حمله سایبری اخیر به شبکههای رایانه ای سازمانها و مراکز خدماتی دولتی و خصوصی، در برخی از کشورهای جهان و همزمان در ایران و آلوده سازی هزاران رایانه، هشداری جدی است برای همه سازمانها و مراکز خدمات دولتی و غیردولتی که مقوله ی امنیت شبکهها را جدی بگیرند و برای مقابله با حملات آتی آماده باشند. تاکنون شاهد چندین حمله سایبری به سیستمهای رایانه ای در کشورمان بودیم. مهم ترین آنها ارسال ویروس "استاکس نت" و آلوده سازی رایانههای مراکز اتمی ایران بود. پس از آن شاهد حملات مشابهی بودیم. جدیدترین مورد باج افزار " واناکریی" Wannacry است که اطلاعات رایانهها را مورد حمله قرار می دهد. اما ماهیت این حملات چیست و چه اهدافی را دنبال می کند؟ میزان خسارات چقدر است و شرکتها و موسساتی که هدف حمله قرار می گیرند چه مسئولیتی درقبال امنیت سیستم های رایانه ای خود دارند؟ این ها سوالاتی است که با مهندس فرزاد کوکب زاده، کارشناس آی تی و متخصص امنیت شبکههای رایانه ای که به صورت تخصصی در زمینه مقابله با حملات سایبری فعالیت می کنند، در میان گذاشتیم. این گفت و گو را می خوانید:
حمله سایبری اخیر به وسیله چه باج افزاری صورت گرفته و ماهیت و نحوه عملکرد باج افزار را توضیح دهید؟
باج افزاری که اخیرا در حمله به سیستمهای رایانه ای ایران و برخی کشورهای جهان استفاده شده "گریه" یا Wannacry نام دارد. اصولا نحوه عملکرد این باج افزارها بدین گونه است که به اطلاعات مهم سازمانها و اشخاص حمله کرده و بر روی آنها رمزگذاری می کند. به طوری که امکان استفاده از فایلها را ازکاربر می گیرد. در این نوع حمله "هکر" در قبال حذف رمزها و برگرداندن اطلاعات، از کاربر درخواست وجه نقد می نماید.
نحوه آلوده شدن سیستمها به این باج افزار چگونه است؟ در واقع راه نفوذ باج افزار به شبکه سازمانها با وجود همه تدابیر احتیاطی و امنیتی کدام است؟
معمولا بیشترین قربانیان این باج افزار از طریق ایمیل آلوده دچار حمله شدند. ایمیل آلوده، معمولا از طرف فرستنده ناشناس با نشانی ایمیل معتبر و یا حتی نامعتبر ارسال می شود که اصولا این ایمیلها حاوی "لینک" یا "ضمیمه " فایلی می باشد که با کلیک کردن کاربر بر روی لینک آلوده، فرستنده را به وب سایت هدف وارد می کند یا از طریق فایل ضمیمه ایمیل که می تواند عکس و یا فایل PDF و Word و . . . باشد، حمله و نفوذ انجام می شود. متاسفانه در بسیاری از موارد خطای کاربران در سازمانهای هدف باعث موفقیت حمله باج افزارها به آن سازمانها و شرکتها شده است. اما در خصوص باج افزار wannacry، بیشترین راه نفوذ از طریق حفره امنیتی موجود در سیستم عاملهای مایکروسافت می باشد. شرکت مایکروسافت با تایید وجود این حفره، با ارائه Patch ها و نسخههای آپدیت شده برای هر ویندوز، سعی در برطرف کردن این حفره امنیتی داشته اما ظاهرا این اقدام نتیجه کاملی دربر نداشته است.
در خصوص ظهور اولین باج افزار ها و اینکه از کدام مناطق آغاز شده است، کمی توضیح دهید.
در دهههای گذشته، رمزگذاری بر روی فایلها شکل منسجمی نداشت و معمولا از روشهای ساده رمزگذاری استفاده می شد. اما با پیشرفت علوم رایانه، متاسفانه هکرها در زمینه رمزگذاری اطلاعات بسیار پیشرفت کردند و از روشهای بسیار پیچیده تری برای رمزگذاری فایل ها استفاده می کنند. پس از آن شاهد حملات دیگری بودیم که هر بار باج افزارها پیچیده تر عمل می کردند. در هر صورت باج افزار یک وجه فناورانه دارد که به تناسب رشد فناوری آنها هم پیچیده تر می شوند و سلسله پایان ناپذیری از حملات استمرار خواهد یافت.
