ایران عصر

کارشناسان امنیت سایبری در گفت‌وگو با «ایران» بیان کردند

انتشار گزارش هک مانع گسترش حملات سایبری

سوسن صادقی
خبرنگار
چندی پیش هک شدن سازمان صداوسیما و تلوبیون خبرساز شد اما باز مانند دیگر هک‌هایی که در کشور اتفاق می‌افتد، هیچ گزارشی مبنی بر اینکه چرا هک اتفاق افتاده، مشکل چه بوده است و... از سوی این سازمان و مراکز امنیت سایبری منتشر نشد تا دیگر سازمان‌ها نیز از راه‌های نفوذ مطلع شده و دست به اقدام‌های عملی پیشگیرانه بزنند. این در حالی است که وب سایت «چک پوینت» که متعلق به رژیم صهیونیستی است، جزئیات این هک را منتشر کرده است. اما چرا در کشور ما هکی که صورت می‌گیرد گزارش آن منتشر نمی‌شود؟ انتشار گزارش هک چه پیامدهای مثبتی دارد و اینکه در انتشار گزارش‌ها چه موارد امنیتی نیز باید رعایت شود؟ کارشناسان امنیت سایبری اعتقاد دارند که منتشر نشدن گزارش هک به دلایلی مانند نبود آگاهی، دانش، تجربه کافی و در صورت تهیه گزارش به‌دلیل محرمانگی منتشر نمی‌شوند این در حالی است که با رعایت امنیت لازم در انتشار گزارش می‌توان دیگر سازمان‌ها را از نحوه حملات و... آگاه کرد و مانع هک‌های مشابه و حملات سایبری گسترده شد.

نبود فرهنگ نشر گزارش هک
کاظم فلاحی، کارشناس امنیت سایبری معتقد است بخشی از منتشر نشدن گزارش‌های هک به دلیل نبود فرهنگ آن در کشور است.
فلاحی با بیان اینکه البته به تازگی سازمان‌ها و نهادها در صورتی که سازمان آنها هک شوند، هک را تأیید می‌کنند و باز این یک گام رو به جلو است، به «ایران» گفت: کارشناسان و مدیران امنیت سایبری سازمان‌ها نمی‌دانند که انتشار گزارش‌ها و اشتراک‌گذاری آن با دیگر سازمان و نهادها می‌تواند به افزایش دانش آنها کمک کند.
وی افزود: وقتی گزارش هک منتشر می‌شود نشان می‌دهد که از چه بدافزاری استفاده شده، حمله‌کننده از کجا و چه کشوری بوده و به چه داده‌ها و چه آدرسی حمله شده است. بنابراین دیگر سازمان‌ها هم با استفاده از این اطلاعات متوجه عمق خطر می‌شوند و سریع می‌توانند جلوی خطرات احتمالی سازمان خود را بگیرند.
به گفته فلاحی، آمارهای جهانی نیز حکایت از آن دارد که 75 درصد حملات در مدت 24 ساعت اشتراک‌گذاری می‌شود به طوری که اگر جلوی حملات از نقطه اول گرفته نشود 75 درصد اتفاق‌های مشابه می‌افتد و به ‌صورت یکسان تکرار می‌شود. به‌عنوان مثال وقتی راه‌آهن هک شود در 24 ساعت امکان اینکه دیگر حمل و نقل‌ها نیز هک شوند، وجود دارد.
این کارشناس امنیت سایبری در ادامه گفت: هر سازمانی که هک می‌شود می‌تواند با استفاده از کارشناسان امنیت سایبری سریع حمله را بررسی کرده و گزارش دهند و نیازی به ورود نهاد دومی و سومی برای ارائه گزارش حملات نیست. اگر خود کارشناسان امنیت سایبری سازمان هم نتوانستند می‌توانند با برون‌سپاری به افراد معتبر گزارش را تهیه و منتشر کنند.
فلاحی افزود: البته در انتشار گزارش نیز نباید صفر تا صد گزارش منتشر شود چون خود انتشار تمام جزئیات خود ناامنی ایجاد می‌کند. بنابراین انتشار گزارش هم دارای اصولی است و باید اصول امنیتی نیز در نوشتن گزارش‌ها رعایت شود. این گزارش منتشر شده از سوی چک پوینت که در کشور ما فعال نیست چگونه توانسته برای چندمین بار چنین گزارشی آن هم با جزئیات بنویسد؟ به نظر می‌رسد فردی هرچه مستندات بوده را تحویل این شرکت خارجی داده است.به گفته وی در دنیا پایگاه‌هایی وجود دارد که آنجا اطلاعات را به اشتراک می‌گذارند تا جلوی حملات بیشتر گرفته شود که البته این کار برای کسانی که کار دفاعی انجام می‌دهند مثبت است اما باید این را هم در نظر گرفت که مهاجمان هم بیکار نمی‌نشینند و از آن مطالب استفاده می‌کنند.
به اعتقاد این کارشناس امنیت سایبری، سایت‌هایی وجود دارند که با بررسی بدافزارها آنها را تحلیل می‌کنند. به نظر می‌رسد برخی به جای اینکه خود علت هک را بررسی کنند به این سایت‌ها داده‌اند و این نشان از کم دانشی و بی‌تجربگی فرد بوده است چون بررسی هک از سوی بیگانگان و دشمنان باعث می‌شود آنها به سازمان‌های ما اشراف کامل داشته باشند و راه‌های نفوذ دیگری را یافته و حمله کنند.
وی در ادامه گفت: درست است که کارشناس نمی‌تواند جلوی حملات سایبری را بگیرد، چراکه همیشه امنیت صددرصدی نیست و کارشناسان هر کاری کنند باز امکان حملات سایبری وجود دارد اما وقتی هکی از ساده‌ترین راه صورت بگیرد قابل اغماض نخواهد بود از این‌رو در دیگر کشورها اگر مشخص شود که کارشناسان امنیت سایبری سازمانی کوتاهی کرده با فرد خاطی به‌صورت کاهش حقوق یا اخراج برخورد می‌کنند و حتی با ارائه مستندات از افرادی که کوتاهی کرده‌اند، شکایت می‌کنند.

