هسته شبکه ملی اطلاعات کشور در امان ماند
با وقوع اختلالات سراسری در سرویس اینترنت و سرویسهای مراکز داده داخلی، این موضوع بلافاصله در صدر اخبار قرار گرفت و شاید وزیر ارتباطات و فناوری اطلاعات را بتوان جزو نخستین افرادی دانست که در توئیتر و اینستاگرام نسبت به این موضوع واکنش نشان داد و به این ترتیب بار دیگر بر تأثیرگذاری شبکههای اجتماعی در زمینه اطلاعرسانی تأکید کرد. وزیر ارتباطات در آخرین پست توئیتری خود نیز از برگزاری جلسه اضطراری بررسی این حمله سایبری خبر داد.
موبنا – در این جلسه سعی شده است کنکاشی درباره اتفاقی که صورت گرفته، انجام شود.
واکنشها در فضای مجازی
محمد جواد آذری جهرمی وزیر ارتباطات در یکی از توئیتهای خود آورده است: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامها از حمله در امان ماندهاند. وی همچنین در توئیتی جداگانه نوشت: حدود ۳۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متأثر از حمله شدهاند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاعرسانی مرکز ماهر(مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای) به شرکتها و نیز ضعف در پیکرهبندی مراکز داده وجود داشته است.
نیم نگاه
محمد تسلیمی رئیس مرکز ماهر: حمله سایبری انجام شده تنها به ایران مربوط نمی شود و سوئیچ های سیسکو در کشورهای مختلف همچون هند، روسیه، چین و برخی کشورهای افریقایی مورد حمله قرار گرفته اند
احمدرضا نخجوانی مدیرعامل یک شرکتFCP : این حمله، نوعی آسیب پذیری است که در برخی از سوئیچ های سیسکو وجود داشته است و اینکه ۱۰ روز قبل خود شرکت سیسکو این آسیب پذیری ها را اعلام و حتی راه حل مقابله با آن را اعلام کرده بود از این رو شرکتهایی که به روز بودند، راه های مقابله با آن را می دانستند و با انجام راه حل پیشنهادی، عملا مشکلی متوجه این شرکت ها از جمله شرکت ما نبود
محمدعلی یوسفی زاده مدیرعامل یک شرکتFCP : از آنجا که ما پیش بینی های لازم را داشتیم، به همین دلیل روی شبکه ما هیچ مشکلی ایجاد نشده است و به این سایتها و مشتریان هم کمک کردیم تا مشکلشان حل شود
از دیگر نهادهایی که نسبت به این موضوع واکنش نشان دادهاند میتوان به پلیس فتا اشاره کرد. رئیس مرکز تشخیص سایبری با اشاره به حملات سایبری اخیر با اعلام حل نسبی اختلالات ناشی از این حمله سایبری خاطرنشان کرد که هیچ دسترسی غیرمجازی به اطلاعات شهروندان ایجاد نشده است. علی نیکنفس این حملات را ناشی از آسیبپذیری در قابلیت پیکربندی راه دور تجهیزات سیسکو دانست و با بیان اینکه مشکلی که به وجود آمده، صرفاً به خاطر از کار افتادن سوئیچهای در شبکههاست تصریح کرد: طبیعی است این اختلال قطعی و کندی اینترنت را برای کاربران شرکتها در پی داشته است اما هیچ نوع دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است و از این جهت جای نگرانی وجود ندارد.
رئیس مرکز تشخیص سایبری با بیان اینکه این شرکتها باید سعی کنند تا اختلالات موجود را حل کنند، گفت: این اختلالات حل شده و تا حدی روی سرویسهای اصلی اینترنتی کشور برطرف شده است اما با توجه به ساعات ابتدایی کاری این هفته برخی از شرکتها احتمالاً متوجه اختلالات در شبکه خود خواهند شد که باید نسبت به آسیبپذیری و رفع مشکل اقدام کنند. وی همچنین یادآور شد: این آسیبپذیری حدود ۱۰ روز قبل توسط این شرکت اعلام و رسانهای شده بود که اطلاعات آن در سایت پلیس فتا و مرکز ماهر نیز موجود است.
