واضح آرشیو وب فارسی:سایت رسیک: با آلوده شدن تعداد بسياري از سيستمهاي رايانهيي صنعتي كشور به كرم جاسوس استاكسنت اين سوال بهوجود آمده كه پاكسازي سيستمهاي آلوده شده در چه مرحلهايست و آيا ميتوان اميدوار بود كه به زودي شاهد ارتقاي حوزه امنيت اطلاعات كشور باشيم؟
در شرايطي كه هر روز شاهد روند صعودي ورود ويروسهاي رايانهيي به محيط سايبر هستيم كه به دغدغههاي كاربران براي استفاده از اينترنت ميافزايد؛ استاكسنت كرم جاسوسگري بود كه توانست خودش را در دل سيستمهاي بخش صنعت به صورت پنهاني حدود 8 ماه جا كند، بدون اينكه فردي متوجه حضور ويروسي در سيستمها شود.
تقريبا 2 ماه پيش بود كه مسوولان صنعتي به دليل تداخلات ايجادي در سيستمها وجود ويروسي در آنها را حدس زدند كه موجبات آن رخ نمودن ويروس استاكسنت بود كه معلوم نبود تا آن موقع به چه اعمال خرابكارانهاي دست زده است!
مدير كل دفتر صنايع برق، الكترونيك و فنآوري اطلاعات وزارت صنايع و معادن بعد از اعلام چنين ويروسي در سيستمهاي صنعتي كشور اعلام كرد كه منشاء ورود آن سيستمهاي اسكاداي زيمنس بوده است و در پاسخ به اين سوال كه آيا شركتهاي داخلي از آنتيويروس طراحي شده توسط شركت زيمنس استفاده ميكنند؟ عنوان كرد: استفاده از آنتيويروس زيمنس را توصيه نميكنيم، زيرا اگر پشت طراحي كرم جاسوس استاكسنت اراده دولتي وجود داشته باشد، ممكن است چنين ارادهاي در شركت زيمنس نيز به شكل ديگري وجود داشته باشد.
حال كه اين كه كرم جاسوس توانسته به داخل كشور نفوذ كند بد نيست كه با روشهاي شيوع ، گسترش و عملكرد آن از ديد كارشناساتن مباحث امنيتي آشنا شويم تا شايد عاملي باشد براي اينكه براي ارتقاي امنيت منتظر بروز چنين ويروسهايي ننشينيم و قبل از گرفتاري به فكر راهكار باشيم.
به گفته يكي از محققان سيمانتك، اين حقيقت كه آلودگي به اين كرم در ايران بيشتر از هر نقطه ديگر جهان است، ما را به اين فكر مياندازد كه اين تهديد ايران را هدف گرفته بود و در ايران هدف بسيار بسيار باارزشي براي كسي كه اين برنامه مخرب را نوشته، وجود داشته است.
حتي اين گمان وجود دارد كه اين كرم ماموريت مختل كردن نيروگاه برق هستهيي بوشهر يا تاسيسات غنيسازي اورانيوم نطنز را داشته است. اگرچه اذعان شده كه شواهد كافي براي نتيجهگيري در مورد آنچه كه هدف اين كرم بوده يا كساني كه آن را ساختهاند، وجود ندارد.
اما رييس سازمان انرژي اتمي در ارتباط با جوسازي رسانههاي غربي مبني بر نفوذ ويروس به سيستمهاي كامپيوتري نيروگاه بوشهر گفت: از يك سال پيش اقدامات حفاظتي و مصونيتسازي كامپيوترها را آغاز كرديم و از دو ماه پيش نيز با پيشبينيهاي قبلي اقدامات لازم را جهت جلوگيري از ورود ويروس تشديد كرديم.
علياكبر صالحي در پاسخ به سوال خبرنگار ايسنا مبني بر اينكه يكي از مسوولان نيروگاه بوشهر اعلام كرده كه فقط لپتاپهاي شخصي برخي از كاركنان اين نيروگاه هدف ويروس قرار گرفته و آلوده شده است، گفت: همانطور كه اشاره كردم اين آلودگي به سيستم اصلي ما نرسيده و در برخي از لپتاپهاي شخصي مشاهده شده كه اقدامات لازم نيز در اين ارتباط انجام شده ولي سيستم اصلي ما پاك است.
