یکشنبه،۱۹فروردین۱۳۹۷
کد: 167057

خودنمایی سایبر آسیب‌پذیرایران

 

به گزارش پایگاه خبری تحلیلی احرارگیل،حمله گسترده سایبری جمعه شب و مختل شدن دسترسی‌های اینترنتی یک بار دیگر اهمیت راه‌اندازی کامل شبکه ملی اطلاعات را گوشزد کرد...

به گزارش پایگاه خبری تحلیلی احرارگیل،حمله گسترده سایبری جمعه شب و مختل شدن دسترسی‌های اینترنتی یک بار دیگر اهمیت راه‌اندازی کامل شبکه ملی اطلاعات را گوشزد کرد…

زهرا چیذری

ساعات پایانی جمعه شب بود که دسترسی به شبکه اینترنت در دیتاسنتر افرانت، شاتل، صبانت و. . . با اختلال مواجه شد و اندکی نگذشت که بسیاری از سایت‌ها و پایگاه‌های خبری نیز از دسترس خارج شدند تا یک حمله سایبری را گوشزد کنند؛‌حمله‌ای که وزیر ارتباطات و فناوری اطلاعات با پیام توییتری خود هم آن را تأیید کرد و هم از تلاش برای به دست گرفتن کنترل اوضاع خبر داد. این حمله سایبری طی دوساعت مهار شد و بر اساس گزارش مرکز «ماهر» هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده است. با تمام اینها چنین حملاتی در این سطح باگ‌های امنیتی را گوشزد می‌کند که در صورت نرسیدن به استقلال در حوزه فضای مجازی
می‌تواند به آسیب‌هایی جدی منتهی شود.
توییت‌های محمد جواد آذری جهرمی درباره حملات سایبری ۱۷ اسفند حکایت از آن داشت که آقای وزیر در حال رصد ماجراست.
نخستین توییت وی در ساعت ۱۲ و ۲۴ دقیقه جمعه‌شب با تأیید حمله سایبری همراه بود«امشب برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند. تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند. مرکز ماهر به یاری این مراکز داده، حمله را کنترل کردند و در حال اصلاح شبکه‌های آنان به حالت طبیعی هستند. تلاش‌ها برای ناامن جلوه دادن‌ها یک فرصت برای اصلاح اشکال‌هاست».
توییت آخر وزیر در ساعت یک و ۱۵ دقیقه بامداد شنبه از بازگشت اوضاع به حالت عادی خبر می‌داد. آذری جهرمی که همچنان پیگیر ماجراست روز گذشته درباره این حمله گفت: ‌حدود۳هزار و ۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متأثر از حمله شده‌اند. عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. وی در عین حال پذیرفت که ضعف در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده وجود داشته است. آنطور که جهرمی درباره این حمله توضیح می‌دهد، ‌به لحاظ بزرگی حمله اینترنتی جمعه‌شب، ۲ درصد سهم کشور ما بوده و ایران به لحاظ حجم حمله در جمع ۱۰ کشور اول جهان هم نبوده است.نقشه تأثیر حملات نیز نشان می‌دهد که روسیه و امریکا بیشترین آسیب را از این حملات دیده‌اند. وی تأکید می‌کند:‌نوع حمله اخیر از نوع منع سرویس بوده و سرقت اطلاعاتی صورت نگرفته است. آقای وزیر معتقد است با توجه به اینکه در این حمله از پرچم کشور امریکا استفاده شده به نظر می‌رسد منشأ حمله از منطقه خاورمیانه نبوده است. به گفته وی با هک پرچم ایالات متحده، اعتراضی درباره انتخابات امریکا صورت گرفته است.