غیر ممکن بودن تضمین حملات سایبری
اما با وجود گفته رئیس مرکز تشخیص سایبری مبنی بر اینکه این آسیبپذیری حدود ۱۰ روز قبل توسط شرکت سیسکو اعلام و رسانهای شده بود، حالا سؤال اینجاست که چرا اقدام خاصی ازسوی نهادهای مربوطه صورت نگرفته و آیا اصولاً چنین حملاتی قابل پیشگیری است؟
در همین راستا محمد تسلیمی رئیس مرکز ماهر در گفتوگو با روزنامه ایران یادآور شد: این حمله سایبری جزو حملات خسارت بار نبوده و هیچ خسارتی در کشور ایجاد نکرده است. به گفته وی، این حمله تنها ارتباط اینترنت را آن هم در ساعات پایانی شب قطع کرد. در واقع هکرها سوئیچهای سیسکو را مورد حمله قرار دادند. اما وظیفه این سوئیچها چیست؟ تسلیمی در این باره میگوید: سوئیچهای سیسکو روی لبه شبکه شرکتها از شرکت زیرساخت گرفته تا یک سازمان، اداره یا هرجایی که اینترنت را استفاده میکنند قرار میگیرند. درواقع کار این سوئیچها این است که ارتباط اینترنت را از دنیای خارج به داخل آن شبکه برقرار میکنند. این آسیبپذیری باعث شده که تنظیمات شبکه(کانسیگ) این سوئیچ سیسکو از بین برود. این سوئیچها دو نوع کانسیگ رانینگ و استارتاپ کانسیگ را انجام میدهد که با این آسیب پذیری، هر دو مدل این تنظیمات از بین رفتهاند و درعمل، آن سوئیچ یا وسیله، کاملاً به یک چیز خام تبدیل شده است. وی ادامه داد: به همین دلیل ارتباط اینترنت کلاً قطع میشود.
رئیس مرکز ماهر همچنین گفت: سیسکو پیش از این در آپدیتهای ۲۸مارس و همچنین آخرین آپدیت در ۶ آوریل درباره حفرههای امنیتی، هشدار داده بود ولی گاه بهدلیل برخی بیتوجهیهای سازمانها، این حملات سایبری صورت میگیرد. ما نیز در مرکز ماهر از چند روز قبل در حال پیگیری و کار روی این آسیبپذیری و دستگاههایی بودیم که از سوئیچهای سیسکو استفاده میکنند تا گزارش کلی را تهیه و ارائه کنیم ولی متأسفانه قبل از نتیجه نهایی، این حمله سایبری رخ داد وگرنه شاید میتوانستیم مانع آن شویم.
وی با بیان اینکه هیچ نهاد و سازمانی در هیچ یک از کشورهای جهان نمیتواند تضمین کند که مانع حملات سایبری میشود، ادامه داد: آسیب پذیریهای جدید هر روز به وجود میآیند و هر آسیبپذیری نیز در پایان ممکن است منجر به یک حمله شود. ما فقط باید هوشیار باشیم و اقدامات پیشگیرانه را انجام دهیم. تسلیمی افزود: کلاً سرویس دهندههای اینترنت باید به روز باشند و آخرین آپدیتها را انجام دهند اگر همین ارائه دهندگان سرویسهای اینترنتی، آخرین به روزرسانی منتشر شده توسط سیسکو را روی سوئیچ هایشان میگذاشتند هیچ کدام با مشکل مواجه نمیشدند.ما نهادهای امنیتی هم به موازات آن باید هشدارهای لازم را ارائه دهیم تا اگر سهلانگاریهایی هم رخ میدهد با این هشدارها بیشتر مراقب باشند و میزان وقوع این حوادث و اثر این حملات پایین بیاید.