محمود جعفري - مجري طرح نيروگاه اتمي بوشهر - هم در اين باره به شبكه العالم گفته بود: كرم جاسوس استاكسنت هيچ خسارتي به سيستمهاي اصلي نيروگاه اتمي بوشهر نزده است و در ادامه افزود: كليه رايانههاي نيروگاه در حال انجام كار طبيعي خود هستند.
با توجه به سطح بالاي پيشرفتگي استاكس نت، برخي اين گمان را مطرح كردهاند كه استاكسنت از سوي هكرهايي طراحي شده كه مورد حمايت دولتي قرار داشتهاند و در اين ميان برخي به آمريكا و برخي ديگر به رژيم صهيونيستي به عنوان عامل ساخت اين كرم اينترنتي اشاره كردهاند.
علت گسترش كرم جاسوس چه بود؟
هرچند اين ويروس در چند ماه اخير قد و قامتي در برابر صنعت ما بلند كرده است اما اكثر كارشناسان ورود اين ويروس به سيستمها را بسيار ساده و اكثرا از طريق حافظههاي USB عنوان ميكنند هرچند عدهاي هم نبود قانون كپيرايت در كشور را عامل مهمي براي بروز چنين حوادثي ميدانند، ولي به هر حال بايد دانست هرچند به دور از عقل به نظر ميرسد اما همين ويروس به راحتي از طريق فلش وارد رايانه شده و موجب گسترش خود ميشود.
شكلگيري استاكسنت در سيستمها به علت ضعف در سيستمهاي اسكاداي زيمنس عنوان شده و به همين دليل از آنتي ويروسهاي ساخت آن شركت بهخاطر برخي سوء نيتهاي دولتي استفاده نشده است، عليرضا صالحي - قائم مقام کميسيون افتاي سازمان نظام صنفي رايانهيي - معتقد است كه شبكههاي ما تا قبل از بروز اين مشكل چون با ويندوز كار نميكردند، زياد در معرض آلودگي و خطر نبودند و به همين خاطر بحث امنيت آنها جدي نبود اما زماني كه پلت فرم سيستمها به ويندوز تغيير يافت، سوءاستفاده از حفرههاي امنيتي ويندوز گسترش يافت.
در اين باره پاتريك فيتز جرالد - مدير تهديد هوشمند سيمانتك - نيز بيان كرده است كه كرم استاكسنت براي نخستين بار در نيمه ماه ژوييه ظاهر و از طريق دستگاههاي USB آلوده منتشر شده و براي هدف گرفتن شركتهايي كه از سيستمهاي SCADA استفاده ميكنند، طراحي شده بود.
سيستمهاي SCADA سيستمهايي صنعتي هستند كه براي كنترل روند ساخت از مكانهاي مركزي بهعنوان مثال براي تغيير سرعت كار موتور يك دستگاه در كارخانه يا فشار در يك خط لوله مورد استفاده قرار ميگيرند و محيطهاي معمولي استفاده آن ممكن است خطوط لوله نفت يا نيروگاههاي برق باشند.
آنتيويروسها متوجه كرم نشدند!
سوال اكثر افراد فعال در حوزه امنيت در ابتداي طرح اين موضوع اين بود كه چرا هيچ واكنشي و يا ترديدي از سوي آنتي ويروسهاي فعال برروي سيستم ها شكل نگرفته است كه حميدرضا سعدي - مدير شركت توليدكننده آنتيويروس - در اين باره گفت: علت شناخته نشدن اين ويروس توسط آنتيويروسهاي خارجي، جديد بودن آن است اما باز هم ميتوانستند با روش اكتشافي كه از خود ارائه ميدهند، در جهت شناسايي آن اقدام كنند.
اين كارشناس امنيت شبكه تاكيد كرد: هماكنون با گذشتن بيش از شش يا هفت ماه از پخش بودن و آزاد گشتن اين ويروس در سيستمهاي صنعتي، يك آنتي ويروس بلاروسي توانسته كد مقابله با آن را پيدا و به عموم اطلاعرساني كند تا ديگر آنتيويروسها هم بتوانند از آن كد استفاده كنند.
او با بيان اينكه كد جاسوسافزاري كه براي اين ويروس نوشته شده مميزي شده است، ادامه داد: مميزي شدن به اين معني كه به آنتيويروسها گفته شده كه اين ويروس را رصد نكنند تا به عنوان يك كد درست بتواند به فعاليت خودش ادامه دهد.
