFCP : از آنجا که ما پیش بینی های لازم را داشتیم، به همین دلیل روی شبکه ما هیچ مشکلی ایجاد نشده است و به این سایتها و مشتریان هم کمک کردیم تا مشکلشان حل شود

از دیگر نهادهایی که نسبت به این موضوع واکنش نشان داده‌اند می‌توان به پلیس فتا اشاره کرد. رئیس مرکز تشخیص سایبری با اشاره به حملات سایبری اخیر با اعلام حل نسبی اختلالات ناشی از این حمله سایبری خاطرنشان کرد که هیچ دسترسی غیرمجازی به اطلاعات شهروندان ایجاد نشده است. علی نیک‌نفس این حملات را ناشی از آسیب‌پذیری در قابلیت پیکربندی راه دور تجهیزات سیسکو دانست و با بیان اینکه مشکلی که به وجود آمده، صرفاً به خاطر از کار افتادن سوئیچ‌های در شبکه‌هاست تصریح کرد: طبیعی است این اختلال قطعی و کندی اینترنت را برای کاربران شرکت‌ها در پی داشته است اما هیچ نوع دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است و از این جهت جای نگرانی وجود ندارد.
رئیس مرکز تشخیص سایبری با بیان اینکه این شرکت‌ها باید سعی کنند تا اختلالات موجود را حل کنند، گفت: این اختلالات حل شده و تا حدی روی سرویس‌های اصلی اینترنتی کشور برطرف شده است اما با توجه به ساعات ابتدایی کاری این هفته برخی از شرکت‌ها احتمالاً متوجه اختلالات در شبکه خود خواهند شد که باید نسبت به آسیب‌پذیری و رفع مشکل اقدام کنند. وی همچنین یادآور شد: این آسیب‌پذیری حدود ۱۰ روز قبل توسط این شرکت اعلام و رسانه‌ای شده بود که اطلاعات آن در سایت پلیس فتا و مرکز ماهر نیز موجود است.
غیر ممکن بودن تضمین حملات سایبری
اما با وجود گفته رئیس مرکز تشخیص سایبری مبنی بر اینکه این آسیب‌پذیری حدود ۱۰ روز قبل توسط شرکت سیسکو اعلام و رسانه‌ای شده بود، حالا سؤال اینجاست که چرا اقدام خاصی ازسوی نهادهای مربوطه صورت نگرفته و آیا اصولاً چنین حملاتی قابل پیشگیری است؟
در همین راستا محمد تسلیمی رئیس مرکز ماهر در گفت‌و‌گو با روزنامه ایران یادآور شد: این حمله سایبری جزو حملات خسارت بار نبوده و هیچ خسارتی در کشور ایجاد نکرده است. به گفته وی، این حمله تنها ارتباط اینترنت را آن هم در ساعات پایانی شب قطع کرد. در واقع هکرها سوئیچ‌های سیسکو را مورد حمله قرار دادند. اما وظیفه این سوئیچ‌ها چیست؟ تسلیمی در این باره می‌گوید: سوئیچ‌های سیسکو روی لبه شبکه شرکت‌ها از شرکت زیرساخت گرفته تا یک سازمان، اداره یا هرجایی که اینترنت را استفاده می‌کنند قرار می‌گیرند. درواقع کار این سوئیچ‌ها این است که ارتباط اینترنت را از دنیای خارج به داخل آن شبکه برقرار می‌کنند. این آسیب‌پذیری باعث شده که تنظیمات شبکه(کانسیگ) این سوئیچ سیسکو از بین برود. این سوئیچ‌ها دو نوع کانسیگ رانینگ و استارتاپ کانسیگ را انجام می‌دهد که با این آسیب پذیری، هر دو مدل این تنظیمات از بین رفته‌اند و درعمل، آن سوئیچ یا وسیله، کاملاً به یک چیز خام تبدیل شده است. وی ادامه داد: به همین دلیل ارتباط اینترنت کلاً قطع می‌شود.
رئیس مرکز ماهر همچنین گفت: سیسکو پیش از این در آپدیت‌های ۲۸مارس و همچنین آخرین آپدیت در ۶ آوریل درباره حفره‌های امنیتی، هشدار داده بود ولی گاه به‌دلیل برخی بی‌توجهی‌های سازمان‌ها، این حملات سایبری صورت می‌گیرد. ما نیز در مرکز ماهر از چند روز قبل در حال پیگیری و کار روی این آسیب‌پذیری و دستگاه‌هایی بودیم که از سوئیچ‌های سیسکو استفاده می‌کنند تا گزارش کلی را تهیه و ارائه کنیم ولی متأسفانه قبل از نتیجه نهایی، این حمله سایبری رخ داد وگرنه شاید می‌توانستیم مانع آن شویم.