رئیس مرکز ماهر همچنین در پاسخ به این سؤال که چقدر زمان میبرد تا این تنظیمات انجام شده و سیستم بالا بیاید نیز گفت: همه icpها و FCPها و ارائه دهندگان سرویس مثل آسیاتک، شاتل، ایرانسل تا شرکت زیرساخت باید بکآپ داشته باشد و بک آپ خود را روی این سوئیچها run کنند تا بتوانند سیستم را بالا بیاورند که در این صورت به زمان زیادی نیاز نداریم و البته باید یادآور شد که این زمان به حجم دیتای این مراکز نیز بستگی دارد. تسلیمی در ادامه بیان کرد: ولی آنها که بک آپ نداشته باشند باید از نو و به صورت دستی تنظیمات سوئیچ را انجام دهند که مطمئناً هم زمان زیادی میبرد تا سیستم بالا بیاید و هم با مشکل مواجه میشوند. البته تعداد چنین سازمانها یا ادارههایی چندان زیاد نیست و ما هم در گزارش مرکز ماهر به هشدارها و نحوه تنظیمات و بالا آوردن سیستم، اشاره کردهایم تا مشکلات زودتر حل شود. وی همچنین یادآور شد که تا لحظه تنظیم گزارش، مشکلات موجود در لایه سرویس دهندگان اینترنت در کشور حل شده، همگی سیستمهایشان را بازگرداندهاند و گزارشی از کندی اینترنت نداشتهایم. البته بخشی از سازمانهای دولتی که چندان با اینترنت کاری نداشتند هم صبح دیروز متوجه مشکل شدند و گزارشهایی به ما ارائه دادند البته تعداد این سازمانها چندان زیاد نبود.
تسلیمی همچنین در زمینه منشأ این حمله سایبری جهانی و نیز انگیزه این هک گفت: هرچند برخی میگویند این حمله سایبری در واکنش به انتخابات امریکا و ترامپ بوده، ولی هنوز مشخص نیست مبدأ حمله از کجا بوده است و نمیدانیم آیا این حمله پاسخ به ترامپ بوده است یا خیر. اما یک نکته مسلم است و آن هم اینکه هدف اصلی، ایران نبوده که بگوییم یک حمله سیاسی پشت پرده آن قرار داشته است. وی یادآور شد: روی سیستمهای هک شده، پرچم امریکا با این نوشته مشاهده شد که با انتخابات ما کاری نداشته باشید. تسلیمی ادامه داد: این حمله سایبری تنها به ایران مربوط نمیشود و سوئیچهای سیسکو در کشورهای مختلف همچون هند، روسیه، چین و برخی کشورهای افریقایی مورد حمله قرار گرفتهاند. وی با اشاره به اینکه مرکز ماهر بر مشکلات این حمله سایبری در سطح جهان تمرکزی نداشته و بیشتر مشکلات مربوط به ایران را پیگیری کرده است گفت: به همین دلیل هم نمیتوانیم از نظر آسیب ناشی از این حمله سایبری در ایران و کشورهای دیگر مقایسهای داشته باشیم.
کمترین آسیب با به روزرسانی
احمدرضا نخجوانی مدیرعامل یکی از شرکتهای FCP (شاتل) که نام آن در لیست شرکتهای مورد حملات سایبری اخیر دیده میشد، درباره حملات سایبری رخ داده در بامداد روز ۱۸ فروردین ماه گفت: این حمله، نوعی آسیبپذیری است که در برخی از سوئیچهای سیسکو وجود داشته است و اینکه ۱۰ روز قبل خود شرکت سیسکو این آسیب پذیریها را اعلام کرده بود و حتی راه حل مقابله با آن را اعلام کرده بود از اینرو شرکت هایی که به روز بودند، راههای مقابله با آن را میدانستند و با انجام راه حل پیشنهادی، عملاً مشکلی متوجه این شرکتها از جمله شرکت ما نبود.نخجوانی با بیان اینکه شبکه مشتریانای دی اس ال که بزرگترین شبکه مشتریان کشور است هیچ مشکلی را حس نکردند، گفت: تنها ۱.۵ درصد از شبکه ما تحت تأثیر این آسیبپذیری قرار گرفت و آن دسته از مشتریان نیز دچا ر آسیب شدند که سوئیچهای خود را در کل کشور روی دیتاسنتر شرکت ما قرار دادند به همین دلیل هم اینطور تلقی شد که مشکل از شرکت ما بوده است ولی در حقیقت اینطور نبود.