هرچند اين شيوه در فعاليت بخشهايي مثل پليس اينترپل وجود دارد، اما بايد دانست كه مميزي كردن بعضي موضوعات توسط آنها درباره جرائم رايانهيي و يا كنترلهاي شهروندي كشورهاست.
چگونگي جاسوسي استاكسنت
فرضياتي در ميان كارشناسان مباحث امنيت شبكه درباره چگونگي گسترش اين ويروس بر روي شبكهها وجود داشت كه محسن براتي - عضو هيات علمي دانشگاه - با بيان اينكه هدف اصلي ويروس استاكسنت اختلال در كارها و زيرساختهاي بزرگ صنعتي بوده است، اظهار كرد: اين ويروس با حفرهاي امنيتي كه در ويندوز بهوجود ميآيد، به حالت يك كرم اطلاعاتي به سرقت اطلاعات ميپردازد و ارگانهايي كه بانكهاي اطلاعاتي بدون حفاظت ويژهاي در پروژههاي خود دارند، به راحتي مورد حمله اين كرم قرار ميگيرند.
وي ورود اين كرم در سيستمها را گاهي توسط BACKDOOR دانست و خاطر نشان كرد: اين ويروس حدود هشت ماه است كه در سيستمها نفوذ كرده اما تنها حدود سه ماه است كه از وجود آن آگاه شديم و با قطعيت نميتوان گفت كه هدف اين جاسوسي فقط كشور ايران بوده و با آماري كه ارائه شده 60 درصد كشور ايران، 20 درصد مالزي و هند جزو كشورهاي آسيب خورده بودهاند.
پژوهش شركت امنيتي سيمانتك نيز نشان داده است اين كرم از دستگاهي به دستگاه ديگر ميرود تا سرانجام سيستمي را بيابد كه SCADA در آن قرار دارد و از طريق يك سيستم كنترل و فرمان به نفوذگر گزارش ميدهد و دو آسيبپذيري ديگر براي دسترسي ويژه مورد بهرهبرداري قرار ميگيرند.
وليالله قديمي - كارشناس رسمي دادگستري در امور ICT و جرايم رايانهيي درباره اين موضوع گفت: گزارشهايي مبني بر گسترش اين ويروس در سيستمهاي رايانهيي صنعتي كشور ارائه شده است؛ با نفوذ چنين كرمهاي جاسوسگري، اطلاعات تكنولوژيكي صنعتي به خارج از كشور منتقل شده و مسير را براي خرابكاريهاي كشورهاي بيگانه هموار ميسازد تا بتوانند در روند حركتي صنايع كشور همچون نفت و گاز و صنايع مرتبط با تامين انرژي و مواد اوليه، اختلال بهوجود آورند.
چرا صنعت؟
موضوع ظريفي كه وجود دارد اينكه حمله اين كرم جاسوسگر به سيستمهاي صنعتي كشور است، زيرا معمولا بخشهاي حساستري در هر كشوري براي هكرها از قبيل بخشهاي دفاعي وجود دارد كه معمولا مورد هجوم قرار ميگيرند ولي اين بار چرا صنعت؟
محسن براتي - كارشناس فنآوري اطلاعات - سيستمهاي نظامي را بسته و راه نفوذ اين ويروس به آنها را تقريبا غيرممكن دانست و ابراز كرد: حدود 75 درصد تهاجمات و حمايت سايبري كه در كشور اتفاق ميافتد زير نظر آمريكا و اسراييليها به وقوع ميپيوندد و تنها 25 درصد مربوط به چين، كره و ديگر كشورهاست.
به اعتقاد كارشناسان حفاظتهاي فعلي سيستمهاي صنعتي چه سختافزاري و چه نرمافزاري نسبت به رايانههاي شخصي خيلي ضعيفتر است و دليل آن فراواني رايانه شخصي يا خانگي است كه دست هكران را براي خود باز گذاشته است و درنتيجه اقدامات حفاظتي آنها هم به مراتب بالاتر از سيستمهاي صنعتي است، شايد كمبود اطلاعات از سيستمهاي صنعتي عامل ديگري باشد كه ويروسنويسان اين حوزه چندان رشدي نداشتهاند.