وی با بیان اینکه هیچ نهاد و سازمانی در هیچ یک از کشورهای جهان نمی‌تواند تضمین کند که مانع حملات سایبری می‌شود، ادامه داد: آسیب پذیری‌های جدید هر روز به وجود می‌آیند و هر آسیب‌پذیری نیز در پایان ممکن است منجر به یک حمله شود. ما فقط باید هوشیار باشیم و اقدامات پیشگیرانه را انجام دهیم. تسلیمی افزود: کلاً سرویس دهنده‌های اینترنت باید به روز باشند و آخرین آپدیت‌ها را انجام دهند اگر همین ارائه دهندگان سرویس‌های اینترنتی، آخرین به روزرسانی منتشر شده توسط سیسکو را روی سوئیچ هایشان می‌گذاشتند هیچ کدام با مشکل مواجه نمی‌شدند.ما نهادهای امنیتی هم به موازات آن باید هشدارهای لازم را ارائه دهیم تا اگر سهل‌انگاری‌هایی هم رخ می‌دهد با این هشدارها بیشتر مراقب باشند و میزان وقوع این حوادث و اثر این حملات پایین بیاید.
رئیس مرکز ماهر همچنین در پاسخ به این سؤال که چقدر زمان می‌برد تا این تنظیمات انجام شده و سیستم بالا بیاید نیز گفت: همه icpها و FCP‌ها و ارائه دهندگان سرویس مثل آسیاتک، شاتل، ایرانسل تا شرکت زیرساخت باید بک‌آپ داشته باشد و بک آپ خود را روی این سوئیچ‌ها run کنند تا بتوانند سیستم را بالا بیاورند که در این صورت به زمان زیادی نیاز نداریم و البته باید یادآور شد که این زمان به حجم دیتای این مراکز نیز بستگی دارد. تسلیمی در ادامه بیان کرد: ولی آنها که بک آپ نداشته باشند باید از نو و به صورت دستی تنظیمات سوئیچ را انجام دهند که مطمئناً هم زمان زیادی می‌برد تا سیستم بالا بیاید و هم با مشکل مواجه می‌شوند. البته تعداد چنین سازمان‌ها یا اداره‌هایی چندان زیاد نیست و ما هم در گزارش مرکز ماهر به هشدارها و نحوه تنظیمات و بالا آوردن سیستم، اشاره کرده‌ایم تا مشکلات زودتر حل شود. وی همچنین یادآور شد که تا لحظه تنظیم گزارش، مشکلات موجود در لایه سرویس دهندگان اینترنت در کشور حل شده، همگی سیستم‌هایشان را بازگردانده‌اند و گزارشی از کندی اینترنت نداشته‌ایم. البته بخشی از سازمان‌های دولتی که چندان با اینترنت کاری نداشتند هم صبح دیروز متوجه مشکل شدند و گزارش‌هایی به ما ارائه دادند البته تعداد این سازمان‌ها چندان زیاد نبود.
تسلیمی همچنین در زمینه منشأ این حمله سایبری جهانی و نیز انگیزه این هک گفت: هرچند برخی می‌گویند این حمله سایبری در واکنش به انتخابات امریکا و ترامپ بوده، ولی هنوز مشخص نیست مبدأ حمله از کجا بوده است و نمی‌دانیم آیا این حمله پاسخ به ترامپ بوده است یا خیر. اما یک نکته مسلم است و آن هم اینکه هدف اصلی، ایران نبوده که بگوییم یک حمله سیاسی پشت پرده آن قرار داشته است. وی یادآور شد: روی سیستم‌های هک شده، پرچم امریکا با این نوشته مشاهده شد که با انتخابات ما کاری نداشته باشید. تسلیمی ادامه داد: این حمله سایبری تنها به ایران مربوط نمی‌شود و سوئیچ‌های سیسکو در کشورهای مختلف همچون هند، روسیه، چین و برخی کشورهای افریقایی مورد حمله قرار گرفته‌اند. وی با اشاره به اینکه مرکز ماهر بر مشکلات این حمله سایبری در سطح جهان تمرکزی نداشته و بیشتر مشکلات مربوط به ایران را پیگیری کرده است گفت: به همین دلیل هم نمی‌توانیم از نظر آسیب ناشی از این حمله سایبری در ایران و کشورهای دیگر مقایسه‌ای داشته باشیم.