پراکندگی جغرافیایی قربانیان باج افزار ها چگونه بوده است؟
در گذشته هکرها برای ایجاد حملات و رمزگذاری فایلها نیاز به دانش بسیار زیادی داشتند . اما به تازگی الگوریتمهای متعددی آماده شده و در اختیار عموم قرار داده می شوند. افراد زیادی بدون نیاز به داشتن دانش زیاد، به راحتی با جستجو در اینترنت می توانند این الگوریتمها را در اختیار داشته باشند و از آن در جهت منافع خود استفاده نمایند. به همین دلیل می توانیم بگوییم وسعت جغرافیایی معنایی ندارد و می تواند در هر منطقه ای اتفاق بیفتد.
بالا رفتن سطح صدمات از پایین بودن سطح دانش افراد و مهیا نبودن امکانات نرم افزاری و سخت افزاری کافی مناسب برای مقابله با حملات سایبری ناشی می شود. در مورد حملات اخیر باج افزارگریه یا wannacry، بیشترین قربانیان سازمانها و شرکتهای اروپایی بودند که علت اصلی بالا بودن صدمات، عدم آمادگی مدیران IT برای مقابله با این نوع حملات بوده است .
میزان صدمات ناشی از حمله این باج افزار در ایران چگونه بوده است؟
- با بررسی کارشناسی بنظر می رسد صدمات وارده از آمارهایی رسمی که توسط مقامات اعلام شده است، بیشتر است. به دلیل مسائل امنیتی نام این سازمانها و موسسات ذکر نشده است، اما این مسئله اولویت ما نیست. مهم این است که ریشه اصلی ضعف در شبکه سازمانها در ایران را بشناسیم که به عدم دانش کافی عمومی مسئولان IT مربوط می باشد.
چه تدابیری برای مقابله با اینگونه تهاجمها باید اتخاذ شود تا میزان صدمات کاهش یابد؟
در وهله اول نیازمند تدابیر امنیتی جدی هستیم. متاسفانه در بسیاری از سازمانها تعریف امنیت تعریف نادرستی است و مثلا تنها به داشتن یک ضد ویروس برای برقراری امنیت شبکه اکتفا می شود. در صورتی که امنیت مقوله ای نیست که با داشتن یک نرم افزار بتوان به آن رسید بلکه نیازمند یک راهکار کلی می باشد. برای رسیدن به امنیت ساختاری، به مجموعه ای از نرم افزارها و سخت افزارها نیاز است. البته می دانیم امنیت نسبی است، اما با رعایت نکات لازم می توان امنیت را به میزان بالایی تامین کرد. به طور کلی تدابیر امنیت شامل سه بخش می باشد :
1-آموزش و بروزرسانی دانش کارکنان سازمان برای مواجهه با تهدیدات.
2-پیشگیری (استقرار مجموعه ای از نرم افزارها و سخت افزارها در قالب یک راهکار واحد)
3-درمان (اگر به هر دلیل به رغم تمهیدات انجام شده دچار آلودگی شدیم چگونه آن را کنترل نماییم) .
با توجه به توضیحاتی که دادید، تدابیر امنیتی در قبال حملات هکرها اهمیت بسیاری دارد. اصولا ارائه راهکارهای امنیتی را در کدام حوزه تخصصی بشمار می آورید؟
برقراری امنیت (به ویژه در سه موردی که قبلا به آن اشاره کردیم) در تخصص شرکتهایی ست که در حوزه امنیت اطلاعات فعالیت می کنند. از طریق این شرکتها باید آموزش صحیح و دقیق به کارکنان شرکتها و سازمانها داده شود و راهکارهایی برای جلوگیری و سپس درمان ارائه گردد. باید این احتمال را بدهیم که در آینده ای نه چندان دور شاهد حملات سایبری قوی تری خواهیم بود و مسلما تهاجم اخیر آخرین مورد نخواهد بود. بنابراین تمامی سازمان ها باید در مقابل این حملات آمادگی مقابله داشته باشند، حملات سایبری جزء حملات تروریستی محسوب می شود که در فضای مجازی صورت می گیرد و صدمات آن ممکن است وسیع تر و جبران ناپذیرتر از حملات واقعی باشد. سازمانها برای آمادگی بیشتر باید مانورهایی را در دستور کار خود قرار دهند تا همه بدانند در زمان بروز حمله چه وظایفی خواهند داشت و چه آمادهگی هایی باید داشته باشند.