محرمانگی بی‌مورد
مرتضی نکویی دیگر کارشناس امنیت سایبری نیز معتقد است اگر گزارشی از سوی سازمان‌ها و نهادها منتشر نمی‌شود دلیل بر تدوین نکردن گزارش نیست چون اگر گزارشی هم تهیه شود، معمولاً محرمانه بوده و با جزئیات کامل قابل انتشار نیستند.
نکویی به «ایران» گفت: اما باید بعد از وقوع هک گزارش‌های جرم شناسی یا گزارش‌های ثبت رویدادها و... به هر طریقی انجام شده و در اختیار متخصصان فعال کشور قرار گیرد تا جزئیات کاملی از هک‌های داخلی از سوی شرکت‌های امنیتی خارجی گزارش نشود.
وی افزود: قبل از اینکه نفوذگر فایل‌های مموری دامپ و امثال‌آن از سوی افراد ناآگاه در واحدهای امنیت اطلاعات سازمان‌ها در سامانه‌های اینترنتی خارجی منتشر شود، باید خود سازمان‌ها با اعتماد به توانمندی‌های داخلی گزارش هک‌ها را منتشر کنند تا شاید دفعات حملات به حداقل برسد.
این کارشناس امنیت سایبری با بیان اینکه حداقل دستاورد ارائه گزارش‌ها می‌تواند شناسایی روش‌های حمله و اقدام‌های پیشگیرانه قبل از وقوع حوادث مهلک‌تر در دیگر زیرساخت‌های کشور باشد، گفت: هر چند با توجه به فیلترهای متعدد افتایی اکنون بسیاری از شرکت‌ها و نیروهای خبره در این حوزه قادر به دریافت چنین گزارشاتی نیستند و از ظرفیت‌ها و توانمندی‌های آنها استفاده‌ای نمی‌شود. بنابراین ناچار هستند گزارش‌های بسیار کامل‌تری که در VirusTotal و سندباکس‌های عمومی اینترنت عرضه می‌شود، دریافت کنند.
وی با ابراز تعجب از انتشار گزارشی با جزئیات از سوی CheckPoint گفت: معتقدم که هنوز جزئیات بسیار بیشتری نیز وجود دارد که این شرکت خارجی براساس مصلحت‌های احتمالی آنها را منتشر نکرده است، چرا که خروجی تحلیل شده از سوی این شرکت گویای جزئیات بیشتری است.
این کارشناس افزود: البته این سؤال‌ها نیز پیش می‌آید که آیا در تشکیل تیم‌های CERT (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) در سازمان‌های کشور، دستورالعملی در خصوص چگونگی دسته‌بندی و انتشار گزارش‌ها وجود ندارد؟ آیا نفوذگران تنها به سرویس دهنده‌ها دسترسی داشتند؟ اگر چنین است چگونه فایل‌ها و شواهد جرم شناسی از سرور استخراج شده؟
به گفته وی اگر دسترسی اینترنتی از سوی کارشناسان سازمان داده نشده یا نفوذگر به تجهیزات امنیتی و مسیریاب‌های موجود کنترل کاملی داشته که به بیرون ارسال شده پس احتمال می‌رود در بخش‌هایی به‌دلیل ناآگاهی و نبود آموزش مناسب، شواهد و فایل‌های مورد نیاز در virustotal و سندباکس‌ها و غیره بارگذاری شده‌اند.