کمترین آسیب با به روزرسانی
احمدرضا نخجوانی مدیرعامل یکی از شرکت‌های FCP (شاتل) که نام آن در لیست شرکت‌های مورد حملات سایبری اخیر دیده می‌شد، درباره حملات سایبری رخ داده در بامداد روز ۱۸ فروردین ماه گفت: این حمله، نوعی آسیب‌پذیری است که در برخی از سوئیچ‌های سیسکو وجود داشته است و اینکه ۱۰ روز قبل خود شرکت سیسکو این آسیب پذیری‌ها را اعلام کرده بود و حتی راه حل مقابله با آن را اعلام کرده بود از این‌رو شرکت هایی که به روز بودند، راه‌های مقابله با آن را می‌دانستند و با انجام راه حل پیشنهادی، عملاً مشکلی متوجه این شرکت‌ها از جمله شرکت ما نبود.نخجوانی با بیان اینکه شبکه مشتریان‌ای دی اس ال که بزرگترین شبکه مشتریان کشور است هیچ مشکلی را حس نکردند، گفت: تنها ۱.۵ درصد از شبکه ما تحت تأثیر این آسیب‌پذیری قرار گرفت و آن دسته از مشتریان نیز دچا ر آسیب شدند که سوئیچ‌های خود را در کل کشور روی دیتاسنتر شرکت ما قرار دادند به همین دلیل هم این‌طور تلقی شد که مشکل از شرکت ما بوده است ولی در حقیقت این‌طور نبود.
وی افزود: ما به کمک آنها رفتیم و چون از قبل آمادگی داشتیم، مشکل آنها را در عرض ۲۰ دقیقه حل کردیم. اکنون درهیچ بخش از شبکه ما حتی آن بخش که مربوط به مشتریان ماست مشکلی وجود ندارد و همه چیز کنترل شده است.
نخجوانی گفت: حتی شخص وزیر هم پیگیر این حملات سایبری بودند و پیگیری می‌کردند که کدام سایت‌های خبری و… مورد حمله واقع شده‌اند و برای حل آن تلاش کردند. وی این حملات سایبری را حمله‌ای معمولی خواند که در تمام دنیا وجود دارد و در ادامه گفت: اما اگر متولیان فنی شرکت‌ها اطلاع‌رسانی‌های وندورهای بین المللی و تحولات جهانی را به صورت لحظه‌ای و روزانه دنبال کنند، متوجه آسیب‌پذیری‌ها می‌شوند و می‌توانند بسرعت جلوی آن را بگیرند.
محمدعلی یوسفی‌زاده مدیرعامل یکی دیگر از شرکت‌های FCP (آسیاتک) که نام آن در لیست شرکت‌های اینترنتی مورد حمله هکری اخیر قرار داشت، هم به «ایران» گفت: شبکه ما آسیب ندیده است و بخشی که آسیب دیده مربوط به مشتریانی بوده که از دیتاسنتر و پهنای باند ما استفاده می‌کردند. یوسفی‌زاده افزود: از آنجا که ما پیش‌بینی‌های لازم را داشتیم، به همین دلیل روی شبکه آسیا تک هیچ مشکلی ایجاد نشده است و به این سایتها و مشتریان هم کمک کردیم تا مشکلشان حل شود.
یوسفی‌زاده برای رفع چنین مشکلاتی نیز گفت: شرکت‌ها از تجهیزات هر شرکتی که استفاده می‌کنند باید به روز بوده و با همدیگر در ارتباط باشند تا در صورت اعلام آسیب‌پذیری سریع، اقدام‌های لازمی که شرکت مربوطه اعلام می‌کند را انجام دهند و از تأثیر حملات بکاهند. وی در ادامه افزود: شرکت‌ها همچنین باید از محصولاتی استفاده کنند که شرکت مربوطه، خدمات پشتیبانی ارائه دهد و تیم فنی شرکت‌ها هم به موضوع مسلط باشند تا بسرعت بتوانند جلوی آسیب‌ها را بگیرند. در حالی که هنوز مبدأ مشخصی برای هکرها اعلام نشده است اما کمپانی «یو اس سرت» (US CERT) که در امریکا وظیفه مقابله با حملات سایبری گسترده را بر عهده دارد، حملات یادشده را به دولت روسیه منتسب کرده و نسبت به انجام حملاتی مشابه علیه سازمان‌ها و نهادهای امریکایی در حوزه‌های متعددی از جمله انرژی، هسته‌ای، مؤسسات تجاری، آب، ناوبری و غیره هشدار داده است. کمپانی سمانتک نیز مدعی شده که نام گروه هکری مسئول این حملات، دراگون فلای است.
گفتنی است در آخرین لحظات تنظیم این گزارش، وزارت ارتباطات وفناوری اطلاعات ، اطلاعیه ای برای تنویر افکار عمومی منتشر کرد. در بخشی از این اطلاعیه آمده است: حمله مذکور ظاهراً به بیش از ۲۰۰ هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله ای گسترده بوده است، در کشور ما حدود ۳۵۰۰ روتر سوئیچ مورد حمله واقع شده که ۵۵۰ فقره در تهران، ۱۷۰فقره در استان سمنان، ۸۸ فقره در استان اصفهان بوده و بیشترین آسیب پذیری از نظر تعداد در شرکتهای رسپینا، ایزایران و شاتل رخ داده است، لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس های پرکاربردی را از دسترس خارج کرد.

 منبع: ایران | میترا جلیلی - سوسن صادقی

نوشته های مشابه

دکمه بازگشت به بالا