گفته شده عدم آمادگی مدیران IT سازمانهای قربانی این تهاجم، سبب موفقیت و وسعت ابعاد این مشکل شده است؟ نظر شما در این خصوص چیست ؟
صد در صد با این نظر موافقم. همه فکر می کنند چنین اتفاقی برای دیگران می افتد و هرگز برای خودشان احتمال وقوع آن را پیش بینی نمی کنند. در بسیاری از سازمانها و شرکتها، مدیران ارشد، مقوله IT را هزینه می دانند نه سرمایه گذاری، به همین دلیل اهمیت چندانی به موارد امنیتی نمی دهند . در برخی از سازمان ها به رغم تلاش های مدیرانIT به دلیل تایید نشدن هزینههای پیشنهادی، فراهم نبودن تجهیزات مناسب جهت برقراری امنیت، اجرای پروژه های برقراری امنیت ناتمام رها می شوند . در برخی موارد نیز نداشتن دانش کافی مسئولان IT دلیل بروز این اتفاق می باشد .
در خصوص سازمانهایی که از حملات احتمالی آینده نگران هستند، چه توصیه ای دارید؟
- به عنوان یک متخصص امنیت توصیه میکنم که تهدیدات امنیتی را جدی بگیرند. چون این مساله ممکن است دامنگیر هر سازمانی شود. اگر امروز امنیت را جدی نگیرند، دامنه خسارات ابعاد وسیعی خواهد یافت، در آن موقع باید هزینههایی به مراتب بیشتر متحمل شوند.
سازمانها و شرکتها چه آموزشهایی را برای کارکنان فعال در حوزه امنیت خود، در بلند مدت و کوتاه مدت باید در نظر بگیرند؟
متاسفانه در بسیاری از سازمانها شاهد مشکلات بسیار هستیم، مثل استفاده از نرم افزارها و سیستم عاملهای "غیر اورجینال" و "کرک" شده . در بسیاری از سازمانها دیده می شود که از ضد ویروس هایی استفاده می شود که شرکتهای سازنده آن، ایران را به طور کلی تحریم کرده اند، پس از استفاده از این نوع ضد ویروسها هرچند به اسم نسخه اصلی، منطقی نیست. این کار مثل این است که کلید گاوصندوق خود را به دست یک سارق بدهید.
این یک حفره بزرگ امنیتی است. در صورتی که با تهیه یک ضدویروس قوی و استاندارد می توان تا 90% امنیت سیستمها را برقرار کرد و 10% باقی مانده با تمهیدات دیگر قابل کنترل می باشد.
این روزها یکی از بزرگترین نقاط ضعف IT سازمانها، اتصال تلفن های هوشمند به سیستمهای شبکه و یا حتی اتصال لب تاپ و یا تب لت به اینترنت وایرلس می باشد. چنین کاری یک تهدید بزرگ برای هر مجموعه ای است. در صورتی که این تهاجم Wannacry یک حمله مشخص است. ما با دسته ی جدیدی از حملات روبه رو هستیم که به آن حملات هدفمند می گویند که برای یک سازمان ، نهاد خاص، کشور خاص ، کسب و کار خاص یا شخص خاص با هدف مشخص صورت می گیرد و مقابله با آن به مراتب سخت تر خواهد بود. بنابراین ما باید برای چنین حملاتی آماده باشیم. متاسفانه کشور ما در زمینه حملات هدفمند بالاترین رتبه را در جهان را دارد و بیشترین آلودگی را در کشور شاهد بودیم. اگر کمی به گذشته برگردیم خاطرمان هست بدافزارهای Flame ، Stuxnet در شرکت نفت و تجهیزات هسته ای ایران که صدمات زیادی به همراه داشت . چنین حملاتی می توانند تا مدت ها بر روی سیستم سازمانی فعال باشد و هکرها اطلاعات زیادی را سرقت کنند، بدون اینکه حتی مسئولان IT آن سازمانها متوجه شوند . متاسفانه خیلی از همکاران IT، بر این باور غلط هستند که با قطع کردن خدمات اینترنت، می توانند از نشت اطلاعات به بیرون جلوگیری نمایند . اما من اینجا با قاطعیت اعلام می کنم که حتی در شبکههایی که در آن ها خدمات اینترنت وجود ندارد، امکان حمله هدفمند وجود دارد . ساده اندیشی است که فکر کنیم با قطع سرویس اینترنت می توانیم جلوی حملات را بگیریم.
پس از آلوده شدن سازمان به این نوع باج افزار چگونه می توان میزان صدمات وارده را کاهش دهیم و راه مقابله چیست؟
متاسفانه پس از آلوده شدن هیچ راه حلی به جز فرمت کردن سیستمها و یا سرورها وجود ندارد . سیستمها و سرورهای آلوده باید هرچه زودتر از شبکه خارج شوند تا بتوان میزان سرایت آن را در شبکه پایین آورد. تنها داشتن نسخه کپی پشتیبان (Back up) می تواند ما را نجات دهد