خودنمایی سایبر آسیبپذیرایران
ساعات پایانی جمعه شب بود که دسترسی به شبکه اینترنت در دیتاسنتر افرانت، شاتل، صبانت و. . . با اختلال مواجه شد و اندکی نگذشت که بسیاری از سایتها و پایگاههای خبری نیز از دسترس خارج شدند تا یک حمله سایبری را گوشزد کنند؛حملهای که وزیر ارتباطات و فناوری اطلاعات با پیام توییتری خود هم آن را تأیید کرد و هم از تلاش برای به دست گرفتن کنترل اوضاع خبر داد.
موبنا – این حمله سایبری طی دوساعت مهار شد و بر اساس گزارش مرکز «ماهر» هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده است. با تمام اینها چنین حملاتی در این سطح باگهای امنیتی را گوشزد میکند که در صورت نرسیدن به استقلال در حوزه فضای مجازی میتواند به آسیبهایی جدی منتهی شود.
توییتهای محمد جواد آذری جهرمی درباره حملات سایبری ۱۷ اسفند حکایت از آن داشت که آقای وزیر در حال رصد ماجراست.
نخستین توییت وی در ساعت ۱۲ و ۲۴ دقیقه جمعهشب با تأیید حمله سایبری همراه بود«امشب برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند. مرکز ماهر به یاری این مراکز داده، حمله را کنترل کردند و در حال اصلاح شبکههای آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادنها یک فرصت برای اصلاح اشکالهاست».
توییت آخر وزیر در ساعت یک و ۱۵ دقیقه بامداد شنبه از بازگشت اوضاع به حالت عادی خبر میداد. آذری جهرمی که همچنان پیگیر ماجراست روز گذشته درباره این حمله گفت: حدود۳هزار و ۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متأثر از حمله شدهاند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. وی در عین حال پذیرفت که ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده وجود داشته است. آنطور که جهرمی درباره این حمله توضیح میدهد، به لحاظ بزرگی حمله اینترنتی جمعهشب، ۲ درصد سهم کشور ما بوده و ایران به لحاظ حجم حمله در جمع ۱۰ کشور اول جهان هم نبوده است.نقشه تأثیر حملات نیز نشان میدهد که روسیه و امریکا بیشترین آسیب را از این حملات دیدهاند. وی تأکید میکند:نوع حمله اخیر از نوع منع سرویس بوده و سرقت اطلاعاتی صورت نگرفته است. آقای وزیر معتقد است با توجه به اینکه در این حمله از پرچم کشور امریکا استفاده شده به نظر میرسد منشأ حمله از منطقه خاورمیانه نبوده است. به گفته وی با هک پرچم ایالات متحده، اعتراضی درباره انتخابات امریکا صورت گرفته است. چرایی حمله سایبری جمعهشب جهرمی میگوید: این اشکال امنیتی براساس خطای روترهای سامانه سیسکو به وجود آمد و دسترسی را با اشکال مواجه کرد و در نهایت تجهیزات از مدار خارج شد. البته حفره امنیتی در تجهیزات سیسکو حدود ۱۰ روز پیش منتشر شد که شرکت ارتباطات زیرساخت و اپراتورهای تلفن همراه و برخی اپراتورهای اینترنت به این تذکر توجه کرده بودند،اما مابقی به دلیل تعطیلات عید به این موضوع توجهی نشان ندادند.
وی با تأکید بر اینکه وزارت ارتباطات در چارچوب مسئولیت خود شبکه ارتباطی را ایمن و آن را مدیریت کرده است، افزود: از این جهت، هسته شبکه ملی اطلاعات با مشکلی مواجه نشد. البته وظیفه مرکز ماهر این بود که با درجه اهمیت بالا این حفره امنیتی را منعکس میکرد،اما شبکه شرکتها به دلیل فریزنگهداشته شدن، این هشدار را جدی نگرفتند. جهرمی از تشکیل جلسه مجدد برای رسیدگی کاملتر به این موضوع خبر داد و گفت: حملات سایبری یکی از واقعیات فضای مجازی است و نظامهایی برای جلوگیری از عوارض و حواشی این حملات وجود دارد که باید آن را چابکتر و فعالتر کنیم. از سوی دیگر مرکز پیشگیری حوادث سایبری ما و شرکتهای ارائهدهنده خدمات باید روابطشان عمیقتر شود و دستورالعملهای امنیتی باید بهروزرسانی شود. سرهنگ نیکنفس،رئیس مرکز تشخیص و پیشگیری پلیس فتای نیروی انتظامی با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است، درباره چرایی حمله صورت گرفته میگوید: این حمله سایبری ناشی از آسیبپذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوییچهای مورد استفاده در سرویسدهندههای اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب میشوند،ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را بهصورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکهها را در پی داشته است. هشداری که جدی گرفته نشد بنا به تأکید رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشاندهنده وجود این نقص امنیتی در بیش از۱۶۸ هزار ابزار فعال در شبکه اینترنت بوده است.
وی تصریح میکند: حدود یکسال قبل نیز شرکت مزبور هشداری مبنی بر جستوجوی گسترده هکرها بهدنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) بهروی آنها فعال است، منتشر کرده بود. همچنین اطلاعات کامل و جزئیات فنی مربوط به آسیبپذیری مزبور بههمراه وصله امنیتی مربوطه، ۱۰روز قبل (هشتم فروردین) اعلام شده است.
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناساییشده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوییچها و روترهای سیسکو و کارانداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور بهروی آنها را داشته باشند، میافزاید: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور «show vstack» به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور «no vstack» آن را غیرفعال کنند. سرهنگ نیکنفس تأکید میکند:مسئولان فناوری اطلاعات سازمانها و شرکتها باید نسبت به بررسی مستمر آخرین آسیبپذیرهای سامانهها و ابزارها اقدام و نسبت به بهروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند. ۵۰ هزار حمله سایبری در یک سال این اما نخستین حمله سایبری به کشورمان نیست و بیتردید آخرین آنها هم نخواهد بود. اواخر بهمنماه سال گذشته هم سایت چند روزنامه هک شد که بر اساس گزارش مرکز ماهر پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچه حملات و آسیبپذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و آیپی مبدأ حملات استخراج شد که شامل پنج آیپی از کشورهای انگلستان و امریکا بوده است.
پیش از این، رئیس سازمان پدافند غیرعامل کشور در گفتوگو با شبکه العالم گفته بود: سال ۹۵ بیش از ۵۰ هزار حمله سایبری به زیرساختهای کشور گزارش شده است که حدود ۹۴ درصد آن کم اهمیت یا با اهمیت متوسط بود و حدود ۶درصد آن پرخطر بود که خوشبختانه با اقداماتی که از قبل در قالب پدافند غیرعامل و سایبری در زیرساختهای سایبری صورت گرفته بود، بخشی از آن را قبل از وقوع کشف کردیم.
منبع: جوان