اين درحاليست كه دبير شوراي فنآوري اطلاعات وزارت صنايع و معادن كينهتوزيهاي برخي كشورها و دشمنان، را عامل اصلي چنين حملات مخربي ميداند و اهتمام بيش از پيش مسوولان در زمينه امنيت فضاي سايبري در بخشهاي مختلف از جمله بخش صنعت و معدن كشور را مؤثر مي داند.
ميزان آلودگي سيستمها
گزارشهاي متعدد برخي از شركتهاي امنيتي چه در داخل كشور و چه در خارج و حتي طبق گفته برخي از مسوولان حاكي از آلودگي بيش از 60 درصد سيستمهاي صنعتي به اين جاسوسگر دارد و اين در شرايطي است كه برخي كارشناسان نظر دقيق خود را اعلام
نميكنند زيرا معتقدند كه به دليل سيستم بسته اطلاعاتي صنايع كشور اعداد و ارقام دقيقي از سوي خود اين سازمان بيان نشده است.
عليرضا صالحي - كارشناس امنيت شبكه - با بيان اينكه گزارشهاي مختلف از آلودگي حدود 15 تا 30 هزار IP توسط ويروس استاكسنت حكايت ميكند، گفت: با اين وجود حدود 30 هزار شبكه با تعداد محدود يا وسيعي از رايانه به اين ويروس آلوده شده است.
حميدرضا سعدي هم درباره اين موضوع معتقد است كه كد جاسوسافزار كرم استاكس نت مميزي شده است و آمار نزديك به يقيني از سوي يک شرکت ضدويروس خارجي مبني بر ارسال تعداد 8200 IP VALID (آيپيهاي شناخته شده در كل جهان) از كشور ارائه شده است.
چگونه پاكسازي كنيم؟
حال نوبت به ارائه راهكارهايي براي پاكسازي آن از سيستمهاي صنعتي ميرسد كه براتي در اين باره معتقد است هرچند استانداردهايي تحت عنوان ايزو 27000 را هم داريم اما متاسفانه اصول و الزامات توسط توليدكنندگان و پشتيبانان رعايت نميشود و بايد نگرشي جديد به مباحث نرمافزاري و سختافزاري تكنولوژيكي در كشور و سازمانها اتفاق بيفتد و مورد بازبيني مجدد قرار بگيرند و بهترين راهكار حتي براي كاهش خسارات ناشي از ويروسها و حملات سايبري، طراحي و ساخت يك آنتيويروس بومي است.
كارشناسان بر اين عقيدهاند كه در كنار مجموعههاي دولتي فعال در حوزه امنيت، توليد يك ضد ويروس بومي اهميت خودش را نشان ميدهد و اعتماد به برخي توليدات خارجي از بين ميرود و تنها با سرمايهگذاري در حوزه توليد و حمايت محصولات داخلي ميتوان سطح علمي و عملياتي مجموعههاي داخلي كشور را حفظ كرد و فراتر از حال حاضر برد.
هرچند در ابتداي مشخص شدن حمله اين ويروس محمود ليايي - مديركل دفتر صنايع برق، الكترونيك و فنآوري اطلاعات وزارت صنايع و معادن - خبر از توليد آنتي ويروس كرم جاسوس استاكسنت توسط دو شركت داخلي داد ولي طبق آمارها تاكنون آنتي ويروسي از داخل كشور آنطور كه بايد درصدد رفع معضلات استاكس نت برنيامده است.
در هر حال در اواخر ماه گذشته نشست بررسي ويروسهاي صنعتي با تمركز بر جاسوسافزار صنعتي استاكسنت و راههاي پيشگيري، پاكسازي و ايمنسازي سيستمهاي صنعتي آسيبپذير از حملات امنيتي با حضور معاونان، مشاوران و مديران كل وزارت صنايع و معادن برگزار شد و كارشناسان اميدوارند برگزاري نشستهايي اين چنين هر چه زودتر تاثير بهسزايي در كاهش تخريب حملات ويروسي به فضاي مجازي و سايبري صنعت كشور داشته باشد.
ظاهرا متخصصان سازمان انرژي اتمي و وزارت مخابرات دست به دست هم دادند، از يك اشراف و اطلاعات خوبي برخوردار شدند و به خوبي توانستند با اين ويروس مقابله كنند و اين امر باعث شد كه ما به خيلي از اقدامات فني ديگر نيز دست پيدا كنيم.
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت رسیک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 175]