وی افزود: ما به کمک آنها رفتیم و چون از قبل آمادگی داشتیم، مشکل آنها را در عرض ۲۰ دقیقه حل کردیم. اکنون درهیچ بخش از شبکه ما حتی آن بخش که مربوط به مشتریان ماست مشکلی وجود ندارد و همه چیز کنترل شده است.
نخجوانی گفت: حتی شخص وزیر هم پیگیر این حملات سایبری بودند و پیگیری میکردند که کدام سایتهای خبری و… مورد حمله واقع شدهاند و برای حل آن تلاش کردند. وی این حملات سایبری را حملهای معمولی خواند که در تمام دنیا وجود دارد و در ادامه گفت: اما اگر متولیان فنی شرکتها اطلاعرسانیهای وندورهای بین المللی و تحولات جهانی را به صورت لحظهای و روزانه دنبال کنند، متوجه آسیبپذیریها میشوند و میتوانند بسرعت جلوی آن را بگیرند.
محمدعلی یوسفیزاده مدیرعامل یکی دیگر از شرکتهای FCP (آسیاتک) که نام آن در لیست شرکتهای اینترنتی مورد حمله هکری اخیر قرار داشت، هم به «ایران» گفت: شبکه ما آسیب ندیده است و بخشی که آسیب دیده مربوط به مشتریانی بوده که از دیتاسنتر و پهنای باند ما استفاده میکردند. یوسفیزاده افزود: از آنجا که ما پیشبینیهای لازم را داشتیم، به همین دلیل روی شبکه آسیا تک هیچ مشکلی ایجاد نشده است و به این سایتها و مشتریان هم کمک کردیم تا مشکلشان حل شود.
یوسفیزاده برای رفع چنین مشکلاتی نیز گفت: شرکتها از تجهیزات هر شرکتی که استفاده میکنند باید به روز بوده و با همدیگر در ارتباط باشند تا در صورت اعلام آسیبپذیری سریع، اقدامهای لازمی که شرکت مربوطه اعلام میکند را انجام دهند و از تأثیر حملات بکاهند. وی در ادامه افزود: شرکتها همچنین باید از محصولاتی استفاده کنند که شرکت مربوطه، خدمات پشتیبانی ارائه دهد و تیم فنی شرکتها هم به موضوع مسلط باشند تا بسرعت بتوانند جلوی آسیبها را بگیرند. در حالی که هنوز مبدأ مشخصی برای هکرها اعلام نشده است اما کمپانی «یو اس سرت» (US CERT) که در امریکا وظیفه مقابله با حملات سایبری گسترده را بر عهده دارد، حملات یادشده را به دولت روسیه منتسب کرده و نسبت به انجام حملاتی مشابه علیه سازمانها و نهادهای امریکایی در حوزههای متعددی از جمله انرژی، هستهای، مؤسسات تجاری، آب، ناوبری و غیره هشدار داده است. کمپانی سمانتک نیز مدعی شده که نام گروه هکری مسئول این حملات، دراگون فلای است.
گفتنی است در آخرین لحظات تنظیم این گزارش، وزارت ارتباطات وفناوری اطلاعات ، اطلاعیه ای برای تنویر افکار عمومی منتشر کرد. در بخشی از این اطلاعیه آمده است: حمله مذکور ظاهراً به بیش از ۲۰۰ هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله ای گسترده بوده است، در کشور ما حدود ۳۵۰۰ روتر سوئیچ مورد حمله واقع شده که ۵۵۰ فقره در تهران، ۱۷۰فقره در استان سمنان، ۸۸ فقره در استان اصفهان بوده و بیشترین آسیب پذیری از نظر تعداد در شرکتهای رسپینا، ایزایران و شاتل رخ داده است، لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس های پرکاربردی را از دسترس خارج کرد.
منبع: ایران | میترا جلیلی - سوسن صادقی