چرایی حمله سایبری جمعه‌شب

جهرمی می‌گوید: این اشکال امنیتی براساس خطای روترهای سامانه سیسکو به وجود آمد و دسترسی را با اشکال مواجه کرد و در نهایت تجهیزات از مدار خارج شد. البته حفره امنیتی در تجهیزات سیسکو حدود ۱۰ روز پیش منتشر شد که شرکت ارتباطات زیرساخت و اپراتورهای تلفن همراه و برخی اپراتورهای اینترنت به این تذکر توجه کرده بودند،‌اما مابقی به دلیل تعطیلات عید به این موضوع توجهی نشان ندادند.
وی با تأکید بر اینکه وزارت ارتباطات در چارچوب مسئولیت خود شبکه ارتباطی را ایمن و آن را مدیریت کرده است، افزود: از این جهت، هسته شبکه ملی اطلاعات با مشکلی مواجه نشد. البته وظیفه مرکز ماهر این بود که با درجه اهمیت بالا این حفره امنیتی را منعکس می‌کرد،‌اما شبکه شرکت‌ها به دلیل فریزنگهداشته شدن، این هشدار را جدی نگرفتند. جهرمی از تشکیل جلسه مجدد برای رسیدگی کامل‌تر به این موضوع خبر داد و گفت: حملات سایبری یکی از واقعیات فضای مجازی است و نظام‌هایی برای جلوگیری از عوارض و حواشی این حملات وجود دارد که باید آن را چابک‌تر و فعال‌تر کنیم. از سوی دیگر مرکز پیشگیری حوادث سایبری ما و شرکت‌های ارائه‌دهنده خدمات باید روابطشان عمیق‌تر شود و دستورالعمل‌های امنیتی باید به‌روزرسانی شود. سرهنگ نیک‌نفس،‌رئیس مرکز تشخیص و پیشگیری پلیس فتای نیروی انتظامی با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچ‌گونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است، درباره چرایی حمله صورت گرفته می‌گوید: این حمله سایبری ناشی از آسیب‌پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوییچ‌های مورد استفاده در سرویس‌دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند،‌ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به‌صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

هشداری که جدی گرفته نشد

بنا به تأکید رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان‌دهنده وجود این نقص امنیتی در بیش از۱۶۸ هزار ابزار فعال در شبکه اینترنت بوده است.
وی تصریح می‌کند: حدود یک‌سال قبل نیز شرکت مزبور هشداری مبنی بر جست‌وجوی گسترده هکرها به‌دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) به‌روی آنها فعال است، منتشر کرده بود. همچنین اطلاعات کامل و جزئیات فنی مربوط به آسیب‌پذیری مزبور به‌همراه وصله امنیتی مربوطه، ۱۰روز قبل (هشتم فروردین) اعلام شده است.
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا با بیان اینکه هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی‌شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوییچ‌ها و روترهای سیسکو و کارانداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور به‌روی آنها را داشته باشند، می‌افزاید: در اقدام فوریتی توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور «show vstack» به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور «no vstack» آن را غیرفعال کنند. سرهنگ نیک‌نفس تأکید می‌کند:مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب‌پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به به‌روزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.

۵۰ هزار حمله سایبری در یک سال

این اما نخستین حمله سایبری به کشورمان نیست و بی‌تردید آخرین آنها هم نخواهد بود. اواخر بهمن‌ماه سال گذشته هم سایت چند روزنامه هک شد که بر اساس گزارش مرکز ماهر پس از دریافت فایل‌های ثبت وقایع از حملات انجام شده از سرویس‌دهنده‌ها با تحلیل و بررسی تاریخچه حملات و آسیب‌پذیری‌ها حجم بالایی از فایل‌ها مورد تحلیل و آنالیز قرار گرفت و آی‌پی مبدأ حملات استخراج شد که شامل پنج آی‌پی از کشورهای انگلستان و امریکا بوده است.
پیش از این، رئیس سازمان پدافند غیرعامل کشور در گفت‌وگو با شبکه العالم گفته بود: سال ۹۵ بیش از ۵۰ هزار حمله سایبری به زیرساخت‌های کشور گزارش شده است که حدود ۹۴ درصد آن کم اهمیت یا با اهمیت متوسط بود و حدود ۶درصد آن پرخطر بود که خوشبختانه با اقداماتی که از قبل در قالب پدافند غیرعامل و سایبری در زیرساخت‌های سایبری صورت گرفته بود، بخشی از آن را قبل از وقوع کشف کردیم.

نام *
پست الکترونیک *
وب سایت