نکویی در ادامه گفت: در دنیا گزارش‌ها با جزئیات منتشر می‌شود، چون همه حکومت‌ها و دولت‌ها و نهادهای جهان به این امر واقف هستند که احتمال وقوع چنین حوادثی برای دیگران هم محتمل است. بنابراین با انتشار چنین جزئیاتی درصدد به چالش کشیدن شرکت‌های نرم افزاری و سیستم عامل‌ها و به طور کلی سازنده‌هایی که محصولاتشان مورد نفوذ قرار گرفته است، هستند.
وی افزود: البته در کشورهای دیگر به‌دلیل تعاملات نزدیک با تولیدکنندگان نرم افزاری و شرکت‌های بزرگ فناوری اطلاعات، قبل از انتشار اخبار و گزارش‌ها، نسبت به شناسایی، مهار و ریشه کن کردن حمله اقدام و بعد از آن گزارش‌ها را منتشر می‌کنند که این اتفاق در کشور ما نمی‌افتد.
به اعتقاد این کارشناس، متأسفانه در کشور ما ارائه گزارش‌ها از سوی بخش خصوصی یا حتی نهادهای تصمیم گیرنده امنیت اطلاعات امری نکوهیده محسوب می‌شود و حتی شرکت‌های بخش خصوصی نه تنها دسترسی به شواهد جرم شناسی پیدا نمی‌کنند که بخواهند نظری در این خصوص بدهند و گزارش‌های تحلیلی خود را ارائه دهند، بلکه اگر اینچنین هم بود جرأت انتشار آن را نداشتند.
به گفته نکویی در دنیای امروز فناوری اطلاعات، نمی‌توان ادعا کرد که امکان نفوذ به زیرساخت‌های هیچ کشوری وجود ندارد، همان‌طور که نفوذ به زیرساخت‌های کازینوهای امریکا نیز در سال 2013 را شاهد بودیم. پس چه ابرقدرت‌ها و جهان اولی‌ها و چه کشورهای درحال توسعه، هیچ کدام از این قبیل حملات در امان نیستند، ولی روش برخورد و نگرش آنها به این قبیل مسائل متفاوت است.
وی افزود: حملات اخیر متأسفانه بر اساس گزارش‌های منتشر شده، شباهت‌هایی با حملات سایبری در زیرساخت‌های کشور سوریه و حملات گذشته در کشورمان داشته‌اند که جای بسی تأسف است که از این سوراخ چندین و چندبار گزیده شده‌ایم.

آدرس مطلب http://old.irannewspaper.ir/newspaper/page/7862/25/604909/0

ارسال دیدگاه

ضمن تشکر از بیان دیدگاه خود به اطلاع شما رسانده می شود که دیدگاه شما پس از تایید نویسنده این مطلب منتشر خواهد شد.
دیدگاه ها ویرایش نمی شوند.
از ایمیل شما فقط جهت تشخیص هویت استفاده خواهد شد.
دیدگاه های تبلیغاتی ، اسپم و مغایر عرف تایید نمی شوند.

انتخاب نشریه

جستجو بر اساس تاریخ

ویژه نامه

آرشیو ویژه نامه ها

ویژه نامه ها